次の方法で共有


Azure に Active Directory フェデレーション サービス (AD FS) をデプロイする

Active Directory フェデレーション サービス (AD FS) は、簡素化され、セキュリティで保護された ID フェデレーション機能と Web シングル サインオン (SSO) 機能を提供しています。 Microsoft Entra ID または Microsoft 365 で連携されたユーザーは、オンプレミスの資格情報を使用して認証し、すべてのクラウド リソースにアクセスできます。 そのため、オンプレミスとクラウドの両方のリソースに確実にアクセスできるように、デプロイに高可用性の AD FS インフラストラクチャが必要になります。

Azure に AD FS をデプロイすると、あまり労力をかけずに高可用性を実現できます。 AD FS を Azure にデプロイするメリットはいくつかあります。

  • Azure 可用性セットの威力により、可用性の高いインフラストラクチャが実現します。
  • デプロイのスケーリングが容易です。 より高いパフォーマンスが必要になった場合は、Azure の簡素化されたデプロイ プロセスを使用して、より強力なマシンに簡単に移行できます。
  • Azure geo 冗長性により、世界中でインフラストラクチャの高可用性を確保できます。
  • Azure ポータルでは、非常に簡素化された管理オプションにより、インフラストラクチャを管理しやすくなります。

設計原則

次の図は、Azure に AD FS インフラストラクチャを展開する場合に推奨される基本トポロジを示しています。

Azure に AD FS インフラストラクチャを展開する場合に推奨される基本トポロジを示した図。

ネットワーク トポロジでは、以下の一般原則に従うことをお勧めします。

  • ドメイン コントローラーのパフォーマンスに影響を与えないように、AD FS を別のサーバーに展開します。
  • ユーザーが会社のネットワークに接続していなくても AD FS にアクセスできるように、Web アプリケーション プロキシ (WAP) サーバーを展開する必要があります。
  • Web アプリケーション プロキシ サーバーは、緩衝領域 (DMZ) 内にセットアップして、DMZ と内部サブネット間の TCP/443 アクセスのみを許可する必要があります。
  • AD FS サーバーと Web アプリケーション プロキシ サーバーの高可用性を確保するために、AD FS サーバーには内部ロード バランサーの使用を、Web アプリケーション プロキシ サーバーには Azure Load Balancer の使用をそれぞれお勧めします。
  • AD FS のデプロイに冗長性を確保するために、同様のワークロードを処理する複数の仮想マシン (VM) を 1 つの可用性セットとしてグループ化するようお勧めします。 この構成により、計画されたメンテナンス中も計画外のメンテナンス中も、少なくとも 1 つの VM が利用可能な状態になります。
  • Web アプリケーション プロキシ サーバーは、別の DMZ ネットワークにデプロイする必要があります。 1 つの仮想ネットワークを 2 つのサブネットに分割し、分離されたサブネットに Web アプリケーション プロキシ サーバーをデプロイできます。 各サブネットのネットワーク セキュリティ グループの設定を構成し、2 つのサブネット間で必要な通信だけを許可できます。

ネットワークをデプロイする

ネットワークを作成するときは、同じ仮想ネットワーク内に 2 つのサブネットを作成することも、2 つの異なる仮想ネットワークを作成することもできます。 2 つの個別の仮想ネットワークを作成するには、通信用に 2 つの個別の仮想ネットワーク ゲートウェイも作成する必要があるため、単一ネットワーク アプローチの使用をお勧めします。

