Microsoft Entra アプリケーション プロキシに関してよく寄せられる質問

このページには、Microsoft Entra アプリケーション プロキシに関してよく寄せられる質問への回答が記載されています。

全般

Microsoft Entra 管理センター内の **[アプリの登録]** ページからアプリケーション プロキシ アプリを変更できますか?

いいえ。次の構成項目はアプリ プロキシによって使用されており、変更および削除しないでください。

  • [パブリック クライアント フローを許可する] を有効または無効にする。
  • CWAP_AuthSecret (クライアント シークレット)。
  • API 使用権限。 [アプリの登録] ページで上記の構成項目のいずれかを変更すると、Microsoft Entra アプリケーション プロキシの事前認証が破棄されます。

Microsoft Entra 管理センター内の [アプリの登録] ページからアプリケーション プロキシ アプリを削除できますか?

いいえ。 アプリケーション プロキシ アプリは、Microsoft Entra 管理センターのエンタープライズ アプリケーション領域から削除する必要があります。 Microsoft Entra 管理センターの [アプリの登録] 領域からアプリケーション プロキシ アプリを削除すると、問題が発生する可能性があります。

Microsoft Entra アプリケーション プロキシを使用するにはどのライセンスが必要ですか。

Microsoft Entra アプリケーション プロキシを使用するには、Microsoft Entra ID P1 または P2 ライセンスが必要です。 ライセンスの詳細については、「Microsoft Entra の価格」を参照してください

ライセンスの有効期限が切れた場合、自分のテナントの Microsoft Entra アプリケーション プロキシはどうなりますか。

ライセンスの有効期限が切れると、アプリケーション プロキシは自動的に無効になります。 アプリケーションの情報は、最大 1 年間保存されます。

[アプリケーション プロキシの有効化] ボタンが淡色表示されているのはなぜですか。

少なくとも Microsoft Entra ID P1 または P2 ライセンスと、Microsoft Entra アプリケーション プロキシ コネクタがインストールされていることを確認します。 最初のコネクタを正常にインストールすると、Microsoft Entra アプリケーション プロキシ サービスが自動的に有効になります。

コネクタの構成

コネクタでまだ古いバージョンが使用されていて、最新バージョンに自動アップグレードされていないのはなぜですか?

アップデーター サービスが正常に動作していないか、このサービスでインストールできる新しい更新プログラムがないことが原因の可能性があります。

アップデーター サービスが実行されていて、イベント ログにエラーが記録されていない場合は、正常です ([アプリケーションとサービス ログ] -> [Microsoft] -> [AadApplicationProxy] -> [アップデーター] -> [管理者])。

重要

自動アップグレードでは、メジャー バージョンのみがリリースされます。 コネクタは、必要な場合にのみ手動で更新することをお勧めします。 たとえば、既知の問題を修正したり、新機能を使用したりする必要があるため、メジャー リリースまで待てないような場合です。 新しいリリース、リリースの種類 (ダウンロード、自動アップグレード)、バグ修正、および新機能の詳細については、「Microsoft Entra アプリケーション プロキシ: バージョンのリリース履歴」を参照してください。

コネクタを手動でアップグレードするには、次の手順を実行します。

  • 最新バージョンのコネクタをダウンロードします。 (これは、Microsoft Entra 管理センターの [アプリケーション プロキシ] の下にあります。 「Microsoft Entra アプリケーション プロキシ: バージョンのリリース履歴」でもリンクを見つけることができます。
  • インストーラーによって、Microsoft Entra アプリケーション プロキシのコネクタ サービスが再起動されます。 場合によっては、インストーラーですべてのファイルを置き換えることができない場合、サーバーの再起動が必要になることがあります。 そのため、アップグレードを開始する前に、すべてのアプリケーション (つまり、イベント ビューアー) を終了することをお勧めします。
  • インストーラーを実行します。 アップグレード プロセスは短時間で済み、資格情報を提供する必要はなく、コネクタは再登録されません。

アプリケーション プロキシ コネクタ サービスを、既定とは異なるユーザー コンテキストで実行することはできますか。

いいえ、このシナリオはサポートされていません。 既定の設定は次のとおりです。

  • Microsoft Entra アプリケーション プロキシ コネクタ - WAPCSvc - ネットワーク サービス
  • Microsoft Entra アプリケーション プロキシ Connector Updater - WAPCUpdaterSvc - NT Authority\System

