リモートワーク環境整備の有効策となるか――Azure ADアプリケーションプロキシのRD Webクライアント対応：Microsoft Azure最新機能フォローアップ（120）

Azure Active Directory（Azure AD）の「アプリケーションプロキシ」はリモートデスクトップサービスの発行をサポートしています。2020年7月からは「リモートデスクトップWebクライアント」のサポートがパブリックプレビューとして開始されました。

[山市良，テクニカルライター]

Microsoft Azure最新機能フォローアップ

リモートワーク環境を低コストで素早く導入できる

　「Azure Active Directory（Azure AD） Premium（P1またはP2）」が提供する「アプリケーションプロキシ」は、企業のクローズドなネットワーク内にあるHTTPSベースのWebサイトやWebアプリケーションを、Azure AD事前認証に基づいて安全にインターネットに公開し、社内リソースへの安全なアクセスを提供するクラウドサービスです。

　Azure ADアプリケーションプロキシを利用すると、企業のクローズドなネットワークにある「Windows Server 2012 R2」以降のサーバにコネクターソフトウェアを導入し、コネクターをAzure ADに登録するだけで、社内のサイトやアプリケーションへのアクセスを、インターネットに安全に公開することができます（画面1、画面2）。

画面1　アプリケーションサーバと同じサーバまたは同じドメインのメンバーサーバにコネクターソフトウェアをインストールして、Azure ADにコネクターを登録する

画面2　社内ネットワーク上のWebアプリを登録済みのアプリケーションプロキシを使用して発行する（画面の例はHTML5ベースのWindows Admin Center）

　ユーザーはAzure ADの組織アカウントの資格情報による認証と、「Microsoft Authenticatorアプリ」またはSMSメッセージによるAzure多要素認証（Azure MFA）で厳重に認証され、アクセスが許可されます（画面3）。

画面3　Azure MFAで厳重に認証されたユーザーだけが、社内リソースへのアクセスを許可される

　Azure ADアプリケーションプロキシを導入するために、企業ネットワーク側で静的なパブリックIPアドレスやパブリックなDNSドメイン名、DMZ（非武装地帯）の設置、受信ポートの開放などは一切必要ありません。Azure ADとオンプレミスのActive Directoryドメインをディレクトリ同期するなど、複雑な構成も必要ありません（ワークグループ構成でも利用できます）。

　リモートワーク環境の整備が喫緊の課題となっている現在、Azure ADアプリケーションプロキシは、セキュリティを確保しながら、低コストで素早く導入できる有効なソリューションになるでしょう。

リモートデスクトップサービス対応を強化

　Azure ADアプリケーションプロキシは、Windows Server 2012 R2以降の「リモートデスクトップサービス（RDS）」展開の発行を正式にサポートしています。具体的には、RDP（3389/TCP）をHTTPSでカプセル化して中継する「リモートデスクトップ（RD）ゲートウェイ」と、リソースへのアクセスを提供するポータル「RD Webアクセス」をAzure AD事前認証に基づいて発行できます。Windows Serverには同様の機能を実現する「Webアプリケーションプロキシ」がありますが、現在はAzure ADアプリケーションプロキシによる発行が推奨されています。

　2020年7月下旬、Azure ADアプリケーションプロキシで「RD Webクライアント」のサポートがパブリックプレビューとして追加されました。

• Azure AD Application Proxy now supports the Remote Desktop Services web client［英語］（Microsoft Tech Community）

　RD Webクライアントは、RD Webアクセスに追加できる無料のアドオンとして提供されるHTML5対応のWebベースのリモートデスクトップクライアント機能であり、2018年7月6日にバージョン1.0.0が一般公開され、その後、継続的にアップデートされています。

　RD WebクライアントはActiveXコントロールに依存する関係で、Windows上で動作する「Internet Explorer（IE）」（またはChromiumベースの「Microsoft Edge」のIEモード）を必要としますが、RD Webクライアントは、IE 11、Microsoft Edge（EdgeHTMLおよびChromium）、「Google Chrome」「Mozilla Firefox」「Apple Safari」といったHTML5対応ブラウザから利用できます。

• Webクライアントの概要（Microsoft Docs）

RDゲートウェイとRD Webアクセス／Webクライアントの発行手順

　Azure ADアプリケーションプロキシを利用して社内リソースへのリモートデスクトップ接続を可能にする手順は、以下のMicrosoftの公式ドキュメントで詳しく、具体的に説明されています。Windows ServerのWebアプリケーションプロキシを利用する場合のような、複雑な手順や前提条件は必要ありません。

• Azure ADアプリケーション プロキシを使用したリモート デスクトップの発行（Microsoft Docs）

　重要な前提条件があるとすれば、Azure ADアプリケーションプロキシおよびRD Webクライアントの導入には、Windows Serverのシナリオベースのセットアップ機能で展開したRDSの環境が必要になることです。

　具体的にはActive Directoryドメイン環境に、RD接続ブローカー、RDゲートウェイ、RD Webアクセス、RDセッションホストまたはRD仮想化ホスト（仮想デスクトップの場合）が少なくとも展開されていて、RDゲートウェイとRD Webアクセスが同じサーバにセットアップされている必要があることです（図1）。

図1　Azure ADアプリケーションプロキシを利用したリモートデスクトップ接続の公開イメージ

　RD Webクライアントは、RD Webアクセスのサーバに追加できます（画面4、画面5）。また、オンプレミス側にはコネクターの導入だけでなく、RDSの展開設定でRDゲートウェイのアドレスをアプリケーションプロキシのURLに置き換える、既存のセッションコレクションがアプリケーションプロキシでの事前認証を要求するようにするといった追加設定が必要になることもポイントです。

画面4　Azure ADアプリケーションプロキシ経由でRD Webアクセスにアクセスする場合は、WindowsのIEまたはMicrosoft EdgeのIEモードが必要

画面5　RD Webクライアントは、HTML5対応のブラウザであればプラットフォームを問わず利用可能

　なお、Azure AD事前認証で発行する場合、ユーザーはRD WebアクセスやRD Webクライアントの「RemoteAppおよびデスクトップ」に公開されているリソースのみにアクセスできます。RD Webアクセスの「リモートPCに接続」による接続は、Azure AD事前認証ではサポートされていません。パススルー認証では可能ですが、その場合、IPアドレス範囲などで接続元をフィルタリングしない限り、インターネット上の第三者からアクセスされるリスクがあることに注意してください。

追加情報（2020年10月30日追記）

　現状、Azureアプリケーションプロキシでは、Windows Admin Centerの一部の機能は動作しません。最新情報については、以下のFAQのページで確認してください。

• Active Directory（Azure AD）Application Proxy frequently asked questions

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2020-2021）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。