本記事に記載の内容は、
「Azure AD Application Proxy Connector (AADAPC)の実装方法」に関する内容となっています。
目次
AADAPC - Azure AD アプリケーション プロキシ とは
オンプレミス (社内/自宅)に存在しているWebアプリケーションに外部ネットワーク(外出先)から
VPNを利用せずに接続するようにするものです。
テレワークの推進により、VPNの利用者数が増えるとともにVPN機器のスペック問題が発生し
Azure AD アプリケーションプロキシに注目が集まっています。実際に今年は多くお声を頂き導入させて頂きました。
簡単に実装することが出来きるクラウドソリューションになったリバースプロキシと考えて頂ければよいと思います。
AADAPC - Azure AD アプリケーションプロキシの仕組み
Azure AD アプリケーションプロキシは、オンプレミスのWebアプリケーションと連携するために
Microsoft よりAzure AD アプリケーションプロキシ コネクタと呼ばれるツールが提供されています。
このプロキシ コネクタをオンプレミスのサーバーにインストールすると、
インストールしたサーバーがAzure ADと通信を行い、クライアント端末からの接続を待ち受付を行います。
クライアント端末から接続の要求が来ると、プロキシ コネクタを通して
オンプレミスのWebアプリケーションに接続することが可能となります。
AADAPC - Azure AD アプリケーションプロキシ コネクタの前提条件
以下のような前提条件があるため、事前にクリアしておいてください。
- TLS 1.2 で通信できること
※以下レジストリを設定することで、TLS1.2が有効化されますcommand Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]"DisabledByDefault"=dword:00000000"Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]"DisabledByDefault"=dword:00000000"Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001 - アウトバンド トラフィックに対する以下ポートの開放
- 80
- 443
- 以下URLへのアクセスを許可
※URL登録が出来ない場合は、
IPアドレスも公開されていますが毎週更新されるので管理が大変になります。
- *.msappproxy.net
- *.servicebus.windows.net
- login.windows.net
- secure.aadcdn.microsoftonline-p.com
- *.microsoftonline.com
- *.microsoftonline-p.com
- *.msauth.net
- *.msauthimages.net
- *.msecnd.net
- *.msftauth.net
- *.msftauthimages.net
- *.phonefactor.net
- enterpriseregistration.windows.net
- management.azure.com
- policykeyservice.dc.ad.msft.net
- ctldl.windowsupdate.com
- www.microsoft.com/pkiops
- ctldl.windowsupdate.com
- crl3.digicert.com
- crl4.digicert.com
- ocsp.digicert.com
- crl.microsoft.com
- oneocsp.microsoft.com
- ocsp.msocsp.com
AADAPC - Azure AD アプリケーションプロキシ コネクタ 導入手順
Azure AD Application Proxy Connectorの導入手順を以下に記載してきます。
Azure AD Application Proxy Connector - インストール手順
- Azure Active Directory admin center に接続し、
左側のメニューより[Azure Active Directory]をクリックします。![Azure Active Directory admin center に接続し、 左側のメニューより[Azure Active Directory]をクリック](https://kurataku.com/wp-content/uploads/2021/11/cd113c368c8626ddcc4493bd9ad44dad.png)
- 展開された画面の左側のメニューより[アプリケーション プロキシ]をクリックします。
![左側のメニューより[アプリケーション プロキシ]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAApwAAAIhAQAAAADLZFejAAAAAnRSTlMAAHaTzTgAAABESURBVHja7cExAQAAAMKg9U9tDQ+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAKwO09QABnicSqwAAAABJRU5ErkJggg==)
- 展開されたアプリケーション プロキシ画面の
上部に存在している[コネクタ サービスのダウンロード]をクリックします。![アプリケーション プロキシ画面の 上部に存在している[コネクタ サービスのダウンロード]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAzgAAAGZAQAAAABtKKlNAAAAAnRSTlMAAHaTzTgAAAA/SURBVBgZ7cEBDQAAAMIg+6d+DwcMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAOBcpigAAeT42y8AAAAASUVORK5CYII=)
- 画面右側にアプリケーション プロキシ コネクタのダウンロード画面が表示されるので
