SharePoint Server ハイブリッド用のリバース プロキシ デバイスを構成する
適用対象:2016 2019 Subscription Edition SharePoint in Microsoft 365
重要
この記事は、SharePoint ハイブリッド ソリューションを構成するための手順の ロードマップ の一部です。 Be sure you're following a roadmap when you do the procedures in this article.
このトピックでは、SharePoint Server ハイブリッド展開でのリバース プロキシ デバイスの役割について概説し、デバイス固有の構成に関するガイダンスへのリンクを記載します。
SharePoint Server ハイブリッド展開でのリバース プロキシの役割
Microsoft 365 の SharePoint Server と SharePoint は、Microsoft Business Connectivity Services の検索結果と外部データを安全に結合するようにハイブリッド構成で構成できます。 リバース プロキシ デバイスは、Microsoft 365 の SharePoint からの受信トラフィックをオンプレミスの SharePoint Server ファームに中継する必要がある場合に、ハイブリッド SharePoint Server 展開のセキュリティで保護された構成で役割を果たします。 たとえば、フェデレーション ユーザーが Microsoft 365 検索ポータルでハイブリッド検索結果を返すように構成されている SharePoint を使用している場合、リバース プロキシ デバイスはオンプレミスの SharePoint Server コンテンツに対する要求を傍受して事前認証し、SharePoint Server に中継します。 ハイブリッド トポロジのリバース プロキシ デバイスは、SSL 暗号化とクライアント証明書認証を使用して、受信トラフィックのための安全なエンドポイントを提供します。
受信接続のしくみ
次の図は、受信接続用のリバース プロキシ デバイスの使用方法を示しています。
受信検索ソリューションでは、Microsoft 365 サイトの SharePoint のみが両方の場所から検索結果を取得します。
受信接続
次の例では、インターネット上のフェデレーション ユーザーが Microsoft 365 検索ポータルの SharePoint を使用して、Microsoft 365 の SharePoint と会社のオンプレミス SharePoint サーバーの両方でコンテンツを検索します。
インターネット上のフェデレーション ユーザーは、企業の社内サーバーにあるコンテンツを検索します。
以下では、上図に示した各ステップについて説明します。
インターネットから、フェデレーション ユーザーは Microsoft 365 サイトで自分の SharePoint を参照します。
Microsoft 365 の SharePoint は、Microsoft 365 の SharePoint の検索インデックスに対してクエリを実行し、逆プロキシ デバイスの外部エンドポイントに解決されるオンプレミスの SharePoint ファームの外部 URL にも検索クエリを送信します。
リバース プロキシ デバイスは、セキュリティで保護されたチャネルの SSL 証明書を使用して要求の事前認証を行い、その要求をプライマリ Web アプリケーションの URL に中継します。
SharePoint ファームのサービス アカウントは、検索要求を送信したユーザーのコンテキストで、社内検索インデックスに対してクエリを実行し、検索結果をセキュリティによりトリミングします。
セキュリティトリミングされた検索結果は、Microsoft 365 の SharePoint に返され、検索結果ページに表示されます。 この結果セットには、Microsoft 365 検索インデックスの SharePoint からの検索結果と、SharePoint Server ファームの検索インデックスからの検索結果が含まれます。
注:
ユーザーが VPN や DirectAccess でイントラネット ネットワークにアクティブかつセキュリティで保護された接続ができる場合、または SharePoint Server ファームがエクストラネット トポロジで構成されている場合のみ、受信接続により インターネットから オンプレミスの SharePoint Server ファームのコンテンツとリソースにアクセスできるようになります。
このトポロジで証明書がどのように使用され、認証と承認がどのように機能するかなど、このプロセスの詳細については、「ポスター: SharePoint 2013 ハイブリッド トポロジ: 証明書、認証、および承認の流れ」を参照してください。
リバース プロキシの一般的な要件
ハイブリッド SharePoint Server シナリオでは、リバース プロキシは以下のことが行えなければなりません。
ワイルドカードまたは SAN の SSL 証明書によってクライアント証明書の認証をサポートする。
無制限の OAuth Bearer トークンのトランザクションを含む、OAuth 2.0 のパススルー認証をサポートする。
TCP ポート 443 (HTTPS) で未承諾の受信トラフィックを受け入れる。
ヒント
ハイブリッド接続をサポートするために、リバース プロキシの外部エンドポイントで TCP 443 以外のポートを開く必要はありません。
ワイルドカードまたは SAN の SSL 証明書を公開されたエンドポイントにバインドする。
パケットのヘッダーを書き換えることなく、トラフィックをオンプレミスの SharePoint Server ファームやロード バランサーに中継する。
サポートされるリバース プロキシ デバイス
以下の表は、SharePoint Server のハイブリッド展開用の現在サポートされているリバース プロキシ デバイスを一覧表示しています。 この表は、新しいデバイスのサポート可能性がテストされると更新されます。 使用するリバース プロキシ デバイスの構成に関する記事にある手順に従ってください。 リバース プロキシ デバイスの構成が完了したら、ロードマップに戻ります。
サポートされるリバース プロキシ デバイス | 構成に関する記事 | 追加情報 |
---|---|---|
Azure アプリケーション プロキシ | アプリケーション プロキシを使用して Microsoft 365 で SharePoint へのリモート アクセスMicrosoft Entra有効にする | Azure アプリケーション プロキシは、インターネットからサービスへのファイアウォール ポートを開かずに、ネットワーク内のサービスへのリモート アクセスを許可する Azure サービスです。 |
Web アプリケーション プロキシ (WA-P) のある Windows Server 2012 R2 |
ハイブリッド環境用の Web アプリケーション プロキシを構成する |
Web アプリケーション プロキシ (WA-P) は、ユーザーが多くのデバイスから操作できる Web アプリケーションを公開する Windows Server 2012 R2 のリモート アクセス サービスです。 >[!重要]> ハイブリッド SharePoint Server 環境で Web アプリケーション プロキシをリバース プロキシ デバイスとして使用するには、AD FS も Windows Server 2012 R2 に展開する必要があります。 |
Forefront Threat Management Gateway (TMG) 2010 |
ハイブリッド環境用に Forefront TMG を構成する |
Forefront TMG 2010 は、安全なリバース プロキシ機能を提供する包括的で安全な Web ゲートウェイ ソリューションです。 > [!注]> Forefront TMG 2010 は Microsoft によって販売されなくなりましたが、2020 年 4 月 14 日までサポートされます。 詳しくは、「TMG 2010 に関する Microsoft サポート ライフサイクル情報」を参照してください。 |
F5 BIG-IP |
BIG-IP を使用した SharePoint 2013 ハイブリッド検索を有効にする |
F5 Networks によって管理される外部コンテンツ。 |
Citrix NetScaler |
Citrix NetScaler と Microsoft SharePoint 2013 のハイブリッド展開ガイド |
Citrix によって管理される外部コンテンツ。 |