リモートワーク環境整備の有効策となるか――Azure ADアプリケーションプロキシのRD Webクライアント対応：Microsoft Azure最新機能フォローアップ（120）

Azure Active Directory（Azure AD）の「アプリケーションプロキシ」はリモートデスクトップサービスの発行をサポートしています。2020年7月からは「リモートデスクトップWebクライアント」のサポートがパブリックプレビューとして開始されました。

[山市良，テクニカルライター]

Microsoft Azure最新機能フォローアップ

リモートワーク環境を低コストで素早く導入できる

　「Azure Active Directory（Azure AD） Premium（P1またはP2）」が提供する「アプリケーションプロキシ」は、企業のクローズドなネットワーク内にあるHTTPSベースのWebサイトやWebアプリケーションを、Azure AD事前認証に基づいて安全にインターネットに公開し、社内リソースへの安全なアクセスを提供するクラウドサービスです。

　Azure ADアプリケーションプロキシを利用すると、企業のクローズドなネットワークにある「Windows Server 2012 R2」以降のサーバにコネクターソフトウェアを導入し、コネクターをAzure ADに登録するだけで、社内のサイトやアプリケーションへのアクセスを、インターネットに安全に公開することができます（画面1、画面2）。

画面1　アプリケーションサーバと同じサーバまたは同じドメインのメンバーサーバにコネクターソフトウェアをインストールして、Azure ADにコネクターを登録する

画面2　社内ネットワーク上のWebアプリを登録済みのアプリケーションプロキシを使用して発行する（画面の例はHTML5ベースのWindows Admin Center）

　ユーザーはAzure ADの組織アカウントの資格情報による認証と、「Microsoft Authenticatorアプリ」またはSMSメッセージによるAzure多要素認証（Azure MFA）で厳重に認証され、アクセスが許可されます（画面3）。

画面3　Azure MFAで厳重に認証されたユーザーだけが、社内リソースへのアクセスを許可される

　Azure ADアプリケーションプロキシを導入するために、企業ネットワーク側で静的なパブリックIPアドレスやパブリックなDNSドメイン名、DMZ（非武装地帯）の設置、受信ポートの開放などは一切必要ありません。Azure ADとオンプレミスのActive Directoryドメインをディレクトリ同期するなど、複雑な構成も必要ありません（ワークグループ構成でも利用できます）。

　リモートワーク環境の整備が喫緊の課題となっている現在、Azure ADアプリケーションプロキシは、セキュリティを確保しながら、低コストで素早く導入できる有効なソリューションになるでしょう。

リモートデスクトップサービス対応を強化

　Azure ADアプリケーションプロキシは、Windows Server 2012 R2以降の「リモートデスクトップサービス（RDS）」展開の発行を正式にサポートしています。具体的には、RDP（3389/TCP）をHTTPSでカプセル化して中継する「リモートデスクトップ（RD）ゲートウェイ」と、リソースへのアクセスを提供するポータル「RD Webアクセス」をAzure AD事前認証に基づいて発行できます。Windows Serverには同様の機能を実現する「Webアプリケーションプロキシ」がありますが、現在はAzure ADアプリケーションプロキシによる発行が推奨されています。

　2020年7月下旬、Azure ADアプリケーションプロキシで「RD Webクライアント」のサポートがパブリックプレビューとして追加されました。

• Azure AD Application Proxy now supports the Remote Desktop Services web client［英語］（Microsoft Tech Community）