第5回 BYODをサポートするワーク・フォルダ：Windows 8.1クロスロード（1/2 ページ）

ワーク・フォルダは、複数のWindows 8.1 PCやモバイル・デバイスの間でユーザー・ドキュメントなどを共有・同期させる機能。ワーク・フォルダに保存された情報はクライアント・デバイスへダウンロードされ、オフラインでも自由に閲覧・編集できる。

[打越浩幸，デジタルアドバンテージ]

　

連載目次

「Windows 8.1クロスロード」は、2013年10月から出荷が開始されたWindows 8.1の注目機能について解説するコーナーです。

　前回は、Windows 8.1で改善されたWindowsストア・アプリを中心に、Windows 8.1での機能強化点について解説した。今回はWindows 8.1の新機能「ワーク・フォルダ」について解説する。

「ワーク・フォルダ」とは

　Windows 8.1で新たに導入された「ワーク・フォルダ」とは、複数のクライアントからファイル・サーバ（Windows Server 2012 R2）上に置いたファイルをネットワーク経由で共有、同期させる機能である。社内だけでなく、インターネットや自宅からも自由にアクセスできるようになるという、いわゆる「BYOD」を支援するための機能だ。SkyDriveのようなインターネット・ストレージ・サービスが持つファイル同期・共有と同等の機能を提供するが、商業サーバではなく自社のサーバを使って実現するので、セキュリティやコスト、ストレージ容量なども自由に設定／管理できる。現在のところワーク・フォルダのクライアントとして利用できるOSはWindows 8.1だけだが、Windows 7やスマートフォン向けクライアントの提供なども計画されている。

機能／サービス	SkyDrive	SkyDrive Pro	ワーク・フォルダ	フォルダ・リダイレクト／クライアントサイド・キャッシング
コンシューマ／個人データ	○	−	−	−
個人の作業ファイル	−	○	○	○
チーム／グループの作業ファイル	−	○	−	−
個人のデバイス	○	○	○	−
データの場所	パブリック・クラウド	SharePoint／Office 365	ファイル・サーバ	ファイル・サーバ
ファイル同期ソリューション

　Windows Server 2012 R2以前でも、社外からDirectAccessやインターネットVPNなどを介して社内ファイル・サーバへアクセスできたが、その場合は、クライアントがSMBプロトコルなどを使ってサーバ上のファイルを直接読み書きしていた。これに対してワーク・フォルダでは、サーバとクライアント間でフォルダを「同期させる」ことによって共有を実現している。

　クライアントでワーク・フォルダを有効にするとサーバ上にあるワーク・フォルダのコピーがローカルに作成され、以後、ユーザーはこのローカルのコピーに対して読み書きなどのアクセスを行う。そして適当な時間間隔か、あるいはシステムがアイドル状態になったときなどに、ファイルの同期サービスがサーバ上のフォルダとの同期動作を行う（新しい方のファイルを他方へコピーする）。ネットワークがオフラインの場合はローカルだけで読み書きするが、ネットワーク接続が復旧した時点で自動的に同期処理が行われるので、ネットワークの接続や切断などをユーザーが特に気にする必要はない。また複数のデバイスが同時に同じワーク・フォルダを参照していると、どこかのデバイスで更新されたファイルはまずサーバへ反映され、次いでほかのデバイスへも順次反映される。

Windows 8.1のワーク・フォルダ
ワーク・フォルダに格納したファイルは自動的にサーバへコピーされ、以後は更新するたびに同期処理が行われる。複数のクライアント・デバイスでワーク・フォルダを使えば、サーバを介して全デバイス間で容易にファイルを同期できる。
　 （1）ワーク・フォルダは、ユーザーからは［PC］直下のフォルダとして見える。
　 （2）ローカル側で加えられた変更は、たいていの場合はすぐにサーバ側に反映されるが、サーバ側で変更された内容はクライアント側がポーリングしてチェックしているので、変更が反映されるまでに少し時間がかかる（最長だと10分かかる）。すぐに反映させたい場合は手動で同期させればよい。

ワーク・フォルダの利用環境

　ワーク・フォルダを利用するには、サーバとしてWindows Server 2012 R2が必要なほか、Active Directory環境も必要となる。またクライアントとサーバ間の通信はhttpsで行われるので、これを実現するためにSSLの証明書も必要となる（プライベートCA発行の証明書でも運用可能）。クライアントは現在のところWindows 8.1のみがサポートされているが、Active Directoryのメンバでなくてもよいので、Windows 8.1 Enterprise／Proだけでなく、ドメインに参加する機能のない無印エディションやWindows RT 8.1でもよい。将来はWindows 7やスマートフォン向けクライアントなども提供される予定となっている。

ワーク・フォルダの利用環境
ワーク・フォルダのサーバ機能は、Active Directoryとドメインに参加しているWindows Server 2012 R2で提供される。クライアントはActive Directoryのメンバでもよいし、メンバでなくてもよい。ただし現状ではWindows 8.1のみサポート。

