Azure Logic Apps 用のオンプレミス データ ゲートウェイのインストール

  • [アーティクル]

従量課金ロジック アプリのワークフローでは、一部のコネクタでオンプレミスのデータ ソースにアクセスできます。 これらの接続を作成する前に、オンプレミスのデータ ゲートウェイをダウンロードしてインストールしてから、そのゲートウェイのインストール用の Azure リソースを作成する必要があります。 このゲートウェイは、オンプレミスのデータ ソースとワークフロー間でのデータ転送と暗号化を高速で行うブリッジとして機能します。 同じゲートウェイ インストールを、Power Automate、Power BI、Power Apps、Azure Analysis Services など、他のクラウド サービスで使用できます。

Standard ロジック アプリ ワークフローでは、組み込みのサービス プロバイダー コネクタではオンプレミスのデータ ソースにアクセスするためのゲートウェイを必要としません。 代わりに、ID を認証し、データ ソースへのアクセスを承認する情報を提供します。 組み込みのコネクタをデータ ソースで使用できないが、マネージド コネクタを使用できる場合は、オンプレミスのデータ ゲートウェイが必要です。

この攻略ガイドでは、Azure Logic Apps からオンプレミスのデータ ソースにアクセスできるように、オンプレミス データ ゲートウェイをダウンロード、インストール、設定する方法について説明します。 データ ゲートウェイのしくみについても、この記事で後ほど詳しく説明します。 ゲートウェイの詳細については、「オンプレミス データ ゲートウェイとは」を参照してください。 ゲートウェイのインストール タスクと管理タスクを自動化するには、PowerShell ギャラリーの DataGateway PowerShell コマンドレットを参照してください。

これらのサービスでゲートウェイを使用する方法については、次の記事を参照してください。

前提条件

  • Azure アカウントとサブスクリプション。 サブスクリプションがない場合は、無料アカウントを作成します。

    • Azure アカウントでは、<username>@<organization>.com のような形式の職場アカウントまたは学校アカウントのいずれかを使用する必要があります。 Azure B2B (ゲスト) アカウントや個人の Microsoft アカウント (hotmail.com や outlook.com ドメインのアカウントなど) は使用できません。

      注意

      Microsoft 365 オファリングにサインアップして、仕事用メール アドレスを指定しなかった場合、アドレスは username@domain.onmicrosoft.com のような形式になります。 この場合、アカウントは Azure Active Directory (Azure AD) のテナント内に格納されます。 ほとんどの場合、Azure アカウントのユーザー プリンシパル名 (UPN) は、メール アドレスと同じです。

      Microsoft アカウントに関連付けられている Visual Studio Standard サブスクリプションを使用するには、まず Azure AD テナントを作成するか、既定のディレクトリを使用します。 ディレクトリにパスワードを持つユーザーを追加した後、そのユーザーに Azure サブスクリプションへのアクセス権を付与します。 その後、ゲートウェイのインストール中に、このユーザー名とパスワードでサインインできます。

    • お使いの Azure アカウントは、1 つの Azure AD テナントまたはディレクトリにのみ属している必要があります。 ローカル コンピューター上にゲートウェイをインストールして管理する場合は、そのアカウントを使用する必要があります。

    • ゲートウェイをインストールするときは、Azure アカウントを使用してサインインします。これにより、ゲートウェイのインストールが Azure アカウントに関連付けられ、そのアカウントのみに限定されます。 同じゲートウェイのインストールを複数の Azure アカウントまたは Azure AD テナントに関連付けることはできません。

    • その後、Azure portal で同じ Azure アカウントを使用して、ゲートウェイのインストールに関連付けられた Azure ゲートウェイ リソースを作成する必要があります。 1 つのゲートウェイ インストールと 1 つの Azure ゲートウェイ リソースだけを互いに関連付けることができます。 ただし、Azure アカウントを使用して、それぞれが Azure ゲートウェイ リソースに関連付けられている複数の異なるゲートウェイ インストールをセットアップできます。 これにより、ロジック アプリ ワークフローでは、オンプレミスのデータ ソースにアクセスできるトリガーとアクションで、これらのゲートウェイ リソースを使用できます。

  • ローカル コンピューターのオペレーティング システムとハードウェアの要件については、オンプレミス データ ゲートウェイをインストールする方法についてのメイン ガイドを参照してください。

  • 関連する考慮事項:

    • オンプレミス データ ゲートウェイはローカル コンピューターにのみインストールします。ドメイン コントローラーにはインストールしません。 データ ソースと同じコンピューターにゲートウェイをインストールする必要はありません。 すべてのデータ ソースに関して必要なゲートウェイは 1 つだけです。そのため、データ ソースごとにゲートウェイをインストールする必要はありません。

    • 待機時間を最小限に抑えるために、アクセス許可があることを前提として、データ ソースにできるだけ近いコンピューターまたは同じコンピューターにゲートウェイをインストールします。

    • ワイヤード (有線) ネットワーク上にある、インターネットに接続され、常に電源が入っており、スリープ状態に移行しないローカル コンピューターにゲートウェイをインストールします。 そうしないと、ゲートウェイを実行できず、ワイヤレス ネットワーク経由ではパフォーマンスが低下する可能性もあります。

    • Windows 認証を使用する予定の場合は、必ず、ご使用のデータ ソースと同じ Active Directory 環境のメンバーであるコンピューターにゲートウェイをインストールしてください。

    • ゲートウェイ インストール用に選択するリージョンは、後でロジック アプリ ワークフロー用の Azure ゲートウェイ リソースを作成するときに選択する必要がある場所と同じです。 既定では、このリージョンは、Azure ユーザー アカウントを管理する Azure AD テナントと同じ場所です。 ただし、この場所はゲートウェイのインストール中またはそれ以降に変更できます。

      重要

      Azure Government クラウド内の Azure AD テナントに関連付けられた Azure Government アカウントでサインインしている場合、ゲートウェイの設定中に [リージョンの変更] コマンドは使用できません。 ゲートウェイでは、ユーザー アカウントの AzureAD テナントと同じリージョンを自動的に使用します。

      引き続き Azure Government アカウントを使用する一方で、代わりにグローバル マルチテナント Azure Commercial クラウドで機能するようにゲートウェイを設定するには、まず、ゲートウェイのインストール中に prod@microsoft.com のユーザー名でサインインします。 この解決方法では、グローバル マルチテナント Azure クラウドを使用するようゲートウェイに強制しますが、ユーザーは Azure Government アカウントを引き続き使用できます。

    • ゲートウェイのインストール後に作成するロジック アプリ リソースと Azure ゲートウェイ リソースは、同じ Azure サブスクリプションを使用する必要があります。 ただし、これらのリソースは異なる Azure リソース グループに存在していても構いません。

    • ゲートウェイのインストールを更新している場合は、最初に現在のゲートウェイをアンインストールすると手順がより明確になります。

      ベスト プラクティスとして、サポート対象バージョンを使用していることを確認します。 Microsoft では、オンプレミス データ ゲートウェイに対して毎月新しい更新プログラムをリリースしており、現在は、オンプレミス データ ゲートウェイの最新の 6 つのリリースのみをサポートしています。 使用しているバージョンで問題が発生した場合は、最新バージョンへのアップグレードを試してください。 最新バージョンで問題が解決されている可能性があります。

    • ゲートウェイには、標準モードと個人用モード (Power BI にのみ適用) の 2 つのモードがあります。 同じコンピューターにおいて同じモードで複数のゲートウェイを実行することはできません。

    • Logic Apps では、ゲートウェイを介した読み取りおよび書き込み操作がサポートされます。 ただし、これらの操作には、ペイロードのサイズに制限があります。

データ ゲートウェイをインストールする

  1. ゲートウェイ インストーラーをローカル コンピューターにダウンロードして実行します

  2. 最小要件を確認し、既定のインストール パスをそのまま使用して、使用条件に同意してから、 [インストール] を選択します。

    ゲートウェイ インストーラーのスクリーンショット。最小要件リンク、インストール パス、および利用規約に同意するための強調表示されているチェック ボックスが表示されています。

  3. ゲートウェイのインストールが完了したら、Azure アカウント用のメール アドレスを指定して、[サインイン] を選択します。

    ゲートウェイ インストーラーのスクリーンショット。正常にインストールされたことを示すメッセージ、電子メール アドレスを含むボックス、および [サインイン] ボタンが表示されています。

    ゲートウェイのインストールは、1 つの Azure アカウントのみに関連付けできます。

  4. [このコンピューターに新しいゲートウェイを登録します]>[次へ] の順に選択します。 この手順では、ゲートウェイ クラウド サービスを使用して、ゲートウェイのインストールを登録します。

    ゲートウェイの登録に関するメッセージが表示されたゲートウェイ インストーラーのスクリーンショット。[このコンピューターに新しいゲートウェイを登録する] オプションが選択されています。

