none
社外アクセスについて RRS feed

  • 質問

  • すみません。素人です。

    AD参加しているO365+ADFS認証しているユーザーが、社内利用しているwindows10 PCで、社外アクセスすることは可能でしょうか。

    ※キャッシュが残っていない状態を想定しています。

    ※社外アクセス時、VPNによる社内アクセスは想定していません。

    そもそも、キャッシュが残っていない+ネット利用不可の状態で、該当のwindows10にログインすることは、windows10自体にID,PWDのプロファイルを作成する以外、不可能でしょうか・・・・


    • 編集済み (_ _) 2017年10月27日 15:58
    2017年10月27日 15:57

回答

  • チャブーンです。

    おそらくご自身で、Office 365を構築管理されているわけではない、という前提で回答します。

    ドメインアカウントで「資格情報のキャッシュによるログオン」を行えない場合、他のアカウントでログオンしていても、「AD FS Proxyサーバー」が外部からの認証要求を受け付ける設定をしていれば、問題なく利用できます。このサーバーが稼働しているかどうかは、会社のシステム管理者に直接聞いていただくしかないです。

    ローカルアカウントでのログオンで大丈夫かと思いますが、ドメインアカウントと同一のアカウント名やパスワードでないほうがいいかと思います。Office365サインインのページでID(メールアドレス)を入れるとリダイレクトするので、そこでパスワードを入力します。

    AD FS Proxyサーバーが稼働していない環境では、この方法は使えないので、Office 365へActive Directory同期を行う際、「パスワードの同期」を設定する必要があります。この設定の場合、O365上にパスワード情報があるので、ブラウザ上でIDとパスワードを入力することで、直接認証ができるからです。この設定の有無についても、システム管理者に直接確認してください。

    ちなみに、Office365では内部的にAzureADを使っていますので、あらためてAzureADを追加する必要はありません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年10月30日 6:00
    モデレータ

すべての返信

  • AD参加しているO365+ADFS認証しているユーザーが、社内利用しているwindows10 PCで、社外アクセスすることは可能でしょうか。

    ここで言う「社外アクセス」とは「普段、社内 LAN に接続している Windows 10 PC を社外に持ち出し、Windows 10 にログインすること」という認識で合っていますかね?
    そうだとすると、「社外アクセス」という表現では伝わりづらいかと…。

    そもそも、キャッシュが残っていない+ネット利用不可の状態で、該当のwindows10にログインすることは、windows10自体にID,PWDのプロファイルを作成する以外、不可能でしょうか・・・・

    キャッシュがなく、ドメインコントローラーと通信できない状態では、ドメインアカウントは使えません。

    2017年10月27日 23:06
  • AD参加しているO365+ADFS認証しているユーザー

    Windows 10 のサインインする際のユーザー アカウントは ADFS している AAD ユーザー(O365 ユーザー アカウント)なのか、オンプレ側の AD ユーザーなのか、どちらでしょう。

    前者ならクラウド認証なので可能ですが、後者なら Azulean さんが書かれているように不可能です。


    hebikuzure

    2017年10月28日 4:35
  • ご回答ありがとうございますm(_ _)m

    おっしゃる通りでございます。やりたいことは、

    「ドメイン参加しているアカウントが利用している Windows10 PC を社外に持ち出し、ホテルなど(例:ドコモのテザリングなどのWifi)の社外から、ログインする」です。

    実現する方法はございますでしょうか。

    2017年10月29日 12:44
  • ご回答ありがとうございますm(_ _)m

    想定しているドメインユーザーは、オンプレ側の AD ユーザー(user.0001@独自ドメイン ユーザー)で、AD-ADFS-O365 ユーザー です。

    であれば、PCにログインできない=実現は不可能ということでしょうか。

    その場合、ローカルに社内で利用しているドメインユーザーのID,PWDを保存すれば良いのでしょうか・・・・・

    セキュリティ上、それがベストなのか、他により良い方法があるのか・・・イメージがつかないので、お教えいただけますでしょうか。

    • 編集済み (_ _) 2017年10月29日 13:31
    2017年10月29日 12:55
  • 「ドメイン参加しているアカウントが利用している Windows10 PC を社外に持ち出し、ホテルなど(例:ドコモのテザリングなどのWifi)の社外から、ログインする」です。

