SharePoint Server の代替アクセス マッピングを計画する
適用対象:
2016 2019 Subscription Edition 
SharePoint in Microsoft 365
代替アクセス マッピングは、SharePoint Server 2016 との対話中 (たとえば、SharePoint Server 2016 Web サイトのホームページの参照中) に、ユーザーを適切な URL に接続します。 代替アクセス マッピングを使用すると、SharePoint Server は Web 要求を正しい Web アプリケーションとサイトにマップし、SharePoint Server が正しいコンテンツをユーザーに返すことができます。
代替アクセス マッピングの機能は廃止される可能性があるため、ホスト名付きサイト コレクションを代替アクセス マッピングよりも優先して使用することをお勧めします。
ホスト名付きサイト コレクションを計画する方法の詳細については、「SharePoint Server でのホスト名付きサイト コレクションのアーキテクチャと展開」を参照してください。
インターネット インフォメーション サービス (IIS) によって受信された Web 要求の URL がユーザーによって入力された URL と異なる一般的なインターネット展開シナリオがあるため、代替アクセス マッピングが実装されました。 これは、リバース プロキシの公開と負荷分散を含んだ展開シナリオで最もよく起こります。
注:
代替アクセス マッピングは、通常、ホスト ヘッダー サイト コレクションには適用されませんが、負荷分散のために構成する必要があります。 既定領域のパブリック URL は、すべてのユーザーにとって適切なドメイン URL に設定する必要があります。 設定しないと、Web サーバーの名前や IP アドレスが、 SharePoint Server 2016 内のページ間で渡されるパラメーターに表示される場合があります。
代替アクセス マッピングについて
代替アクセス マッピングを使うと、Web アプリケーションが 5 つの領域のいずれかで内部 URL の要求を受信したとき、その領域のパブリック URL のリンクを含むページを返すことができます。 内部 URL とパブリック URL のマッピング コレクションを使って、Web アプリケーションを関連付けることができます。 内部とは、SharePoint Server によって受信される Web 要求の URL を指します。 パブリック URL では、要求が当該領域のいずれかの内部 URL に一致する場合、応答の際に SharePoint により対応するリンクが形成されます。 パブリック URL は、SharePoint Server から返されるページで使用されるベース URL です。 リバース プロキシ デバイスによって内部 URL が変更された場合、内部 URL とパブリック URL は異なることがあります。
注:
ホスト名付きサイト コレクションでは、代替アクセス マッピングを使用できません。 ホスト名付きサイト コレクションは、既定の領域に含まれると自動的に見なされ、要求の URL をユーザーとサーバーの間で変更することはできません。
複数の内部 URL を単一のパブリック URL に関連付けることができます。 マッピング コレクションには、最大 5 つの認証ゾーンを含めることができます。 ただし、各ゾーンに使用できるパブリック URL は 1 つだけです。 マッピング コレクションは次の認証領域に対応しています。
既定
イントラネット
インターネット
カスタム
エクストラネット
リバース プロキシの公開
リバース プロキシは、ユーザーと Web サーバー間に存在するデバイスです。 Web サーバーへのすべての要求は、最初にリバース プロキシ デバイスによって受信され、要求がプロキシのセキュリティ フィルターを通過すると、プロキシにより要求が Web サーバーに転送されます。
代替アクセス マッピングと認証プロバイダーの統合
代替アクセス マッピングでは、最大で 5 つの異なる領域に Web アプリケーションを公開することができ、各領域には異なる IIS Web サイトを配置できます。
注:
一部のユーザーは、これを誤って認識し、最大で 5 つの異なる Web アプリケーションが同じコンテンツ データベースを共有することになると考える場合があります。 実際には、Web アプリケーションは 1 つだけです。
これらの領域では、複数の URL を使って同じ Web アプリケーションにアクセスできます。また、複数の認証プロバイダーを使って同じ Web アプリケーションにアクセスすることもできます。
Web アプリケーションを領域に拡張するときは、IIS により提供される Windows 認証を使う必要があります。 Web アプリケーションを領域に拡張した後、異なる種類の認証を使用するように領域を変更できます。
領域の認証構成を変更するには、次の手順を使用します。
領域の認証の種類を変更するには
[ 管理ツール] で、サーバーの全体管理 を開きます。
サーバーの全体管理 ホーム ページで、[ アプリケーション構成の管理] をクリックします。
[ アプリケーション構成の管理] ページの [ アプリケーション セキュリティ] セクションで、[ 認証プロバイダー] をクリックします。
[ 認証プロバイダー] ページで、[ Web アプリケーション] ボックスの一覧から目的の Web アプリケーションを選択します。
