本文へ移動します

クラウドエンジニアブログ

Azure AD Application Proxy を触ってみよう②

田中 敬泰

田中 敬泰

はじめに

皆さん、こんにちは。田中です。

前回は、Azure AD Premium の機能の一部である ”Azure AD Application Proxy(以下、App Proxy)” の構築をご紹介しました。
今回は、「Azure Active Directory(以下、Azure AD)認証」と条件付きアクセスの組み合わせで、認証制御の実装をご紹介したいと思います。

Azure AD 認証と条件付きアクセス

まず、今回利用する Azure AD 認証と条件付きアクセスについて少し触れておきます。

App Proxy による Azure AD 認証は、事前認証の設定になります。前回はパススルー認証で構成したので、事前のユーザー認証はかかりませんでした。しかし、今回は事前認証として Azure AD 認証を利用するため、Web サイトにアクセスする前に、Azure AD で事前に認証をかけることが可能になります。

条件付きアクセスは特定のアプリケーションに対して、「誰が、何(アプリ)を、どの場所から」等をアクセス制御の対象として実装することが可能です。条件付きアクセスは、Azure AD で認証制御を行うため、今回実施する Azure AD 認証ととても相性が良いです。

Azure AD 認証と条件付きアクセスを組み合わせることで、Azure AD 認証を行いつつ、アクセス制御の実現が可能となります。

では構築に入ってみましょう!

構築してみよう

前回、アプリケーションを発行していますので、そちらの構成を変更して Azure AD 認証と条件付きアクセスの組み合わせを実装していきたいと思います。

また、条件付きアクセスを利用する場合の前提条件がありますので、ご留意していただければと思います。

  • 前提条件
    • Azure AD Premium のサブスクリプション

今回実施する全体の流れを、簡易ではありますが以下に記載しておきます。

  1. 事前認証を「Azure AD」に変更
  2. 条件付きアクセスによるアクセス制御の実装
    • ※ 今回は多要素認証(MFA)でセキュリティ強化を図ります。

1-1.事前認証の変更

まずは、前回発行済みのアプリケーションの事前認証を変更していきます。

[Azure Active Directory]?[エンタープライズアプリケーション]を選択して、[発行したアプリケーション]をクリックします。

事前認証の変更

画面遷移後に、[アプリケーションプロキシ]をクリックします。事前認証を[Azure Active Directory]に変更し、[保存]をクリックします。

事前認証の変更

1-2.Azure AD 認証への変更確認

前項「1-1」で変更した認証に変更されたことを確認するため、今回は直接 URL を入力して確認したいと思います。

Web ブラウザーを起動して、[発行したアプリケーションの外部 URL]にアクセスします。

Azure AD 認証への変更確認

Azure AD の認証画面に遷移されれば 事前認証が Azure AD 認証に切替っていることが確認できます。

Azure AD 認証への変更確認

実際に認証を済ませて、アプリケーションの画面が表示されれば問題ないです。

Azure AD 認証への変更確認

2-1.条件付きアクセスの設定

前項「1-2」の事前認証における「Azure AD 認証」と、「条件付きアクセス」を利用してアクセス制御を掛けていきたいと思います。
条件付きアクセスは、「誰が、何(アプリ)を、どの場所から」等のポリシーを定義して、有効化することで、利用が可能となります。
今回は、多要素認証を要求させるように構成したいと思います。

  • ※ 条件付きアクセスを利用する場合は、Azure AD Premium のサブスクリプションが必要となります。

[Azure Active Directory]?[エンタープライズアプリケーション]-[発行したアプリケーション]?[条件付きアクセス]をクリックし、[新しいポリシー]をクリックします

条件付きアクセスの設定

条件付きアクセスで作成する[名前]を入力します。[名前]が無い場合は、最終的に作成ができませんので、必ず入力をしてください。

条件付きアクセスの設定

ここではアクセス制御対象のユーザー、またはグループを指定します。
[割り当て]の中で[ユーザーとグループ]を選択します。ラジオボタンで[ユーザーとグループの選択]を選択し、[ユーザーとグループ]にチェックを入れます。[選択]が表示されますので、選択後に対象のユーザー、またはグループを選択し、[選択]をクリックします。
その後に [完了]が選択できるようになるため、[完了]をクリックします。

  • ※ 今回は、[ユーザーとグループ]ユーザーにのみ割り当てを行います。

[ユーザーとグループの選択]は以下の3つの選択可能ですが、プレビュー機能は機能変更によって変更が入る可能性がありますので、ご留意ください。

  • すべてのゲストユーザー:userType 属性が guest に設定されている任意のユーザーアカウントを対象にします。
  • ディレクトリロール:グローバル管理者またはパスワード管理者などのディレクトリロールを対象にします。
  • ユーザーとグループ:ユーザー、グループを対象にします。
    https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/conditions
条件付きアクセスの設定

