チュートリアル:Azure Active Directory のアプリケーション プロキシを使用してリモート アクセスするためのオンプレミス アプリケーションを追加するTutorial: Add an on-premises application for remote access through Application Proxy in Azure Active Directory

Azure Active Directory (Azure AD) のアプリケーション プロキシ サービスを使用すると、ユーザーは Azure AD アカウントでサインインして、オンプレミスのアプリケーションにアクセスできます。Azure Active Directory (Azure AD) has an Application Proxy service that enables users to access on-premises applications by signing in with their Azure AD account. このチュートリアルでは、アプリケーション プロキシで使用できるように環境を準備します。This tutorial prepares your environment for use with Application Proxy. 環境の準備ができたら、Azure portal を使用して Azure AD テナントにオンプレミス アプリケーションを追加します。Once your environment is ready, you'll use the Azure portal to add an on-premises application to your Azure AD tenant.

このチュートリアルの内容:This tutorial:

  • アウトバウンド トラフィック用のポートを開き、特定の URL へのアクセスを許可しますOpens ports for outbound traffic and allows access to specific URLs
  • Windows サーバーにコネクタをインストールし、アプリケーション プロキシに登録しますInstalls the connector on your Windows server, and registers it with Application Proxy
  • コネクタが正しくインストールおよび登録されていることを確認しますVerifies the connector installed and registered correctly
  • Azure AD テナントにオンプレミスのアプリケーションを追加しますAdds an on-premises application to your Azure AD tenant
  • テスト ユーザーが Azure AD アカウントを使用してアプリケーションにサインオンできることを確認しますVerifies a test user can sign on to the application by using an Azure AD account

開始する前にBefore you begin

オンプレミスのアプリケーションを Azure AD に追加するには、次が必要です。To add an on-premises application to Azure AD, you need:

  • Microsoft Azure AD の Premium サブスクリプションA Microsoft Azure AD premium subscription
  • アプリケーション管理者アカウントAn application administrator account
  • ユーザー ID をオンプレミス ディレクトリから同期するか、Azure AD テナント内に直接作成する必要があります。User identities must be synchronized from an on-premises directory or created directly within your Azure AD tenants. ID 同期によって、Azure AD が、アプリケーション プロキシが発行したアプリケーションへのアクセス権をユーザーに付与する前にユーザーを事前に認証でき、シングル サインオン (SSO) を実行するために必要なユーザー ID 情報を得ることができます。Identity synchronization allows Azure AD to pre-authenticate users before granting them access to App Proxy published applications and to have the necessary user identifier information to perform single sign-on (SSO).

Windows サーバーWindows server

アプリケーション プロキシを使用するには、Windows Server 2012 R2 以降を実行している Windows サーバーが必要です。To use Application Proxy, you need a Windows server running Windows Server 2012 R2 or later. アプリケーション プロキシ コネクタをサーバーにインストールしてください。You'll install the Application Proxy connector on the server. このコネクタ サーバーは、Azure 内のアプリケーション プロキシ サービスと、公開予定のオンプレミス アプリケーションに接続する必要があります。This connector server needs to connect to the Application Proxy services in Azure, and the on-premises applications that you plan to publish.

運用環境を高可用性にするため、複数の Windows サーバーを使用することをお勧めします。For high availability in your production environment, we recommend having more than one Windows server. このチュートリアルでは、1 つの Windows サーバーで十分です。For this tutorial, one Windows server is sufficient.

重要

Windows Server 2019 にコネクタをインストールする場合は、Kerberos の制約付き委任が正しく動作するようにするために、WinHttp コンポーネントで HTTP2 プロトコルのサポートを無効にする必要があります。If you are installing the connector on Windows Server 2019, you must disable HTTP2 protocol support in the WinHttp component for Kerberos Constrained Delegation to properly work. それよりも前のバージョンのサポート対象オペレーティング システムでは、これが既定で無効になっています。This is disabled by default in earlier versions of supported operating systems. Windows Server 2019 では、次のレジストリ キーを追加してサーバーを再起動すれば無効になります。Adding the following registry key and restarting the server disables it on Windows Server 2019. これはマシン レベルのレジストリ キーであることに注意してください。Note that this is a machine-wide registry key.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "EnableDefaultHttp2"=dword:00000000

