送信プロキシ サーバーを使用するように Microsoft Entra プライベート ネットワーク コネクタを構成します。 この記事では、ネットワーク環境にプロキシ サーバーがすでに存在することを前提としています。
まず、次の主なデプロイ シナリオを見ていきます。
- オンプレミスの送信プロキシをバイパスするようにコネクタを構成します。
- 送信プロキシを使用して Microsoft Entra アプリケーション プロキシにアクセスするようにコネクタを構成します。
- コネクタとバックエンド アプリケーション間のプロキシを使用して構成します。
コネクタのしくみの詳細については、「 Microsoft Entra プライベート ネットワーク コネクタについて」を参照してください。
送信プロキシをバイパスする
コネクタには、送信要求を行う基になる OS コンポーネントがあります。 これらのコンポーネントは、Web プロキシ自動検出 (WPAD) を使用して、ネットワーク上のプロキシ サーバーを自動的に検索しようとします。
OS コンポーネントは、 wpad.domainsuffix のドメイン ネーム システム (DNS) 参照を実行して、プロキシ サーバーの検索を試みます。 ルックアップが DNS で解決されると、HTTP 要求が wpad.dat のインターネット プロトコル (IP) アドレスに対して行われます。 この要求は、環境内のプロキシ構成スクリプトになります。 コネクタは、このスクリプトを使用して送信プロキシ サーバーを選択します。 ただし、プロキシでより多くの構成設定が必要になるため、コネクタ トラフィックは引き続き失敗する可能性があります。
オンプレミスのプロキシをバイパスするようにコネクタを構成して、Microsoft Entra アプリケーション プロキシ サービスへの直接接続を使用するようにすることができます。 直接接続は、必要な構成が少ないため、推奨されます。 ただし、一部のネットワークポリシーでは、トラフィックがローカルプロキシサーバーを経由する必要があります。
コネクタの送信プロキシの使用を無効にするには、 C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config ファイルを編集し、コード サンプルに示されている system.net セクションを追加します。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy enabled="false"></defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
Connector Updater サービスもプロキシをバイパスするようにするには、 MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config ファイルに同様の変更を加えます。 このファイルは C:\Program Files\Microsoft Entra private network connector Updater にあります。
デフォルトの .config ファイルに戻す必要がある場合に備えて、必ず元のファイルのコピーを作成してください。
送信プロキシ サーバーを使用する
一部の環境では、すべての送信トラフィックが例外なく送信プロキシを経由する必要があります。 そのため、プロキシをバイパスすることはできません。
次の図に示すように、送信プロキシを経由するようにコネクタ トラフィックを構成できます。
送信トラフィックのみが存在するため、ファイアウォール経由の受信アクセスを構成する必要はありません。
注
アプリケーション プロキシは、他のプロキシへの認証をサポートしていません。 コネクタ/アップデーターネットワークサービスアカウントは、認証を要求されることなくプロキシに接続できる必要があります。
手順 1: 送信プロキシを経由するようにコネクタと関連サービスを構成する
WPAD が環境で有効になっており、適切に構成されている場合、コネクタは送信プロキシ サーバーを自動的に検出し、使用を試みます。 ただし、送信プロキシを経由するようにコネクタを明示的に構成できます。
これを行うには、 C:\Program Files\Microsoft Entra private network connector\MicrosoftEntraPrivateNetworkConnectorService.exe.config ファイルを編集し、コード サンプルに示されている system.net セクションを追加します。
proxyserver:8080をローカル プロキシ サーバー名または IP アドレスとポートを反映するように変更します。 IP アドレスを使用している場合でも、値にはプレフィックス http:// を付ける必要があります。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True"/>
</defaultProxy>
</system.net>
<runtime>
<gcServer enabled="true"/>
</runtime>
<appSettings>
<add key="TraceFilename" value="MicrosoftEntraPrivateNetworkConnector.log" />
</appSettings>
</configuration>
次に、プロキシを使用するようにコネクタ アップデータ サービスを構成するには、 C:\Program Files\Microsoft Entra private network connector Updater\MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config ファイルに同様の変更を加えます。
