「Microsoft Entra アプリケーション プロキシ」~オンプレミス アプリケーションへの安全なリモートアクセスを実現~
目次
- 1 Microsoft Entra アプリケーション プロキシ(旧Azure AD アプリケーション プロキシ)とは?
- 2 「Microsoft Entra アプリケーション プロキシ」は何が便利なのか?
- 3 「Microsoft Entra アプリケーション プロキシ」の主な特徴とメリット
- 4 「Microsoft Entra アプリケーション プロキシ」はこんなお悩みをお持ちの方におススメ
- 5 「Microsoft Entra アプリケーション プロキシ」の前提条件とシステム構成
- 6 「Microsoft Entra アプリケーション プロキシ」の価格
- 7 「Microsoft Entra アプリケーション プロキシ」構築サービス
Microsoft Entra アプリケーション プロキシ
(旧Azure AD アプリケーション プロキシ)とは?
働き方やツールの変化により、SaaS(サービスとしてのソフトウェア)アプリケーションが業務で広く利用されるようになりました。データはオンプレミスとクラウドの両環境に跨り、外出先や自宅からアクセスするリモートユーザーは、安全な企業ネットワーク内から全く出ることなく業務をすることはほとんど無くなりました。
このような変化は生産性の向上や共同作業の効率化に貢献してきましたが、機密性の高いデータの保護を難しくしています。そこで、VPNを介さずに安全かつ簡単に内部(オンプレミス)アプリケーションへのアクセスを実現するのが「Microsoft Entra アプリケーション プロキシ」です。
「Microsoft Entra アプリケーション プロキシ」は何が便利なのか?
一般的に、社外からオンプレミスのアプリケーションサーバにアクセスする方式として「インターネットVPN」や「リモートデスクトップ」がありますが、それぞれ下記のような懸念事項があります。
インターネットVPN
VPNデバイスの脆弱性を狙った不正アクセスや速度低下の可能性がある
リモートデスクトップ
専用のUSBや外部サービス、または社内サーバーが必要であるため、それらの運用コストがかかる
その一方で、Azureに移行したサーバーやサードパーティーのPaaSやSaaSにアクセスする場合は、認証基盤に「Microsoft Entra ID(旧Azure AD)」を利用することができます。
このことにより、インターネットVPNなどを使った「オンプレミスアプリケーションへのアクセス」と「Azureにシフトしたサーバやサードパーティーのクラウドサービスへのアクセス」で認証方式が2つに分断されている場合があります。
しかし、多くのサードパーティーのクラウドサービスは、SAML認証によって「Microsoft Entra ID」にシングルサインオン(SSO)ができる仕様になっています。
そこで便利なのが「Microsoft Entra アプリケーション プロキシ」です。「Microsoft Entra アプリケーション プロキシ」により、Azureに加えてオンプレミスアプリケーションの認証基盤も「Microsoft Entra ID」に統一できますので、ユーザーは「Microsoft 365」やその他のSaaS アプリケーションにアクセスするのと同じように、オンプレミス のアプリケーションにアクセスできるようになります。さらに、「Microsoft 365」の機能を使った多要素認証(MFA)や条件付きアクセスによる認証時のセキュリティも担保することができます。
「Microsoft Entra アプリケーション プロキシ」の主な特徴とメリット
「Microsoft Entra アプリケーション プロキシ」を利用することで、下記のようなメリットがあります。
1.セキュアなリモートアクセス
特長
オンプレミスのWebアプリケーションやリソースに「Microsoft Entra 認証」を利用することにより、安全かつ簡単にリモートアクセスができるようになる。
メリット
従業員や外部のパートナーが必要な情報にアクセスするためにVPN接続を確立する必要がなくなる。
2.シンプルかつ安全なアクセス管理
特長
「Microsoft Entra 認証」と「多要素認証(MFA)」や条件付きアクセス機能を利用できる。
メリット
従業員や外部のパートナーのアクセス許可を簡単に効率的に制御できる。
3.ユーザーエクスペリエンスの向上
特長
社内アプリケーションに対するアクセスをシングルサインオン(SSO)で提供できる。
メリット
「Microsoft Entra ID」の資格情報だけで、オンプレミスやクラウドにあるアプリケーションにアクセスできる。
4.オンプレミスのアプリケーションの利便性向上
特長
オンプレミスのアプリケーションを社外へ公開しつつ、安全に運用することができる。
メリット
既存システムをクラウドに移行する必要がなくなり投資コストを抑制できる。
「Microsoft Entra アプリケーション プロキシ」はこんなお悩みをお持ちの方におススメ
- どうしてもクラウド移行できない事情がある社内(オンプレミス)アプリケーションがある。