コネクタ サーバーの推奨事項Recommendations for the connector server

  1. コネクタとアプリケーション間のパフォーマンスを最適化するため、アプリケーション サーバーと物理的に近い場所にコネクタ サーバーを配置します。Physically locate the connector server close to the application servers to optimize performance between the connector and the application. 詳しくは、「ネットワーク トポロジに関する考慮事項」をご覧ください。For more information, see Network topology considerations.
  2. コネクタ サーバーと Web アプリケーション サーバーは、同じ Active Directory ドメインに属しているか、または信頼する側のドメインの範囲である必要があります。The connector server and the web applications servers should belong to the same Active Directory domain or span trusting domains. 統合 Windows 認証 (IWA) および Kerberos 制約付き委任 (KCD) でのシングル サインオン (SSO) を使用するには、サーバーを同じドメインまたは信頼する側のドメインに配置する必要があります。Having the servers in the same domain or trusting domains is a requirement for using single sign-on (SSO) with Integrated Windows Authentication (IWA) and Kerberos Constrained Delegation (KCD). コネクタ サーバーと Web アプリケーション サーバーが別の Active Directory ドメイン内にある場合は、シングル サインオン用にリソースベースの委任を使用する必要があります。If the connector server and web application servers are in different Active Directory domains, you need to use resource-based delegation for single sign-on. 詳しくは、「KCD for single sign-on with Application Proxy」 (アプリケーション プロキシを使用したシングル サインオンのための KCD) をご覧ください。For more information, see KCD for single sign-on with Application Proxy.

警告

Azure AD パスワード保護プロキシをデプロイした場合は、Azure AD アプリケーション プロキシと Azure AD パスワード保護プロキシを同じマシンに一緒にインストールすることは避けてください。If you've deployed Azure AD Password Protection Proxy, do not install Azure AD Application Proxy and Azure AD Password Protection Proxy together on the same machine. Azure AD アプリケーション プロキシと Azure AD パスワード保護プロキシでは、インストールされる Azure AD Connect Agent Updater サービスのバージョンが異なります。Azure AD Application Proxy and Azure AD Password Protection Proxy install different versions of the Azure AD Connect Agent Updater service. 両者を同じマシンに一緒にインストールした場合、バージョン間の不整合が生じます。These different versions are incompatible when installed together on the same machine.

TLS の要件TLS requirements

アプリケーション プロキシ コネクタをインストールするには、Windows コネクタ サーバーで TLS 1.2 が有効になっている必要があります。The Windows connector server needs to have TLS 1.2 enabled before you install the Application Proxy connector.

TLS 1.2 を有効にするには、次の手順に従います。To enable TLS 1.2:

  1. 次のレジストリ キーを設定します。Set the following registry keys:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. サーバーを再起動します。Restart the server.

オンプレミスの環境を準備するPrepare your on-premises environment

Azure AD アプリケーション プロキシの環境を準備するには、まず Azure データ センターへの通信を有効にします。Start by enabling communication to Azure data centers to prepare your environment for Azure AD Application Proxy. パスにファイアウォールがある場合、それが開かれていることを確認します。If there's a firewall in the path, make sure it's open. ファイアウォールが開かれていることで、コネクタによるアプリケーション プロキシへの HTTPS (TCP) 要求が可能になります。An open firewall allows the connector to make HTTPS (TCP) requests to the Application Proxy.

重要

Azure Government クラウドのコネクタをインストールする場合は、前提条件インストール手順に従います。If you are installing the connector for Azure Government cloud follow the pre-requisites and installation steps. これには、別の URL のセットへのアクセスを有効にし、インストールを実行するための追加のパラメーターが必要です。This requires enabling access to a different set of URLs and an additional parameter to run the installation.

ポートを開くOpen ports

以下の各ポートをアウトバウンド トラフィックに対して開きます。Open the following ports to outbound traffic.

ポート番号Port number 用途How it's used
8080 TLS または SSL 証明書の検証時に証明書失効リスト (CRL) をダウンロードするDownloading certificate revocation lists (CRLs) while validating the TLS/SSL certificate
443443 アプリケーション プロキシ サービスとのすべての送信通信All outbound communication with the Application Proxy service

ファイアウォールが送信元ユーザーに応じてトラフィックを処理している場合は、ネットワーク サービスとして実行されている Windows サービスからのトラフィック用にポート 80 と 443 も開きます。If your firewall enforces traffic according to originating users, also open ports 80 and 443 for traffic from Windows services that run as a Network Service.