仮想ネットワークの作成

仮想ネットワークを作成するには、次のようにします。

  1. Azure アカウントで Azure Portal にサインインします。

  2. ポータルで、[仮想ネットワーク] を検索して選択します。

  3. [仮想ネットワーク] ページで、[+ 作成] を選択します。

  4. [仮想ネットワークの作成] で、[基本] タブに移動し、以下の設定を構成します。

    • [プロジェクトの詳細] で、以下の設定を構成します。

      • [サブスクリプション] で、サブスクリプションの名前を選択します。

      • [リソース グループ] で、既存のリソース グループの名前を選択するか、[新規作成] を選択して新しいリソース グループを作成します。

    • [インスタンスの詳細] で、以下の設定を構成します。

      • [仮想ネットワーク名] に、仮想ネットワークの名前を入力します。

      • [リージョン] で、仮想ネットワークを作成するリージョンを選択します。

  5. [次へ] を選択します。

  6. [セキュリティ] タブで、使用するセキュリティ サービスを有効にし、[次へ] を選択します。

  7. [IP アドレス] タブで、編集するサブネットの名前を選択します。 この例では、サービスによって自動的に作成される既定のサブネットを編集します。

  8. [サブネットの編集] ページで、サブネットの名前を INT に変更します。

  9. サブネットの [IPアドレス] および [サブネット サイズ] 情報を入力して、[IP アドレス空間] を定義します。

  10. [ネットワーク セキュリティ グループ][新規作成] を選びます。

  11. この例では、"NSG_INT" という名前を入力し、[OK][保存] の順に選びます。 これで、最初のサブネットが作成されました。

    サブネットを編集し、内部ネットワーク セキュリティ グループを追加する方法を示すスクリーンショット。

  12. 2 つ目のサブネットを作成するには、[+ サブネットの追加] を選びます。

  13. [サブネットの追加] ページで、2 番目のサブネット名に「DMZ」と入力し、空のフィールドにサブネットに関する情報を入力して、[IP アドレス空間] を定義します。

  14. [ネットワーク セキュリティ グループ][新規作成] を選びます。

  15. "NSG_DMZ" という名前を入力し、[OK][追加] の順に選びます。

    ネットワーク セキュリティ グループを含む新しいサブネットを追加する方法を示すスクリーンショット。

  16. [Review + create](確認と作成) を選択し、次に [作成] を選択します。

これで、それぞれにネットワーク セキュリティ グループが関連付けられた 2 つのサブネットを含む仮想ネットワークが作成されました。

新しいサブネットとそのネットワーク セキュリティ グループを示すスクリーンショット。

仮想ネットワークをセキュリティで保護する

ネットワーク セキュリティ グループ (NSG) には、仮想ネットワークの VM インスタンスに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) 規則が含まれています。 NSG は、サブネットまたはそのサブネット内の個々の VM インスタンスと関連付けることができます。 NSG がサブネットに関連付けられている場合、ACL 規則はそのサブネット内のすべての VM インスタンスに適用されます。

サブネットに関連付けられている NSG には、いくつかの既定の受信規則とアウトバウンド規則が自動的に含まれています。 既定の規則は削除できませんが、優先順位の高い規則を使用してオーバーライドできます。 また、必要なセキュリティ レベルに応じて、受信規則とアウトバウンド規則をさらに追加できます。

次に、2 つのセキュリティ グループのそれぞれにいくつかの規則を追加します。 1 つ目の例では、NSG_INT セキュリティ グループに受信セキュリティ規則を追加します。

  1. 仮想ネットワークの [サブネット] ページで、[NSG_INT] を選びます。

  2. 左側で、[受信セキュリティ規則][+ 追加] の順に選びます。

  3. [受信セキュリティ規則の追加] で、以下の情報を使用して規則を構成します。

    • [送信元] に「10.0.1.0/24」と入力します。

    • [ソース ポート範囲] は、トラフィックを許可しない場合は空白のままにします。どのポートでもトラフィックを許可する場合は、アスタリスク (*) を選択します。

    • [宛先] に「10.0.0.0/24」と入力します。

    • [サービス] で、[HTTPS] を選択します。 選択したサービスに応じて、[宛先ポート範囲] および [プロトコル] のフィールドに情報が自動入力されます。