認証構成を変更する領域の名前をクリックします。
注:
対応する IIS Web サイトが配置されている領域のみを選択できます。 これらの領域には、「既存の Web アプリケーションの拡張」手順の実行中に IIS Web サイトが割り当てられています。
[ 認証の編集] ページの [ クレーム認証の種類] セクションで、この領域に使う認証の種類を選びます。
[ Windows 認証 (既定値)]
[ 基本認証]
[ フォーム ベース認証 (FBA)]
[ 信頼できる ID プロバイダー]
他の認証構成の設定を変更する場合はそれらを変更した後、[ 保存] をクリックします。
この時点で、他のゾーンの認証構成設定を変更できます。 同じコンテンツにアクセスする異なる領域に対して完全に独立した認証設定を構成できます。 たとえば、一部のコンテンツを匿名で使用できるように構成し、他のコンテンツには資格情報が必要な場合があります。 1 つのゾーンで匿名アクセスを有効にし、他のすべての形式の認証を無効にして、匿名コンテンツのみを使用できるように構成できます。 同時に、NTLM 認証が有効になっている間に、別のゾーンで匿名アクセスを無効にして、認証されたアクセスのみが有効になることが保証されます。 さらに、同じコンテンツにアクセスするためのさまざまな種類のアカウントを用意できます。1 つのゾーンは Windows で Active Directory アカウントを使用するように構成でき、別のゾーンは、ASP.NET フォーム ベースの認証を使用する非 Active Directory アカウントを使用するように構成できます。
代替アクセス マッピングと Web アプリケーション ポリシーの統合
Web アプリケーション ポリシーを使うと、管理者は、領域を通じて公開されているすべてのサイトについて、アカウントやセキュリティ グループのアクセスを許可または拒否できます。 これは、多くのシナリオで役立ちます。
たとえば、SharePoint Server 検索クローラーは、他のユーザーと同じ承認インフラストラクチャを使用する必要があります。アクセス権を持つコンテンツのみをクロールできます。 しかし、制限付きのコンテンツを検索でクロールし、認証されたユーザーが検索結果でそのコンテンツを確認できるようにしたいと考えるユーザーもいます。 検索サービスでは、Web アプリケーションに対する「すべて読み取り」ポリシーを使って、その Web アプリケーションのすべてのコンテンツに対する読み取りアクセス許可をクローラーに与えることができます。 これにより、検索クローラーは、サイト管理者がアクセス許可を明示的に与えていないコンテンツも含め、すべての既存コンテンツおよび将来追加されるコンテンツをクロールし、インデックスを作成できるようになります。
もう 1 つの例は、ユーザーを支援するために SharePoint Server サイトへの管理アクセスを必要とするヘルプデスク担当者です。 この場合は、ヘルプデスク担当者のアカウントにフル コントロールのアクセス許可を与える Web アプリケーション ポリシーを作成すれば、ヘルプデスク担当者は Web アプリケーションのすべての既存サイトおよび将来追加されるサイトに完全な管理者権限でアクセスできます。
ポリシーは、Web アプリケーションとその領域の両方に結び付けられるため、ある領域にポリシーを適用したとき、その影響が他の領域に及ぶことはありません。 このため、企業ネットワークとインターネットの両方にコンテンツを公開している場合、ポリシーを使うと便利です。 たとえば、ヘルプデスク担当者のアカウントに、企業ネットワークに割り当てられた Web アプリケーションの領域に対するフル コントロールのアクセス許可を与える場合があります。 このとき、他のユーザーがそのアカウントを使って、インターネットを通じてサイトにアクセスしようとしても、URL の領域が異なると判断され、フル コントロールのポリシーは適用されません。 したがって、サイトに対する管理者のアクセス権限がアカウントに自動的に付与されることはありません。
代替アクセス マッピングと外部リソースのマッピング
SharePoint Server を使用すると、代替アクセス マッピング機能を、SharePoint Server ファーム内でホストされていないコンテンツに拡張できます。 この機能を構成するには、[ 代替アクセス マッピング ] ページを参照し、[ 外部リソースにマップ] をクリックします。 その後、外部リソースのエントリを作成するように求められます。これは、別の Web アプリケーションと考えることができます。 外部リソースを作成したら、Web アプリケーションと同じ方法で異なる URL とゾーンを割り当てることができます。 この機能は SharePoint Server では使用されませんが、SharePoint Server 上に構築されたサード パーティ製品では使用できます。
たとえば、SharePoint Server の検索テクノロジでは、ファイル共有や Web サイトなど、ファームの外部のコンテンツをクロールできます。 異なるネットワークの異なる URL を使ってそのコンテンツにアクセスできる場合、ユーザーの現在のネットワークで該当する URL を使って、検索結果を返すようにしたいと考えます。 代替アクセス マッピングの外部リソース マッピング技術を使うと、ユーザーの領域に合わせて、検索結果の外部 URL を再マップできます。