URL へのアクセスを許可するAllow access to URLs

次の URL へのアクセスを許可します。Allow access to the following URLs:

URLURL 用途How it's used
*.msappproxy.net*.msappproxy.net
*.servicebus.windows.net*.servicebus.windows.net
コネクタとアプリケーション プロキシ クラウド サービスの間の通信Communication between the connector and the Application Proxy cloud service
mscrl.microsoft.com:80mscrl.microsoft.com:80
crl.microsoft.com:80crl.microsoft.com:80
ocsp.msocsp.com:80ocsp.msocsp.com:80
www.microsoft.com:80www.microsoft.com:80
コネクタでは、証明書の検証にこれらの URL が使用されます。The connector uses these URLs to verify certificates.
login.windows.netlogin.windows.net
secure.aadcdn.microsoftonline-p.comsecure.aadcdn.microsoftonline-p.com
*.microsoftonline.com*.microsoftonline.com
*.microsoftonline-p.com*.microsoftonline-p.com
*.msauth.net*.msauth.net
*.msauthimages.net*.msauthimages.net
*.msecnd.net*.msecnd.net
*.msftauth.net*.msftauth.net
*.msftauthimages.net*.msftauthimages.net
*.phonefactor.net*.phonefactor.net
enterpriseregistration.windows.netenterpriseregistration.windows.net
management.azure.commanagement.azure.com
policykeyservice.dc.ad.msft.netpolicykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com:80ctldl.windowsupdate.com:80
コネクタでは、登録プロセスの間にこれらの URL が使用されます。The connector uses these URLs during the registration process.

ファイアウォールまたはプロキシで DNS 許可リストを構成できる場合は、*.msappproxy.net と *.servicebus.windows.net への接続を許可できます。You can allow connections to *.msappproxy.net and *.servicebus.windows.net if your firewall or proxy lets you configure DNS allow lists. そうでない場合は、Azure IP ranges and Service Tags - Public Cloud (Azure IP 範囲とサービス タグ - パブリック クラウド) へのアクセスを許可する必要があります。If not, you need to allow access to the Azure IP ranges and Service Tags - Public Cloud. これらの IP 範囲は毎週更新されます。The IP ranges are updated each week.

コネクタのインストールと登録Install and register a connector

アプリケーション プロキシを使用するには、アプリケーション プロキシ サービスで使用している各 Windows サーバーにコネクタをインストールします。To use Application Proxy, install a connector on each Windows server you're using with the Application Proxy service. コネクタは、オンプレミスのアプリケーション サーバーから Azure AD のアプリケーション プロキシへのアウトバウンド接続を管理するエージェントです。The connector is an agent that manages the outbound connection from the on-premises application servers to Application Proxy in Azure AD. コネクタをインストールするサーバーには、Azure AD Connect などの他の認証エージェントがインストールされていてもかまいません。You can install a connector on servers that also have other authentication agents installed such as Azure AD Connect.

コネクタをインストールするには:To install the connector:

  1. アプリケーション プロキシを使用するディレクトリのアプリケーション管理者として、Azure portal にサインインします。Sign in to the Azure portal as an application administrator of the directory that uses Application Proxy. たとえば、テナントのドメインが contoso.com の場合、管理者は admin@contoso.com またはそのドメイン上の他の管理者エイリアスであることが必要です。For example, if the tenant domain is contoso.com, the admin should be admin@contoso.com or any other admin alias on that domain.

  2. 右上隅で自分のユーザー名を選択します。Select your username in the upper-right corner. アプリケーション プロキシを使用するディレクトリにサインインしていることを確認します。Verify you're signed in to a directory that uses Application Proxy. ディレクトリを変更する必要がある場合は、 [ディレクトリの切り替え] を選択し、アプリケーション プロキシを使用するディレクトリを選択します。If you need to change directories, select Switch directory and choose a directory that uses Application Proxy.

  3. 左側のナビゲーション パネルで、 [Azure Active Directory] を選択します。In left navigation panel, select Azure Active Directory.

  4. [管理] で、 [アプリケーション プロキシ] を選択します。Under Manage, select Application proxy.

  5. [コネクタ サービスのダウンロード] を選択します。Select Download connector service.

    コネクタ サービスをダウンロードしてサービス使用条件を表示

  6. サービス利用規約を読みます。Read the Terms of Service. 準備ができたら、 [規約に同意してダウンロード] を選択します。When you're ready, select Accept terms & Download.

