Microsoft Entra アプリケーション プロキシを使用してリモート ユーザー向けにオンプレミス アプリを発行する

Microsoft Entra アプリケーション プロキシは、オンプレミスの Web アプリケーションへのセキュリティで保護されたリモート アクセスを提供します。 Microsoft Entra ID にシングル サインオンした後、ユーザーは、外部の URL または内部のアプリケーション ポータルから、クラウド アプリケーションとオンプレミス アプリケーションの両方にアクセスできます。 たとえば、アプリケーション プロキシでは、リモート デスクトップ、SharePoint、Teams、Tableau、Qlik、基幹業務 (LOB) アプリケーションへのリモート アクセスとシングル サインオンを提供できます。

Microsoft Entra アプリケーション プロキシとは:

• 簡単な使い方。 ユーザーは、Microsoft 365 や Microsoft Entra ID に統合された他の SaaS アプリにアクセスするのと同じように、オンプレミスのアプリケーションにアクセスできます。 アプリケーション プロキシを使うために、アプリケーションを変更または更新する必要はありません。

• セキュリティ保護。 オンプレミスのアプリケーションは、Azure の承認制御とセキュリティ分析を使用できます。 たとえば、オンプレミス アプリケーションでは、条件付きアクセスと 2 段階認証を使用できます。 アプリケーション プロキシでは、ファイアウォールを通過する受信接続を開く必要はありません。

• 高いコスト効率。 オンプレミスのソリューションでは、通常、非武装地帯 (DMZ)、エッジ サーバー、またはその他の複雑なインフラストラクチャを設定して維持する必要があります。 アプリケーション プロキシはクラウドで実行するので、簡単に使用できます。 アプリケーション プロキシを使うために、ネットワーク インフラストラクチャを変更したり、オンプレミス環境にさらにアプライアンスをインストールしたりする必要はありません。

包括的ではありませんが、ハイブリッド共存シナリオでアプリケーション プロキシを使用する例を示します。

• DMZ を使用しない簡単な方法でオンプレミス Web アプリケーションを外部に発行する
• クラウドとオンプレミスのデバイス、リソース、アプリ全体でシングル サインオン (SSO) をサポートする
• クラウドとオンプレミスのアプリケーションに対する多要素認証をサポートする
• Microsoft Cloud のセキュリティでクラウド機能をすばやく使用する
• ユーザー アカウントを一元的に管理する
• ID とセキュリティを一元的に制御する
• グループ メンバーシップに基づいてアプリケーションへのユーザー アクセスを自動的に追加または削除する

この記事では、Microsoft Entra ID とアプリケーション プロキシを使用して、リモート ユーザーにシングル サインオン (SSO) エクスペリエンスを提供する方法について説明します。 VPN またはデュアル ホーム サーバーとファイアウォール規則を使用しなくても、ユーザーはオンプレミス アプリケーションに安全に接続します。 この記事は、アプリケーション プロキシがどのようにしてオンプレミス Web アプリケーションにクラウドの機能とセキュリティ上の利点をもたらすかを理解するのに役立ちます。 また、使用可能なアーキテクチャとトポロジについても説明しています。

アプリケーション プロキシは次のもので動作します。

• 統合 Windows 認証を使用する Web アプリ
• フォーム ベースまたはヘッダー ベースのアクセスを使用する Web アプリ
• さまざまなデバイスの豊富なアプリケーションに公開する Web API
• リモート デスクトップ ゲートウェイの背後でホストされているアプリケーション
• Microsoft Authentication Library (MSAL) と統合されるリッチ クライアント アプリ

アプリケーション プロキシでは、シングル サインオンをサポートします。 サポートされている方法の詳細については、「シングル サインオンの方法の選択」を参照してください。

過去のリモート アクセス

以前は、リモート ユーザーによるアクセスを支援しながら内部リソースを攻撃者から保護するためのコントロール プレーンは、DMZ (つまり、境界ネットワーク) にしかありませんでした。 しかし、外部クライアントが企業リソースにアクセスするために使用する、DMZ にデプロイされた VPN やリバース プロキシ ソリューションは、クラウドの世界には適していません。 通常は、次のような問題に悩まされることになります。

• ハードウェア コストの増加
• セキュリティの維持 (パッチ適用、ポートの監視など)
• エッジでユーザーを認証する
• 境界ネットワーク内の Web サーバーに対してユーザーを認証する
• VPN クライアント ソフトウェアの配布と構成を使用して、リモート ユーザーの VPN アクセスを維持します。 また、DMZ 内でドメインに参加しているサーバーを保持する (外部攻撃に対して脆弱になる可能性があります)。