    実現する方法はございますでしょうか。

    そのアカウントで普段使いしている PC を社外に持ち出した場合なら、キャッシュログオン が通常の策ですよね。
    最初の投稿で「キャッシュもない場合」と仮定していたように思いますが、どのような背景か、きちんとまとめないと、解決が遠のきますよ。

    キャッシュログオンを嫌っているという意図であれば、社外ではドメインアカウントは使えないので、別の手段を考えてください。
    ローカルアカウントも1つの手ですが、ドメインアカウントとユーザープロファイルが別になるので使い勝手は悪いと思われます。

    2017年10月29日 13:12
  • ログオン キャッシュなしでサインインするには認証サーバーにアクセスできることが必要ですが、(オンプレミスの)Active Directory DC にはイントラネット外から接続できないので、社外のネットワークからインターネット越しに認証を受けることはできない=サインインできないということのなります。

    ログオンキャッシュなしかつオンプレ AD 認証で、社外で AD ユーザーとしてログオンしたいのであれば、VPN 接続を利用する必要があるでしょう(ユーザー ログオン前に VPN 接続を確立する必要があるので、いくつかの前提条件があります)。

    現実的にはログオン キャッシュを持つようにする運用が一番簡単ですが、セキュリティ要件などでそれができない場合は、VPN 利用を検討されると良いでしょう。


    hebikuzure

    2017年10月30日 3:48
  • oooohです。

    ログオンキャッシュ不可かつVPNも不可な条件下でドメインログオンさせたいなら

    もうAzureADしかないですね!

    お金がいくらかかるか知りませんが。

    2017年10月30日 5:30
  • チャブーンです。

    おそらくご自身で、Office 365を構築管理されているわけではない、という前提で回答します。

    ドメインアカウントで「資格情報のキャッシュによるログオン」を行えない場合、他のアカウントでログオンしていても、「AD FS Proxyサーバー」が外部からの認証要求を受け付ける設定をしていれば、問題なく利用できます。このサーバーが稼働しているかどうかは、会社のシステム管理者に直接聞いていただくしかないです。

    ローカルアカウントでのログオンで大丈夫かと思いますが、ドメインアカウントと同一のアカウント名やパスワードでないほうがいいかと思います。Office365サインインのページでID(メールアドレス)を入れるとリダイレクトするので、そこでパスワードを入力します。

    AD FS Proxyサーバーが稼働していない環境では、この方法は使えないので、Office 365へActive Directory同期を行う際、「パスワードの同期」を設定する必要があります。この設定の場合、O365上にパスワード情報があるので、ブラウザ上でIDとパスワードを入力することで、直接認証ができるからです。この設定の有無についても、システム管理者に直接確認してください。

    ちなみに、Office365では内部的にAzureADを使っていますので、あらためてAzureADを追加する必要はありません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年10月30日 6:00
    モデレータ
  • ちょっと整理したいのですが、『ドメイン参加しているアカウントが利用している Windows10 PC を社外に持ち出し、ホテルなど(例:ドコモのテザリングなどのWifi)の社外から、ログイン』して、何をやりたい(どのようなリソースやシステムにアクセスしたい)のでしょうか?

    Office 365(SharePoint Online や One Drive for Business など)へのアクセスであれば、直近のチャブーンさんのコメントに書かれている通りです。どうしても AD アカウントでサインインしなくても、構成次第で O365 を利用することは可能です。

    PC のローカルに保存されているデータやインストールされているアプリケーションへのアクセスについても、(ユーザープロファイルが別になるので慎重な運用設計が必要ですが)AD アカウントではなくローカルアカウントでサインインして行うことは不可能ではありません。

    ただし外部でも社内と同じように O365 もローカルのリソースも利用したい、という要件が絶対であれば、キャッシュ ログオンを認めるか VPN でログオンするか、どちらかになるでしょう。

    もう一度何のために何をやるのかを整理していただくと、良いかと思います。


    hebikuzure

    2017年10月30日 7:07