  7. ウィンドウの下部で、 [実行] を選択してコネクタをインストールします。At the bottom of the window, select Run to install the connector. インストール ウィザードが開きます。An install wizard opens.

  8. ウィザードの指示に従ってサービスをインストールします。Follow the instructions in the wizard to install the service. Azure AD テナントのアプリケーション プロキシにコネクタを登録するよう求められたら、アプリケーション管理者の資格情報を提供します。When you're prompted to register the connector with the Application Proxy for your Azure AD tenant, provide your application administrator credentials.

    • Internet Explorer (IE) では、 [IE セキュリティ強化の構成][オン] に設定されていると、登録画面が表示されないことがあります。For Internet Explorer (IE), if IE Enhanced Security Configuration is set to On, you may not see the registration screen. アクセスするには、エラー メッセージに示された指示に従ってください。To get access, follow the instructions in the error message. [Internet Explorer セキュリティ強化の構成][オフ] に設定されていることを確認します。Make sure that Internet Explorer Enhanced Security Configuration is set to Off.

一般的な注釈General remarks

以前にコネクタをインストールした場合は、再インストールして最新バージョンにします。If you've previously installed a connector, reinstall to get the latest version. 過去にリリースされたバージョンと変更履歴については、次を参照してください: アプリケーション プロキシのバージョン リリース履歴To see information about previously released versions and what changes they include, see Application Proxy: Version Release History.

オンプレミス アプリケーション用に複数の Windows サーバーを選択する場合は、サーバーごとにコネクタをインストールして登録する必要があります。If you choose to have more than one Windows server for your on-premises applications, you'll need to install and register the connector on each server. コネクタはコネクタ グループに整理できます。You can organize the connectors into connector groups. 詳しくは、コネクタ グループに関するページをご覧ください。For more information, see Connector groups.

お客様の組織がプロキシ サーバーを使用してインターネットに接続する場合は、それらをアプリケーション プロキシ用に構成する必要があります。If your organization uses proxy servers to connect to the internet, you need to configure them for Application Proxy. 詳しくは、「既存のオンプレミス プロキシ サーバーと連携する」をご覧ください。For more information, see Work with existing on-premises proxy servers.

コネクタ、能力計画、コネクタを最新の状態に維持する方法については、「Azure AD アプリケーション プロキシ コネクタを理解する」をご覧ください。For information about connectors, capacity planning, and how they stay up-to-date, see Understand Azure AD Application Proxy connectors.

コネクタが正しくインストールおよび登録されていることを確認するVerify the connector installed and registered correctly

Azure portal または Windows サーバーを使用して、新しいコネクタが正しくインストールされていることを確認できます。You can use the Azure portal or your Windows server to confirm that a new connector installed correctly.

Azure portal を介してインストールを確認するVerify the installation through Azure portal

コネクタが正しくインストールおよび登録されていることを確認するには:To confirm the connector installed and registered correctly:

  1. Azure portal でお使いのテナント ディレクトリにサインインします。Sign in to your tenant directory in the Azure portal.

  2. 左側のナビゲーション パネルで、 [Azure Active Directory] を選択し、 [管理] セクションの [アプリケーション プロキシ] を選択します。In the left navigation panel, select Azure Active Directory, and then select Application Proxy under the Manage section. コネクタとコネクタ グループはすべてこのページに表示されます。All of your connectors and connector groups appear on this page.

  3. 詳細を確認するコネクタを表示します。View a connector to verify its details. コネクタは既定で展開されているはずです。The connectors should be expanded by default. 表示したいコネクタが展開されていない場合、そのコネクタを展開して詳細を表示します。If the connector you want to view isn't expanded, expand the connector to view the details. アクティブな緑色のラベルは、コネクタがサービスに接続できることを示します。An active green label indicates that your connector can connect to the service. ただし、ラベルが緑色であっても、ネットワークの問題のためにコネクタがメッセージを受信できない可能性があります。However, even though the label is green, a network issue could still block the connector from receiving messages.

    Azure AD アプリケーション プロキシ コネクタ

コネクタのインストールの詳細については、アプリケーション プロキシ コネクタのインストール時の問題に関するページを参照してください。For more help with installing a connector, see Problem installing the Application Proxy Connector.

