チュートリアル:職場への Windows デバイスの参加

このトピックでは、ワークプレース ジョインを使用して Windows デバイスを職場に接続する方法と、シングル サインオンを使用して Web アプリケーションにアクセスする方法を説明します。 このチュートリアルを試す前に、「Windows Server 2012 R2 の AD FS 用のラボ環境をセットアップする」セクションの手順を完了する必要があります。

デバイス登録前の Web アプリケーションへのアクセス

このチュートリアルでは、デバイスを職場に参加させる前に、会社の Web アプリケーションにアクセスします。 Web ページには、セキュリティ トークンに含まれていた信頼性情報が表示されます。 信頼性情報の一覧に、使用するデバイスについての情報が含まれていないことがわかります。 また、シングル サインオンを使用できないこともわかります。

デバイスでワークプレース ジョインを使用する前に Web アプリケーションにアクセスするには

  1. Microsoft アカウントを使用して Client1 にログオンします。

  2. Internet Explorer を開き、汎用要求アプリの https://webserv1.contoso.com/claimapp を参照します。

  3. 会社のドメイン アカウント roberth@contoso.com を使用して Web ページにログオンし、パスワードとして「P@ssword」を入力します。

  4. Web ページに、セキュリティ トークンに含まれるすべての信頼性情報が一覧表示されます。 セキュリティ トークンにはユーザーの信頼性情報のみが存在します。

  5. Internet Explorer を閉じます。

  6. Internet Explorer を開いて、同じ要求アプリ https://webserv1.contoso.com/claimapp に移動します。

  7. 資格情報の入力を再度、求められます。 ワークプレース ジョインを使用してデバイスから職場に接続していないため、シングル サインオンは機能していません。

ワークプレース ジョインによるデバイスの参加

重要

ワークプレース ジョインが正しく動作するには、クライアント コンピューター (Client1) で SSL 証明書を信頼する必要があります。この証明書は、「 Step 2: Configure the Federation Server with Device Registration Service (ADFS1)」で Active Directory フェデレーション サービス (AD FS) を構成する際に使用されたものです。 また、証明書の失効情報の検証が可能になっている必要もあります。 ワークプレース ジョインで問題が発生した場合は、Client1 のイベント ログを確認できます。

イベント ログを表示するには、イベント ビューアーを開き、[アプリケーションとサービス ログ][Microsoft][Windows] の順に展開し、[ワークプレース ジョイン] をクリックします。

ワークプレース ジョインを使用してデバイスを参加させるには

  1. Microsoft アカウントを使用して Client1 にログオンします。

  2. スタート画面で、チャーム バーを開き、[設定] チャームをクリックします。 [PC 設定の変更] を選択します。

  3. [PC 設定] ページで [ネットワーク] を選択し、[社内] をクリックします。

  4. [ユーザー ID を入力して職場へのアクセスを取得するか、デバイス管理を有効にしてください] ボックスに「roberth@contoso.com」と入力し、[参加する] をクリックします。

  5. 資格情報の入力を求められたら、「roberth@contoso.com」とパスワード「P@ssword」を入力します。 [OK] をクリックします。

  6. 次のメッセージが表示されます:"このデバイスは社内のネットワークに参加しています"

職場への参加後の Web アプリケーションへのアクセス

ここでは、ワークプレース ジョインを使用して接続されたデバイスから会社の Web アプリケーションにアクセスします。 Web ページには、セキュリティ トークンに含まれていた信頼性情報が表示されます。 信頼性情報の一覧に、デバイスとユーザーの両方の情報が含まれていることがわかります。 また、シングル サインオンを使用できることもわかります。

職場への参加後に Web アプリケーションにアクセスするには

  1. Microsoft アカウントを使用して Client1 にログオンします。

  2. Internet Explorer を開き、汎用要求アプリの https://webserv1.contoso.com/claimapp を参照します。

  3. 会社のドメイン アカウント roberth@contoso.com を使用して Web ページにログオンし、パスワードとして「P@ssword」を入力します。

  4. Web ページに、セキュリティ トークンに含まれる信頼性情報が一覧表示されます。 トークンにはユーザーとデバイスの両方の信頼性情報が含まれています。

  5. Internet Explorer を閉じます。

  6. Internet Explorer を開いて、同じ要求アプリ https://webserv1.contoso.com/claimapp に移動します。

  7. 今回は資格情報の入力を求められません。 ワークプレース ジョインを使用したデバイスから接続しているため、シングル サインオンが機能しています。

参照

任意のデバイスからワークプレイスに参加して、企業アプリケーション全体で SSO とシームレスな第 2 要素認証を実現するWindows Server 2012R2 で AD FS のラボ環境をセットアップするウォークスルー: iOS デバイスでワークプレイスに参加する