SharePoint Server でクレーム ベースの Web アプリケーションを作成する
適用対象:
2016 2019 Subscription Edition 
SharePoint in Microsoft 365
SharePoint Server の高度な機能を有効にするにはクレーム ベース認証が必要です。 この記事では、サーバーの全体管理または PowerShell を使用して、クレーム ベース認証を使用する SharePoint Server Web アプリケーションを作成する方法について説明します。 クレーム ベース認証は、サーバー間認証およびアプリケーション認証をサポートするシナリオに展開されている Web アプリケーションで必要です。 ただし、この記事では、クレーム ベース認証をサポートしない特定のシナリオを対象としたクラシック モードの Web アプリケーションを、PowerShell を使用して作成するときのガイダンスも提供します。 クラシック モード認証はこのリリースで廃止されていること、および次のバージョンでは使用できなくなることに注意してください。 詳細については、「SharePoint Server でサーバー間認証を計画する」を参照してください。
重要
サーバー間認証およびアプリケーション認証をサポートするシナリオに展開されている Web アプリケーションには、Secure Sockets Layer (SSL) が必要です。
Web アプリケーションを作成するには、SharePoint サーバーの全体管理 Web サイトまたは PowerShell を使用します。 通常は、PowerShell を使用して Web アプリケーションを作成します。 企業でよく行われる Web アプリケーション作成を自動化するには、PowerShell を使用します。 この手順が完了したら、1 つ以上のサイト コレクションを作成できます。
サーバーの全体管理を使用してクレーム ベースの Web アプリケーションを作成する
このセクションに記載された手順で、サーバーの全体管理 を使用して、新しいクレーム ベースの SharePoint Server Web アプリケーションを作成します。
サーバーの全体管理 を使用してクレーム ベースの Web アプリケーションを作成するには
次の管理者の資格情報を持っていることを確認します。
- Web アプリケーションを作成するには、Farm Administrators SharePoint グループのメンバーである必要があります。
SharePoint サーバーの全体管理を開始します。
サーバーの全体管理のホームページで、[ アプリケーション構成の管理] をクリックします。
[ アプリケーション構成の管理] ページの [ Web アプリケーション] セクションで、[ Web アプリケーションの管理] をクリックします。
リボンの [ 投稿] グループで、[ 新規作成] をクリックします。
[ 新しい Web アプリケーションの作成] の [IIS Web サイト ] セクションで、次の 2 つのオプションのいずれかを選択して、新しい Web アプリケーションの設定を構成できます。
[ 既存の IIS Web サイトを使用する] をクリックし、新しい Web アプリケーションをインストールする Web サイトを選択します。
[ 新しい IIS Web サイトを作成する] をクリックし、[ 名前] ボックスに Web サイトの名前を入力します。
[ ポート] ボックスに、Web アプリケーションへのアクセスに使用するポート番号を入力します。 既存の Web サイトを使用する場合、このフィールドには、現在のポート番号が表示されます。
注:
HTTP アクセスの既定のポート番号は 80 で、HTTPS アクセスの既定のポート番号は 443 です。
省略可能: [ IIS Web サイト ] セクションの [ ホスト ヘッダー ] ボックスに、Web アプリケーションへのアクセスに使用するホスト名 ( www.contoso.com など) を入力します。
注:
このフィールドは、同じサーバーの同じポート番号を共有するように 2 つ以上の IIS Web サイトを構成する必要があり、DNS が同じサーバーに対して要求をルーティングするように構成されているのではない限り、設定する必要がありません。
[ パス] ボックスに、サーバー上の IIS Web サイトのホーム ディレクトリのパスを入力します。 新しい Web サイトを作成している場合、このフィールドには推奨パスが表示されます。 既存の Web サイトを使用する場合、このフィールドにはその Web サイトの現在のパスが表示されます。
[ セキュリティの構成] セクションで、 匿名をアクセスを許可するかどうか、および SSL (Secure Sockets Layer) を使用するかどうかを選択します。
重要
サーバー間認証およびアプリケーション認証をサポートするシナリオに展開されている Web アプリケーションには、Secure Sockets Layer (SSL) が必要です。 通常、Web アプリケーションには SSL を使用することを強くお勧めします。
[ セキュリティの構成] セクションで、[ 匿名アクセスを許可する] オプションに対して [ はい] または [ いいえ] をクリックします。 [ はい] を選択すると、訪問者がコンピューター固有の匿名アクセス アカウント (IIS_IUSRS) を使用して、Web サイトにアクセスできます。
注:
ユーザーが任意のサイトのコンテンツに匿名でアクセスできるようにする場合は、SharePoint Server サイト レベルで匿名アクセスを有効にする前に、Web アプリケーション領域全体で匿名アクセスを有効にする必要があります。 その後で、サイトの所有者は自身のサイトに対する匿名アクセスを構成できます。 ユーザーが Web アプリケーション レベルで匿名アクセスを有効にしておかないと、サイト所有者がサイト レベルで匿名アクセスを有効にすることはできません。
[ セキュリティの構成] セクションで、[ SSL (Secure Sockets Layer) の使用] オプションに対して [ はい] または [ いいえ] をクリックします。 [ はい] を選択した場合は、SSL 証明書を要求およびインストールして SSL を構成する必要があります。