注
コネクタ サービスは、defaultProxy が MicrosoftEntraPrivateNetworkConnectorService.exe.configで (デフォルトで) 構成されていない場合、%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config での使用について defaultProxy 構成を評価します。Connector Updaterサービス(MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config)も同様です。
手順 2: コネクタと関連サービスからのトラフィックが通過できるようにプロキシを構成する
アウトバウンドプロキシでは、次の4つの側面を考慮する必要があります。
- プロキシ送信ルール
- プロキシ認証
- プロキシポート
- トランスポート層セキュリティ (TLS) 検査
プロキシ送信ルール
次の URL へのアクセスを許可します。
| URL | 港 / ポート | 用途 |
|---|---|---|
| *.msappproxy.net *.servicebus.windows.net |
443/HTTPS | コネクタとアプリケーション プロキシ クラウド サービス間の通信 |
| crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | コネクタは、これらの URL を使用して証明書を検証します。 |
| login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com |
443/HTTPS | コネクタでは、登録プロセス中にこれらの URL が使用されます。 |
| ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | コネクタでは、登録プロセス中にこれらの URL が使用されます。 |
ファイアウォールまたはプロキシで DNS 許可リストを構成できる場合は、接続の *.msappproxy.net と *.servicebus.windows.net を許可できます。
完全修飾ドメイン名 (FQDN) による接続を許可できず、代わりに IP 範囲を指定する必要がある場合は、次のオプションを使用します。
- コネクタにすべての宛先への送信アクセスを許可します。
- コネクタの送信アクセスを Azure データセンターのすべての IP 範囲に許可します。 Azure データセンターの IP 範囲の一覧を使用する際の課題は、それらが毎週更新されることです。 それに応じてアクセスルールが更新されるようにするためのプロセスを導入する必要があります。 IP アドレスのサブセットのみを使用すると、設定が壊れます。 最新の Azure Data Center の IP 範囲は、 https://download.microsoft.com でダウンロードされます。 検索語「
Azure IP Ranges and Service Tags」を使用します。 必ず該当するクラウドを選択してください。 たとえば、パブリック クラウドの IP 範囲は、Azure IP Ranges and Service Tags – Public Cloudを検索することで見つけることができます。 US Government クラウドは、Azure IP Ranges and Service Tags – US Government Cloudを検索すると見つかります。
プロキシ認証
プロキシ認証は現在サポートされていません。 現在の推奨事項は、コネクタがインターネットの宛先に匿名でアクセスできるようにすることです。
プロキシポート
コネクタは、CONNECT メソッドを使用してアウトバウンド TLS ベースの接続を確立します。 この方法では、基本的にアウトバウンドプロキシを経由するトンネルを設定します。 ポート 443 と 80 へのトンネリングを許可するようにプロキシ サーバーを構成します。
注
Service Bus が HTTPS 経由で動作する場合は、ポート 443 を使用します。 ただし、既定では、Service Bus は直接伝送制御プロトコル (TCP) 接続を試行し、直接接続が失敗した場合にのみ HTTPS にフォールバックします。
TLS インスペクション
コネクタ トラフィックに TLS インスペクションは、コネクタ トラフィックに問題を引き起こすため、使用しないでください。 コネクタは証明書を使用してアプリケーション プロキシ サービスに対する認証を行うため、その証明書は TLS 検査中に失われる可能性があります。
コネクタとバックエンド アプリケーション間のプロキシを使用して構成する
バックエンドアプリケーションへの通信にフォワードプロキシを使用することは、一部の環境では特別な要件です。 フォワードプロキシを有効にするには、次の手順を実行します。
手順 1: 必要なレジストリ値をサーバーに追加する
- デフォルトのプロキシの使用を有効にするには、レジストリ値 (DWORD)
UseDefaultProxyForBackendRequests = 1をHKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Entra private network connectorにあるコネクタ設定レジストリキーに追加します。
手順 2: netsh コマンドを使用してプロキシ サーバーを手動で構成する
- グループポリシー
Make proxy settings per-machineを有効にします。 グループ ポリシーはComputer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorerにあります。 グループポリシーは、ユーザーごとに設定するのではなく、設定する必要があります。 - サーバー上で