　1台のクライアント（1人のユーザー）は1つのワーク・フォルダにしか参加できないが（複数のワーク・フォルダに同時に接続して使い分けることは原則不可）、ドメイン内に複数のワーク・フォルダ（のサーバ）を用意して、分散処理させることは可能である。上の図にあるように、インターネットからのアクセスをリバース・プロキシを使ってユーザーごとに特定のサーバへ振り分けるという運用は可能である。

サーバ側のワーク・フォルダの準備

　ワーク・フォルダを使うにはまずWindows Server 2012 R2側で準備しなければならないが、サーバOSの解説は本連載の対象外なので、ここでは最低限のことだけを簡単にまとめておく。

　まずActive Directoryドメインに参加しているWindows Server 2012 R2システムを1台用意し、「ワーク フォルダー」役割と［リモート サーバー管理ツール］機能を導入しておく（後者に含まれるIIS管理ツールは、後でhttpsの設定を行うときにあると便利なので一緒に導入しておこう）。

ワーク・フォルダ役割の導入
ワーク・フォルダのサーバ機能を提供するには、Active Directoryドメインに参加しているWindows Server 2012 R2が必要。ドメインに参加後、ワーク・フォルダ役割（とIISの管理ツール機能）を追加すること。
　 （1）［ファイル サービスと記憶域サービス］の中にある［ファイル サービスおよび iSCSI サービス］−［ワーク フォルダー］をインストールする。

　ワーク・フォルダ役割を導入したら、次はサーバ・マネージャのタスクで［新しい同期共有］ウィザードを起動してワーク・フォルダをセットアップする。

ワーク・フォルダのセットアップ
ワーク・フォルダ役割を追加したら、「新しい同期共有」ウィザードを起動する。
　 （1）サーバ・マネージャの［タスク］メニューから［新しい同期共有］ウィザードを起動する。

　ウィザードの最初の画面ではワーク・フォルダとして利用するフォルダの場所を指定する。

ワーク・フォルダの場所の指定
ここでは、ワーク・フォルダとして使用する場所を指定する。
　 （1）これがサーバ名。ドメイン内に複数のワーク・フォルダ・サーバを配置して負荷分散や障害対策、分散配置などが行える。
　 （2）SMBの共有フォルダをそのままワーク・フォルダとして利用することも可能。
　 （3）ここではSMBの共有とは別にフォルダを用意した。ワーク・フォルダを利用するにはNTFSボリュームが必須。

　ウィザードのこの後の画面は省略するが、ユーザーごとのサブフォルダ名をどうするか（「ユーザー名」のみにするか、「ユーザー名@ドメイン名」にしてマルチドメイン環境での衝突を避けるか）、ワーク・フォルダへのアクセスを許可するグループ（セキュリティ・グループ）の指定、ワーク・フォルダ内のデータを暗号化するかどうか、などを順次設定する。

　以上でワーク・フォルダ・サービスの設定は完了だが、クライアントからはhttpsプロトコルでアクセスするため、これが正しく通るようにWebサーバ（正確にはIISの「ホスト可能な Web コア」）を設定しておく必要がある。この手順はワーク・フォルダの設定とは関係ないので省略するが、このサーバに対するWebサーバ証明書を用意して、SSLのポートにバインドしておけばよい。Webブラウザで「https://workfolders.example.jp/」のようなURLにアクセスして、警告メッセージが出ないように環境を用意する必要がある（TIPS「WebサーバにSSLの証明書が正しくインストールされているか確認する」の最初の画面のように、「この Web サイトのセキュリティ証明書には問題があります。」などと表示されていると、クライアントからワーク・フォルダへは接続できない）。

ワーク・フォルダを使うためのWebサーバの設定
これはIISの管理ツールでhttpsに証明書をバインドしているところ。ワーク・フォルダを使うためには、Webサーバ（IISの「ホスト可能な Web コア」）でSSL通信ができるようになっている必要がある。なおワーク・フォルダの使用するポートは通常のWebサーバ（のhttps）が使用するポートと衝突するので、同じサーバ上にIISとワーク・フォルダの両方の役割を導入することは非推奨となっている。どうしても共存させたい場合は次のページを参照のこと。
・Windows Server 2012 R2 - Resolving Port Conflict with IIS Websites and Work Folders［英語］（TechNet Blog）
　 （1）IISの管理ツールを使うと、「ホスト可能な Web コア」サービスのバインド状態を設定できる。「Default Web Site」は使っていないので停止している。
　 （2）「https」の設定を変更すること。
　 （3）このサーバは「workfolders.example.jp」という名前。これに対するWebサーバ証明書を作成してポート443にバインドしている（Active Directory証明機関の設定方法などについては省略）。ちなみに、この「workfolders」という名前は少し扱いが特殊で、ワーク・フォルダ・サーバの最初の1台がこのホスト名（もしくはDNSのCNAME）だといろいろと有利なことがある。「Work Folders Certificate Management［英語］（TechNet Blog）」参照。