Azure AD アプリケーションプロキシで外部から社内アプリにアクセスしてみる

今まで外部から社内アプリにアクセスするにはVPNなどのインフラが必要でしたが、Azure AD アプリケーションプロキシを利用すればどこからでもセキュアに社内にアクセスできるようになります。

ここではダミーのWindows Server 2016内に作成した社内ローカルアプリ(IIS)にAzure AD アプリケーションプロキシを利用し、外部からアクセスしてみます。

ライセンスは「Azure AD Basic」又は「Azure AD Premium」が必要なようです。

参考:Azure Active Directory のアプリケーション プロキシを使用してリモート アクセスするためのオンプレミス アプリケーションを追加する

 

1.Azureポータルから[Azure Active Directory] > [アプリケーション プロキシ]をクリックします。

 

2.[コネクタ サービスのダウンロード]をクリックします。

 

3.「規約に同意してダウンロード」をクリックします。

OSはWindows Server 2012 R2以上である必要があるようです。

 

 

4.対象のオンプレミスサーバー(Windows Server 2016)にコネクタをインストールします。サインインが求められるためAzureの全体管理者ユーザーの情報を入力します。

コネクタをインストールするサーバーはアウトバウンドに80, 443ポートが開放されている必要があります。

 

5.Azureポータルに戻るとDefaultグループの配下にコネクタサーバーが表示され、「アクティブ」になっていることが確認できます。

 

6.続いて[アプリの構成]をクリックします。

 

7.アプリを構成してみます。

[内部URL]に社内アプリへ内部からアクセスするためのローカルのURLを入力します。

[外部URL]は任意(iis)の名前とし、デフォルトのドメインを指定します。

外部URLに独自ドメイン(カスタムドメイン)を選択した場合、CNAMEレコードの追加が必要になります。

アプリ接続前の[事前認証]はAzure Active Directoryによる認証とします。

 

8.指定した外部URLでアクセスしてみます。Azure ADで認証エラーとなりました。

アプリ用にユーザーを登録する必要があるようです。

 

9.Azureポータルの[アプリの登録(プレビュー)]から作成したアプリを選択します。

 

10.[ローカル ディレクトリでのマネージド アプリケーション]のリンクをクリックします。

 

11.[ユーザーとグループ]からユーザーを追加します。

 

12.再度 外部URLからアクセスします。今度は社内ローカルアプリ(IIS)が表示できました!! 

VPN無しでどこからでも社内にセキュアにアクセスできるなんてすごいですね。