Microsoft Entra IDをIDaaSとして活用し、SSOを実現する認証システムを構築する企業が増えています。Microsoft Entra ID （旧Azure AD）を用いるメリットは複数ありますが、その1つはMicrosoft Entra ID Application Proxy（以下、Microsoft Entra ID アプリケーション プロキシと表記します。）を使用して、オンプレミスシステムにSSOができるところです。今回はMicrosoft Entra ID アプリケーション プロキシについてご説明します。

※本記事は2022年12月21日に投稿した記事を再編集したものです。

Microsoft Entra ID（旧Azure AD）を IDaaSとして活用する他のメリットや課題については、以下の記事をご覧ください。
「Microsoft Entra ID（旧Azure AD）でSSOを実現するメリットや課題とは」

Microsoft Entra ID アプリケーション プロキシとは

Microsoft Entra ID アプリケーション プロキシは、オンプレミスのシステム・アプリケーションを社外に公開することができます。公開した社内アプリケーションはMicrosoft Entra IDで認証を行うため、Microsoft Entra ID （旧Azure AD）を介して使用するクラウドサービスと同じ使用感で、利用することができます。ただし、アプリケーション プロキシの利用には、Microsoft Entra ID （旧Azure AD） Premium P1以上のライセンスが必要です。

Microsoft Entra ID（旧Azure AD）のプランに関する詳細は、こちらの記事をご覧ください
「Microsoft Entra ID（旧AzureAD）のプランを比較！詳しい機能なども併せて解説」

公開できるアプリケーションの種類

Microsoft Entra ID アプリケーション プロキシは、以下の4つの認証方法のWebアプリケーションを公開できます。そして、公開したアプリケーションは、Microsoft Entra ID （旧Azure AD）によるSSOを実現できます。

1. パスワードによる認証

システムにログインする際に、通常のIDとパスワードで認証するシステムに対応しています。多くの企業が持っているオンプレシステムはこれに該当します。

2. SAMLによる認証

SAMLに対応している社内アプリケーションにも対応しています。しかし、オンプレシステムでSAMLに対応しているケースは稀ですので、あまり気にしなくても良いでしょう。

3. 統合Windows認証

レガシー方式の認証方法です。アクティブなWindowsドメインセッションと、Internet ExplorerまたはMicrosoft Edgeを使用して、HTTP通信を行う際に、利用者の認証を行えるものです。

4. ヘッダーベースによる認証

こちらもレガシー方式の認証方法です。ユーザーが使用するブラウザのHTTPヘッダーに個別のデータを挿入し、それをもとに認証しています。

Microsoft Entra ID アプリケーション プロキシのメリット

ここまで概要についてご説明しました、Microsoft Entra ID アプリケーション プロキシを使用するメリットは2つあります。それぞれのメリットについて詳しく見ていきましょう。

場所や時間を問わない働き方の推進

利便性を維持したまま、社内のアプリケーションを社外からもアクセスできるようになります。これによって、社員は社外から働くことも可能になります。
コロナ禍で、多くの企業でリモートワークが進みましたが、VPNを使用したアクセスは遅延しやすい、VPNへの追加投資は効果が悪いなど、様々な課題点が浮き彫りになりました。VPNの使用で、ユーザーの利便性や生産性を欠いてしまった企業も多いです。
アプリケーション プロキシの利用によって、エンドユーザーの利便性を向上させることで、生産性向上にもつながるため、大きなメリットと言えるでしょう。同時に、リモートワークやワーケーションといった働き方改革にもつながります。

セキュリティの強化

境界防御型のVPNから、ゼロトラスト型のアプリケーション プロキシに移行することで、オンプレシステムのセキュリティを引き上げることができます。Microsoft Entra ID （旧Azure AD）の従来の認証だけでなく、多要素認証やアクセス制限を活用できるためです。これによって、企業の情報資産の保護にもつながります。

ゼロトラストについての詳細は以下の記事をご覧ください。
「ゼロトラストモデルとは」

Microsoft Entra ID アプリケーション プロキシのデメリット

Microsoft Entra IDアプリケーション プロキシには、もちろんデメリットも存在します。ここでは、2つのデメリットについてご説明します。

Microsoft Entra ID （旧Azure AD）の価格

まずは、価格がデメリットとして挙げられます。Microsoft Entra ID アプリケーション プロキシを使用するためには、Microsoft Entra ID （旧Azure AD） Premium P1またはP2のライセンスが必要です。Microsoft Entra ID （旧Azure AD） Premium P1のライセンス価格は、ユーザーあたり月額750円（税抜）安くありません。ただし、Microsoft Entra ID （旧Azure AD）の他の機能である、多要素認証やアクセス制限などを活用できる環境であれば、効果に見合った価格とも言えるでしょう。

運用を自社で行う必要がある

2つ目の課題として、Microsoft Entra ID アプリケーション プロキシの運用を自社で行う必要があることが挙げられます。継続的な運用を行うためには、ノウハウを持つ人を採用し、管理してもらう必要があります。そのため、Microsoft Entra ID （旧Azure AD）以外の費用負担が必要になります。そして、管理者の負担は重い状態が継続してしまいます。導入後の運用について、導入段階からしっかりと検討しておく必要があるでしょう。

まとめ

Microsoft Entra ID アプリケーション プロキシの概要と、活用する際のメリット・デメリットをご紹介しました。エンドユーザーの利便性やセキュリティ強化は、非常に嬉しい効果を享受できます。しかし、価格や運用におけるデメリットも存在します。かもめエンジニアリングでは、Microsoft Entra ID アプリケーション プロキシと同様の機能を備えた、ゼロトラスト接続サービスKeygatewayC1を提供しております。アプリケーション プロキシにはない機能も備えており、Microsoft Entra ID （旧Azure AD）と連携した認証システムを構築した実績もございます。ご興味ある方はぜひ以下のお問い合わせフォームよりご連絡ください。