Office 365 の SharePoint Online (及び OneDrive for Business )を、社内LANからのみ利用可能とするために必要な構成や設定のメモです。
実現したいこと
- Office 365 の SharePoint Online を契約して社内のメンバーに利用させたい
- 社内LAN からのみ、アクセスできるようにしたい
別の言い方をすれば、インターネット環境からの SharePoint Online へのアクセスを禁止したいというお話しです*1*2。
SharePoint Online(Office 365) 単体ではこのような制御を行うことはできない模様。それを可能にするため、Active Directory(以下AD) や Active Directory フェデレーションサービス(以下、ADFS)を利用した構成を行う。
今回やってみた構成の概要
- オンプレのADをO365のAzure ADと同期してAD内のユーザー情報でO365を利用できるようにする
- オンプレのADドメイン内でADFSを構成、 O365と連携させる
- ADFSに外部から接続できないようにする*3
必要なもの(Office 365の契約の他に)
- 社内にオンプレのADがある
- または これから立てることが可能
- ローカルドメイン名でも可
- 社内にADDSの他に最低もう一台、ADのメンバサーバのインスタンスを立てることが可能
- ADFSやDirSyncを仕込むために利用(詳細は後述)
- DNSを自分で設定可能なインターネットドメイン名
- 任意のTXTレコードが追加可能なこと
- SSL証明書
- ADFSで使用
- 今回の内容の範囲であればオレオレ認証局でも可能
構成手順
基本的には以下の自習書の手順にしたがって構成。
Microsoft Office 365 自習書 AD FS によるシングル サインオン環境構築ステップ バイ ステップ ガイド
その上で、外部からADFSにアクセスさせない(アクセスできるように構成しない)ことで、要件を実現する。
最小構成(?)として以下で検証。
- オンプレミスでのサーバのインスタンスは下記の2つとする
- ADFSで利用するSSL証明書はADのエンタープライズCAで作成
- SharePoint Online を利用するだけであれば、独自の認証局でも問題ない
- O365で利用したい機能によってはMicrosoftが信頼する公的機関で発行された証明書を利用する必要がある
- SharePoint Online を利用するだけであれば、独自の認証局でも問題ない
- ADFSは外部からアクセスさせない
- そのためADFS Proxyも構成しない
- ADFSの機能により外部からのアクセスを制御するのではない
- MS推奨の構成ではないようだが今回の要件を満たすだけであれば問題なさそう*4
- ADFSの機能により外部からのアクセスを制御するのではない
- そのためADFS Proxyも構成しない
構成の概要図
まとめ
以上で、当初検討した要件である、
- SharPoint Online と OneDrive for Business を 社内LANからのみ利用可能にする
を満たす構成が実現できることを確認しました。
参考
以下のサイト・コンテンツを参考にさせていただきました
またSNSにて、ソフィアネットワークの国井さん、金麦の人ことムッシュにアドバイスをいただきました。ありがとうございました。