  5. ゲートウェイ インストールについて以下の情報を入力します。

    • Azure AD テナント全体で一意のゲートウェイ名
    • 少なくとも 8 文字の回復キー
    • 回復キーの確認

    ゲートウェイ インストーラーのスクリーンショット。ゲートウェイ名の入力ボックス、回復キー、回復キーの確認が表示されています。

    重要

    回復キーを安全な場所に保存します。 ゲートウェイ インストールの移動、回復、または引き継ぎを実行したり、その場所を変更したりするには、このキーが必要です。

    [既存のゲートウェイ クラスターに追加する] オプションに注目してください。 高可用性シナリオ用に追加のゲートウェイをインストールする場合は、このオプションを使用します。

  6. ゲートウェイのインストールで使用されるゲートウェイ クラウド サービスと Azure Service Bus メッセージング インスタンスのリージョンを確認します。 既定では、このリージョンは、ご使用の Azure アカウントの Azure AD テナントと同じ場所です。

    ゲートウェイ インストーラー ウィンドウの一部のスクリーンショット。ゲートウェイ クラウド サービスのリージョンが強調表示されています。

  7. 既定のリージョンをそのまま使用するには、 [構成] を選択します。 ただし、既定のリージョンが最も近いものでなければ、リージョンを変更できます。

    "ゲートウェイ インストールのリージョンを変更する理由"

    たとえば、待ち時間を減らすために、ゲートウェイのリージョンをロジック アプリ ワークフローと同じリージョンに変更する場合があります。 または、オンプレミス データ ソースに最も近いリージョンを選択する場合があります。 "Azure のゲートウェイ リソース" とロジック アプリ ワークフローの場所は、違っていてもかまいません。

    1. 現在のリージョンの横にある [リージョンの変更] を選択します。

      ゲートウェイ インストーラー ウィンドウの一部のスクリーンショット。ゲートウェイ クラウド サービスのリージョンの横にある [リージョンの変更] が強調表示されています。

    2. 次のページで、[リージョンの選択] リストを開いて目的のリージョンを選択し、[完了] を選択します。

      ゲートウェイ インストーラー ウィンドウのスクリーンショット。[リージョンの選択] の一覧が開いていて、[完了] ボタンが表示されています。

  8. 最後の確認ウィンドウの情報を確認します。 この例では、Logic Apps、Power BI、Power Apps、Power Automate に同じアカウントを使用するため、これらのすべてのサービスでこのゲートウェイを使用できます。 準備ができたら、 [閉じる] を選択します。

    ゲートウェイ インストーラー ウィンドウのスクリーンショット。[閉じる] ボタンが表示され、Power Apps、Power Automate、Power BI に緑色のチェック マークが表示されています。

  9. 次に、ゲートウェイ インストール用の Azure リソースを作成します

通信の設定を確認または調整する

オンプレミス データ ゲートウェイでは、Service Bus メッセージングに依存してクラウドへの接続が行われ、ゲートウェイに関連付けられている Azure リージョンへの対応する送信接続が確立されます。 お使いの作業環境で、インターネットにアクセスするためにそのトラフィックがプロキシまたはファイアウォールを経由する必要がある場合は、この制限によって、オンプレミス データ ゲートウェイがゲートウェイ クラウド サービスおよび Service Bus メッセージングに接続できないことがあります。 ゲートウェイにはいくつかの通信設定があり、これを調整できます。

シナリオ例として、Azure でオンプレミスのデータ ゲートウェイ リソースを使用して、オンプレミスのリソースにアクセスするカスタム コネクタを使用する場合があります。 また、特定の IP アドレスへのトラフィックを制限するファイアウォールもある場合は、対応するマネージド コネクタの送信 IP アドレスにアクセスできるようにゲートウェイのインストールをセットアップする必要があります。 同じリージョン内の "すべて" のロジック アプリ ワークフローで、同じ IP アドレス範囲が使用されます。

詳細と例については、次の記事をご覧ください。

高可用性のサポート

オンプレミスのデータ アクセスが単一障害点にならないようにするには、複数のゲートウェイ インストール (標準モードのみ) をそれぞれ別のコンピューターにインストールし、クラスターまたはグループとしてそれらを設定します。 このようにして、プライマリ ゲートウェイが使用できない場合、データ要求は 2 番目のゲートウェイにルーティングされます (それ以降も同様)。 1 台のコンピューターにインストールできる標準ゲートウェイは 1 つだけであるため、クラスター内の追加のゲートウェイをそれぞれ別のコンピューターにインストールする必要があります。 オンプレミス データ ゲートウェイと連携するすべてのコネクタにおいて高可用性がサポートされます。