    • [アクション] で、 [許可] を選択します。

    • [優先度] に「1010」と入力します。

    • [名前]に、「AllowHTTPSFromDMZ」と入力します。

    • [説明]に、「DMZからのHTTPS通信を許可する」と入力します。

  4. 完了したら、[追加] を選択します。

    受信セキュリティ規則の追加方法を示すスクリーンショット。 新しい受信セキュリティ規則が NSG_INT の規則の一覧の一番上に追加されました。

  5. 次の表に示す値を使用して、これらの手順を繰り返します。 内部サブネットと DMZ サブネットをセキュリティで保護するために、作成した新しい規則に加えて、次の規則を優先順位に追加する必要があります。

    NSG 規則の種類 ソース 宛先 サービス アクション Priority 名前 説明
    NSG_INT 送信 Any サービス タグ/インターネット カスタム (80/任意) 拒否 100 DenyInternetOutbound インターネットにアクセスできません。
    NSG_DMZ 受信 Any Any カスタム (アスタリスク (*)/任意) 許可 1010 AllowHTTPSFromInternet インターネットから DMZ への HTTPS を許可します。
    NSG_DMZ 送信 Any サービス タグ/インターネット カスタム (80/任意) 拒否 100 DenyInternetOutbound インターネットへの HTTPS 以外はブロックされます。
  6. 新しい規則ごとに値を入力し終わったら、[追加] を選択し、各 NSG に 2 つの新しいセキュリティ規則が追加されるまで、次へ進みます。

構成を完了すると、NSG ページは次のスクリーンショットのようになります。

セキュリティ規則を追加した後の NSG を示すスクリーンショット。

Note

仮想ネットワークでクライアント ユーザー証明書認証 (X.509ユーザー証明書を使用した clientTLS 認証など) が必要な場合は、受信アクセス用に TCP ポート 49443 を有効にする必要があります。

オンプレミスへの接続を作成する

DC を Azure でデプロイするには、オンプレミスへの接続が必要です。 オンプレミスのインフラストラクチャを Azure インフラストラクチャに接続するには、以下のいずれかのオプションを使用できます。

  • ポイント対サイト
  • 仮想ネットワークのサイト間
  • ExpressRoute

組織でポイント対サイト接続または仮想ネットワーク サイト間接続が必要でない場合は、ExpressRoute の使用をお勧めします。 ExpressRoute を使用すると、Azure のデータセンターとオンプレミスや共用環境にあるインフラストラクチャとの間にプライベート接続を作成できます。 ExpressRoute 接続はパブリック インターネットに接続しないため、信頼性、速度、安全性に優れています。 ExpressRoute と ExpressRoute を使用した各種の接続方法の詳細については、「 ExpressRoute の技術概要」を参照してください。

可用性セットを作成する

ロール (DC/AD FS および WAP) ごとに、少なくとも 2 台のマシンを含む可用性セットを作成します。 この構成は、各ロールの高可用性を実現するのに役立ちます。 可用性セットを作成するときは、以下のいずれのドメインを使用するかを決定する必要があります。

  • 障害ドメインでは、すべての VM が同じ電源と物理ネットワーク スイッチを共有します。 障害ドメインは 2 つ以上をお勧めします。 既定値は 2 で、このデプロイではそのままにしておきます。

  • 更新ドメインでは、更新中にすべてのマシンが一緒に再起動します。 更新ドメインは 2 つ以上をお勧めします。 既定値は 5 で、このデプロイではそのままにしておきます。

可用性セットを作成するには:

  1. Azure ポータルで [可用性セット] を検索して選択し、[+ 作成] を選択します。

  2. [可用性セットの作成] で、[基本] タブに移動し、以下の情報を入力します。

    • [プロジェクトの詳細] で:

