「Azure AD アプリケーション プロキシ」~オンプレミス アプリケーションへの安全なリモートアクセスを実現~
「Azure AD アプリケーション プロキシ」とは?
働き方やツールの変化により、SaaS(サービスとしてのソフトウェア)アプリケーションが業務で広く利用されるようになりました。データはオンプレミスとクラウドの両環境に跨り、外出先や自宅からアクセスするリモートユーザーは、安全な企業ネットワーク内から全く出ることなく業務をすることはほとんど無くなりました。このような変化は生産性の向上や共同作業の効率化に貢献してきましたが、機密性の高いデータの保護を難しくしています。そこで、VPNを介さずに安全かつ簡単に内部(オンプレミス)アプリケーションへのアクセスを実現するのが「Azure AD アプリケーション プロキシ」です。
「Azure AD アプリケーション プロキシ」は何が便利なのか?
一般的に、社外からオンプレミスのアプリケーションサーバにアクセスする方式として「インターネットVPN」や「リモートデスクトップ」がありますが、それぞれ下記のような懸念事項があります。
| インターネットVPN | リモートデスクトップ |
|---|---|
| VPNデバイスの脆弱性を狙った不正アクセスや速度低下の可能性がある | 専用のUSBや外部サービス、または社内サーバーが必要であるため、それらの運用コストがかかる |
その一方で、Azureに移行したサーバーやサードパーティーのPaaSやSaaSにアクセスする場合は、認証基盤に「Azure AD」を利用することができます。
このことにより、インターネットVPNなどを使った「オンプレミスアプリケーションへのアクセス」と「Azureにシフトしたサーバやサードパーティーのクラウドサービスへのアクセス」で認証方式が2つに分断されている場合があります。
しかし、多くのサードパーティーのクラウドサービスは、SAML認証によって「Azure AD」にシングルサインオン(SSO)ができる仕様になっています。
そこで便利なのが「Azure AD アプリケーション プロキシ」です。「Azure AD アプリケーション プロキシ」により、Azureに加えてオンプレミスアプリケーションの認証基盤も「Azure AD」に統一できますので、ユーザーは「Microsoft 365」やその他のSaaS アプリケーションにアクセスするのと同じように、オンプレミス のアプリケーションにアクセスできるようになります。さらに、「Microsoft 365」の機能を使った多要素認証(MFA)や条件付きアクセスによる認証時のセキュリティも担保することができます。
「Azure AD アプリケーション プロキシ」の主な特徴とメリット
「Azure AD アプリケーション プロキシ」を利用することで、下記のようなメリットがあります。
| 1.セキュアなリモートアクセス | |
|---|---|
| 特長 | オンプレミスのWebアプリケーションやリソースに「Azure AD認証」を利用することにより、安全かつ簡単にリモートアクセスができるようになる。 |
| メリット | 従業員や外部のパートナーが必要な情報にアクセスするためにVPN接続を確立する必要がなくなる。 |
| 2.シンプルかつ安全なアクセス管理 | |
|---|---|
| 特長 | 「Azure AD 認証」と「多要素認証(MFA)」や条件付きアクセス機能を利用できる。 |
| メリット | 従業員や外部のパートナーのアクセス許可を簡単に効率的に制御できる。 |
| 3.ユーザーエクスペリエンスの向上 | |
|---|---|
| 特長 | 社内アプリケーションに対するアクセスをシングルサインオン(SSO)で提供できる。 |
| メリット | 「Azure AD」の資格情報だけで、オンプレミスやクラウドにあるアプリケーションにアクセスできる。 |
| 4.オンプレミスのアプリケーションの利便性向上 | |
|---|---|
| 特長 | オンプレミスのアプリケーションを社外へ公開しつつ、安全に運用することができる。 |
| メリット | 既存システムをクラウドに移行する必要がなくなり投資コストを抑制できる。 |
「Azure AD アプリケーション プロキシ」はこんなお悩みをお持ちの方におススメ
- どうしてもクラウド移行できない事情がある社内(オンプレミス)アプリケーションがある。
- ユーザーに社外から安全かつ簡単に社内(オンプレミス)アプリケーションを使って欲しいが、インターネットVPNは使わせたくない。
- 社内(オンプレミス)アプリケーションをDMZに公開したくない。