今日のクラウド ファーストの世界で、ネットワークにアクセスする人や物を制御するには、Microsoft Entra ID が最適です。 Microsoft Entra アプリケーション プロキシは、最新の認証およびクラウドベースのテクノロジ (SaaS アプリケーションや ID プロバイダーなど) と統合されます。 この統合により、ユーザーはどこからでもアプリケーションにアクセスできます。 アプリケーション プロキシは、今日のデジタル ワークプレースにより適しているだけでなく、VPN やリバース プロキシ ソリューションよりも安全であり、より簡単に実装できます。 リモート ユーザーは、Microsoft や Microsoft Entra ID に統合された他の SaaS アプリにアクセスするのと同じように、オンプレミスのアプリケーションにアクセスできます。 アプリケーション プロキシを使うために、アプリケーションを変更または更新する必要はありません。 さらに、アプリケーション プロキシでは、ファイアウォールを通過する受信接続を開く必要はありません。 アプリケーション プロキシは、設定するだけで、後は何もする必要がありません。

リモート アクセスの未来

今日のデジタルワークプレースでは、ユーザーはアプリにアクセスし、複数のデバイスを使用してどこからでも作業します。 定数係数はユーザー ID です。 セキュリティ コントロール プレーンとして Microsoft Entra ID 管理 を使用して、ネットワークのセキュリティ保護を開始します。 この ID ベースのモデルには、次のコンポーネントが含まれています。

• ユーザーおよびユーザーに関連する情報を追跡する ID プロバイダー。
• 企業リソースへのアクセス権を持つデバイスの一覧を保持するデバイス ディレクトリ。 このディレクトリには、対応するデバイス情報 (デバイスの種類、整合性など) が含まれています。
• ポリシー評価サービスは、ユーザーとデバイスが管理者によって設定されたセキュリティ ポリシーを満たしているかどうかを確認します。
• 組織のリソースへのアクセスを許可または拒否する権限。 Microsoft Entra ID は、オンプレミスおよびクラウドで発行された Web アプリにアクセスするユーザーを追跡します。 これらのアプリを管理するための中心的なポイントが提供されます。 セキュリティを強化するには、Microsoft Entra 条件付きアクセスを有効にします。 この機能により、認証とアクセスの条件を設定することで、適切なユーザーのみがアプリケーションにアクセスできるようになります。

アプリケーション プロキシの動作の概要

次の図は、Microsoft Entra ID とアプリケーション プロキシがどのように連携して、オンプレミス アプリケーションへのシングル サインオンを提供するかを示したものです。

1. ユーザーは、エンドポイントを介してアプリケーションにアクセスした後、Microsoft Entra のサインイン ページに送られます。
2. サインインに成功すると、Microsoft Entra ID ではトークンをユーザーのクライアント デバイスに送信します。
3. クライアントからは、トークンをアプリケーション プロキシ サービスに送信します。 サービスでは、トークンからユーザー プリンシパル名 (UPN) とセキュリティ プリンシパル名 (SPN) を取得します。 アプリケーション プロキシでは、続いてその要求をコネクタに送信します。
4. コネクタでは、ユーザーに代わって必要なシングル サインオン (SSO) 認証を実行します。
5. コネクタはオンプレミスのアプリケーションに要求を送信します。
6. 応答が、コネクタとアプリケーション プロキシ サービス経由でユーザーに送信されます。

アプリケーション プロキシは、Microsoft Entra 管理センターで構成する Microsoft Entra サービスです。 これを使用して、Azure Cloud に外部のパブリック HTTP/HTTPS URL エンドポイントを発行し、それを組織の内部アプリケーション サーバーの URL に接続することができます。 これらのオンプレミス Web アプリは、シングル サインオンをサポートするために Microsoft Entra ID と統合することができます。 これによりユーザーは、Microsoft 365 や他の SaaS アプリにアクセスするのと同じように、オンプレミス Web アプリにアクセスすることができます。

アプリケーション プロキシ サービスはクラウドで実行され、プライベート ネットワーク コネクタはオンプレミス サーバー上の軽量エージェントとして動作し、Microsoft Entra ID は ID プロバイダーとして機能します。 これらのコンポーネントを組み合わせることで、ユーザーはシームレスなシングル サインオン エクスペリエンスでオンプレミスの Web アプリケーションにアクセスできます。

