社外アクセスについて

すべての返信

• 

  

  0

  サインインして投票

  AD参加しているO365+ADFS認証しているユーザーが、社内利用しているwindows10 PCで、社外アクセスすることは可能でしょうか。
  

  ここで言う「社外アクセス」とは「普段、社内 LAN に接続している Windows 10 PC を社外に持ち出し、Windows 10 にログインすること」という認識で合っていますかね？
  そうだとすると、「社外アクセス」という表現では伝わりづらいかと…。

  そもそも、キャッシュが残っていない＋ネット利用不可の状態で、該当のwindows10にログインすることは、windows10自体にID,PWDのプロファイルを作成する以外、不可能でしょうか・・・・
  

  キャッシュがなく、ドメインコントローラーと通信できない状態では、ドメインアカウントは使えません。

  2017年10月27日 23:06

  返信

  |

  引用
• 

  

  0

  サインインして投票

  > AD参加しているO365+ADFS認証しているユーザー

  Windows 10 のサインインする際のユーザー アカウントは ADFS している AAD ユーザー（O365 ユーザー アカウント）なのか、オンプレ側の AD ユーザーなのか、どちらでしょう。

  前者ならクラウド認証なので可能ですが、後者なら Azulean さんが書かれているように不可能です。

  ---

  hebikuzure

  2017年10月28日 4:35

  返信

  |

  引用
• 

  

  0

  サインインして投票

  ご回答ありがとうございますm（＿ ＿）m

  おっしゃる通りでございます。やりたいことは、

  「ドメイン参加しているアカウントが利用している Windows10 PC を社外に持ち出し、ホテルなど（例：ドコモのテザリングなどのWifi）の社外から、ログインする」です。

  実現する方法はございますでしょうか。

  2017年10月29日 12:44

  返信

  |

  引用
• 

  

  0

  サインインして投票

  ご回答ありがとうございますm（＿ ＿）m

  想定しているドメインユーザーは、オンプレ側の AD ユーザー（user.0001@独自ドメイン ユーザー）で、AD-ADFS-O365 ユーザー です。

  であれば、PCにログインできない＝実現は不可能ということでしょうか。

  その場合、ローカルに社内で利用しているドメインユーザーのID,PWDを保存すれば良いのでしょうか・・・・・

  セキュリティ上、それがベストなのか、他により良い方法があるのか・・・イメージがつかないので、お教えいただけますでしょうか。

  • 編集済み (_ _) 2017年10月29日 13:31

  2017年10月29日 12:55

  返信

  |

  引用
• 

  

  0

  サインインして投票

  「ドメイン参加しているアカウントが利用している Windows10 PC を社外に持ち出し、ホテルなど（例：ドコモのテザリングなどのWifi）の社外から、ログインする」です。

  実現する方法はございますでしょうか。

  そのアカウントで普段使いしている PC を社外に持ち出した場合なら、キャッシュログオン が通常の策ですよね。
  最初の投稿で「キャッシュもない場合」と仮定していたように思いますが、どのような背景か、きちんとまとめないと、解決が遠のきますよ。

  キャッシュログオンを嫌っているという意図であれば、社外ではドメインアカウントは使えないので、別の手段を考えてください。
  ローカルアカウントも1つの手ですが、ドメインアカウントとユーザープロファイルが別になるので使い勝手は悪いと思われます。

  • 回答の候補に設定 栗下 望Microsoft employee, Moderator 2017年10月30日 1:49

  2017年10月29日 13:12

  返信

  |

  引用
• 

  

  1

  サインインして投票

  ログオン キャッシュなしでサインインするには認証サーバーにアクセスできることが必要ですが、(オンプレミスの）Active Directory DC にはイントラネット外から接続できないので、社外のネットワークからインターネット越しに認証を受けることはできない＝サインインできないということのなります。

  ログオンキャッシュなしかつオンプレ AD 認証で、社外で AD ユーザーとしてログオンしたいのであれば、VPN 接続を利用する必要があるでしょう（ユーザー ログオン前に VPN 接続を確立する必要があるので、いくつかの前提条件があります）。

  現実的にはログオン キャッシュを持つようにする運用が一番簡単ですが、セキュリティ要件などでそれができない場合は、VPN 利用を検討されると良いでしょう。

  ---

  hebikuzure

  • 回答の候補に設定 栗下 望Microsoft employee, Moderator 2017年11月13日 4:14

  2017年10月30日 3:48

  返信

  |

  引用
• 

  

  0

  サインインして投票

  oooohです。

  ログオンキャッシュ不可かつVPNも不可な条件下でドメインログオンさせたいなら

  もうAzureADしかないですね！

  お金がいくらかかるか知りませんが。

  2017年10月30日 5:30

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  おそらくご自身で、Office 365を構築管理されているわけではない、という前提で回答します。

  ドメインアカウントで「資格情報のキャッシュによるログオン」を行えない場合、他のアカウントでログオンしていても、「AD FS Proxyサーバー」が外部からの認証要求を受け付ける設定をしていれば、問題なく利用できます。このサーバーが稼働しているかどうかは、会社のシステム管理者に直接聞いていただくしかないです。

  ローカルアカウントでのログオンで大丈夫かと思いますが、ドメインアカウントと同一のアカウント名やパスワードでないほうがいいかと思います。Office365サインインのページでID(メールアドレス)を入れるとリダイレクトするので、そこでパスワードを入力します。

  AD FS Proxyサーバーが稼働していない環境では、この方法は使えないので、Office 365へActive Directory同期を行う際、「パスワードの同期」を設定する必要があります。この設定の場合、O365上にパスワード情報があるので、ブラウザ上でIDとパスワードを入力することで、直接認証ができるからです。この設定の有無についても、システム管理者に直接確認してください。

  ちなみに、Office365では内部的にAzureADを使っていますので、あらためてAzureADを追加する必要はありません。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  • 回答の候補に設定 Hebikuzure aka Murachi AkiraMVP 2017年10月30日 7:08
  • 回答としてマーク (_ _) 2018年4月20日 4:28

  2017年10月30日 6:00

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  ちょっと整理したいのですが、『ドメイン参加しているアカウントが利用している Windows10 PC を社外に持ち出し、ホテルなど（例：ドコモのテザリングなどのWifi）の社外から、ログイン』して、何をやりたい（どのようなリソースやシステムにアクセスしたい）のでしょうか？

  Office 365（SharePoint Online や One Drive for Business など）へのアクセスであれば、直近のチャブーンさんのコメントに書かれている通りです。どうしても AD アカウントでサインインしなくても、構成次第で O365 を利用することは可能です。

  PC のローカルに保存されているデータやインストールされているアプリケーションへのアクセスについても、（ユーザープロファイルが別になるので慎重な運用設計が必要ですが）AD アカウントではなくローカルアカウントでサインインして行うことは不可能ではありません。

  ただし外部でも社内と同じように O365 もローカルのリソースも利用したい、という要件が絶対であれば、キャッシュ ログオンを認めるか VPN でログオンするか、どちらかになるでしょう。

  もう一度何のために何をやるのかを整理していただくと、良いかと思います。

  ---

  hebikuzure

  • 回答の候補に設定 栗下 望Microsoft employee, Moderator 2017年11月13日 4:14

  2017年10月30日 7:07

  返信

  |

  引用