Windows Phone は Office 365 を効率的に利用できるデバイスとして使用することが可能です。
今回の投稿では、フェデレーション ID (オンプレミスの Active Directory の ID) を使用して、Windows Phone から Office 365 にアクセスするための方法をまとめてみたいと思います。
# Mango の端末を使用しています。
前回の投稿 (TMG を経由して AD FS にアクセスして Office 365 にサインイン) の環境に AD FS Proxy を追加した環境になります。
AD FS Proxy に関しては単純に追加し設定については特別に変更したものはありません。
TMG に関しては AD FS 用に作成したルールのリダイレクト先を AD FS Proxy に変更しています。
■Windows Phone で Office 365 のアカウントを追加
それでは、Window Phone に Office 365 のアカウントを追加してみます。
Office 365 のアカウント追加は [メール & アカウント] のアカウントの追加から設定します。
Windows Phone では、メールアカウントの追加として、Outlook が準備されており、ここから Office 365 の Exchange Online への接続を設定することが可能です。
Outlook のアカウントを追加しようとすると以下の画面が表示されます。
クラウド ID の場合は、~.onmicrosoft.com を設定しますがフェデレーション ID の場合は、オンプレミスの AD のアカウントのユーザープリンシパル名 (userPrincipalName) を設定し、サインインをします。
サイン中は以下のように表示が変わります。
自動検出を使用して検出がされますので、DNS の設定が正しければアカウントとパスワードを指定するだけで、設定が終了します。
Exchange Online の設定をすることで、SharePoint Online のチームサイトも自動で設定がされます。
現状、Office 365 の Lync Online に関してはモバイル版の提供が開始されていませんので、この点についてのメッセージが表示されていますね。
Office から設定を確認してみると、チームサイトが追加されていることが確認できます。
先ほどは、Exchange Online のアカウントを追加と合わせて、自動的に SharePoint Online のチームサイトも追加をしましたが、SharePoint Online のチームサイトのみ追加することも可能です。
SharePoint Online のチームサイトのみを追加する場合は [+] をクリックしてチームサイトを追加します。
Office 365 のサインイン画面が表示されますので、フェデレーション ID を指定します。
フェデレーション ID としてフェデレーションドメインとして設定されているカスタムドメインを指定していますのでパスワードは入力ができず、AD FS へのリンクが表示されますので、リンクをクリックして、AD FS に接続をします。
# サインアウトしないを有効にしておかないと、サインイン後に最新の情報で更新すると再度サインインが求められることがあります。
今回は AD FS Proxy がインターネット経由でアクセスをする場合の AD FS への受け口になりますので、AD FS Proxy の IIS にアクセスされ、以下の画面が表示されますので認証情報を入力します。
今回はユーザー名はユーザー ID で (userPrincipalName ではなく、sAMAccountName or msDS-PrincipalName) を設定しています。
サインインをクリックすると AD FS Proxy を介して AD FS に要求が渡り認証が行われ、チームサイトが追加されます。
SharePoint Online のライセンスのみを割り当てられている場合は、この方法でサインインをする必要があるようですね。
■ 2 種類のサインイン
Exchange Online と SharePoint Online のサインインを見てみましたが、2 種類のサインイン画面が使用されています。
Exchange Online | SharePoint Online |
[AD FS Proxy でアクセスする場合] [AD FS でアクセスする場合] |
SharePoint Online の場合は Office 365 のサインイン画面からサインインをしています。
# その後の画面は AD FS / AD FS Proxy なのかで変わります。
Exchange Online の場合はダイアログが表示されていますね。
今回は AD FS Proxy で確認をした結果なのですが、AD FS Proxy で要求を受ける際には以下の二つのコンポーネントが使用されているようです。
# AD FS も同じだと思うのですが確認ができていません。
- w3wp.exe (W3SVC サービス)
- Microsoft.IdentityServer.ServiceHost.exe (ADFSSRV サービス)
SharePoint Online のサインインでは、AD FS Proxy にアクセスする際に、
- https://<フェデレーションサービス名>/adfs/ls/~
でアクセスされています。
これは IIS 上でホストされる URL になりますので、W3SVC サービス上のプログラムが使用されています。
AD FS との橋渡して ADFSSRV のサービスも必要になりますので、W3SVC のサービスと、AD FS のサービスが AD FS Proxy 上で起動していないと認証ができません。
Exchange Online の場合は [/adfs/ls/~] の URL ではなく、Microsoft.IdentityServer.ServiceHost.exe が作成した以下のプロキシリスナーの URL が使用されているようです。
- https://+:443/FederationMetadata/2007-06/
- http://+:80/adfs/services/trust/
- https://+:443/adfs/services/trust/
Windows Phone からExchange Online のサインインでは、実際には以下の URL にアクセスがされているようです。
# Exchange Online からも以下の URL にアクセスがされているようです。
- https://<フェデレーションサービス名>/adfs/services/trust/2005/usernamemixed
そのため、Windows Phone 7 から Exchange Online のサインインに関しては、AD FS のサービスが AD FS Proxy 上で起動していれば認証は可能なようです。
# 最初、IIS を停止している状態で認証が正常に行われていたので、なぜだろうと悩んでいたら AD FS のサービスによってホストされている 443 が使用されているようでした。
Windows Phone から Office 365 をビジネスで使用する場合、このようなサインインを考える必要がありそうですね。
最近、Office 365 の認証方法の基本的なことを調べているのですが、この辺はスキルが不足しておりなかなか調査が大変です…。
もっと勉強しないといけないことを痛感しました。
素晴らしい投稿ありがとうございます!!
Junichi Anno
6 12月 11 at 13:55