グローバル管理者またはアプリケーション管理者のロールを持つゲスト ユーザーは、(ゲスト) テナントにコネクタを登録できますか。

いいえ、現時点ではできません。 登録の試行は、常にユーザーのホーム テナントで行われます。

バックエンド アプリケーションが複数の Web サーバーでホストされ、ユーザー セッションの永続性 (持続性) が必要です。 セッションの永続化を実現するにはどうすればよいですか。 

コネクタ サーバーから Azure へのトラフィックに対する TLS 終了 (TLS/HTTPS 検査またはアクセラレーション) はサポートされていますか。

アプリケーション プロキシ コネクタは、Azure に対して証明書ベースの認証を実行します。 TLS 終了 (TLS/HTTPS 検査またはアクセラレーション) は、この認証方法を中断するため、サポートされていません。 コネクタから Azure へのトラフィックは、TLS 終了を実行しているデバイスをすべてバイパスする必要があります。

すべての接続に TLS 1.2 が必要ですか。

はい。 アプリケーション プロキシ サービスでは、お客様にクラス最高の暗号化を提供するために、アクセスが TLS 1.2 プロトコルのみに制限されています。 これらの変更は段階的にロールアウトされ、2019 年 8 月 31 日以降に有効となりました。 すべてのクライアントとサーバーおよびブラウザーとサーバーの組み合わせが、TLS 1.2 を使用してアプリケーション プロキシ サービスへの接続を維持するように更新されていることを確認してください。 これらには、アプリケーション プロキシを通じて公開されたアプリケーションにアクセスするためにユーザーが使用しているクライアントも含まれます。 便利な参考資料とリソースについては、「Office 365 での TLS 1.2 に対する準備」を参照してください。

コネクタ サーバーとバックエンド アプリケーション サーバーの間に転送プロキシ デバイスを配置できますか。

はい。このシナリオは、コネクタ バージョン 1.5.1526.0 以降でサポートされています。 「既存のオンプレミス プロキシ サーバーと連携する」を参照してください。

コネクタを Microsoft Entra アプリケーション プロキシに登録するための専用アカウントを作成する必要がありますか。

行う必要はありません。 すべてのグローバル管理者アカウントまたはアプリケーション管理者アカウントを利用できます。 インストール時に入力した資格情報は、登録プロセスの後は使用されません。 代わりに、その後の認証に使用される証明書がコネクタに発行されます。

Microsoft Entra アプリケーション プロキシ コネクタのパフォーマンスを監視するにはどうすればよいですか。

コネクタと一緒にインストールされるパフォーマンス モニター カウンターが利用できます。 表示するには、次の手順に従います。

  1. [スタート] を選択し、「Perfmon」と入力して、ENTER キーを押します。
  2. [パフォーマンス モニター] を選択し、緑の + アイコンをクリックします。
  3. 監視する Microsoft Entra アプリケーション プロキシ コネクタ カウンターを追加します。

Microsoft Entra アプリケーション プロキシ コネクタは、リソースと同じサブネット上にある必要がありますか。

コネクタは、同じサブネット上に存在している必要はありません。 ただし、リソースへの名前解決 (DNS、ホスト ファイル) と必要なネットワーク接続 (リソースへのルーティング、リソースのポート開放など) が必要です。 推薦事項に関しては、「Microsoft Entra アプリケーション プロキシを使用する場合のネットワーク トポロジに関する注意事項」を参照してください。

コネクタをインストールできる Windows Server のバージョンを教えてください。

アプリケーション プロキシには、Windows Server 2012 R2 以降が必要です。 現時点、Windows Server 2019 では HTTP2 に対して制限があります。 Windows Server 2019 でコネクタを正常に使用するには、レジストリ キーを追加して、サーバーを再起動する必要があります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\EnableDefaultHttp2 (DWORD) Value: 0 

コネクタをサーバーからアンインストールした後も Microsoft Entra管理センターにコネクタがまだ表示されているのはなぜですか?