外部ユーザーは、ユーザー認証後、表示 URL を使用するか、自分のデスクトップまたは iOS/MAC デバイスのマイ アプリから、オンプレミス Web アプリケーションにアクセスできます。 たとえば、アプリケーション プロキシは、リモート デスクトップ、SharePoint サイト、Tableau、Qlik、Outlook on the web、および基幹業務 (LOB) アプリケーションへのリモート アクセスとシングル サインオンを提供できます。

認証

シングル サインオン用にアプリケーションを構成する方法は複数あります。アプリケーションで使用する認証に適した方法を選んでください。 アプリケーション プロキシでは、次の種類のアプリケーションがサポートされています。

• Web アプリケーション
• さまざまなデバイスの豊富なアプリケーションに公開する Web API
• リモート デスクトップ ゲートウェイの背後でホストされているアプリケーション
• Microsoft Authentication Library (MSAL) と統合されるリッチ クライアント アプリ

アプリケーション プロキシは、次のネイティブ認証プロトコルを使用するアプリで動作します。

• 統合 Windows 認証 (IWA)。 統合 Windows 認証 (IWA) の場合、プライベート ネットワーク コネクタは Kerberos 制約付き委任 (KCD) を使用して Kerberos アプリケーションに対してユーザーを認証します。

アプリケーション プロキシでは、特定の構成シナリオで Microsoft 以外のパートナーとの認証プロトコルもサポートされています。

• ヘッダーベースの認証。 この方法では、Microsoft 以外のパートナー サービスである PingAccess を使用して、ヘッダーに依存するアプリケーションの認証を処理します。
• フォームまたはパスワード ベースの認証。 この認証方法では、ユーザーは初回アクセス時にユーザー名とパスワードを使用してアプリケーションにサインオンします。 最初のサインイン後は、Microsoft Entra ID がユーザー名とパスワードをアプリケーションに提供します。 このシナリオでは、Microsoft Entra ID が認証を処理します。
• SAML 認証。 SAML ベースのシングル サインオンは、Security Assertion Markup Language (SAML) 2.0 または WS-Federation プロトコルを使用するアプリケーションでサポートされています。 SAML によるシングル サインオンでは、ユーザーの Microsoft Entra アカウントを使用して、Microsoft Entra がアプリケーションに対して認証を行います。

サポートされている方法の詳細については、「シングル サインオンの方法の選択」を参照してください。

セキュリティ上の利点

アプリケーション プロキシと Microsoft Entra によって提供されるリモート アクセス ソリューションは、お客様が利用する可能性のあるいくつかのセキュリティ上の利点をサポートします。これには、次のものが含まれます。

• 認証済みのアクセス。 アプリケーション プロキシは 事前認証 を使用して、認証された接続のみがネットワークに到達するようにします。 事前認証で構成されたアプリケーションに対して有効なトークンがないすべてのトラフィックをブロックします。 このアプローチでは、検証済みの ID のみがバックエンド アプリケーションにアクセスできるようにすることで、標的型攻撃を大幅に削減できます。

• 条件付きアクセス。 ネットワークへの接続が確立される前に、多数のポリシー制御を適用できます。 条件付きアクセスを使用すると、自分のバックエンド アプリケーションにアクセスできるトラフィックの制限を定義できます。 場所、認証の強度、ユーザーのリスク プロファイルに基づいてサインインを制限するポリシーを作成します。 条件付きアクセスの進化に伴い、Microsoft Defender for Cloud Apps との統合などのセキュリティを強化するために、より多くの制御が追加されています。 Defender for Cloud Apps 統合を使用すると、条件付きアクセスを 使用して、 条件付きアクセス ポリシーに基づいてセッションをリアルタイムで監視および制御することで、リアルタイム監視用のオンプレミス アプリケーションを構成できます。

• トラフィックの終了。 バックエンド アプリケーションへのトラフィックはすべて、クラウドのアプリケーション プロキシ サービスで終了し、セッションはバックエンド サーバーで再確立されます。 この接続戦略は、バックエンド サーバーが直接 HTTP トラフィックに公開されていないことを意味します。 ファイアウォールが攻撃を受けないため、対象となる DoS (サービス拒否) 攻撃からより適切に保護されます。

• すべてのアクセスが外向き。 プライベート ネットワーク コネクタは、ポート 80 と 443 を経由する、クラウド上のアプリケーション プロキシ サービスへのアウトバウンド接続のみを使用します。 インバウンド接続がないので、DMZ で着信接続またはコンポーネント用にファイアウォール ポートを開く必要はありません。 すべての接続は外向きであり、セキュリティで保護されたチャネル経由で行われます。

