Windows Server 2016 では、アクセス制御ポリシーを使用して、入力方向の要求に基づいてユーザーを許可または拒否する規則を作成できます。 Windows Server 2012 R2 で、Active Directory フェデレーション サービス (AD FS) の [入力方向の要求に基づくユーザーを許可または拒否] 規則テンプレートを使用して、入力方向の要求の種類と値に基づいて、証明書利用者へのユーザーのアクセスを許可または拒否する承認規則を作成できます。
たとえば、この規則テンプレートを使用して、Domain Admins という値が含まれるグループ要求を持つユーザーのみを証明者利用者へのアクセスに許可する規則を作成できます。 すべてのユーザーに証明書利用者へのアクセスを許可する場合は、使用している Windows サーバーのバージョンに応じて Permit Everyone アクセス制御ポリシーまたは Permit All Users 規則テンプレートを使用します。 ユーザーは、フェデレーション サービスから証明書利用者へのアクセスが許可されても、証明書利用者によってサービスが拒否される場合があります。
次の手順を使用して、AD FS 管理スナップインを使用して要求規則を作成できます。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 ローカルおよびドメインの既定のグループで、適切なアカウントおよびグループメンバーシップの使用方法に関する詳細を確認します。
Windows Server 2016 の入力方向の要求に基づいてユーザーを許可する規則を作成するには
サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。
コンソールツリーの [AD FS] で [アクセス制御ポリシー] をクリックします。
![コンソール ツリーで [アクセス制御ポリシー] が強調されているスクリーンショット。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny3.png)
右クリックして [アクセス制御ポリシーの追加] を選択します。
![[アクセス制御ポリシーの追加] メニュー オプションが強調されているスクリーンショット。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny4.png)
名前ボックスに、ポリシーの名前と説明を入力し、[追加] をクリックします。
ルールエディターの [ユーザー] で、[要求の特定の要求で] をオンにして、下部にある下線付き「特定の」部分をクリックします。
[要求の選択] 画面で、[要求] オプション ボタンをクリックし、[要求の種類]、[オペレーター]、および [要求の値] を選択し、[OK] をクリックします。
![[要求] オプションを選択する場所を示すスクリーンショット。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny7.png)
ルール エディターで、[OK] をクリックします。 [アクセス制御ポリシーの追加 ] 画面で、[OK] をクリックします。
AD FS 管理コンソールツリーで、[AD FS] の [証明書利用者の信頼] をクリックします。
![[証明書利用者信頼] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule9.png)
アクセスを許可する [証明書利用者信頼] を右クリックし、[アクセス制御ポリシーの編集] を選択します。
![[アクセス制御ポリシーの編集] メニュー オプションを選択する場所を示すスクリーンショット。](media/create-a-rule-to-permit-all-users/permitall2.png)
[アクセス制御ポリシー] で、ポリシーを選択して、[適用] と [OK] をクリックします。
![[適用] と [OK] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny8.png)
Windows Server 2016 の入力方向の要求に基づいてユーザーを拒否する規則を作成するには
サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。
コンソールツリーの [AD FS] で [アクセス制御ポリシー] をクリックします。
右クリックして [アクセス制御ポリシーの追加] を選択します。
名前ボックスに、ポリシーの名前と説明を入力し、[追加] をクリックします。
ルールエディターで [全員] が選択されていることを確認し、[例外] で [要求の特定の要求で] をオンにして、下部にある下線付き「特定の」部分をクリックします。
![[すべてのユーザー] オプションが選択されていることを確認する場所を示すスクリーンショット。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny10.png)
[要求の選択] 画面で、[要求] オプション ボタンをクリックし、[要求の種類]、[オペレーター]、および [要求の値] を選択し、[OK] をクリックします。
![[要求の選択] 画面を示すスクリーンショット。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny11.png)
ルール エディターで、[OK] をクリックします。 [アクセス制御ポリシーの追加 ] 画面で、[OK] をクリックします。
AD FS 管理コンソールツリーで、[AD FS] の [証明書利用者の信頼] をクリックします。
アクセスを許可する [証明書利用者信頼] を右クリックし、[アクセス制御ポリシーの編集] を選択します。
[アクセス制御ポリシー] で、ポリシーを選択して、[適用] と [OK] をクリックします。
Windows Server 2012 R2 の入力方向の要求に基づいてユーザーを許可または拒否する規則を作成するには
サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。
コンソール ツリーで、[AD FS\信頼関係\証明書利用者信頼] の順に選択し、この規則を作成する特定の信頼を一覧からクリックします。
選択した信頼を右クリックし、[要求規則の編集] をクリックします。
![[要求規則の編集] メニュー オプションを示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule6.png)
[要求規則の編集] ダイアログ ボックスで、[発行承認規則] タブまたは [委任承認規則] タブをクリックします (必要な承認規則の種類に基づきます)。次に、[規則の追加] をクリックして、[承認要求規則の追加ウィザード] を開始します。
[規則テンプレートの選択] ページの [要求規則テンプレート] で、一覧から [入力方向の要求に基づくユーザーの許可または拒否] を選択し、[次へ] をクリックします。
![[入力方向の要求に基づいてユーザーを許可または拒否] テンプレートを選択する場所を示すスクリーンショット。](media/create-a-rule-to-permit-or-deny-users-based-on-an-incoming-claim/permitdeny1.png)
[規則の構成] ページの [要求規則名] にこの規則の表示名を入力し、[入力方向の要求の種類] で一覧から要求の種類を選択し、[入力方向の要求の値] で値を入力するか、[参照] (使用可能な場合) をクリックして値を選択し、組織のニーズに応じて次のいずれかのオプションを選択します。
この入力方向のクレームを行ったユーザーのアクセスを許可する
この入力方向のクレームを行ったユーザーのアクセスを拒否する
[完了] をクリックします。
[要求規則の編集] ダイアログ ボックスで [OK] をクリックして規則を保存します。