  • 少なくとも 1 つのゲートウェイ インストールが既に、プライマリ ゲートウェイと同じ Azure アカウントに用意されている必要があります。 また、そのインストールの回復キーも必要です。

  • プライマリ ゲートウェイでは、2017 年 11 月以降のゲートウェイ更新プログラムが実行されている必要があります。

プライマリ ゲートウェイを設定した後に別のゲートウェイをインストールするには、次の手順を実行します。

  1. ゲートウェイ インストーラーで、[既存のゲートウェイ クラスターに追加する] を選択します。

  2. [利用できるゲートウェイ クラスター] の一覧で、インストールした最初のゲートウェイを選択します。

  3. そのゲートウェイの回復キーを入力します。

  4. [構成] をクリックします。

詳細については、オンプレミス データ ゲートウェイのための高可用性クラスターに関するページを参照してください。

場所の変更、または既存のゲートウェイの移行、復元、引き継ぎ

ゲートウェイの場所の変更が必要な場合、または、新しいコンピューターへのゲートウェイ インストールの移行、破損したゲートウェイの復元、既存のゲートウェイの所有権の取得を行う必要がある場合、ゲートウェイのインストール中に使用した回復キーが必要です。

注意

元のゲートウェイ インストールがあるコンピューターでゲートウェイを復元する前に、まずそのコンピューターのゲートウェイをアンインストールする必要があります。 このアクションで、元のゲートウェイが切断されます。 任意のクラウド サービスのゲートウェイ クラスターを削除した場合、そのクラスターを復元することはできません。

  1. 既存のゲートウェイがあるコンピューターでゲートウェイ インストーラーを実行します。

  2. インストーラーから求められたら、ゲートウェイのインストールに使用したものと同じ Azure アカウントでサインインします。

  3. [既存のゲートウェイを移行、復元、または置き換えます。]>[次へ] を選びます。

    ゲートウェイ インストーラーのスクリーンショット。[既存のゲートウェイの移行、復元、または引き継ぎ] オプションが選択され、強調表示されています。

  4. 利用可能なクラスターとゲートウェイから選択し、選択したゲートウェイの回復キーを入力します。

    ゲートウェイ インストーラーのスクリーンショット。[使用可能なゲートウェイ クラスター]、[使用可能なゲートウェイ]、[回復キー] の各ボックスには、すべて値があります。

  5. リージョンを変更するには、[リージョンの変更] を選択して、新しいリージョンを選択します。

  6. 準備ができたら、[構成] を選択します。

テナント レベルの管理

Azure AD テナント内のすべてのオンプレミス データ ゲートウェイを可視化するには、そのテナントの全体管理者は、テナント管理者として Power Platform 管理センターにサインインし、 [データ ゲートウェイ] オプションを選択します。 詳細については、「オンプレミス データ ゲートウェイのテナント レベルの管理」を参照してください。

ゲートウェイの再起動

既定では、ローカル コンピューターへのゲートウェイのインストールは、"オンプレミス データ ゲートウェイ サービス" という名前の Windows サービス アカウントとして実行されます。ただし、ゲートウェイのインストールでは、そのログオン アカウント資格情報に NT SERVICE\PBIEgwService という名前が使用され、サービスとしてログオンのアクセス許可があります。

注意

Windows サービス アカウントは、オンプレミスのデータ ソースへの接続に使用するアカウントとも、クラウド サービスへのサインイン時に使用する Azure アカウントとも異なります。

他の Windows サービスと同じように、さまざまな方法でゲートウェイを開始および停止できます。 詳細については、「オンプレミス データ ゲートウェイを再起動する」をご覧ください。

ゲートウェイのしくみ

組織内のユーザーは、既にアクセスを認可されているオンプレミスのデータにアクセスできます。 ただし、これらのユーザーがオンプレミスのデータ ソースに接続できるためには、その前にオンプレミス データ ゲートウェイをインストールして設定する必要があります。 通常、管理者がゲートウェイをインストールして設定します。 これらの作業には、サーバー管理者のアクセス許可、またはオンプレミス サーバーに関する特別な知識が必要になる場合があります。

ゲートウェイを使用すると、バックグラウンド通信の速度と安全性が向上します。 この通信は、クラウド内のユーザー、ゲートウェイ クラウド サービス、オンプレミス データ ソースの間を流れます。 ゲートウェイ クラウド サービスでは、データ ソースの資格情報とゲートウェイの詳細を暗号化して格納します。 サービスでは、ユーザー、ゲートウェイ、オンプレミス データ ソースの間でのクエリとその結果のルーティングも行われます。