      • [サブスクリプション] で、サブスクリプションの名前を選択します。

      • [リソース グループ] で、既存のリソース グループを選択するか、[新規作成] を選択して新しいリソース グループを作成します。

    • [インスタンスの詳細] で、以下の操作を行います。

      • [名前] に、可用性セットの名前を入力します。 この例では、"contosodcset" と入力します。

      • [リージョン] で、使用するリージョンを選択します。

      • [障害ドメイン] は、既定値の 2 のままにしておきます。

      • [更新ドメイン] は、既定値の 5 のままにしておきます。

      • [マネージド ディスクの使用] では、この例では [いいえ (クラシック)] を選択します。

    可用性セットの作成方法を示すスクリーンショット。

  3. 完了したら、[確認と作成][作成] の順に選択します。

  4. 前の手順を繰り返して、"contososac2" という名前の 2 つ目の可用性セットを作成します。

仮想マシンをデプロイする

次の手順では、インフラストラクチャでさまざまなロールをホストする VM をデプロイします。 各可用性セットに少なくとも 2 台のマシンを使用することをお勧めします。 この例では、基本デプロイ用に 4 つの VMを作成します。

VM を作成するには:

  1. Azure portal で、[仮想マシン] を検索して選択します。

  2. [仮想マシン] ページ、[+ 作成][Azure 仮想マシン] の順に選びます。

  3. [仮想マシンの作成] で、[基本] タブに移動し、以下の情報を入力します。

    • [プロジェクトの詳細] で:

      • [サブスクリプション] で、サブスクリプションの名前を選択します。

      • [リソース グループ] で、既存のリソース グループを選択するか、[新規作成] を選択して新しいリソース グループを作成します。

    • [インスタンスの詳細] で、以下の操作を行います。

      • [仮想マシン名] に、VM の名前を入力します。 この例の最初のマシンとして、「contosodc1」と入力します。

      • [リージョン] で、使用するリージョンを選択します。

      • [可用性オプション] で、[可用性セット] を選択します。

      • [可用性セット] で、[contosodcset] を選択します。

      • [セキュリティの種類] で、[標準] を選択します。

      • [サブスクリプション] で、サブスクリプションの名前を選択します。

      • [イメージ] で、使用するイメージを選択し、[VM 世代の構成] を選択して [Gen 1] を選択します。

    • [管理者アカウント] では、次の設定を行います。

      • [認証の種類] には [SSH 公開キー] を選択します。

      • [ユーザー名] に、アカウントで使用するユーザー名を入力します。

      • [キー ペアの名前] に、アカウントで使用するキー ペア名を入力します。

    • 指定されていない項目については、既定値のままにしておきます。

  4. 完了したら、[次へ: ディスク] を選択します。 仮想マシンを作成する方法の最初のステップを示すスクリーンショット。

  5. [ネットワーク] タブで、以下の情報を入力します。

    • [仮想ネットワーク] で、前のセクションで作成したサブネットが含まれる仮想ネットワークの名前を選択します。

    • [サブネット] では、INT サブネットを選択します。

    • [NIC ネットワーク セキュリティ グループ][なし] を選択します。

    • 指定されていない項目は、既定値のままにしておくことができます。 [ネットワーク] タブで仮想マシンを作成する方法を示すスクリーンショット。

  6. すべての選択を行ったら、[確認と作成] を選択し、[作成] を選択します。

次の表の情報を使用して、これらの手順を繰り返し、残りの 3 つの VM を作成します。

仮想マシン名 サブネット 可用性のオプション 可用性セット ストレージ アカウント
contosodc2 INT 可用性セット contosodcset contososac2
contosowap1 DMZ 可用性セット contosowapset contososac1
contosowap2 DMZ 可用性セット contosowapset contososac2

Azure ではサブネット レベルで NSG を使用できるため、この設定では NSG を指定していません。 サブネットまたはネットワーク インターフェイス カード (NIC) オブジェクトに関連付けられた個々の NSG を使用して、マシンのネットワーク トラフィックを制御できます。 詳細については、「ネットワーク セキュリティ グループ (NSG) とは」をご覧ください。

DNS を管理する場合、静的 IP アドレスを使用することをお勧めします。 Azure DNS を使用し、ドメインの DNS レコード内の Azure FQDN で新しいマシンを参照できます。 詳細については、「プライベート IP アドレスを静的に変更する」をご覧ください。

