エクストラネット環境に関するベスト プラクティス (SharePoint Server 2010)

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

ここでは、SharePoint Server に基づいたエクストラネット環境を計画および設計するうえでの推奨事項について説明します。この環境では、インターネット ネットワーク外のユーザーにサイトへのアクセス権が付与されています。この記事は、Microsoft SharePoint Server 2010 のベスト プラクティス記事シリーズの 1 つです。

1. SharePoint 2010 Productsのエクストラネット トポロジ モデルを開始する

SharePoint 2010 Productsのエクストラネット トポロジ モデルでは、SharePoint 2010 Productsでテスト済みの特殊なエクストラネット トポロジについて説明します。また、SharePoint 2010 Productsと共にファイアウォールまたはゲートウェイ製品として使用した場合の Internet Security and Acceleration (ISA) Server、Forefront Threat Management Gateway (TMG)、および Forefront Unified Access Gateway (UAG) の比較を示します。

SharePoint 2010 Productsのエクストラネット トポロジ

イメージをクリックして SharePoint 2010 製品モデルの詳細を表示する (英語)

SharePoint 2010 製品モデルのエクストラネット トポロジをダウンロードする (英語) (https://go.microsoft.com/fwlink/?LinkId=219527&clcid=0x411) (英語)

2. 適切なサーバー ライセンスを選択する

サーバーのライセンスまたはライセンスの組み合わせはさまざまな要素に基づいています。SharePoint Server 2010 については、「サーバー ファームの計画 (SharePoint Server 2010)」で、エクストラネット環境に適用されるさまざまな考慮事項とライセンス オプションに関する説明を参照してください。

3. 複数の認証メカニズムを使用する

すべてのユーザーを 1 つの認証メカニズムに標準化しようとせずに、ユーザーそれぞれに最適な認証メカニズムを使用します。たとえば、パートナーに対して SAML クレーム ベース認証を使用すると、これらのユーザーは 1 つの資格情報セットを使用できます。1 つの認証メカニズムを組織内の全員に展開するのではなく、SharePoint Server の柔軟性を利用して認証を構成してください。

複数の認証メカニズムを利用するデザインの例については、「設計サンプル: 企業展開 (SharePoint Server 2010)」を参照してください。

4. ユーザーのユーザー認証の整合性を維持する

ユーザーが内部ネットワークの内外どちらにいる場合でも、同じアカウントおよび資格情報を使用してサイトにログオンするように指定します。ユーザーが 2 つの異なる認証プロバイダーを使用してサイトに接続している場合は、SharePoint Server によってユーザーごとに 2 つのアカウントとプロファイルが作成されるので、これが重要です。

Windows 認証を内部的に使用している場合は、ユーザーが同じアカウントを使用して内部的および外部的にログオンできるようにするオプションは少なくとも 2 つあります。

• ファイアウォールまたはゲートウェイ製品でフォーム ベース認証を使用して、SharePoint ファームに転送される Windows 資格情報を収集します。これは、クラシック モード認証が使用され、SharePoint サイトのフォーム ベース認証がサポートされていない環境で動作します。

• Secure Sockets Layer (SSL) を使用して、内部的および外部的に使用できる URL を 1 つだけ実装します。つまり、従業員は、自分の場所にかかわらず SSL 用に構成された同じ領域を使用します。

5. 複数の Web アプリケーションで領域を同じように構成する

エクストラネット環境では、領域の設計が重要です。領域の設計が次の要件を満たしていることを確認します。

• 複数の Web アプリケーションで領域を構成し、互いにミラーリングします。認証、領域、および領域に割り当てられているユーザーの構成は同じである必要があります。ただし、領域に関連付けられているポリシーについては、Web アプリケーション間で異なっていてもかまいません。たとえば、すべての Web アプリケーションにわたって、同じ従業員に対してイントラネット領域が使用されているかを確認します。つまり、ある Web アプリケーションでは社内の従業員に対してイントラネット領域を設定し、別の Web アプリケーションではリモートの従業員に対してイントラネット領域を設定するようなことは避けてください。

