2015年7月23日木曜日

[AzureAD/RemoteApp]AzureADでRemoteAppのアクセス制御を行う

こんにちは、富士榮です。

Azure RemoteAppはいわゆるクラウド上でホストされるVDIサービスで、これを使うとiOSやAndroidを含む組織外のデバイスを使って企業内で使ってきたデスクトップアプリケーションを利用できるようになります。

 詳しくはこのあたりで。
  Microsoft RemoteAppで何ができるの?
  http://www.atmarkit.co.jp/ait/articles/1405/15/news035.html


Azure RemoteAppを利用する際は、Azure Active Directory(Azure AD)を使って認証をすることになるので、多要素認証やアクセスルールを使った制御、さらにActive Directory Federation Services(AD FS)の多要素認証機能やDevice Registration Servie(DRS)と連携したハイブリッドID基盤を構成することでクライアント証明書がインストールされている端末のみアクセスを許可する、など細かなデバイス制御を行うことも可能になります。

と、言うことで今回は先月末に公開されたAzure ADのアクセスルールを使ったアクセス制御を試してみます。

 Active Directory Team Blog
  Azure AD Conditional Access preview update: More apps and blocking access for users not at work
  http://blogs.technet.com/b/ad/archive/2015/06/25/azure-ad-conditional-access-preview-update-more-apps-and-blocking-access-for-users-not-at-work.aspx


◆RemoteAppのセットアップ

 ここはバッサリと省きますが、管理ポータルからRemoteAppコレクションを作ります。今回は素のOSイメージでよかったのでWindows Server 2012R2のテンプレートを使いました。実運用ではAzure VMやHyper-V上に実際の業務アプリケーションをインストールしてsysprepしてカスタムテンプレートを作ります。


 それなりに時間がかかりますが、セットアップが終わるとデフォルトでいくつかアプリケーションが発行されています。



◆ユーザの割り当て

 実際にRemoteAppを利用するユーザを割り当てます。割り当て可能なユーザはAzure ADのディレクトリに登録されているユーザです。
 ※ここがグループベースで割り当てできるようになると良いんですけどねぇ。。。





◆まずはそのまま利用する

 ここまででRemoteAppとしては設定が終わりなので、まずは素の状態で使ってみます。

 PCからだとRemoteAppクライアントは以下のURLからダウンロード出来るので、あらかじめダウンロード・インストールしておきます。

 https://www.remoteapp.windowsazure.com/

 ※ちなみにiOS/AndroidではRemote DesktopアプリケーションからRemoteAppを使えます。
 iOS版:
  https://itunes.apple.com/jp/app/microsoft-rimoto-desukutoppu/id714464092?mt=8
 Android版:
  https://play.google.com/store/apps/details?id=com.microsoft.rdc.android&hl=ja


 起動~開始するとAzure ADのログイン画面になるのでログインします。


 ログインに成功するとアプリケーション一覧が表示され、利用できます。




◆アクセス制御をかける

 いよいよ本題です。
 RemoteAppを構成した段階でAzure ADディレクトリの中のアプリケーション一覧にRemoteAppが追加されます。AzureADから見ると管理対象のアプリケーション(サービス)という扱いになっているんですね。


 早速RemoteAppアプリケーションを開き、構成メニューを見るとお馴染みのアクセス・ルールが構成できます。

 ここでは以前紹介したのと同じように社外からのアクセスだったら多要素認証を要求する、というルールを入れてみます。

 参考)
 [AzureAD]アクセスルールで社外からのアクセスを制御する
 http://idmlab.eidentity.jp/2015/06/azuread.html


 構成後、同じようにRemoteAppを立ち上げてみると多要素認証を要求されるようになります。


 また、この際、社外からのアクセスをブロックするように設定するとエラーメッセージが出てアクセスに失敗します。
 メッセージとしては普通にWebアプリケーションへSSOする時よりも親切なメッセージになっている気がします。



 ちなみにiOS版のRemoteDesktopからだと右上の+メニューよりAzure RemoteAppが追加できます。


 ログオンUIはPCとほぼ同じですね。


 アプリケーション一覧もこんな感じです。



 ただ、アプリを起動するとちょっと寂しいです。





いかがでしょうか?
今回は単純にAzure AD側でアクセス制御をしてみましたが、AD FSと組み合わせるともっと柔軟に制御ができるようになるので、おいおい試してみたいと思います。

0 件のコメント:

コメントを投稿