Azure AD アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス

Azure Active Directory アプリケーション プロキシは、オンプレミス Web アプリケーションへのセキュリティ保護されたリモート アクセスを提供します。 Azure AD にシングル サインオンした後、ユーザーは、外部の URL または内部のアプリケーション ポータルから、クラウド アプリケーションとオンプレミス アプリケーションの両方にアクセスできます。 たとえば、アプリケーション プロキシでは、リモート デスクトップ、SharePoint、Teams、Tableau、Qlik、および基幹業務 (LOB) アプリケーションへのリモート アクセスとシングル サインオンを提供できます。

Azure AD アプリケーション プロキシの特徴:

  • 簡単に使用できる。 ユーザーは、Microsoft 365 や Azure AD に統合された他の SaaS アプリにアクセスするのと同じように、オンプレミスのアプリケーションにアクセスできます。 アプリケーション プロキシを使用するためにアプリケーションを変更または更新する必要はありません。

  • セキュリティ保護。 オンプレミスのアプリケーションは、Azure の承認制御とセキュリティ分析を使用できます。 たとえば、オンプレミス アプリケーションでは、条件付きアクセスと 2 段階認証を使用できます。 アプリケーション プロキシでは、ファイアウォールを介した受信接続を開く必要がありません。

  • 高いコスト効率。 オンプレミスのソリューションでは、通常、非武装地帯 (DMZ)、エッジ サーバー、またはその他の複雑なインフラストラクチャを設定し維持する必要があります。 アプリケーション プロキシはクラウドで実行するので簡単に使用することができます。 アプリケーション プロキシを使用するために、ネットワーク インフラストラクチャを変更することも、オンプレミス環境に追加のアプライアンスをインストールすることも必要ありません。

アプリケーション プロキシとは

アプリケーション プロキシとは、ユーザーがリモート クライアントからオンプレミス Web アプリケーションにアクセスできるようにする Azure AD の機能です。 アプリケーション プロキシには、クラウドで実行されるアプリケーション プロキシ サービスと、オンプレミス サーバーで実行されるアプリケーション プロキシ コネクタの両方が含まれています。 Azure AD、アプリケーション プロキシ サービス、およびアプリケーション プロキシ コネクタは連携して、Azure AD から Web アプリケーションにユーザーのシングル サインオン トークンを安全に渡します。

アプリケーション プロキシは次に対応します。

アプリケーション プロキシは、シングル サインオンをサポートします。 サポートされている方法の詳細については、「シングル サインオンの方法の選択」を参照してください。

リモート ユーザーに対して内部リソースへのアクセス権を付与するには、アプリケーション プロキシをお勧めします。 アプリケーション プロキシは、VPN またはリバース プロキシが必要な場合に代わりに使用できます。 企業ネットワーク上の内部ユーザー用ではありません。 これらのユーザーがアプリケーション プロキシを不必要に使用すると、予期せず、望ましくないパフォーマンスの問題が発生する可能性があります。

アプリケーション プロキシの動作

次の図は、Azure AD とアプリケーション プロキシがどのように連携して、オンプレミス アプリケーションへのシングル サインオンを提供するかを示します。

Azure AD アプリケーション プロキシ ダイアグラム

  1. エンドポイントを介してアプリケーションにアクセスしたユーザーは、Azure AD のサインイン ページに送られます。
  2. サインインに成功すると Azure AD はユーザーのクライアント デバイスにトークンを送信します。
  3. クライアントはここでアプリケーション プロキシ サービスにトークンを送信します。アプリケーション プロキシ サービスは、そのトークンからユーザー プリンシパル名 (UPN) とセキュリティ プリンシパル名 (SPN) を取得します。 アプリケーション プロキシは続いてその要求を アプリケーション プロキシ コネクタに送信します。
  4. シングル サインオンを構成した場合、コネクタはユーザーの代わりに必要な追加の認証を実行します。
  5. コネクタはオンプレミスのアプリケーションに要求を送信します。
  6. 応答はコネクタとアプリケーション プロキシ サービス経由でユーザーに送信されます。

注意

ほとんどの Azure AD ハイブリッド エージェントと同様に、アプリケーション プロキシ コネクタでは、ファイアウォールを介した受信接続を開く必要はありません。 手順 3 のユーザー トラフィックは (Azure AD の) アプリケーション プロキシ サービスで終了します。 残りの通信はアプリケーション プロキシ コネクタ (オンプレミス) が行います。

コンポーネント 説明
エンドポイント エンドポイントは、URL またはエンド ユーザー ポータルです。 ユーザーは、外部 URL にアクセスすることによって、ネットワークの外部にいてもアプリケーションに到達できます。 ネットワーク内のユーザーは、URL またはエンド ユーザー ポータルからアプリケーションにアクセスできます。 ユーザーは、これらのエンドポイントの 1 つに移動すると、Azure AD で認証され、コネクタを介してオンプレミスのアプリケーションにルーティングされます。
Azure AD Azure AD は、クラウドに格納されているテナント ディレクトリを使用して認証を実行します。
アプリケーション プロキシ サービス このアプリケーション プロキシ サービスは、Azure AD の一部としてクラウドで実行されます。 これは、ユーザーからアプリケーション プロキシ コネクタにシングル サインオン トークンを渡します。 アプリケーション プロキシは、要求のすべてのアクセス可能なヘッダーを、そのプロトコルに従って設定し、クライアント IP アドレスに転送します。 プロキシへの着信要求に既にそのヘッダーがある場合、ヘッダーの値であるコンマ区切りリストの末尾にクライアント IP アドレスが追加されます。
アプリケーション プロキシ コネクタ コネクタは、ネットワーク内の Windows Server 上で実行する軽量エージェントです。 コネクタは、クラウド内のアプリケーション プロキシ サービスとオンプレミス アプリケーション間の通信を管理します。 コネクタは発信接続のみ使用するため、受信ポートを開いたり、DMZ に配置したりする必要はありません。 コネクタはステートレスで、必要に応じて情報がクラウドから取得されます。 負荷分散や認証の方法など、コネクタについて詳しくは、「Azure AD アプリケーション プロキシ コネクタを理解する」をご覧ください。
Active Directory (AD) Active Directory はオンプレミスで実行され、ドメイン アカウントの認証を行います。 シングル サインオンが構成されている場合、コネクタは必要な追加認証を実行するために AD と通信します。
オンプレミスのアプリケーション 最終的にユーザーは、オンプレミス アプリケーションにアクセスできます。

次のステップ

アプリケーション プロキシの使用を開始するには、アプリケーション プロキシを使用したリモート アクセスを行うためのオンプレミス アプリケーションの追加に関するチュートリアルを参照してください。