デプロイが完了したら、[仮想マシン] ページに 4 つの VM がすべて表示されます。

DC および AD FS サーバーを構成する

受信要求を認証するには、AD FS が DC に接続する必要があります。 認証のために Azure からオンプレミス DC にかかる費用を節約するために、Azure に DC のレプリカをデプロイすることをお勧めします。 高可用性を実現するには、少なくとも 2 つの DC の可用性セットを作成することをお勧めします。

ドメイン コントローラー ロール ストレージ アカウント
contosodc1 [レプリカ] contososac1
contosodc2 [レプリカ] contososac2

以下を行うことをお勧めします。

  • DNS を使用して 2 台のサーバーをレプリカ DC として昇格させる

  • サーバー マネージャーを使用して AD FS ロールをインストールし、AD FS サーバーを構成します。

内部ロード バランサー (ILB) を作成してデプロイする

ILB を作成してデプロイするには:

  1. Azure portal で [ロード バランサー] を検索して選択し、[+ 作成] を選択します。

  2. [ロード バランサーの作成] で、[基本] タブで次の情報を入力または選択します。

    • [プロジェクトの詳細] で:

      • [サブスクリプション] で、サブスクリプションの名前を選択します。

      • [リソース グループ] で、既存のリソース グループを選択するか、[新規作成] を選択して新しいリソース グループを作成します。

    • [インスタンスの詳細] で、以下の操作を行います。

      • [名前] に、ロード バランサーの名前を入力します。

      • [リージョン] で、使用するリージョンを選択します。

      • [種類] には [内部] を選択します。

    • [SKU][レベル] を既定値のままにし、[次へ: フロントエンド IP 構成] を選びます。[基本] タブでロード バランサーを作成する方法を示すスクリーンショット。

  3. [+ フロントエンド IP 構成の追加] を選び、[フロントエンド IP 構成の追加] ページで次の情報を入力または選択します。

    • [名前] に、フロントエンド IP 構成名を入力します。

    • [仮想ネットワーク] で、AD FS を展開する仮想ネットワークを選択します。

    • [サブネット] で、前のセクションで作成した内部サブネットである INT を選択します。

    • [割り当て][静的] を選択します。

    • [IP アドレス] に、IP アドレスを入力します。

    • [可用性ゾーン] を既定値のままにして、[追加] を選びます。 ロード バランサーを作成するときにフロントエンド IP 構成を追加する方法を示したスクリーンショット。

  4. [次へ: バックエンド プール] を選択し、 [+ バックエンド プールの追加] を選択します。

  5. [バックエンド プールの追加] ページで、バックエンド プールの名前を [名前] フィールドに入力します。 [IP 構成] 領域で、[+ 追加] を選択します。

  6. [バックエンド プールの追加] ページで、バックエンド プールに合わせて配置する VM を選び、[追加][保存] の順に選びます。 ロード バランサーを作成するときにバックエンド プールを追加する方法を示したスクリーンショット。