• 各領域と各リソースについて、代替アクセス マッピングを適切かつ正確に構成します。代替アクセス マッピングは、領域を作成すると自動的に作成されます。ただし、SharePoint Server はファイル共有などの外部リソースのコンテンツをクロールするように構成できます。これらの外部リソースへのリンクは、代替アクセス マッピングを使用して領域ごとに手動で作成する必要があります。

6. リバース プロキシ サーバーを利用する

リバース プロキシ サーバーを使用することで、ユーザーの直接要求から環境を保護します。リバース プロキシ サーバーでは、要求検査ルールを各要求に適用できます。リバース プロキシを使用すると、社内ネットワークの構成に関する情報の漏えいを防止できます。また、クライアント SSL セッションを安全に終了し、Web サーバーにおける SSL オーバーヘッドを防ぐことができます。

リバース プロキシ サーバーである Forefront Unified Access Gateway (UAG) では、エクストラネット環境で、SharePoint Server と組み合わせることで多数の機能を利用できるようになります。詳細については、次のリソースを参照してください。

• SharePoint publishing solution guide

• Why enable SharePoint extranet access with Forefront UAG?

7. モバイル デバイスのクロスファイアウォール アクセスおよび設定を構成する

クロスファイアウォール アクセス ゾーンは、モバイル通知メッセージ内で外部 URL を生成するときに使用されます。また、ユーザーがリボンの [リンクを電子メールで送信] をクリックしたときに、外部からアクセスできる URL を送信できるようにもします。Windows Phone 7 などのモバイル デバイスが企業ファイアウォール外で使用されている場合、そのデバイスで SharePoint サイトにアクセスできるようにするには、構成がいくつか必要です。

詳細については、以下の記事を参照してください。

• モバイル デバイスに対する外部アクセスを構成する (SharePoint Server 2010)

• モバイル デバイスの計画 (SharePoint Server 2010)

8. 複数のドメインに対してユーザー選択ウィンドウを構成する

エクストラネット環境は複数のドメインにわたることがあるので、必ずユーザー、グループ、およびクレームが対象のドメインから返されるようにユーザー選択ウィンドウを構成します。

詳細については、次のリソースを参照してください。

• 複数のフォレストやドメインに対するユーザー選択ウィンドウの使用

• 一方向の信頼を使用する場合にクロス フォレスト クエリまたはクロス ドメイン クエリを有効にする

9. ウイルス対策設定を構成する

SharePoint Server には、サーバーの全体管理または stsadm コマンド ライン ツールを使用して構成できるウイルス検出プログラムが用意されています。

10. Secure Store Service を使用して、バックエンド データ ソースにアクセスするサービスの資格情報を管理する

委任された Windows ID (Excel Services, PerformancePoint Services、InfoPath Forms Services、および Visio Services) を使用して外部データ ソースにアクセスするサービス アプリケーションでは、環境に対する要件が追加されます。たとえば、外部データ ソースが、サービスをホストする SharePoint ファームと同じドメイン内に存在するか、サービス アプリケーションが Secure Store Service を使用するように構成されている必要があります。Secure Store Service が使用されていない場合、そしてファーム サーバーが 2 つのドメインに分かれている場合、アプリケーション サーバーは外部データ ソースと同じドメインに存在する必要があります。外部データ ソースが同じドメイン内に存在しない場合は、外部データ ソースに対する認証が失敗します。

11. スプリット パックツーバック トポロジの DNS を構成する

Web サーバーが社内ネットワークと境界領域ネットワークに分割されている場合は、トラフィックが対象 Web サーバーに転送されるように、各ネットワーク領域で適切なレコードを使用して DNS を構成するようにします。

DNS 構成の詳細については、以下の記事「設計サンプル: 企業展開 (SharePoint Server 2010)」の「領域と URL」を参照してください。

SharePoint Server 2010 Content Publishing チームは、この記事の作成に協力していただいた以下の方々に感謝の意を表します。

• Ali Mazaheri (Microsoft Consulting Services)

• Bryan Porter (Microsoft Consulting Services)

• Steve Walker (Microsoft SharePoint Customer Engineering)

• Tajeshwar Singh (Microsoft Consulting Services)