Azure AD Application Proxy を触ってみよう ①

田中敬泰

2018年07月17日

皆さん、こんにちは。田中です。
Azure 技術者 Blog への投稿は初めてとなりますが、多くの方に読んでいただけるように頑張っていきたいと思いますので、よろしくお願いします。

少しだけ自己紹介をさせていただきます。
オンプレミスでは Lync/Skype for Business をメインに触ってきて、Office 365 では Exchange Online、Skype for Business をメインに活動してきました。ここ最近は EMS （Intune、Azure AD Premium）に関わる仕事をしています。

そのため、Office 365/EMS に関わる内容を、本ブログを通じて提供していきたいと考えております。今回は、Azure AD Premium の機能の一部である ”Azure AD Application Proxy（以下、App Proxy）” の構築をご紹介します。

Azure AD Application Proxy とは

App Proxy を利用することで、既存のオンプレミスシステムをセキュアに公開することが可能になります。また、Windows 統合認証が有効であれば、ドメインによるシングルサインオン（以下、SSO）を利用してユーザーがシームレスに利用することができます。

メリットを上げると多々ありますが、その中で特に優れている点は以下の点です。

DMZ に配置をせずとも社内の Web アプリケーションを公開することが可能
Azure AD ベースの認証制御を利用可能

では構築に入ってみましょう！

「Microsoft Azure の導入・構築・運用」詳細はこちら

構築してみよう

まず構築を実施する前に前提条件を確認します。クラウドサービスは日々変わることを考慮して、必ず Docs などで正しい情報をキャッチアップするように心がけましょう。

前提条件
- Azure AD Basic または Premium のサブスクリプション
- 全体管理者権限
- Azure AD Application Proxy Connector をインストールするためのサーバー
  - Windows Server 2012 R2 または Windows Server 2016
通信要件
- Azure AD Application Proxy Connector の送信トラフィックに対して以下のポートを開放します
  - TCP 80：SSL 証明書を検証する際に証明書失効リスト（CRL）をダウンロードする
  - TCP 443：アプリケーションプロキシサービスとのすべての送信通信

細かい URL の許可については、Docs の情報を確認してください。
https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/application-proxy-enable#open-your-ports

1. コネクタのダウンロード

まずは、App Proxy コネクタをインストールするためのモジュールを Azure Portal からダウンロードする必要があります。

Azure Portal に管理者アカウントでサインインして、[Azure Active Directory] ? [アプリケーションプロキシ]を選択します。[アプリケーションプロキシ]の画面遷移後に、[コネクタサービスのダウンロード]をクリックします。

画面遷移後に、[規約に同意してダウンロード]をクリックすると、[AADApplicationProxyConnectorInstaller.exe]がダウンロードできます。

2. App Proxy コネクタのインストール

前項「1」でダウンロードしたモジュールを、App Proxy コネクタをインストールするサーバー上で、実行します。

[AADApplicationProxyConnectorInstaller.exe]を実行すると、インストール画面が表示されるので、[I agree to the license terms and conditions]にチェックを入れて、[Install]をクリックします。

実行が進むとアカウントにサインイン画面が表示されるので、インストールする管理者アカウントを入力します。
※ ここで入力するアカウントは、Azure AD の全体管理者アカウントになります。

セットアップの完了画面が表示されたら[Close]をクリックします。

3. 確認方法

前項「2」のインストールが完了後の確認方法については、以下で確認することができます。

Azure Portal
- App Proxy がコネクタとして登録されていること
App Proxy コネクタサーバー
- サービスが起動していること

▼Azure Portal 上での確認方法
[Azure Active Directory] ? [アプリケーションプロキシ]を選択すると確認できます。

▼App Proxy 上でのサービス確認方法
[services.msc]を起動して、画像の2つのサービスが起動されていること

2つのサービスの役割は以下の通りとなっています。

Microsoft AAD アプリケーションプロキシコネクタ：接続を有効にします。
Microsoft AAD アプリケーションプロキシコネクタアップデーター：自動更新サービスです。アップデーターはコネクタの新しいバージョンをチェックし、必要に応じてコネクタを更新します。

4. アプリケーションの発行

項番「3」で、App Proxy コネクタとしてのインストールは完了しています。どの Web サーバーをどのように設定してユーザーへ公開させるのかは、Azure Portal 上で設定を行います。

[Azure Active Directory] ? [エンタープライズアプリケーション]を選択して、[新しいアプリケーション]をクリックします。

[アプリケーション追加]画面に遷移後、[オンプレミスのアプリケーション]をクリックします。

リダイレクトの設定画面に遷移されますので、設定後に[追加]をクリックします。
今回は、以下の様に構成します。

パススルー認証
App Proxy 既定のドメイン（msappproxy.net）

5. アプリケーションの割り当て

アプリケーションの割り当てを行うことで、ユーザーのアクセスパネル上に表示させることが可能です。そのため、ユーザーは Web サーバーに接続するための URL を覚えていなくてもアクセスパネルを利用することで簡単に接続が可能です。
プロキシの設定を実施後に画面遷移されますので、[ユーザーとグループ]をクリックします。

[ユーザーの追加]を選択して、割り当てるユーザー、またはグループを追加します。
※ 今回は、ユーザーにのみ割り当てを行います。

6. Web アクセス

ここまで実施すると、後はアクセスするのみです！

Web ブラウザーを起動して、[https://myapps.microsoft.com]にアクセスして、ユーザー認証を済ませて、今回作成したオンプレミスアプリをクリックしてみます。

無事に接続することができました！

「Microsoft Azure の導入・構築・運用」詳細はこちら

注意点

App Proxy コネクタが障害発生した場合は、Azure Portal 上で確認すると「アクティブ」から「非アクティブ」に変わっていることがわかります。この状態が10日間続くと App Proxy コネクタとしては機能しなくなってしまい再度インストールが必要になります。
※ Azure Portal 上から10日間以上非アクティブになった App Proxy コネクタは表示から削除されます。

「Microsoft Azure の導入・構築・運用」詳細はこちら

おわりに

いかがでしたでしょうか。それほど難しい設定はなく、比較的簡単に構築ができたのではないかと思います。
今回の構成は認証方式としてパススルー認証を採用しました。次回は「Azure Active Directory 認証」と条件付きアクセスの組み合わせで認証制御の実装を記事にしたいと思います。

最後まで読んでいただきありがとうございました！

次回予告