Windows サーバーを介してインストールを確認するVerify the installation through your Windows server

コネクタが正しくインストールおよび登録されていることを確認するには:To confirm the connector installed and registered correctly:

  1. Windows キーをクリックして「services.msc」と入力し、Windows サービス マネージャーを開きます。Open the Windows Services Manager by clicking the Windows key and entering services.msc.

  2. 次の 2 つのサービスの状態が [実行中] であることを確認します。Check to see if the status for the following two services is Running.

    • Microsoft AAD アプリケーション プロキシ コネクタにより、接続が有効になります。Microsoft AAD Application Proxy Connector enables connectivity.

    • Microsoft AAD アプリケーション プロキシ コネクタ アップデーターは自動更新サービスです。Microsoft AAD Application Proxy Connector Updater is an automated update service. アップデーターはコネクタの新しいバージョンをチェックし、必要に応じてコネクタを更新します。The updater checks for new versions of the connector and updates the connector as needed.

      App Proxy Connector services - screenshot

  3. サービスの状態が [実行中] でない場合は、各サービスを右クリックして選択し、 [開始] を選択します。If the status for the services isn't Running, right-click to select each service and choose Start.

オンプレミス アプリを Azure AD に追加するAdd an on-premises app to Azure AD

環境を準備してコネクタをインストールしたので、Azure AD にオンプレミス アプリケーションを追加する準備ができました。Now that you've prepared your environment and installed a connector, you're ready to add on-premises applications to Azure AD.

  1. Azure Portal に管理者としてサインインします。Sign in as an administrator in the Azure portal.

  2. 左側のナビゲーション パネルで、 [Azure Active Directory] を選択します。In the left navigation panel, select Azure Active Directory.

  3. [エンタープライズ アプリケーション] を選択し、 [新しいアプリケーション] を選択します。Select Enterprise applications, and then select New application.

  4. [オンプレミスのアプリケーション] セクションで、 [オンプレミスのアプリケーションの追加] を選択します。In the On-premises applications section, select Add an on-premises application.

  5. [独自のオンプレミスのアプリケーションの追加] セクションで、自分のアプリケーションについて次の情報を指定します。In the Add your own on-premises application section, provide the following information about your application:

    フィールドField 説明Description
    名前Name アクセス パネルと Azure portal に表示されるアプリケーションの名前。The name of the application that will appear on the access panel and in the Azure portal.
    内部 URLInternal URL プライベート ネットワークの内部からアプリケーションにアクセスするための URL。The URL for accessing the application from inside your private network. バックエンド サーバー上の特定のパスを指定して発行できます。この場合、サーバーのそれ以外のパスは発行されません。You can provide a specific path on the backend server to publish, while the rest of the server is unpublished. この方法では、同じサーバー上の複数のサイトを別々のアプリとして発行し、それぞれに独自の名前とアクセス規則を付与することができます。In this way, you can publish different sites on the same server as different apps, and give each one its own name and access rules.

    パスを発行する場合は、アプリケーションに必要な画像、スクリプト、スタイル シートが、すべてそのパスに含まれていることを確認してください。If you publish a path, make sure that it includes all the necessary images, scripts, and style sheets for your application. たとえば、アプリケーションが https://yourapp/app にあり、https://yourapp/media にある画像を使用する場合は、パスとして https://yourapp/ を発行する必要があります。For example, if your app is at https://yourapp/app and uses images located at https://yourapp/media, then you should publish https://yourapp/ as the path. この内部 URL は、ユーザーに表示されるランディング ページである必要はありません。This internal URL doesn't have to be the landing page your users see. 詳細については、「発行されたアプリのカスタム ホーム ページを設定する」を参照してください。For more information, see Set a custom home page for published apps.
    外部 URLExternal URL ユーザーがネットワークの外部からアプリにアクセスするためのアドレス。The address for users to access the app from outside your network. 既定のアプリケーション プロキシ ドメインを使用しない場合は、Azure AD アプリケーション プロキシのカスタム ドメインに関する記事を参照してください。If you don't want to use the default Application Proxy domain, read about custom domains in Azure AD Application Proxy.
    事前認証Pre Authentication ユーザーにアプリケーションへのアクセス権を付与する前にアプリケーション プロキシがユーザーを認証する方法。How Application Proxy verifies users before giving them access to your application.