コネクタが動作してサービスに接続すると、アクティブな状態が保たれます。 インストールされていない/使用していないコネクタには非アクティブのタグが付けられ、非アクティブな状態が 10 日間続くとポータルから削除されます。 非アクティブなコネクタを Microsoft Entra 管理センターから手動で削除する方法はありません。

アプリケーションの構成

外部 URL で "[tenant name].onmicrosoft.com" または "[tenant name].mail.onmicrosoft.com" のドメイン サフィックスを使用できますか?

これらのサフィックスはサフィックス一覧に表示されていますが、使用しないでください。 これらのドメイン サフィックスは、Microsoft Entra アプリケーション プロキシで使用するためのものではありません。 これらのドメイン サフィックスを使用すると、作成した Microsoft Entra アプリケーション プロキシ アプリケーションは機能しません。 標準ドメイン サフィックス msappproxy.net またはカスタム ドメインのいずれかを使用できます。

アプリケーション プロキシはソブリン クラウドとリージョン クラウドをサポートしていますか?

Microsoft Entra ID のアプリケーション プロキシ サービスを使うと、ユーザーは Microsoft Entra アカウントでサインインして、オンプレミスのアプリケーションにアクセスできます。 異なるリージョンにコネクタをインストールしていた場合は、各コネクタ グループで使用する、最も近いアプリケーション プロキシ クラウド サービスのリージョンを選択することで、トラフィックを最適化できます。「Microsoft Entra アプリケーション プロキシを使用してトラフィック フローを最適化する」を参照してください。

証明書が無効か、パスワードが間違っている可能性があるというエラーが返されます

SSL 証明書のアップロード後に、ポータルに「証明書が無効であるか、パスワードが間違っている可能性がある」というメッセージが表示されます。

このエラーの問題解決に使用できるヒントを、次にいくつか示します。

  • 証明書に問題がないことを確認します。 それをお使いのローカル コンピューターにインストールします。 問題が発生しなかった場合、その証明書には問題はありません。
  • パスワードに特殊文字が含まれないことを確認します。 パスワードには 0 から 9、A から Z、a から z の文字のみが含まれている必要があります。
  • 証明書が Microsoft ソフトウェア キー格納プロバイダーで作成されている場合は、RSA アルゴリズムが使用されている必要があります。

既定値と「長い」バックエンド タイムアウトの長さはどれくらいですか。 タイムアウトは延長できますか。

既定の長さは 85 秒です。 「長い」設定は 180 秒です。 タイムアウト制限を延長することはできません。

サービス プリンシパルで、PowerShell または Microsoft Graph API を使用してアプリケーション プロキシを管理できますか。

いいえ。現在これはサポートされていません。

アプリの登録で CWAP_AuthSecret (クライアント シークレット) を削除するとどうなりますか。

クライアント シークレット (CWAP_AuthSecret とも呼ばれます) は、Microsoft Entra アプリケーション プロキシ アプリが作成されるときに、アプリケーション オブジェクトに自動的に追加されます (アプリの登録)。

クライアント シークレットは 1 年間有効です。 現在有効なクライアント シークレットの有効期限が切れる前に、新しい 1 年間有効のクライアント シークレットが自動的に作成されます。 アプリケーション オブジェクトには、常に 3 つの CWAP_AuthSecret クライアント シークレットが保持されます。

重要

CWAP_AuthSecret を削除すると Microsoft Entra アプリケーション プロキシの事前認証が破棄されます。 CWAP_AuthSecret は削除しないでください。

Microsoft Entra アプリケーション プロキシを使用している、または使用したいと考えています。 記事「Microsoft 365 で onmicrosoft.com フォールバック ドメインを追加して置き換える」で提示されているように、Microsoft 365 のテナントの "onmicrosoft.com" フォールバック ドメインを置き換えることはできますか?