- 社内(オンプレミス)アプリケーションにできるだけ手を加えたくない。
- 一旦クラウドに移行したが、再度オンプレミスに回帰させたいアプリケーションの認証についてもクラウドと統一したい。
「Azure AD アプリケーション プロキシ」の前提条件とシステム構成
【前提条件】
「Azure AD アプリケーション プロキシ」を利用するにはユーザー数分の「Azure AD Premium P1」または「Azure AD Premium P2」ライセンスが必要です。
【構成イメージ】
【システム構成の詳細】
- 企業ネットワーク内のサーバーにアプリケーション プロキシ コネクタ(以下コネクタ)をインストール
- コネクタは自動的に「Azure AD アプリケーション プロキシ」へ接続
- ユーザーがクラウドサービス上の アプリケーション プロキシへ接続するとオンプレミスのアプリケーションサーバへ誘導される
- インバウンドのポート変更は不要(アウトバウンドのポート開放は必要)
- 複数のサーバーにコネクタをインストールする事で冗長性を確保
- 複数のコネクタサーバーをグループ化可能(コネクタグループ)
- 単一のコネクタで複数の アプリケーション公開が可能
- オンプレミスの AD とユーザー ID やパスワードを同期して同一アカウントでログイン可能
- 「Azure AD」による事前認証が可能(多要素認証にも対応)
- 監査レポートによって異常なアクティビティを検知
【コネクタサーバーのシステム要件】
オンプレミス環境にコネクタ(無償)をインストールするサーバーが必要です。最小スペックは下記の通りです。
- OS:Windows Server 2012 R2 以降
- CPU:2コア
- RAM:8GB
- 台数:2台以上を推奨
| コア数 | RAM | 予想される待機時間(ミリ秒)※99パーセンタイル値 | 最大TPS(Transaction Per Second) |
|---|---|---|---|
| 2 | 8 | 325 | 586 |
| 4 | 16 | 320 | 1150 |
| 8 | 32 | 270 | 1190 |
| 16 | 64 | 245 | 1200* |
*本マシンでは既定の接続制限の一部について、Microsoftが開発するフレームワーク「.NET」 の推奨上限値を引き上げるためにカスタム設定を使用しました。 お使いのテナントでこの上限値を変更する場合は、サポートに連絡する前に、既定の設定でテストを実行することを推奨します。
【本システム構成のメリット】
本システム構成により、下記の作業をする必要がなくなります。
- Webアプリケーション側へのエージェントのインストール
- Webアプリケーション側での設定変更
- 公開対象アプリケーションをインターネット上への公開
「Azure AD アプリケーション プロキシ」の価格
「Azure AD アプリケーション プロキシ」を利用するには下記のライセンスのいずれかが必要です。
【必要なライセンス】
| ライセンス名 | 参考価格 |
|---|---|
| Azure Active Directory Premium P1 (Microsoft365 E3に含まれています) | 842.971円(1ユーザー/月)※ |
| Azure Active Directory Premium P2 (Microsoft365 E5に含まれています) | 1,264.456円(1ユーザー/月)※ |
※年間契約の場合の月額費用(2023年6月6日時点のMicrosoft公開情報に基づきます)、1USD=140.495 JPYで計算
※消費税は含まれておりません。
「Azure AD アプリケーション プロキシ」構築サービス
お客様に代わって「Azure AD アプリケーション プロキシ」によるオンプレミスWebアプリケーションの公開環境を構築いたします(※)。基本環境の構築の他、複数のオプションをご用意しております。価格を含む詳細につきましては、弊社までお気軽にお問い合わせください。
| 実施事項 | 内容 |
|---|---|
| 基本環境の構築 | 公開Webアプリケーションに関する各種Azure ADアプリケーション設定、SSL証明書登録、 オンプレミスサーバへのコネクターサービス設定(Azure ADへの転送設定) |
| オプション | 詳細な内容についてはお問い合わせください |
※本サービスは弊社のCSPサービス契約を締結しているお客様向けのサービスとなります。
「Azure AD アプリケーション プロキシ」につきましては、ディーアイエスサービス&ソリューションまでお気軽にお問い合わせください。