    Azure Active Directory - アプリケーション プロキシによってユーザーが Azure AD のサインイン ページにリダイレクトされます。これにより、ディレクトリとアプリケーションに対するユーザーのアクセス許可が認証されます。Azure Active Directory - Application Proxy redirects users to sign in with Azure AD, which authenticates their permissions for the directory and application. このオプションは、条件付きアクセスや Multi-Factor Authentication など、Azure AD のセキュリティ機能を活用できるように、既定のままにしておくことをお勧めします。We recommend keeping this option as the default so that you can take advantage of Azure AD security features like Conditional Access and Multi-Factor Authentication. Microsoft Cloud Application Security を使用してアプリケーションを監視するには、Azure Active Directory が必要です。Azure Active Directory is required for monitoring the application with Microsoft Cloud Application Security.

    パススルー - アプリケーションにアクセスするための Azure AD に対するユーザーの認証は必要ありません。Passthrough - Users don't have to authenticate against Azure AD to access the application. ただし、バックエンドで認証要件を設定できます。You can still set up authentication requirements on the backend.
    コネクタ グループConnector Group コネクタは、アプリケーションへのリモート アクセスを処理します。コネクタ グループを使用して、コネクタとアプリをリージョン、ネットワーク、または目的別に整理できます。Connectors process the remote access to your application, and connector groups help you organize connectors and apps by region, network, or purpose. まだコネクタ グループを作成していない場合、アプリは [既定] グループに割り当てられます。If you don't have any connector groups created yet, your app is assigned to Default.

    アプリケーションで接続に Websocket を使用する場合は、グループ内のすべてのコネクタがバージョン 1.5.612.0 以降である必要があります。If your application uses WebSockets to connect, all connectors in the group must be version 1.5.612.0 or later.
  6. 必要に応じて、追加設定を構成します。If necessary, configure Additional settings. ほとんどのアプリケーションでは、これらの設定は既定の状態のままにしてください。For most applications, you should keep these settings in their default states.

    フィールドField 説明Description
    バックエンド アプリケーションのタイムアウトBackend Application Timeout アプリケーションの認証と接続に時間がかかる場合のみ、この値を [遅い] に設定します。Set this value to Long only if your application is slow to authenticate and connect. 既定では、バックエンド アプリケーションのタイムアウトは 85 秒です。At default, the backend application timeout has a length of 85 seconds. [Long](長) に設定すると、バックエンドのタイムアウトは 180 秒に増加します。When set to long, the backend timeout is increased to 180 seconds.
    HTTP 専用 Cookie を使用するUse HTTP-Only Cookie アプリケーション プロキシ Cookie に HTTP 応答ヘッダーの HTTPOnly フラグを含めるには、この値を [はい] に設定します。Set this value to Yes to have Application Proxy cookies include the HTTPOnly flag in the HTTP response header. リモート デスクトップ サービスを使用している場合は、この値を [いいえ] に設定します。If using Remote Desktop Services, set this value to No.
    セキュリティで保護された Cookie を使用しますUse Secure Cookie 暗号化された HTTPS 要求などのセキュリティ保護されたチャネル経由で Cookie を送信するために、この値を [はい] に設定します。Set this value to Yes to transmit cookies over a secure channel such as an encrypted HTTPS request.
    永続 Cookie を使用Use Persistent Cookie この値は、 [いいえ] のままにしておきます。Keep this value set to No. この設定は、プロセス間で Cookie を共有できないアプリケーションにのみ使用してください。Only use this setting for applications that can't share cookies between processes. Cookie の設定の詳細については、「Azure Active Directory でオンプレミスのアプリケーションにアクセスするための Cookie 設定」を参照してください。For more information about cookie settings, see Cookie settings for accessing on-premises applications in Azure Active Directory.
    ヘッダーの URL を変換するTranslate URLs in Headers 認証要求でアプリケーションの元のホスト ヘッダーが必要でない場合を除き、この値は [はい] のままにします。Keep this value as Yes unless your application required the original host header in the authentication request.
    Translate URLs in Application Body (アプリケーションの本文内の URL を変換する)Translate URLs in Application Body 他のオンプレミス アプリケーションへのハードコーディングされた HTML リンクがあり、カスタム ドメインを使用しない場合を除き、この値は [いいえ] のままにします。Keep this value as No unless you have hardcoded HTML links to other on-premises applications and don't use custom domains. 詳細については、Azure AD アプリケーション プロキシを使用したリンクの変換に関する記事を参照してください。For more information, see Link translation with Application Proxy.