続いて、アクセス制御対象のアプリケーションを指定します。
[割り当て]の中で[クラウドアプリ]を選択します。対象アプリが選択されていることを確認します。

条件付きアクセスの設定

対象のアプリケーションの割り当てがされていない場合は、[選択]をクリックして[発行したアプリケーション]を選択し、[選択]をクリック後に[完了]をクリックします。

条件付きアクセスの設定

続いて、アクセス制御の条件を設定します。
現時点では、以下の5つで条件を構成することが可能です。

左右にスクロールしてご覧ください。

設定項目 説明
サインインのリスク 他人によるサインインの可能性。リスクレベルは高、中、または低になります。Azure AD Premium 2 ライセンスが必要です。
デバイスプラットフォーム ユーザーがサインインしているプラットフォーム。例:iOS
場所 ユーザーがサインインしている場所(IP アドレスの範囲を使用して特定)
クライアントアプリ ユーザーがクラウドアプリへのアクセスに使用しているソフトウェア。
例:ブラウザー
デバイスの状態 ユーザーがサインインしているデバイスが[ハイブリッド Azure AD 参加済み]と[準拠としてマーク済み]のどちらであるか。

今回は、以下の条件で構成したいと思います。

  • デバイスプラットフォーム
  • 場所
  • クライアントアプリ

[割り当て]の中で[条件]を選択します。[デバイスプラットフォーム]を選択して、[構成]を“はい”に選択後、対象が非グレーアウトになります。
[デバイスプラットフォームの選択]を選択した後に、対象のプラットフォームを指定して、[完了]をクリックします。

  • ※ 選択したプラットフォームはアクセス制御の対象となりますので、注意してください。
  • ※ 今回は、Windows をアクセス制御対象としたいと思います。
条件付きアクセスの設定

[場所]を選択して、[構成]を“はい”に選択後、対象が非グレーアウトになります。
[制御対象としたい場所]を選択した後に、[完了]をクリックします。

  • ※ [すべての場所]を選択した場合は、どの場所からアクセスしても対象となります。
条件付きアクセスの設定

[クライアントアプリ]を選択して、[構成]を“はい”に選択後、対象が非グレーアウトになります。
[制御対処をしたいクライアントアプリ]を選択した後に、[完了]をクリックします。

  • ※ 今回は、ブラウザーをアクセス制御対象としたいと思います。
条件付きアクセスの設定

[条件]の設定が完了後、[完了]をクリックします。

条件付きアクセスの設定

続いて、どのようなアクセス制御を掛けるのかを設定します。
[アクセス制御]の中の[許可]をクリックします。[アクセス権の付与]を選択し、[適用するコントロール]を設定後、[選択]をクリックします。

  • ※ 今回は、アクセス制御として、「多要素認証」を要求したいと思います。
条件付きアクセスの設定

ここまでで、条件付きアクセスの設定は完了になります。[ポリシーの有効化]を[オン]にして、[作成]をクリックします。

条件付きアクセスの設定

2-2.Web アクセス

条件付きアクセスの設定が完了したため、再度アクセスしてみましょう!

Web ブラウザーを起動して、[発行したアプリケーションの外部 URL]にアクセスします。

Web アクセス

Azure AD の認証画面に遷移されれば Azure AD 認証に、事前認証が切替っていることが確認できます。

Web アクセス

実際に認証を済ませてみると、[詳細情報が必要]と表示されます。[次へ]をクリックします。

  • ※ 本画面は、初回設定のみとなります。次回以降は、多要素認証として設定した情報でサインインが可能となります。
Web アクセス

追加のセキュリティ情報を入力した上で、[次へ]をクリックします。

  • ※ 今回は、SMS によるコードを要求する設定とします。
Web アクセス

SMS でコードが通知されるので、コードを入力後に[確認]をクリックします。

Web アクセス

多要素認証の設定は完了となります。[完了]をクリックします。

Web アクセス

その後、アプリケーションの画面が表示されれば問題ないです。

Web アクセス

その他

今回は多要素認証を利用したアクセス制御を実施しましたが、Intune を利用して条件付きアクセスを構成すれば会社が認めたデバイスでしかアクセスさせないよう構成することも可能です。その場合は、Intune によるデバイス登録をすることで実現ができます。
単純に Azure AD 認証するだけではなく、条件付きアクセスと組み合わせることでセキュアな環境を構成することが可能になります。通常は外部公開できない社内アプリケーションも App Proxy と条件付きアクセスを組み合わせることで、社外ネットワークから利用することもでき、柔軟な働き方を実現する一つの手段ともなりますので、是非ご活用ください。

おわりに

今回の構成は認証方式として Azure AD 認証を採用して、条件付きアクセスでアクセス制御を実現しました。
次回は App Proxy で 公開されているアプリケーションに「シングルサインオン」を利用した構成を紹介したいと思います。

最後までお読みいただきありがとうございました!


次回予告


お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
NOZ
メールマガジン登録