ゲートウェイはファイアウォールと共に動作し、ゲートウェイでは送信接続のみが使用されます。 すべてのトラフィックは、ゲートウェイ エージェントからのセキュリティで保護された送信トラフィックとして生成されます。 ゲートウェイでは、Service Bus メッセージング経由の暗号化されたチャネルで、オンプレミスのソースからデータを送信します。 このサービス バスによって、ゲートウェイと呼び出しサービスとの間のチャネルが作成されます。ただし、データは格納されません。 ゲートウェイを経由するすべてのデータは暗号化されます。

クラウド サービスとオンプレミス データ ソースの間のデータ フローを示すオンプレミス データ ゲートウェイのアーキテクチャ図。

注意

クラウド サービスによっては、ゲートウェイ用のデータ ソースの設定が必要になる場合があります。

以下の手順では、オンプレミス データ ソースに接続された要素をユーザーが操作するときに行われることについて説明します。

  1. クラウド サービスで、クエリと共に、データ ソースに対する暗号化された資格情報が作成されます。 その後、サービスにより、クエリと資格情報が処理のためにゲートウェイ キューに送信されます。

  2. ゲートウェイ クラウド サービスで、クエリが分析されて、Service Bus メッセージングに要求がプッシュされます。

  3. Service Bus メッセージングにより、保留中の要求がゲートウェイに送信されます。

  4. ゲートウェイにより、クエリが取得されて、資格情報が復号化され、その資格情報を使用して 1 つ以上のデータ ソースへの接続が行われます。

  5. ゲートウェイにより、実行するためにクエリがデータ ソースに送信されます。

  6. 結果がデータ ソースからゲートウェイに返送され、その後ゲートウェイ クラウド サービスに送信されます。 ゲートウェイ クラウド サービスが結果を使用します。

オンプレミス データ ソースに対して認証を行う

ゲートウェイからオンプレミス データ ソースに接続するには、格納されている資格情報が使用されます。 ユーザーに関係なく、ゲートウェイでは格納されている資格情報を使用して接続が行われます。 Power BI での Analysis Services に対する DirectQuery や LiveConnect など、特定のサービスで認証の例外が発生する可能性があります。

Azure AD

Microsoft クラウド サービスでは、Azure AD を使用して、ユーザーの認証が行われます。 Azure AD テナントには、ユーザー名とセキュリティ グループが含まれています。 通常、サインインに使用するメール アドレスはアカウントの UPN と同じです。

自分の UPN を確認する

ドメイン管理者でないユーザーは、UPN がわからない可能性があります。 自分のアカウントの UPN を調べるには、ワークステーションから whoami /upn コマンドを実行します。 結果は、メール アドレスに似ていますが、ローカル ドメイン アカウントに対する UPN です。

オンプレミスの Active Directory と Azure AD を同期する

オンプレミスの Active Directory アカウントと Azure AD アカウントには同じ UPN を使用する必要があります。 そのため、オンプレミスの各 Active Directory アカウントの UPN と Azure AD アカウントの UPN を一致させる必要があります。 クラウド サービスでは、Azure AD 内のアカウントのみが認識されます。 そのため、オンプレミスの Active Directory にアカウントを追加する必要はありません。 アカウントが Azure AD に存在しない場合、そのアカウントを使用することはできません。

オンプレミスの Active Directory アカウントと Azure AD を一致させる方法を次に示します。

  • Azure AD に手動でアカウントを追加します。

    Azure portal または Microsoft 365 管理センターでアカウントを作成します。 アカウント名が、オンプレミスの Active Directory アカウントの UPN と一致していることを確認します。

  • Azure AD Connect ツールを使用して、ローカル アカウントを Azure AD テナントに同期します。

    Azure AD Connect ツールには、ディレクトリ同期と認証のセットアップのためのオプションが用意されています。 これらのオプションには、パスワード ハッシュ同期、パススルー認証、およびフェデレーションが含まれます。 テナント管理者またはローカル ドメイン管理者でない場合は、IT 管理者に連絡して Azure AD Connect のセットアップを依頼してください。 Azure AD Connect により、Azure AD UPN がローカルの Active Directory UPN と一致することが保証されます。 この一致方法は、Power BI またはシングル サインオン (SSO) 機能で Analysis Services ライブ接続を使用している場合に役立ちます。

    注意

    Azure AD Connect ツールを使用してアカウントを同期すると、Azure AD テナントに新しいアカウントが作成されます。

FAQ とトラブルシューティング

次のステップ