    このアプリケーションを Microsoft Cloud App Security (MCAS) を使用して監視する予定の場合は、この値を [はい] に設定します。Set this value to Yes if you plan to monitor this application with Microsoft Cloud App Security (MCAS). 詳細については、「Microsoft Cloud App Security と Azure Active Directory を使用してリアルタイムでのアプリケーション アクセスの監視を構成する」を参照してください。For more information, see Configure real-time application access monitoring with Microsoft Cloud App Security and Azure Active Directory.
  7. [追加] を選択します。Select Add.

アプリケーションをテストするTest the application

アプリケーションが正しく追加されることをテストする準備ができました。You're ready to test the application is added correctly. 次の手順で、アプリケーションにユーザー アカウントを追加し、サインインしてみます。In the following steps, you'll add a user account to the application, and try signing in.

テスト用のユーザーを追加するAdd a user for testing

アプリケーションにユーザーを追加する前に、企業ネットワーク内からアプリケーションにアクセスするためのアクセス許可がユーザー アカウントに既にあることを確認します。Before adding a user to the application, verify the user account already has permissions to access the application from inside the corporate network.

テスト ユーザーを追加するには:To add a test user:

  1. [エンタープライズ アプリケーション] を選択し、テストしたいアプリケーションを選択します。Select Enterprise applications, and then select the application you want to test.
  2. [はじめに] を選択し、次に [テスト用のユーザーを割り当てる] を選択します。Select Getting started, and then select Assign a user for testing.
  3. [ユーザーとグループ] で、 [ユーザーの追加] を選択します。Under Users and groups, select Add user.
  4. [割り当ての追加] で、 [ユーザーとグループ] を選択します。Under Add assignment, select Users and groups. [ユーザーとグループ] セクションが表示されます。The User and groups section appears.
  5. 追加したいアカウントを選択します。Choose the account you want to add.
  6. [選択] を選択し、 [割り当て] を選択します。Choose Select, and then select Assign.

サインオンをテストするTest the sign-on

アプリケーションへのサインオンをテストするには:To test the sign-on to the application:

  1. テストするアプリケーションから [アプリケーション プロキシ] を選択します。From the application you want to test, select Application Proxy.
  2. ページの上部にある [アプリケーションをテストする] を選択してアプリケーションのテストを実行し、構成の問題がないか確認します。At the top of the page, select Test Application to run a test on the application and check for any configuration issues.
  3. 最初にアプリケーションを起動して、アプリケーションへのサインインをテストし、その後、診断レポートをダウンロードして、問題が検出されれば、その解決のガイダンスを確認します。Make sure to first launch the application to test signing into the application, then download the diagnostic report to review the resolution guidance for any detected issues.

トラブルシューティングについては、「アプリケーション プロキシの問題とエラー メッセージのトラブルシューティング」をご覧ください。For troubleshooting, see Troubleshoot Application Proxy problems and error messages.

次のステップNext steps

このチュートリアルでは、オンプレミス環境をアプリケーション プロキシで動作するように準備した後、アプリケーション プロキシ コネクタをインストールして登録しました。In this tutorial, you prepared your on-premises environment to work with Application Proxy, and then installed and registered the Application Proxy connector. 次に、Azure AD テナントにアプリケーションを追加しました。Next, you added an application to your Azure AD tenant. ユーザーが Azure AD アカウントを使用してアプリケーションにサインオンできることを確認しました。You verified that a user can sign on to the application by using an Azure AD account.

以下のことを行いました。You did these things:

  • アウトバウンド トラフィック用のポートを開き、特定の URL へのアクセスを許可ししたOpened ports for outbound traffic and allowed access to specific URLs
  • Windows サーバーにコネクタをインストールし、アプリケーション プロキシに登録しましたInstalled the connector on your Windows server, and registered it with Application Proxy
  • コネクタが正しくインストールおよび登録されていることを確認しましたVerified the connector installed and registered correctly
  • Azure AD テナントにオンプレミスのアプリケーションを追加しましたAdded an on-premises application to your Azure AD tenant
  • テスト ユーザーが Azure AD アカウントを使用してアプリケーションにサインオンできることを確認しましたVerified a test user can sign on to the application by using an Azure AD account

シングル サインオン用にアプリケーションを構成する準備が整いました。You're ready to configure the application for single sign-on. 次のリンクを使用してシングル サインオンの方法を選択し、シングル サインオンのチュートリアルを見つけてください。Use the following link to choose a single sign-on method and to find single sign-on tutorials.