不正解です。 元のフォールバック ドメインを使用する必要があります。

質問で言及されている記事: Microsoft 365 で onmicrosoft.com フォールバック ドメインを追加して置き換える

アプリケーションで読み込むランディング ページを変更する方法を教えてください。

[アプリケーションの登録] ページで、ホームページの URL を任意のランディング ページの外部 URL に変更できます。 アプリケーションがマイ アプリまたは Office 365 ポータルから起動されると、指定したページが読み込まれます。 構成手順については、「Microsoft Entra アプリケーション プロキシを使用して、発行されたアプリのカスタム ホーム ページを設定する」を参照してください

URL に "#" (ハッシュタグ) 文字が含まれる場合は常に、公開済みのアプリケーションにアクセスしようとすると、切り捨てられた URL にリダイレクトされるのはなぜですか。

Microsoft Entra の事前認証が構成されており、アプリケーションに初めてアクセスしようとしたときにアプリケーションの URL に "#" 文字が含まれている場合、認証のために Microsoft Entra ID (login.microsoftonline.com) にリダイレクトされます。 認証が完了すると、"#" 文字の前の URL 部分にリダイレクトされ、"#" 以降のすべてが無視または削除されたように見えます。 たとえば、URL が https://www.contoso.com/#/home/index.html の場合、Microsoft Entra 認証が完了すると、ユーザーは https://www.contoso.com/ にリダイレクトされます。 この動作は仕様であり、ブラウザーによる "#" 文字の処理方法が原因です。

考えられる解決策または代替策:

  • https://www.contoso.com から https://contoso.com/#/home/index.html へのリダイレクトを設定します。 ユーザーは最初に https://www.contoso.com にアクセスする必要があります。
  • 最初のアクセス試行に使用される URL には、エンコードされた形式の "#" 文字 (%23) を含める必要があります。 公開されているサーバーがこれを受け付けない可能性があります。
  • パススルーの事前認証の種類を構成します (推奨されません)。

公開できるのは IIS ベースのアプリケーションのみですか。 Windows 以外の Web サーバーで実行されている Web アプリケーションを公開することはできますか。 コネクタを IIS がインストールされているサーバーにインストールする必要はありますか。

いいえ。公開済みのアプリケーションには IIS の必要条件はありません。 Windows Server 以外のサーバーで実行されている Web アプリケーションを公開できます。 ただし、Web サーバーでネゴシエート (Kerberos 認証) がサポートされているかどうかによって、Windows 以外のサーバーで事前認証を使用できない場合があります。 コネクタがインストールされているサーバーでは、IIS は必要ありません。

HSTS ヘッダーを追加するようにアプリケーション プロキシを構成できますか。

アプリケーション プロキシでは、HTTP の Strict-Transport-Security ヘッダーは HTTPS 応答に自動的に追加されませんが、発行されたアプリケーションによって送信された元の応答にヘッダーが含まれる場合は保持されます。 この機能を有効にするための設定の証明は、ロードマップ上にあります。

外部 URL でカスタム ポート番号を使用できますか。

いいえ。プロトコル http が外部 URL で構成されている場合、Microsoft Entra アプリケーション プロキシ エンドポイントは、ポート TCP 80 で着信要求を受け入れ、プロトコル https が構成されている場合は、ポート TCP 443 で受け入れます。

内部 URL でカスタム ポート番号を使用できますか。

はい。ポートを含む内部 URL はたとえば http://app.contoso.local:8888/https://app.contoso.local:8080/https://app.contoso.local:8081/test/ のようになります。

外部 URL と内部 URL が異なる場合は、どのような課題がありますか。

公開された Web アプリケーションによって送信される一部の応答には、ハードコードされた URL が含まれる場合があります。 この場合、リンク変換ソリューションを使用することで、クライアントで常に正しい URL が使用されるようにする必要があります。 リンク変換ソリューションは複雑になることがあり、一部のシナリオで機能しない可能性があります。 リンク変換のためのドキュメントに記載されたソリューションについては、こちらを参照してください。

ベスト プラクティスとしては、外部 URL と内部 URL を同じにすることをお勧めします。 外部 URL と内部 URL で protocol://hostname:port/path/ が同一であれば、両方の URL は同一であると見なされます。

これは、カスタムドメイン機能を使用して実現できます。

例 :

同じ場合:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

同じでない場合:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

内部 URL に標準以外のポート (TCP 80/443 以外) が含まれている場合、外部 URL と内部 URL を同一にすることはできません。

シナリオによっては、Web アプリの構成で変更を行う必要があります。

統合 Windows 認証

Kerberos の制約付き委任 (KCD) の設定時に PrincipalsAllowedToDelegateToAccount メソッドを使用する必要があるのはどのような場合ですか。