- ユーザーに社外から安全かつ簡単に社内(オンプレミス)アプリケーションを使って欲しいが、インターネットVPNは使わせたくない。
- 社内(オンプレミス)アプリケーションをDMZに公開したくない。
- 社内(オンプレミス)アプリケーションにできるだけ手を加えたくない。
- 一旦クラウドに移行したが、再度オンプレミスに回帰させたいアプリケーションの認証についてもクラウドと統一したい。
「Microsoft Entra アプリケーション プロキシ」の前提条件とシステム構成
【前提条件】
「Microsoft Entra アプリケーション プロキシ」を利用するにはユーザー数分の「Microsoft Entra ID P1(旧Azure AD Premium P1)」または「Microsoft Entra ID P2(旧Azure AD Premium P2)」ライセンスが必要です。
【構成イメージ】
【システム構成の詳細】
- 企業ネットワーク内のサーバーにアプリケーション プロキシ コネクタ(以下コネクタ)をインストール
- コネクタは自動的に「Microsoft Entra アプリケーション プロキシ」へ接続
- ユーザーがクラウドサービス上の アプリケーション プロキシへ接続するとオンプレミスのアプリケーションサーバへ誘導される
- インバウンドのポート変更は不要(アウトバウンドのポート開放は必要)
- 複数のサーバーにコネクタをインストールする事で冗長性を確保
- 複数のコネクタサーバーをグループ化可能(コネクタグループ)
- 単一のコネクタで複数の アプリケーション公開が可能
- オンプレミスの AD(Active Directory) とユーザー ID やパスワードを同期して同一アカウントでログイン可能
- 「Microsoft Entra ID」による事前認証が可能(多要素認証にも対応)
- 監査レポートによって異常なアクティビティを検知
【コネクタサーバーのシステム要件】
オンプレミス環境にコネクタ(無償)をインストールするサーバーが必要です。最小スペックは下記の通りです。
OS:Windows Server 2012 R2 以降、CPU:2コア、RAM:8GB、台数:2台以上を推奨
| コア数 | RAM | 予想される待機時間(ミリ秒) ※99パーセンタイル値 | 最大TPS (Transaction Per Second) |
|---|---|---|---|
| 2 | 8 | 325 | 586 |
| 4 | 16 | 320 | 1150 |
| 8 | 32 | 270 | 1190 |
| 16 | 64 | 245 | 1200* |
*本マシンでは既定の接続制限の一部について、Microsoftが開発するフレームワーク「.NET」 の推奨上限値を引き上げるためにカスタム設定を使用しました。 お使いのテナントでこの上限値を変更する場合は、サポートに連絡する前に、既定の設定でテストを実行することを推奨します。
【本システム構成のメリット】
本システム構成により、下記の作業をする必要がなくなります。
- Webアプリケーション側へのエージェントのインストール
- Webアプリケーション側での設定変更
- 公開対象アプリケーションをインターネット上への公開
「Microsoft Entra アプリケーション プロキシ」の価格
「Microsoft Entra アプリケーション プロキシ」を利用するには下記のライセンスのいずれかが必要です。
【必要なライセンス】
| ライセンス名 | 参考価格 |
|---|---|
| Microsoft Entra ID P1(旧Azure AD Premium P1) Microsoft 365 E3に含まれています | 842.971円(1ユーザー/月)※ |
| Microsoft Entra ID P2(旧Azure AD Premium P2) Microsoft 365 E5に含まれています | 1,264.456円(1ユーザー/月)※ |
※年間契約の場合の月額費用(2023年6月6日時点のMicrosoft公開情報に基づきます)、1USD=140.495 JPYで計算
※消費税は含まれておりません。
「Microsoft Entra アプリケーション プロキシ」構築サービス
お客様に代わって「Microsoft Entra アプリケーション プロキシ」によるオンプレミスWebアプリケーションの公開環境を構築いたします(※)。基本環境の構築の他、複数のオプションをご用意しております。価格を含む詳細につきましては、弊社までお気軽にお問い合わせください。
※本サービスは弊社のCSPサービス契約を締結しているお客様向けのサービスとなります。
| 実施事項 | 内容 |
|---|---|
| 基本環境の構築 | 公開Webアプリケーションに関する各種Microsoft Entraアプリケーション設定、SSL証明書登録、 オンプレミスサーバへのコネクターサービス設定(Microsoft Entra IDへの転送設定) |
| オプション | 詳細な内容についてはお問い合わせください |
「Microsoft Entra アプリケーション プロキシ」につきましては、ディーアイエスサービス&ソリューションまでお気軽にお問い合わせください。