画面内にある[規約に同意してダウンロード]をクリックします。![アプリケーション プロキシ コネクタのダウンロード画面が表示されるので 画面内にある[規約に同意してダウンロード]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA0wAAAH/AQAAAABMJ2DoAAAAAnRSTlMAAHaTzTgAAABLSURBVHja7cEBAQAAAIIg/69uSEABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAFcG1ZUAAa+ahjgAAAAASUVORK5CYII=)
- ダウンロードが完了したら、ダウンロードされたファイルを実行します。
- ファイル名:AADApplicationProxyConnectorInstaller.exe
- ファイル名:AADApplicationProxyConnectorInstaller.exe
- 開いているファイル - セキュリティの警告画面が表示されたら[実行]をクリックします。
- [I agree to the license terms and conditions]にチェックを入れ、
[Install]をクリックします。![[I agree to the license terms and conditions]にチェックを入れ、 [Install]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAaQAAAEgAQAAAADTFjpWAAAAAnRSTlMAAHaTzTgAAAAmSURBVGje7cExAQAAAMKg9U9tCU+gAAAAAAAAAAAAAAAAAAAAPgY8wAABvf5/BQAAAABJRU5ErkJggg==)
- サインイン画面が表示されるため、
Microsoft 365 の管理者権限を持っているアカウントのメールアドレスを入力し
[次へ]をクリックします。![Microsoft 365 の管理者権限を持っているアカウントのメールアドレスを入力し [次へ]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAASwAAAEKAQAAAACA81XzAAAAAnRSTlMAAHaTzTgAAAAhSURBVGje7cExAQAAAMKg9U9tB2+gAAAAAAAAAAAAAB4DKIYAAZfGE+MAAAAASUVORK5CYII=)
- 次にパスワードを入力し、[サインイン]をクリックします。
- Setup Successful 画面にて[Close]をクリックします。
![Setup Successful 画面にて[Close]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAASwAAADQAQAAAACVIWEOAAAAAnRSTlMAAHaTzTgAAAAeSURBVBgZ7cExAQAAAMIg+6deCy9gAAAAAAAAAMBdH7AAAe0JzsMAAAAASUVORK5CYII=)
![左側のメニューより[アプリケーション プロキシ]をクリック](https://kurataku.com/wp-content/uploads/2021/11/da41a7fd27f939231b8505d0b244496f.png)
![アプリケーション プロキシ画面の 上部に存在している[コネクタ サービスのダウンロード]をクリック](https://kurataku.com/wp-content/uploads/2021/11/3d9241f5b0ab0563757c893d7b1da5ee.png)
![アプリケーション プロキシ コネクタのダウンロード画面が表示されるので 画面内にある[規約に同意してダウンロード]をクリック](https://kurataku.com/wp-content/uploads/2021/11/da95e5c70483d968831737fcb81d5ed0.png)
![[I agree to the license terms and conditions]にチェックを入れ、 [Install]をクリック](https://kurataku.com/wp-content/uploads/2021/11/017b8990e30d9d0f3659759c2d5ba291.png)
![Microsoft 365 の管理者権限を持っているアカウントのメールアドレスを入力し [次へ]をクリック](https://kurataku.com/wp-content/uploads/2021/11/b9ecfc4c50a89e8a57fc8a0fd3385bd1-300x266.png)
![Setup Successful 画面にて[Close]をクリック](https://kurataku.com/wp-content/uploads/2021/11/949b35402b82232b7eb532d599883011-300x208.png)
Azure AD Application Proxy Connector - 管理画面での動作確認方法
- Azure Active Directory admin center に接続し、
左側のメニューより[Azure Active Directory]をクリックします。 - 展開された画面の左側のメニューより[アプリケーション プロキシ]をクリックします。
- 稼働中のアプリケーション プロキシ コネクタ が導入されたサーバーが一覧で表示されます。
Azure AD Application Proxy Connector - サーバーでの動作確認方法
- [サービス]を立ち上げます。
- Microsoft AAD Application Proxy Connector が実行中になっていることを確認します。
さいごに・・・
本記事では、アプリケーションプロキシ コネクタの導入方法について記載しました。
前提条件のクリアは絶対条件になりますが、構築手順は少ないです。
コネクタサーバーの冗長化など、社内ソリューションへの接続性を担保するためには
コネクタグループというものを構成することになります。
簡単に構築することはできますが、Webアプリケーションとの連携は考えなければいけないことが
おおく出てきますので、机上での確認を必ずおこなってくださいね。