gpupdate /forceを実行します。 または、グループポリシーが更新されていることを確認するために、サーバーを再起動します。 - 管理者権限で管理者特権のコマンド プロンプトを起動し、「
control inetcpl.cpl」と入力します。 - 必要なプロキシ設定を構成します。
この設定により、コネクタは Azure とバックエンド アプリケーションへの通信に同じフォワード プロキシを使用します。 フォワードプロキシを変更するには、ファイル MicrosoftEntraPrivateNetworkConnectorService.exe.config を変更します。 フォワードプロキシの設定については、「 アウトバウンドプロキシのバイパス 」および 「アウトバウンドプロキシサーバーの使用」のセクションで説明しています。
注
オペレーティングシステムでインターネットプロキシを構成するには、さまざまな方法があります。
NETSH WINHTTP で構成されたプロキシ設定 (NETSH WINHTTP SHOW PROXYを実行して確認) は、ステップ 2 で構成したプロキシ設定を上書きします。
コネクタ アップデータ サービスは、マシン プロキシを使用します。 この設定は MicrosoftEntraPrivateNetworkConnectorUpdaterService.exe.config ファイルにあります。
コネクタ プロキシの問題とサービス接続の問題のトラブルシューティング
これで、プロキシを通過するすべてのトラフィックが表示されます。 問題が発生した場合は、次のトラブルシューティング情報が役立ちます。
コネクタ接続の問題を特定してトラブルシューティングする最善の方法は、コネクタ サービスの開始時にネットワーク キャプチャを取得することです。 ここでは、ネットワーク トレースのキャプチャとフィルタリングに関する簡単なヒントをいくつか紹介します。
お好みの監視ツールを使用できます。 この記事では、Microsoft Message Analyzer を使用しました。
注
Microsoft Message Analyzer (MMA) は 2019 年 11 月 25 日に廃止され、そのダウンロード パッケージは microsoft.com サイトから削除されました。 現在、Microsoft Message Analyzer に代わる Microsoft は開発中ではありません。 同様の機能については、Wireshark などの Microsoft パートナー以外のネットワーク プロトコル アナライザー ツールの使用を検討してください。
次の例は Message Analyzer に固有のものですが、この原則は任意の分析ツールに適用できます。
コネクタ トラフィックのキャプチャを取得する
初期トラブルシューティングでは、次の手順を実行します。
services.mscから、Microsoft Entra プライベート ネットワーク コネクタ サービスを停止します。
Message Analyzer を管理者として実行します。
[ローカル トレースの開始] を選択します。
Microsoft Entra プライベート ネットワーク コネクタ サービスを開始します。
ネットワーク キャプチャを停止します。
![スクリーンショットは [ネットワーク キャプチャの停止] ボタンを示しています](media/application-proxy-configure-connectors-with-proxy-servers/stop-trace.png)
コネクタ トラフィックが送信プロキシをバイパスするかどうかを確認します
コネクタがアプリケーション プロキシ サービスに直接接続すると予想される場合、ポート 443 での SynRetransmit 応答は、ネットワークまたはファイアウォールに問題があることを示しています。
Message Analyzer フィルタを使用して、失敗した伝送制御プロトコル (TCP) 接続の試行を特定します。 フィルターボックスに「 property.TCPSynRetransmit 」と入力し、[ 適用] を選択します。
同期(SYN)パケットは、TCP接続を確立するために送信される最初のパケットです。 このパケットが応答を返さない場合、SYN は再試行されます。 このフィルタを使用して、再送信された SYN パケットを確認できます。 次に、これらの SYN パケットがコネクタ関連のトラフィックに対応しているかどうかを確認できます。
コネクタ トラフィックが送信プロキシを使用しているかどうかを確認する
プライベート ネットワーク コネクタ トラフィックがプロキシ サーバーを経由するように構成した場合は、プロキシへの接続 https 失敗を探します。
Message Analyzer フィルタを使用して、プロキシへの失敗した HTTPS 接続試行を特定します。 Message Analyzer フィルタに「 (https.Request or https.Response) and tcp.port==8080 」と入力し、 8080 を実際のプロキシサービスポートに置き換えます。
[適用] を選択して、フィルター結果を表示します。
上記のフィルターは、プロキシ ポートとの間で送受信される HTTPS 要求と応答のみを表示します。 プロキシ サーバーとの通信を示す CONNECT 要求を探しています。 成功すると、HTTP OK (200) 応答が返されます。
407 や 502 などの他の応答コードが表示される場合は、プロキシが認証を要求しているか、他の理由でトラフィックを許可していないことを意味します。 この時点で、プロキシサーバーのサポートチームに協力を求めます。