Azure Active Directory アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセスRemote access to on-premises applications through Azure Active Directory's Application Proxy

Azure Active Directory アプリケーション プロキシは、オンプレミス Web アプリケーションへのセキュリティ保護されたリモート アクセスを提供します。Azure Active Directory's Application Proxy provides secure remote access to on-premises web applications. Azure AD にシングル サインオンした後、ユーザーは、外部の URL または内部のアプリケーション ポータルから、クラウド アプリケーションとオンプレミス アプリケーションの両方にアクセスできます。After a single sign-on to Azure AD, users can access both cloud and on-premises applications through an external URL or an internal application portal. たとえば、アプリケーション プロキシでは、リモート デスクトップ、SharePoint、Teams、Tableau、Qlik、および基幹業務 (LOB) アプリケーションへのリモート アクセスとシングル サインオンを提供できます。For example, Application Proxy can provide remote access and single sign-on to Remote Desktop, SharePoint, Teams, Tableau, Qlik, and line of business (LOB) applications.

Azure AD アプリケーション プロキシの特徴:Azure AD Application Proxy is:

  • 簡単に使用できるSimple to use. ユーザーは、O365 にアクセスするのと同じようにオンプレミスのアプリケーションにアクセスでき、Azure AD に統合された他の SaaS アプリにもアクセスできます。Users can access your on-premises applications the same way they access O365 and other SaaS apps integrated with Azure AD. アプリケーション プロキシを使用するためにアプリケーションを変更または更新する必要はありません。You don't need to change or update your applications to work with Application Proxy.

  • セキュリティ保護Secure. オンプレミスのアプリケーションは、Azure の承認制御とセキュリティ分析を使用できます。On-premises applications can use Azure's authorization controls and security analytics. たとえば、オンプレミス アプリケーションでは、条件付きアクセスと 2 段階認証を使用できます。For example, on-premises applications can use Conditional Access and two-step verification. アプリケーション プロキシでは、ファイアウォールを介した受信接続を開く必要がありません。Application Proxy doesn't require you to open inbound connections through your firewall.

  • 高いコスト効率Cost-effective. オンプレミスのソリューションでは、通常、非武装地帯 (DMZ)、エッジ サーバー、またはその他の複雑なインフラストラクチャを設定し維持する必要があります。On-premises solutions typically require you to set up and maintain demilitarized zones (DMZs), edge servers, or other complex infrastructures. アプリケーション プロキシはクラウドで実行するので簡単に使用することができます。Application Proxy runs in the cloud, which makes it easy to use. アプリケーション プロキシを使用するために、ネットワーク インフラストラクチャを変更することも、オンプレミス環境に追加のアプライアンスをインストールすることも必要ありません。To use Application Proxy, you don't need to change the network infrastructure or install additional appliances in your on-premises environment.

アプリケーション プロキシとはWhat is Application Proxy?

アプリケーション プロキシとは、ユーザーがリモート クライアントからオンプレミス Web アプリケーションにアクセスできるようにする Azure AD の機能です。Application Proxy is a feature of Azure AD that enables users to access on-premises web applications from a remote client. アプリケーション プロキシには、クラウドで実行されるアプリケーション プロキシ サービスと、オンプレミス サーバーで実行されるアプリケーション プロキシ コネクタの両方が含まれています。Application Proxy includes both the Application Proxy service which runs in the cloud, and the Application Proxy connector which runs on an on-premises server. Azure AD、アプリケーション プロキシ サービス、およびアプリケーション プロキシ コネクタは連携して、Azure AD から Web アプリケーションにユーザーのシングル サインオン トークンを安全に渡します。Azure AD, the Application Proxy service, and the Application Proxy connector work together to securely pass the user sign-on token from Azure AD to the web application.

アプリケーション プロキシは次に対応します。Application Proxy works with:

  • 認証に統合 Windows 認証を使用する Web アプリWeb applications that use Integrated Windows Authentication for authentication
  • フォーム ベースまたはヘッダー ベースのアクセスを使用する Web アプリWeb applications that use form-based or header-based access
  • さまざまなデバイスの豊富なアプリケーションに公開する Web APIWeb APIs that you want to expose to rich applications on different devices
  • リモート デスクトップ ゲートウェイの背後でホストされているアプリケーションApplications hosted behind a Remote Desktop Gateway
  • Active Directory Authentication Library (ADAL) と統合されるリッチ クライアント アプリRich client apps that are integrated with the Active Directory Authentication Library (ADAL)

アプリケーション プロキシは、シングル サインオンをサポートします。Application Proxy supports single sign-on. サポートされている方法の詳細については、「シングル サインオンの方法の選択」を参照してください。For more information on supported methods, see Choosing a single sign-on method.

リモート ユーザーに対して内部リソースへのアクセス権を付与するには、アプリケーション プロキシをお勧めします。Application Proxy is recommended for giving remote users access to internal resources. アプリケーション プロキシは、VPN またはリバース プロキシが必要な場合に代わりに使用できます。Application Proxy replaces the need for a VPN or reverse proxy. 企業ネットワーク上の内部ユーザー用ではありません。It is not intended for internal users on the corporate network. これらのユーザーがアプリケーション プロキシを不必要に使用すると、予期せず、望ましくないパフォーマンスの問題が発生する可能性があります。These users who unnecessarily use Application Proxy can introduce unexpected and undesirable performance issues.