[クレーム認証の種類] セクションで、Web アプリケーションに使用する認証方法を選択します。
Windows 認証を有効にするには、[ Windows 認証の有効化] を選択し、ドロップダウン メニューで [ NTLM] または [ ネゴシエート (Kerberos)] を選択します。 ネゴシエート (Kerberos) を使用することをお勧めします。
統合 Windows 認証を使用しない場合は、[ 統合 Windows 認証] をオフにします。
注:
この Web アプリケーションの少なくとも 1 つの領域に対して Windows 認証を選択しないと、この Web アプリケーションのクロールが無効になります。
ネットワーク上で、ユーザーの資格情報を暗号化されていない形式で送信する場合は、[ 基本認証 (資格情報はクリア テキストで送信されます)] を選択します。
注:
基本認証、統合 Windows 認証、またはその両方を選択できます。 両方を選択すると、SharePoint Server は、両方の認証の種類をクライアント Web ブラウザーに提供します。 クライアント Web ブラウザーは、使用する認証の種類を決定します。 基本認証のみを選択する場合は、必ず SSL を有効にしてください。 SSL を有効にしないと、悪意のあるユーザーが資格情報を傍受する可能性があります。
フォーム ベース認証を有効にするには、[ フォーム ベース認証 (FBA) の有効化] を選択し、[ ASP.NET メンバーシップ プロバイダー名] と [ ASP.NET ロール マネージャー名] にそれぞれ名前を入力します。
注:
このオプションを選択する場合は、必ず SSL を有効にしてください。 SSL を有効にしないと、悪意のあるユーザーが資格情報を傍受する可能性があります。
PowerShell を使用して信頼できる ID プロバイダー認証を設定した場合、[信頼できる ID プロバイダー] チェック ボックスはオンです。
[ サインイン ページの URL] セクションで、次のどちらかのオプションを選択し、SharePoint Server にサインインします。
[ 既定のサインイン ページ] を選択すると、クレーム ベース認証の既定のサインイン Web サイトにユーザーがリダイレクトされます。
[ ユーザー設定のサインイン ページ] を選択し、サインイン URL を入力すると、クレーム ベース認証のユーザー設定のサインイン Web サイトにユーザーがリダイレクトされます。
[ パブリック URL] セクションで、ユーザーがこの Web アプリケーションでアクセスするすべてのサイトのドメイン名に対応する URL を入力します。 この URL は、Web アプリケーション内のページに表示されるリンクで基本 URL として使用されます。 既定の URL は現在のサーバー名とポートであり、ページでの現在の SSL、ホスト ヘッダー、およびポート番号の設定を反映して自動的に更新されます。 SharePoint Serverをロード バランサーまたはプロキシ サーバーの背後に展開する場合、この URL はこのページの SSL、ホスト ヘッダー、およびポートの設定と異なるものにすることが必要になる場合があります。
新しい Web アプリケーションについては、[ 領域] の値は自動的に [ 既定] に設定されます。 Web アプリケーションを拡張するときに領域を変更できます。
[ アプリケーション プール] セクションで、次のいずれかを実行します。
[ 既存のアプリケーション プールを使用する] をクリックし、使用するアプリケーション プールをドロップダウン メニューから選択します。
[ 新しいアプリケーション プールを作成する] をクリックし、新しいアプリケーション プールの名前を入力するか、既定の名前をそのまま使用します。
このアプリケーション プールに対して定義済みのセキュリティ アカウントを使用する場合は、[ 定義済み] をクリックし、該当するセキュリティ アカウントをドロップダウン メニューから選択します。
新しいセキュリティ アカウントを指定して既存のアプリケーション プールで使用する場合は、[ 構成可能] をクリックします。
注:
新しいアカウントを作成するには、[ 新しいマネージド アカウントの登録] をクリックします。
[データベース名と認証] セクションで、次の表の説明に従って、新しい Web アプリケーションのデータベース サーバー、データベース名、および認証方法を選択します。
アイテム アクション データベース サーバー SERVERNAME\ インスタンスの形式<で使用するデータベース サーバーとSQL Server インスタンスの名前を入力します>。 You can also use the default entry. データベース名 データベースの名前を入力するか、既定のエントリを使用します。 データベースの認証 以下のどちらかを実行して、使用するデータベース認証を選択します。 - Windows 認証を使用するには、このオプションが選択された状態にしておきます。 Windows 認証は SQL Server に接続するときにパスワードを自動的に暗号化するので、このオプションをお勧めします。
- SQL 認証を使用するには、[ SQL 認証] をクリックします。 [ アカウント] ボックスに、Web アプリケーションが SQL Server データベースに対する認証に使用するアカウントの名前を入力し、[ パスワード] ボックスにそのパスワードを入力します。
メモSQL 認証は、暗号化されていない形式で SQL 認証パスワードをSQL Serverに送信します。 SQL 認証は、IPsec を使用してネットワーク トラフィックを暗号化するプロトコル暗号化を、SQL Server に対して実施する場合にのみ使用することをお勧めします。
データベース ミラーリングを使用する場合は、[ フェールオーバー サーバー] セクションの [ フェールオーバー データベース サーバー] ボックスに、コンテンツ データベースに関連付ける特定のフェールオーバー データベース サーバーの名前を入力します。
[ サービス アプリケーションの接続] セクションで、Web アプリケーションで使用可能になるサービス アプリケーション接続を選択します。 ドロップダウン メニューの [ 既定] または [ [カスタム]] をクリックします。 Web アプリケーションで使用するサービス アプリケーション接続を選択するには、[ [カスタム]] オプションを使用します。