• セキュリティ分析と機械学習 (ML) ベースのインテリジェンス。 これは Microsoft Entra ID の一部であるため、アプリケーション プロキシは Microsoft Entra ID Protection を使用できます ( Premium P2 ライセンスが必要)。 Microsoft Entra ID 保護は、Microsoft の Digital Crimes Unit と Microsoft Security Response Center からのデータ フィードと機械学習セキュリティ インテリジェンスを組み合わせて、侵害されたアカウントをプロアクティブに特定します。 Microsoft Entra ID 保護は、危険度の高いログインにリアルタイム保護を実現します。感染したデバイスからのアクセス、匿名ネットワークを通じたアクセス、通常とは異なって想定し難い場所からのアクセスなどの要因も考慮し、セッションのリスク プロファイルを拡大します。 このリスク プロファイルは、リアルタイム保護に使用されます。 これらのレポートとイベントの多くは、セキュリティ情報イベント管理 (SIEM) システムとの統合のために API を通じて既に利用できます。

• サービスとしてのリモート アクセス。 リモート アクセスを可能にするために、オンプレミス サーバーの保守やパッチの適用について心配する必要がありません。 アプリケーション プロキシは Microsoft によるインターネット規模のサービスであるため、常に最新のセキュリティ更新プログラムとアップグレードを取得できます。 パッチの適用されていないソフトウェアは、依然として多数の攻撃の的となっています。 国土安全保障省によれば、標的型攻撃の 85% は可避することができます。 このサービス モデルを使用すれば、エッジ サーバーの管理という重荷から解放され、必要に迫られてパッチを適用する必要もなくなります。

• Intune の統合。 Intune では、企業のトラフィックは個人のトラフィックとは別にルーティングされます。 アプリケーション プロキシにより、企業のトラフィックが確実に認証されるようになります。 アプリケーション プロキシと Intune Managed Browser の機能を併用し、リモート ユーザーが iOS および Android デバイスから内部 Web サイトに安全にアクセスできるようにすることも可能です。

クラウドへのロードマップ

アプリケーション プロキシを実装するもう 1 つの大きなメリットは、Microsoft Entra ID がオンプレミス環境に拡張される点です。 実際、アプリケーション プロキシの実装は、組織とアプリケーションをクラウドに移行するための重要なステップです。 クラウドに移行してオンプレミスの認証から解放されることで、オンプレミスのフットプリントを削減し、Microsoft Entra の ID 管理機能をコントロール プレーンとして使用することができます。 既存のアプリケーションへの更新は最小限または一切なしで、シングル サインオン、多要素認証、一元管理などのクラウド機能を利用できます。 必要なコンポーネントをアプリケーション プロキシにインストールすると、リモート アクセス フレームワークを確立するプロセスが簡略化されます。 また、クラウドに移行することで、高可用性やディザスター リカバリーなど、Microsoft Entra の最新の機能や更新プログラムを利用することができます。

Microsoft Entra ID へのアプリの移行の詳細については、Microsoft Entra ID へのアプリケーションの移行に関する記事を参照してください。

アーキテクチャ

この図は、Microsoft Entra 認証サービスとアプリケーション プロキシがどのように連携して、オンプレミス アプリケーションへのシングル サインオンをユーザーに提供するかの概要を示しています。

1. ユーザーはエンドポイントを介してアプリケーションにアクセスし、Microsoft Entra サインイン ページにリダイレクトされます。 条件付きアクセス ポリシーは、特定の条件をチェックして、組織のセキュリティ要件に準拠していることを確認します。
2. Microsoft Entra ID は、ユーザーのクライアント デバイスにトークンを送信します。
3. クライアントは、トークンをアプリケーション プロキシ サービスに送信します。このサービスは、トークンからユーザー プリンシパル名 (UPN) とセキュリティ プリンシパル名 (SPN) を抽出します。
4. アプリケーション プロキシは、 プライベート ネットワーク コネクタに要求を転送します。
5. コネクタは、必要な認証 (認証方法に基づいて省略可能) を処理し、アプリケーション サーバーの内部エンドポイントを取得し、オンプレミス アプリケーションに要求を送信します。
6. アプリケーション サーバーが応答し、コネクタが応答をアプリケーション プロキシ サービスに返します。
7. アプリケーション プロキシ サービスは、ユーザーに応答を配信します。