  7. [次へ: 受信規則] を選択します。

  8. [受信規則] タブで [負荷分散規則の追加] を選択し、[負荷分散規則の追加] ページで以下の情報を入力します。

    • [名前] に、規則の名前を入力します。

    • [フロントエンド IP アドレス] で、先ほど作成したアドレスを選択します。

    • [バックエンド プール] で、先ほど作成したバックエンド プールを選択します。

    • [プロトコル][TCP] を選択します。

    • [ポート] に、「443」と入力します

    • [バックエンド ポート][新規作成] を選択し、以下の値を入力して正常性プローブを作成します。

      • [名前] に、正常性プローブの名前を入力します。

      • [プロトコル] に、「HTTP」と入力します。

      • [ポート] に、「80」と入力します

      • [パス] に、「/adfs/probe」と入力します。

      • [間隔] は、既定値の 5 のままにしておきます。

      • 完了したら、[保存] をクリックします。

    • 完了したら、[保存] を選択して受信規則を保存します。

  9. [保存] を選んで受信規則を保存します。 負荷分散規則の追加方法を示したスクリーンショット。

  10. [Review + create](確認と作成) を選択し、次に [作成] を選択します。

[作成] を選択して ILB がデプロイされると、次のスクリーンショットのように、ロード バランサーの一覧に表示されます。

作成した新しいロード バランサーを示すスクリーンショット。

DNS サーバーを ILB で更新する

内部 DNS サーバーを使用して、ILB の A レコードを作成します。 この設定により、fs.contoso.com に送信されるすべてのデータが、適切なルートを使用して ILB に到達するようになります。 A レコードは、ILB の IP アドレスを指す IP アドレスをもつフェデレーション サービス用である必要があります。 たとえば、ILB IP アドレスが 10.3.0.8 で、インストールされているフェデレーション サービスが fs.contoso.com の場合、10.3.0.8 を指す fs.contoso.com の A レコードを作成します。

警告

AD FS データベースに Windows Internal Database (WID) を使用している場合は、一時的にプライマリ AD FS サーバーを指すようにこの値を設定します。 この一時的な設定変更を行わないと、Web アプリケーション プロキシの登録は失敗します。 すべての Web アプリケーション プロキシ サーバーを正常に登録した後で、この DNS エントリを変更し、ロード バランサーを指すように指定します。

Note

デプロイで IPv6 も使用している場合は、対応する AAAA レコードを作成します。

AD FS サーバーに到達するように Web アプリケーション プロキシ サーバーを構成する

Web アプリケーション プロキシ サーバーが ILB の背後にある AD FS サーバーに確実に到達できるようにするために、ILB の %systemroot%\system32\drivers\etc\hosts ファイルにレコードを作成します。 識別名 (DN) はフェデレーション サービス名 (fs.contoso.com など) にする必要があります。 また、IP エントリには ILB の IP アドレス (この例では 10.3.0.8) を指定します。

警告

AD FS データベースに Windows Internal Database (WID) を使用している場合は、一時的にプライマリ AD FS サーバーを指すようにこの値を設定します。 この操作を行わないと、Web アプリケーション プロキシの登録は失敗します。 すべての Web アプリケーション プロキシ サーバーを正常に登録した後で、この DNS エントリを変更し、ロード バランサーを指すように指定します。

Web アプリケーション プロキシ ロールをインストールする

Web アプリケーション プロキシ サーバーが ILB の背後にある AD FS サーバーに確実に到達できるようにしたら、次に Web アプリケーション プロキシ サーバーをインストールできます。 Web アプリケーション プロキシ サーバーをドメインに参加させる必要はありません。 リモート アクセス ロールを選択して、2 つの Web アプリケーション プロキシ サーバーに Web アプリケーション プロキシ ロールをインストールします。 サーバー マネージャーによって、WAP インストールを完了するためのガイドが表示されます。

詳細については、「Web アプリケーション プロキシ サーバーのインストールと構成」をご覧ください。

インターネットに接続する (パブリック) ロード バランサーを作成してデプロイする

インターネットに接続するロード バランサーを作成してデプロイするには:

  1. Azure portal で、[ロード バランサー][作成] の順に選びます。

  2. [ロード バランサーの作成] で、[基本] タブに移動し、以下の設定を構成します。

    • [プロジェクトの詳細] で:

      • [サブスクリプション] で、サブスクリプションの名前を選択します。

      • [リソース グループ] で、既存のリソース グループを選択するか、[新規作成] を選択して新しいリソース グループを作成します。

    • [インスタンスの詳細] で、以下の操作を行います。

      • [名前] に、ロード バランサーの名前を入力します。

      • [リージョン] で、使用するリージョンを選択します。

      • [種類] で、[パブリック] を選択します。

    • [SKU][レベル] を既定値のままにし、[次へ : フロントエンド IP 構成] を選びます

    パブリック向けの負荷分散規則の追加方法を示すスクリーンショット。

  3. [+ フロントエンド IP 構成の追加] を選び、[フロントエンド IP 構成の追加] ページで次の情報を入力または選択します。

    • [名前] に、フロントエンド IP 構成名を入力します。

    • [IP の種類][IP アドレス] を選択します。

    • [パブリック IP アドレス] で、使用するパブリック IP アドレスをドロップダウン リストで選択するか、[作成] を選択して新しいアドレスを作成し、[追加] を選択します。

    パブリック ロード バランサーを作成するときにフロントエンド IP 構成を追加する方法を示したスクリーンショット。

  4. [次へ: バックエンド プール] を選択し、 [+ バックエンド プールの追加] を選択します。

  5. [バックエンド プールの追加] ページで、バックエンド プールの名前を [名前] フィールドに入力します。 [IP 構成] 領域で、[+ 追加] を選択します。

  6. [バックエンド プールの追加] ページで、バックエンド プールに合わせて配置する VM を選び、[追加][保存] の順に選びます。 パブリック ロード バランサーを作成するときにバックエンド プールを追加する方法を示したスクリーンショット。

  7. [次へ: 受信規則] を選択し、[負荷分散規則の追加] を選択します。 [負荷分散規則の追加] ページで、以下の設定を構成します。

    • [名前] に、規則の名前を入力します。

    • [フロントエンド IP アドレス] で、先ほど作成したアドレスを選択します。

    • [バックエンド プール] で、先ほど作成したバックエンド プールを選択します。

    • [プロトコル][TCP] を選択します。

    • [ポート] に、「443」と入力します

    • [バックエンド ポート] に、「443」と入力します。

    • [正常性プローブ] で、以下の値を入力します。

      • [名前] に、正常性プローブの名前を入力します。

      • [プロトコル] に、「HTTP」と入力します。

      • [ポート] に、「80」と入力します

      • [パス] に、「/adfs/probe」と入力します。

      • [間隔] は、既定値の 5 のままにしておきます。

      • 完了したら、[保存] をクリックします。

    • 完了したら、[保存] を選択して受信規則を保存します。

  8. [Review + create](確認と作成) を選択し、次に [作成] を選択します。

[作成] を選択してパブリック ILB をデプロイすると、ロード バランサーの一覧に表示されます。

受信規則の保存方法を示すスクリーンショット。

パブリック IP に DNS ラベルを割り当てる

パブリック IP の DNS ラベルを構成するには:

  1. Azure portal で [パブリック IP アドレス] を検索し、編集する IP アドレスを選択します。

  2. [設定] の下で [構成] を選択します。

  3. [DNS ラベルを指定する (オプション)] で、外部ロード バランサー (contosofs.westus.cloudapp.azure.com など) の DNS ラベルを解決するエントリ (fs.contoso.com など) をテキスト フィールドに追加します。

  4. [保存] を選び、DNS ラベルの割り当てを完了します。

AD FS サインインをテストする

AD FS をテストする最も簡単な方法は、IdpInitiatedSignOn.aspx ページを使用することです。 これを行うには、AD FS プロパティの IdpInitiatedSignOn を有効にする必要があります。

IdpInitiatedSignOn プロパティが有効になっているかどうかを確認するには:

  1. PowerShell で、AD FS サーバーで次のコマンドレットを実行して、有効に設定します。

    Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true
    
  2. 外部のマシンから https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx にアクセスします。

  3. 次の AD FS ページが表示されます。

    サインイン ページのスクリーンショット。

  4. サインインを試します。 正常にサインインすると、次のスクリーンショットに示すようにメッセージが表示されます。

    テスト成功メッセージを示すスクリーンショット。

Azure で AD FS をデプロイするためのテンプレート

このテンプレートでは、ドメイン コントローラー、AD FS、WAP 用にそれぞれ 2 台、合計 6 台のマシンのセットアップをデプロイします。

Azure での AD FS のデプロイ テンプレート

このテンプレートのデプロイでは、既存の仮想ネットワークを使用することも、新しい仮想ネットワークを作成することもできます。 次の表に、デプロイのカスタマイズに使用できるパラメーターを示します。