[ カスタマー エクスペリエンス向上プログラム] セクションで、[ はい] または [ いいえ] をクリックします。
[ OK] をクリックして、新しい Web アプリケーションを作成します。
PowerShell を使用してクレーム ベースの Web アプリケーションを作成する
このセクションの手順で、PowerShell を使用して、新しいクレーム ベースの SharePoint Server Web アプリケーションを作成します。
PowerShell を使用してクレーム ベースの Web アプリケーションを作成するには
次のメンバーシップがあることを確認します。
SQL Server インスタンスにおける securityadmin 固定サーバー ロール。
更新するすべてのデータベースに対する db_owner 固定データベース ロール。
PowerShell コマンドレットを実行するサーバーでの Administrators グループ。
「about_Execution_Policies」を参照してください。
管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint 15 製品コマンドレットを使用する権限を付与できます。
注:
アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。 PowerShell のアクセス許可の詳細については、「アクセス許可」および「Add-SPShellAdmin」を参照してください。
クレーム ベース認証プロバイダーを作成するには、PowerShell コマンド プロンプトで、次のコマンドを入力します。
$ap = New-SPAuthenticationProviderクレーム ベースの Web アプリケーションを作成するには、PowerShell コマンド プロンプトで、次のコマンドを入力します。
New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -ApplicationPoolAccount <ApplicationPoolAccount> -URL <URL> -Port <Port> -AuthenticationProvider $ap詳細は次のとおりです。
<Name> は、クレーム ベース認証を使用する新しい Web アプリケーションの名前です。
<ApplicationPool> は、アプリケーション プールの名前です。
<ApplicationPoolAccount> は、このアプリケーション プールが実行するユーザー アカウントです。
<URL> は、この Web アプリケーションのパブリック URL です。
<Port> は、IIS で Web アプリケーションが作成されるポートです。
注:
詳細については、「New-SPWebApplication」を参照してください。
次の例では、現在のユーザー資格情報および現在のマシン名を使用して、https クレーム ベースの Web アプリケーションを作成します。
$ap = New-SPAuthenticationProvider New-SPWebApplication -Name "Contoso Internet Site" -URL "https://www.contoso.com" -Port 80 -ApplicationPool "ContosoAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\wa") -AuthenticationProvider $ap -SecureSocketsLayer注:
Web サイトを作成したら、新しく作成した Web サイトに対して IIS で SSL を構成する必要があります。
PowerShell を使用してクラシック モードの Web アプリケーションを作成する
このセクションの手順で、PowerShell を使用して、新しいクラシック モードの SharePoint Server Web アプリケーションを作成します。
注:
サブスクリプション エディションでは、Windows クラシック認証モードはサポートされていません。 詳細については、「SharePoint Server サブスクリプション エディションの新機能と改善された機能」を参照してください。
PowerShell を使用してクラシック モードの Web アプリケーションを作成するには
次のメンバーシップがあることを確認します。
SQL Server インスタンスにおける securityadmin 固定サーバー ロール。
更新するすべてのデータベースに対する db_owner 固定データベース ロール。
PowerShell コマンドレットを実行するサーバーでの Administrators グループ。
「about_Execution_Policies」を参照してください。
PowerShell コマンド プロンプトで次のように入力します。
New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>詳細は次のとおりです。
<Name> は、クラシックモード認証を使用する新しい Web アプリケーションの名前です。
<ApplicationPool> は、アプリケーション プールの名前です。
<WindowsAuthType> は "NTLM" または "Kerberos" です。 Kerberos にすることをお勧めします。
<ApplicationPoolAccount> は、このアプリケーション プールが実行するユーザー アカウントです。
<Port> は、IIS で Web アプリケーションが作成されるポートです。
<URL> は、Web アプリケーションのパブリック URL です。
注:
詳細については、「New-SPWebApplication」を参照してください。
注:
Web アプリケーションが正常に作成されると、[サーバーの全体管理] ページを開いたときに、クラシック認証モードで 1 つ以上の Web アプリケーションが有効になっていることを示す正常性ルールの警告が表示されます。 これは、クラシックモード認証ではなくクレームベース認証の使用が推奨されていることを反映しています。