セキュリティ構成

• この資料には、セルフサービスパスワードリセットコンポーネントが安全に展開および構成されることを確実にするために必要な手順が含まれています。

• ユーザーパスワードのリセットとユーザーアカウントのロック解除を行うためのドメインユーザーアカウントの作成

• ファイアウォール設定の構成

• セルフサービスアカウントの作成

セルフサービスパスワードリセットのパスワードリセットまたはアカウントロック解除機能を使用している場合は、サービス構成中にセルフサービスモジュールがパスワードリセットとアカウントロック解除を実行するために使用するセルフサービスアカウントを指定します。アカウントに十分な権限があることを確認してください。ただし、本番環境での展開には、Domain Adminsグループのアカウントを使用することはお勧めしません。推奨されるアカウント権限は次のとおりです。

• ドメインのメンバー
• 関連するドメインユーザーに対するパスワードリセットおよびアカウントロック解除の権限

Active Directoryユーザーとコンピューターで、ユーザーパスワードをリセットし、ユーザーアカウントをロック解除する権限を持つグループまたはユーザーアカウントを作成します。

1. Active Directoryユーザーとコンピューターで、ドメインを右クリックし、メニューから [制御の委任] をクリックします。
2. 制御の委任ウィザードが表示されます。 [ようこそ] ダイアログボックスで、 [次へ] をクリックします。
3. [ユーザーとグループ] ダイアログボックスで、 [追加] をクリックします。アカウントのロック解除権限を付与するグループをリストから選択し、 [OK] をクリックします。 [ユーザーとグループ] ダイアログボックスで、 [次へ] をクリックします。
4. [委任するタスク] ダイアログボックスで、 [委任するカスタムタスクの作成] をクリックし、 [次へ] をクリックします。
5. [Active Directoryオブジェクトの種類] ダイアログボックスで、 [このフォルダー内の次のオブジェクトのみ] > [ユーザーオブジェクト] をクリックし、 [次へ] をクリックします。
6. [アクセス許可] ダイアログボックスで、 [全般] および [プロパティ固有] のチェックボックスをオンにします。 [アクセス許可] リストで、 [lockoutTimeの読み取り] 、 [lockoutTimeの書き込み] 、 [パスワードのリセット] 、 [パスワードの変更] 、 [userAccountControlの読み取り] 、 [userAccountControlの書き込み] 、 [pwdLastSetの読み取り] 、および [pwdLastSetの書き込み] のチェックボックスをオンにし、 [次へ] をクリックします。

• 1. [制御の委任ウィザードの完了] ダイアログボックスで、 [完了] をクリックします。

ファイアウォール設定の構成

セルフサービスパスワードリセットサーバーと中央ストレージサーバーコンポーネントはユーザーパスワードを管理するため、これらのコンポーネントを信頼されたネットワークに展開し、特定の信頼されたコンポーネントからのみ到達可能にすることを強く推奨します。このセクションでは、これらのサーバーのWindowsファイアウォールを正しく構成するための手順について説明します。また、これらのサーバーが信頼されていないネットワークトラフィックから隔離されるように、既存のネットワークインフラストラクチャを構成することもお勧めします。

展開でこれらの構成を完了すると、セルフサービスパスワードリセット中央ストアサーバーは、Server Message Block (SMB) を使用してセルフサービスパスワードリセットサーバーからのみアクセスできるようになります。また、セルフサービスパスワードリセットサーバーは、HTTPS接続を使用してStoreFront™サーバーからのみアクセスされます。

Windows 2012 R2のリモートファイル共有展開

環境

• セルフサービスパスワードリセットコンポーネントは専用サーバーに展開します。既存のStoreFrontまたはDelivery Controller™コンポーネントと同じサーバーには展開しないでください。そうしないと、以下に示すファイアウォール構成がStoreFrontまたはコントローラーのトラフィックをブロックする可能性があります。
• StoreFrontとセルフサービスパスワードリセットサーバーの間に非透過型HTTP/HTTPSプロキシはありません。

StoreFrontとセルフサービスパスワードリセットサーバーの間に非透過型プロキシが存在する場合は、ファイアウォールルールでセルフサービスパスワードリセットサーバーがプロキシサーバーからのみアクセスされるように構成します。

• これらの手順の構成は、Windowsのデフォルトファイアウォールルールに基づいています。

セルフサービスパスワードリセット中央ストアのファイアウォール構成

構成を完了すると、セルフサービスパスワードリセット中央ストアによって提供されるSMBサービスは、インバウンドでセルフサービスパスワードリセットサーバーからのみアクセスできるようになります。また、セルフサービスパスワードリセット中央ストアサーバーは、アウトバウンドで企業ネットワーク上のサービスにのみアクセスできます。

