【IDM】Windows Server 2012 R2 の Web Application Proxy ってナニするためのもの? Device Registration Service との関係は?

Active Directory の最新情報をキャッチアップ!

クラウド時代の Active Directory 次の一手シリーズ 第1回~6回 公開中!

第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは

Windows Server 2012 R2 に新しく実装された機能の1つに Web Application Proxy があります。

非常に地味~な名称のため、正直なところあまり目立たないのですけどね。

Web Application Proxy とは何かといえば、ぶっちゃけ、リバースプロキシーです。

リバースプロキシーなんて古くからあるテクノロジーですから、中には「何を今さら !?」と思われる方もいらっしゃるかもしれません。マイクロソフトもその昔 MS PROXY という製品を販売していましたし、その後継製品として現在は超高機能な Forefront UAG(Unified Access Gateway)を持っています。

なのに、なぜ今さら Web Application Proxy なのかといえば、これがマイクロソフトの「デバイス&サービス戦略」においてとても重要な位置を占めているからです。

Windows Server 2012 R2 に実装されている Web Application Proxy の最大の特徴とは何かといえば、

AD FS による事前認可機能

これにつきます。

さまざまなリバースプロキシー製品が Active Directory ドメインサービスに「認証依頼」を飛ばすことができますが、Web Application Proxy は AD FS に「認可依頼」を飛ばすことができます。

Web Applicaiton Proxy と AD FS の連携による認可処理は、社内へのアクセスに先立って行われるため「事前認可」と呼んでいます。

この機能により、ユーザーがインターネットから社内リソースアクセスする前に、「ユーザー認証」するだけでなく AD FS から発行されたクレームを使用して「認可」することができるのです。

ここでちょっとだけ整理しておきましょう。

  • ユーザー認証でできること
  • ユーザーIDとパスワードの正当性チェック
  • ユーザーが所属しているセキュリティグループの正当性チェック
  • ユーザー認可でできること
  • ユーザーのさまざまな属性によるアクセス可否判定

「認可」では、ユーザーが持っている属性を使ってアクセス可否を判定することができるため、きめの細かな制御が可能です。

ユーザー属性は通常 Active Directory に格納されていますが、AD FS は標準で SQL Server に格納された情報を検索できるため、例えば人事データベースが SQL Server で構築されていれば、それらの情報も判定基準として利用できるということです。

アクセス制御のための複雑なビジネスロジックを大量のセキュリティグループによって実現することは、とても大変ですし面倒です。

しかし、ユーザー属性をアクセス制御の判定基準に利用できれば、今まで以上に要望実現への距離を短縮することができます。

「え?それだけ?なんかピンとこないな。」

そう思われた方も多いでしょう。

当然、話はこれだけでは終わりません。

Windows Server 2012 R2 には新たに「DRS:Device Registration Service(デバイス登録サービス)」という機能が実装されました。

これはその名の通り、ユーザーのデバイス(PCやタブレット)を Active Directory に登録するためのサービスです。

これはドメイン参加とは違いますので気を付けてください。

ドメインに参加した PC は、AD ドメインによる「デバイス認証」がサポートされることに加え、「ドメインのポリシーを強制適用」したり「管理者がリモートから管理」することができます。

しかし、DRS によってドメインに登録されたデバイスは、ADドメインによって「デバイス認証」のみが行われます。

デバイスを登録したからといって、ドメインのポリシーが適用されたり、管理者がリモートから入り込むということはできません。

では、なんのためのデバイス登録なのか。。。

実は、DRS は AD FS と連携して動作しています。

ということは、デバイスが AD ドメインで認証の結果、デバイスのクレーム(デバイスの属性)が発行されます。

ちなみに、デバイスを登録する処理のことを、Windows 8.1 では Workplace Join と呼んでいます。

「デバイスのクレームが発行される」と聞いて、先の Web Application Proxy の AD FS 連携と結び付けられた方はすばらしいです。

デバイスクレームが発行されるということは、Web Application Proxy を通過する際に ユーザーに対する認可に加えてデバイスに対する認可も行えるということです。

つまり、ユーザーが正しく認可されても、デバイスが認可されなければ社内にアクセスすることができません。

従来、これと同じことを行うためには、サードパーティ製品を導入する必要がありました。

しかも、個人デバイスは Active Directory に登録されていないため、別途管理DBを用意してメンテナンスしなければなりませんでした。

でも、今後新しく構築する際にはその必要はありません。

Workpalce Join を使用すれば、ユーザーは自分自身で社内 AD にデバイス登録が行えます。

しかも、何か特別なアプリケーションやドライバーをインストールする必要はなく、OS 標準機能で行えてしまうのです。

必要な証明書は、Workplace Join したときに自動的にインストールされます。

もちろん、誰でも彼でもデバイス登録ができてしまうことは危険ですので、DRS に登録要求ができるユーザーやユーザーグループを制限することもできます。

その辺のアクセス制御は AD FS を使用してきめ細かに行えます。

いかがでしょう?

ちょっと評価してみたくなりましたよね?

ただ、構築のために求められるスキルは、かなり難易度が高いです。

なので、手順書を用意しました。

手順書を入手していただくには、まずは Windows Server 2012 R2 評価版ダウンロードを行ってください。

https://technet.microsoft.com/ja-jp/evalcenter/dn205286.aspx

評価版ダウンロードを開始してからすこしすると、「ダウンロードありがとう」的なメールが送られてきます。

※すでに評価版をお持ちの方はダウンロードを途中で止めてしまっても大丈夫です

そのメールの中に、手順書へのリンクが書かれています。

ぜひ Windows Server 2012 R2 評価版を使用して、手順を実施してみてください。

感動していただけるはずです。

一歩先の Active Directory の使い方によっていただければ幸いです。