PrincipalsAllowedToDelegateToAccount メソッドは、コネクタ サーバーが Web アプリケーション サービス アカウントとは異なるドメインにある場合に使用します。 このメソッドでは、リソースベースの制約付き委任を使用する必要があります。 コネクタサーバーと Web アプリケーション サービス アカウントが同じドメインにある場合は、[Active Directory ユーザーとコンピューター] を使用して、各コネクタ コンピューター アカウントで委任設定を構成し、ターゲット SPN に委任することができます。

コネクタ サーバーと Web アプリケーション サービス アカウントが異なるドメインにある場合は、リソース ベースの委任が使用されます。 委任されたアクセス許可は、ターゲット Web サーバーと Web アプリケーション サービス アカウントで構成されます。 この制約付き委任方法は、比較的新しいものです。 この方法は、リソース (Web サービス) 所有者が、委任できるコンピューターとサービス アカウントを制御できるようにすることで、ドメイン間の委任に対応した Windows Server 2012 で導入されました。 この構成を支援する UI はないため、PowerShell を使用する必要があります。 詳細については、「アプリケーション プロキシを使った Kerberos の制約付き委任」に関するホワイトペーパーを参照してください。

NTLM 認証は Microsoft Entra アプリケーション プロキシと連携していますか。

NTLM 認証は、事前認証またはシングル サインオンの方法として使用できません。 NTLM 認証は、クライアントと発行された Web アプリケーションの間で直接ネゴシエートできる場合にのみ使用できます。 NTLM 認証を使用すると、通常、ブラウザーにサインイン プロンプトが表示されます。

B2B IWA シングル サインオンのシナリオで、ログオン ID "オンプレミスのユーザー プリンシパル名" または "オンプレミスの SAM アカウント名" を使用できますか。

いいえ。Microsoft Entra ID のゲスト ユーザーには、前述のログオン ID で必要な属性がないため、これは機能しません。

この場合、"ユーザー プリンシパル名" へのフォールバックが発生します。 B2B シナリオの詳細については、「Microsoft Entra ID の B2B ユーザーにオンプレミスのアプリケーションへのアクセスを許可する」を参照してください。

パススルー認証

パススルー認証で公開されたアプリケーションに対して条件付きアクセス ポリシーを使用できますか。

条件付きアクセス ポリシーは、Microsoft Entra ID で事前に正常に認証されたユーザーにのみ適用されます。 パススルー認証では Microsoft Entra 認証がトリガーされないため、条件付きアクセス ポリシーを適用することはできません。 パススルー認証では、オンプレミス サーバーに MFA ポリシーを実装するか (可能な場合)、または Microsoft Entra アプリケーション プロキシで事前認証を有効にする必要があります。

クライアント証明書の認証要件が設定されている Web アプリケーションを公開できますか。

いいえ。TLS トラフィックはアプリケーション プロキシによって終了されるため、このシナリオはサポートされていません。

リモート デスクトップ ゲートウェイ 公開

Microsoft Entra アプリケーション プロキシを使用してリモート デスクトップ ゲートウェイを公開するにはどうすればよいですか。

リモート デスクトップ ゲートウェイの公開シナリオで Kerberos の制約付き委任 (シングル サインオン - Windows 統合認証) は使用できますか?

いいえ、このシナリオはサポートされていません。

ユーザーが Internet Explorer 11 を使用しておらず、事前認証のシナリオを使用できません。 これは想定される動作ですか。

はい、そうです。 事前認証のシナリオでは ActiveX コントロールが必要ですが、これはサード パーティのブラウザーではサポートされていません。

リモート デスクトップ Web クライアント (HTML5) はサポートされていますか。

はい、このシナリオは現在パブリック プレビュー段階です。 「Microsoft Entra アプリケーション プロキシを使用しでリモート デスクトップを発行する」を参照してください。

事前認証のシナリオを構成した後で、ユーザーは認証を 2 回 (1 回目は Microsoft Entra サインイン フォームで、2 回目は RDWeb サインイン フォームで) 行う必要があることがわかりました。 これは想定される動作ですか。 サインインの回数を 1 回に減らすにはどうすればよいですか。

はい、想定される動作です。 ユーザーが Microsoft Entra 参加済みコンピューターを使用している場合、そのユーザーは自動的に Microsoft Entra ID にサインインします。 ユーザーが資格情報を提供する必要があるのは、RDWeb サインイン フォームのみです。

Microsoft Entra の事前認証シナリオでは、リモート デスクトップ Web クライアント ポータルの [設定] の下にある [リソースの起動方法] オプションの [RDP ファイルをダウンロードする] を使用できますか?