1. サーバーマネージャーを開き、上部のナビゲーションバーにある [ツール] メニューから [セキュリティが強化されたWindows Defender ファイアウォール] を選択します。

2. [セキュリティが強化されたWindows Defender ファイアウォール] で、中央ペインの [Windowsファイアウォールのプロパティ] を選択します。ファイアウォールプロファイルには、ドメイン、プライベート、パブリックの3種類があります。 [ドメインプロファイル] タブを選択します。 [ファイアウォールの状態] が [オン] に設定され、 [受信接続] が [ブロック] に設定され、 [送信接続] が [許可] に設定されていることを確認します。

1. [プライベートプロファイル] タブと [パブリックプロファイル] タブを選択します。 [ファイアウォールの状態] が [オン] に設定され、 [受信接続] と [送信接続] の両方が [ブロック] に設定されていることを確認します。変更を適用して保存します。

2. [受信の規則] から [ファイルとプリンターの共有 (SMB受信)] を選択し、この規則が [有効] で、 [アクション] が [接続を許可する] に設定されていることを確認します。

1. [ファイルとプリンターの共有 (SMB受信) のプロパティ] で、 [スコープ] タブに切り替えます。 [これらのIPアドレス] を選択し、すべてのセルフサービスパスワードリセットサーバーのIPアドレスをリストに追加します。例: セルフサービスパスワードリセットサーバーA (192.168.1.10) およびセルフサービスパスワードリセットサーバーB (192.168.1.11)。

2. [ファイルとプリンターの共有 (SMB受信) のプロパティ] で、 [詳細設定] タブに切り替え、 [ドメイン] 、 [プライベート] 、 [パブリック] のプロファイルを選択し、この規則の変更を保存します。

3. [受信の規則] で、 [ファイルサーバーリモート管理 (SMB受信)] および [ファイルとプリンターの共有 (NBセッション受信)] についてもこの手順を繰り返します。

セルフサービスパスワードリセットサーバーのファイアウォール構成

構成を完了すると、セルフサービスパスワードリセットサーバーによって提供されるWebサービスは、HTTPSを使用してStoreFrontサーバーからのみアクセスできるようになります。また、セルフサービスパスワードリセットサーバーは、企業ネットワーク上のサービスにアクセスできます。

1. サーバーマネージャーを開き、上部のナビゲーションバーにある [ツール] メニューから [セキュリティが強化されたWindows Defender ファイアウォール] を選択します。

2. [セキュリティが強化されたWindows Defender ファイアウォール] で、中央ペインの [Windowsファイアウォールのプロパティ] を選択します。ファイアウォールプロファイルには、ドメイン、プライベート、パブリックの3種類があります。 [ドメインプロファイル] タブを選択します。 [ファイアウォールの状態] が [オン] に設定され、 [受信接続] が [ブロック] に設定され、 [送信接続] が [許可] に設定されていることを確認します。

1. [プライベートプロファイル] タブと [パブリックプロファイル] タブを選択し、 [ファイアウォールの状態] が [オン] に設定されていることを確認します。また、 [受信接続] と [送信接続] の両方が [ブロック] に設定されていることを確認します。変更を適用して保存します。

2. [受信の規則] から [World Wide Webサービス (HTTP受信)] を選択します。この規則が [有効] で、 [アクション] が [接続をブロックする] に設定されていることを確認します。

3. [World Wide Webサービス (HTTP受信) のプロパティ] で、 [詳細設定] タブに切り替えます。 [ドメイン] 、 [プライベート] 、 [パブリック] のプロファイルを選択し、この規則の変更を保存します。

4. [受信の規則] から [World Wide Webサービス (HTTPS受信)] を選択します。この規則が [有効] で、 [アクション] が [接続を許可する] に設定されていることを確認します。

1. World Wide Web Services (HTTPS Traffic-In) のプロパティで、スコープタブに切り替えます。これらのIPアドレスを選択し、すべてのStoreFrontサーバーのIPアドレスをリストに追加します。例: StoreFront A (192.168.1.50) および StoreFront B (192.158.1.51)。

2. World Wide Web Services (HTTPS Traffic-In) のプロパティで、詳細設定タブに切り替えます。プロファイルドメイン、プライベート、およびパブリックを選択し、このルールの変更を保存します。