Microsoft Entra アプリケーション プロキシは、クラウドベースのアプリケーション プロキシ サービスとオンプレミス コネクタで構成されます。 コネクタでは、アプリケーション プロキシ サービスからの要求をリッスンし、内部アプリケーションへの接続を処理します。 すべての通信はトランスポート層セキュリティ (TLS) 経由で行われ、常にコネクタからアプリケーション プロキシ サービスに送信されることに注意してください。 つまり、外向きの通信のみです。 コネクタではクライアント証明書を使用して、すべての呼び出しに対してアプリケーション プロキシ サービスを認証します。 接続のセキュリティの唯一の例外は、クライアント証明書が確立される最初のセットアップ手順です。 詳細については、内部の アプリケーション プロキシを参照してください。

Microsoft Entra プライベート ネットワーク コネクタ

アプリケーション プロキシでは、Microsoft Entra プライベート ネットワーク コネクタが使用されます。 同じコネクタが Microsoft Entra プライベート アクセスによって使用されます。 コネクタの詳細については、「Microsoft Entra プライベート ネットワーク コネクタ」を参照してください。

その他のユース ケース

これまでは、アプリケーション プロキシを使用してオンプレミス アプリを外部に発行し、すべてのクラウドアプリとオンプレミス アプリでシングル サインオンを有効にすることに重点を置きます。 ただし、アプリケーション プロキシでは、次のようなその他のユース ケースもサポートされています。

• REST API の安全な発行。 アプリケーション プロキシを使用して、オンプレミスまたはクラウドでホストされる API のパブリック エンドポイントを作成します。 受信ポートを開かずに認証と承認を制御します。 詳細については、「 ネイティブ クライアント アプリケーションがプロキシ アプリケーションと対話できるようにする 」および「 OAuth 2.0 と Microsoft Entra ID と API Management を使用して API を保護する」を参照してください。
• リモート デスクトップ サービス(RDS). Standard リモート デスクトップ サービス (RDS) の展開では、開いている受信接続が必要です。 ただし、アプリケーション プロキシを使用した RDS デプロイには、コネクタ サービスを実行しているサーバーからの永続的な送信接続があります。 これにより、リモート デスクトップ サービスを通じてオンプレミスのアプリケーションを公開し、ユーザーにより多くのアプリケーションを提供することができます。 RDS に対する 2 段階認証と条件付きアクセス制御の限定的なセットを使用して、デプロイの攻撃対象領域を減らすこともできます。
• Websocket を使用して接続するアプリケーションの発行。 Qlik Sense のサポートはパブリック プレビュー段階にあり、今後他のアプリに展開されます。
• ネイティブ クライアント アプリケーションからプロキシ アプリケーションを操作できるようにする。 Microsoft Entra アプリケーション プロキシは、Web アプリを公開するために使用できますが、Microsoft Authentication Library (MSAL) で構成されたネイティブ クライアント アプリケーションの公開にも使うことができます。 クライアント アプリケーションはデバイスにインストールされる点が Web アプリとは異なります。Web アプリはブラウザーからアクセスされます。

まとめ

組織は、作業とツールの急速な変化に適応します。 従業員は自分のデバイスを使用し、サービスとしてのソフトウェア (SaaS) アプリケーションに依存します。 その結果、データの管理とセキュリティ保護がより複雑になります。 データは、従来の境界をはるかに超えて、オンプレミスとクラウドの環境間で移動するようになりました。 このシフトにより、生産性とコラボレーションが向上しますが、機密データの保護も困難になります。

Microsoft Entra アプリケーション プロキシは、サービスとしてのリモート アクセスを提供することで、オンプレミスのフットプリントを削減します。 ハイブリッド セットアップで Microsoft Entra ID を既に使用してユーザーを管理している場合でも、クラウド体験を開始する予定の場合でも、アプリケーション プロキシはリモート アクセスを簡素化し、セキュリティを強化します。

組織は、アプリケーション プロキシの利用を今すぐ開始して、次のような利点を活用してください。

• 従来の VPN やその他のオンプレミス Web 発行ソリューションと DMZ アプローチを維持することによって生じるオーバーヘッドを伴わずに、オンプレミス アプリケーションを外部に発行する
• すべてのアプリケーション (Microsoft 365、オンプレミス アプリケーション、その他の SaaS アプリ) へのシングル サインオン
• Microsoft Entra が Microsoft 365 を使用して承認されていないアクセスを防ぐクラウド スケールのセキュリティ
• 企業のトラフィックを確実に認証する Intune 統合
• ユーザー アカウント管理の一元化
• 最新のセキュリティ パッチを確実に適用する自動更新
• リリース時の新機能。最新の SAML シングル サインオンのサポートと、アプリケーション Cookie のより詳細な管理

次のステップ

• チュートリアル: アプリケーション プロキシを使用したリモート アクセスのためにオンプレミス アプリケーションを追加する