Office365+ADFSでのWAPの必須の有無

Question

Office365でADFSで認証連携を行うことを想定しています。

エンドユーザーは社内からOutlook2016を利用してメールを使い、社外からのOffice365へのアクセスを禁止します。
つまり、社内からのみOutlook2016でメールを利用します。

その際、WAPの構築は必要でしょうか？

WAPは社外のネットワークにいるユーザーがOffice365にアクセスする際に必要という認識なので、必要ないと考えています。
必要であれば、どのような機能を実現するためWAPが必要なのかご教授いただけますでしょうか？

よろしくお願いいたします。

Answer 1

Kazuhiro__さん
こんにちは。

フェデレーション ID モデルの認証フローを考えた場合、ブラウザからの接続は WAP を通さずに認証が完結するかと思いますが、Outlook などからアクセスする場合、Office 365 側から AD FS を見に行く動きがあるので、基本的には WAP が必要なのではないかと思います。

AD FS によるシングルサインオン環境構築ステップバイステップガイド
https://www.microsoft.com/ja-jp/download/confirmation.aspx?id=28716
P11～ 
-------
3.3 その他のアクセス（社内ユーザー）
【Exchange Online (POP/IMAP/ActiveSync/Outlook/EWS)の場合】
①ユーザーが Office 365 にアクセス(AD の認証情報が保存されていなければ認証画面が表示)
②MFG にリダイレクト先の AD FS の URL を確認
③社外の DNS サーバーを参照し、AD FS プロキシに接続、AD の認証情報を送信
④AD FS に接続しログオン トークンを要求
--------

この場合の解決策として現実的ではないかもしれませんが、ドメイン ネットワーク内の AD FS をインターネットに公開すれば、WAP は必要ないかもしれませんね。
あるいは、ちょっと想像の範囲になるのですが、Office 2016 が先進認証に対応しているので、ブラウザと同じような認証フローとなって WAP がなくても Office 365 との認証フローが完結する、といった動きになるかもしれないですね。
先進認証の仕様については以下のブログ記事が参考になると思います。

http://azuread.net/2016/07/08/office-365-proplus%E3%81%AE%E5%85%88%E9%80%B2%E8%AA%8D%E8%A8%BC/
----------
ADFSサーバーのログを見ると、Outlookアプリケーションによるトークン発行時には、x-ms-endpoint-absolute-pathクレームに/adfs/services/trust/2005/usernamemixedではなく、ブラウザーアクセスの時と同じ/adfs/ls/wiaが割り当てられていることが分かります。
----------

以上私見でしたが、いかがでしょうか。