アプリケーション プロキシの動作How Application Proxy works

次の図は、Azure AD とアプリケーション プロキシがどのように連携して、オンプレミス アプリケーションへのシングル サインオンを提供するかを示します。The following diagram shows how Azure AD and Application Proxy work together to provide single sign-on to on-premises applications.

Azure AD アプリケーション プロキシ ダイアグラム

  1. エンドポイントを介してアプリケーションにアクセスしたユーザーは、Azure AD のサインイン ページに送られます。After the user has accessed the application through an endpoint, the user is directed to the Azure AD sign-in page.
  2. サインインに成功すると Azure AD はユーザーのクライアント デバイスにトークンを送信します。After a successful sign-in, Azure AD sends a token to the user's client device.
  3. クライアントはここでアプリケーション プロキシ サービスにトークンを送信します。アプリケーション プロキシ サービスは、そのトークンからユーザー プリンシパル名 (UPN) とセキュリティ プリンシパル名 (SPN) を取得します。The client sends the token to the Application Proxy service, which retrieves the user principal name (UPN) and security principal name (SPN) from the token. アプリケーション プロキシは続いてその要求を アプリケーション プロキシ コネクタに送信します。Application Proxy then sends the request to the Application Proxy connector.
  4. シングル サインオンを構成した場合、コネクタはユーザーの代わりに必要な追加の認証を実行します。If you have configured single sign-on, the connector performs any additional authentication required on behalf of the user.
  5. コネクタはオンプレミスのアプリケーションに要求を送信します。The connector sends the request to the on-premises application.
  6. 応答はコネクタとアプリケーション プロキシ サービス経由でユーザーに送信されます。The response is sent through the connector and Application Proxy service to the user.
コンポーネントComponent 説明Description
エンドポイントEndpoint エンドポイントは、URL またはエンド ユーザー ポータルです。The endpoint is a URL or an end-user portal. ユーザーは、外部 URL にアクセスすることによって、ネットワークの外部にいてもアプリケーションに到達できます。Users can reach applications while outside of your network by accessing an external URL. ネットワーク内のユーザーは、URL またはエンド ユーザー ポータルからアプリケーションにアクセスできます。Users within your network can access the application through a URL or an end-user portal. ユーザーは、これらのエンドポイントの 1 つに移動すると、Azure AD で認証され、コネクタを介してオンプレミスのアプリケーションにルーティングされます。When users go to one of these endpoints, they authenticate in Azure AD and then are routed through the connector to the on-premises application.
Azure ADAzure AD Azure AD は、クラウドに格納されているテナント ディレクトリを使用して認証を実行します。Azure AD performs the authentication using the tenant directory stored in the cloud.
アプリケーション プロキシ サービスApplication Proxy service このアプリケーション プロキシ サービスは、Azure AD の一部としてクラウドで実行されます。This Application Proxy service runs in the cloud as part of Azure AD. これは、ユーザーからアプリケーション プロキシ コネクタにシングル サインオン トークンを渡します。It passes the sign-on token from the user to the Application Proxy Connector. アプリケーション プロキシは、要求のすべてのアクセス可能なヘッダーを、そのプロトコルに従って設定し、クライアント IP アドレスに転送します。Application Proxy forwards any accessible headers on the request and sets the headers as per its protocol, to the client IP address. プロキシへの着信要求に既にそのヘッダーがある場合、ヘッダーの値であるコンマ区切りリストの末尾にクライアント IP アドレスが追加されます。If the incoming request to the proxy already has that header, the client IP address is added to the end of the comma separated list that is the value of the header.
アプリケーション プロキシ コネクタApplication Proxy Connector コネクタは、ネットワーク内の Windows Server 上で実行する軽量エージェントです。The connector is a lightweight agent that runs on a Windows Server inside your network. コネクタは、クラウド内のアプリケーション プロキシ サービスとオンプレミス アプリケーション間の通信を管理します。The connector manages communication between the Application Proxy service in the cloud and the on-premises application. コネクタは発信接続のみ使用するため、受信ポートを開いたり、DMZ に配置したりする必要はありません。The connector only uses outbound connections, so you don't have to open any inbound ports or put anything in the DMZ. コネクタはステートレスで、必要に応じて情報がクラウドから取得されます。The connectors are stateless and pull information from the cloud as necessary. 負荷分散や認証の方法など、コネクタについて詳しくは、「Azure AD アプリケーション プロキシ コネクタを理解する」をご覧ください。For more information about connectors, like how they load-balance and authenticate, see Understand Azure AD Application Proxy connectors.
Active Directory (AD)Active Directory (AD) Active Directory はオンプレミスで実行され、ドメイン アカウントの認証を行います。Active Directory runs on-premises to perform authentication for domain accounts. シングル サインオンが構成されている場合、コネクタは必要な追加認証を実行するために AD と通信します。When single sign-on is configured, the connector communicates with AD to perform any additional authentication required.
オンプレミスのアプリケーションOn-premises application 最終的にユーザーは、オンプレミス アプリケーションにアクセスできます。Finally, the user is able to access an on-premises application.

次の手順Next steps

アプリケーション プロキシの使用を開始するには、アプリケーション プロキシを使用したリモート アクセスを行うためのオンプレミス アプリケーションの追加に関するチュートリアルを参照してください。To start using Application Proxy, see Tutorial: Add an on-premises application for remote access through Application Proxy.

最新のニュースと更新プログラムについては、アプリケーション プロキシに関するブログを参照してください。For the latest news and updates, see the Application Proxy blog