パラメーター 説明
場所 リソースのデプロイ先とするリージョン。
StorageAccountType 作成するストレージ アカウントの種類。
VirtualNetworkUsage 新しい仮想ネットワークを作成するか、既存の仮想ネットワークを使用するかを示します。
VirtualNetworkName 仮想ネットワークの名前。 既存の仮想ネットワークを使用する場合も、新規作成の場合も必須です。
VirtualNetworkResourceGroupName 既存の仮想ネットワークが配置されているリソース グループの名前を指定します。 既存の仮想ネットワークを使用する場合、このオプションは、デプロイで既存の仮想ネットワークの ID を見つけられるようにするために必須のパラメーターです。
VirtualNetworkAddressRange 新しい仮想ネットワークのアドレス範囲。 新しい仮想ネットワークを作成する場合は必須。
InternalSubnetName 内部サブネットの名前。 新しい仮想ネットワークと既存の仮想ネットワークの両方で必須です。
InternalSubnetAddressRange ドメイン コントローラーと AD FS サーバーが含まれる内部サブネットのアドレス範囲。 新しい仮想ネットワークを作成する場合は必須。
DMZSubnetAddressRange Windows アプリケーション プロキシ サーバーが含まれる DMZ サブネットのアドレス範囲。 新しい仮想ネットワークを作成する場合は必須。
DMZSubnetName 内部サブネットの名前。新しい仮想ネットワークと既存の仮想ネットワークの両方で必須です。
ADDC01NICIPAddress 1 台目のドメイン コントローラーの内部 IP アドレス。 この IP アドレスは DC に静的に割り当てられたもので、内部サブネット内の有効な IP アドレスである必要があります。
ADDC02NICIPAddress 2 台目のドメイン コントローラーの内部 IP アドレス。 この IP アドレスは DC に静的に割り当てられたもので、内部サブネット内の有効な IP アドレスである必要があります。
ADFS01NICIPAddress 1 台目の AD FS サーバーの内部 IP アドレス。 この IP アドレスは AD FS サーバーに静的に割り当てられたもので、内部サブネット内の有効な IP アドレスである必要があります。
ADFS02NICIPAddress 2 台目の AD FS サーバーの内部 IP アドレス。 この IP アドレスは AD FS サーバーに静的に割り当てられたもので、内部サブネット内の有効な IP アドレスである必要があります。
WAP01NICIPAddress 1 台目の WAP サーバーの内部 IP アドレス。 この IP アドレスは WAP サーバーに静的に割り当てられたもので、DMZ サブネット内の有効な IP アドレスである必要があります。
WAP02NICIPAddress 2 台目の WAP サーバーの内部 IP アドレス。 この IP アドレスは WAP サーバーに静的に割り当てられたもので、DMZ サブネット内の有効な IP アドレスである必要があります。
ADFSLoadBalancerPrivateIPAddress AD FS ロード バランサーの内部 IP アドレス。 この IP アドレスはロード バランサーに静的に割り当てられたもので、内部サブネット内の有効な IP アドレスである必要があります。
ADDCVMNamePrefix ドメイン コントローラーの VM 名のプレフィックス。
ADFSVMNamePrefix AD FS サーバーの VM 名のプレフィックス。
WAPVMNamePrefix WAP サーバーの VM 名のプレフィックス。
ADDCVMSize ドメイン コントローラーの VM のサイズ。
ADFSVMSize AD FS サーバーの VM のサイズ。
WAPVMSize WAP サーバーの VM のサイズ。
AdminUserName VM のローカル管理者の名前。
AdminPassword VM のローカル管理者アカウントのパスワード。

次のステップ