このオプションを利用すると、ユーザーは rdp ファイルをダウンロードし、別の RDP クライアントでそれを利用できます (Remote Desktop Web Client の外で)。 一般に、別の RDP クライアント (Microsoft リモート デスクトップ クライアントなど) では事前承認をネイティブに処理できません。 そのため、このシナリオは機能しません。

SharePoint の公開

Microsoft Entra アプリケーション プロキシを使用して SharePoint を公開するにはどうすればよいですか。

SharePoint モバイル アプリ (iOS/Android) を使用して、公開された SharePoint Server にアクセスできますか。

SharePoint モバイルアプリでは、現在、Microsoft Entra 事前認証はサポートされていません。

Active Directory フェデレーション サービス (AD FS) の公開

Microsoft Entra アプリケーション プロキシを AD FS プロキシ (Web アプリケーション プロキシなど) として使用できますか。

不正解です。 Microsoft Entra アプリケーション プロキシは Microsoft Entra ID で動作するように設計されているため、AD FS プロキシとして機能するための要件を満たしていません。

Microsoft Entra アプリケーション プロキシを使用して、AD FS エンドポイント (/adfs/portal/updatepassword/ など) を発行できますか。

いいえ、これはサポートされていません。

WebSocket

Microsoft Entra アプリケーション プロキシでは WebSocket プロトコルはサポートされますか。

WebSocket プロトコル (QlikSense やリモート デスクトップ Web クライアント (HTML5) など) を使用するアプリケーションがサポートされるようになりました。 既知の制限事項には、次のようなものがあります。

  • アプリケーション プロキシでは、WebSocket 接続を開く際に、サーバー応答に設定されている Cookie を破棄します。
  • WebSocket 要求に SSO は適用されません。
  • Windows Admin Center (WAC) の機能 (イベント ログ、PowerShell、リモート デスクトップ サービス) は、Microsoft Entra アプリケーション プロキシ経由では動作しません。

WebSocket アプリケーションには一意の公開要件は存在しないので、他のすべてのアプリケーション プロキシ アプリケーションと同じ方法で公開できます。

リンク変換

リンク変換の使用はパフォーマンスに影響しますか。

はい。 リンク変換の使用はパフォーマンスに影響します。 アプリケーション プロキシ サービスは、アプリケーションでハードコードされたリンクをスキャンし、ユーザーに公開する前にそれぞれ公開されている外部 URL で置換します。

最適なパフォーマンスを得るには、カスタム ドメインを構成して、同じ内部 URL と外部 URL を使用することをお勧めします。 カスタム ドメインを使用できない場合は、マイ アプリによるセキュリティで保護されたサインイン拡張機能またはモバイルの Microsoft Edge ブラウザーを使用することで、リンク変換のパフォーマンスを向上させることができます。 「Microsoft Entra アプリケーション プロキシを使用して公開されたアプリのハードコーディングされたリンクをリダイレクトする」を参照してください。

ワイルドカード

ワイルドカードを使用して、共通のカスタム ドメイン名と異なるプロトコル (HTTP 用と HTTPS 用それぞれ 1 つ) を持つ 2 つのアプリケーションを公開するにはどうすればよいですか。

このシナリオは直接はサポートされていません。 このシナリオで使用できるオプションは次のとおりです。

  1. ワイルドカードを使用して HTTP と HTTPS の両方の URL を個別のアプリケーションとして公開し、それぞれに異なるカスタム ドメインを指定します。 この構成は、外部 URL が異なるため機能します。

  2. ワイルドカード アプリケーションを使用して HTTPS URL を公開します。 次のアプリケーション プロキシの PowerShell コマンドレットを使用して、HTTP アプリケーションを個別に公開します。