Azure に Active Directory フェデレーション サービス (AD FS) をデプロイする

  • [アーティクル]

Active Directory フェデレーション サービス (AD FS) は、簡素化され、セキュリティで保護された ID フェデレーション機能と Web シングル サインオン (SSO) 機能を提供しています。 Microsoft Entra ID または Microsoft 365 とのフェデレーションにより、ユーザーはオンプレミスの認証情報を使用してすべてのクラウド リソースにアクセスできます。 そのため、オンプレミスとクラウドの両方のリソースに確実にアクセスできるよう、AD FS インフラストラクチャには、高い可用性を確保することが重要となります。

AD FS を Azure にデプロイすると、必要な高可用性を最小限の手間で確保できます。 AD FS を Azure にデプロイするメリットはいくつかあります。

  • 高可用性 - Azure 可用性セットの機能により、高可用性インフラストラクチャを確保できます。
  • 拡張が容易 - パフォーマンスを強化する必要がある場合、 Azure でいくつかの選択を行うだけで、より強力なマシンに簡単に移行できます。
  • Geo 間の冗長性 – Azure Geo 冗長性を使用すると、お客様のインフラストラクチャの高可用性を世界中で確保できます。
  • 管理が容易 – Azure portal での高度に簡素化された管理オプションを使用すると、簡単に、かつ手間をかけずにインフラストラクチャを管理できます。

設計原則

次の図は、AD FS インフラストラクチャの Azure へのデプロイを開始するために推奨される基本的なトポロジを示しています。

Screenshot of deployment design.

このトポロジのさまざまなコンポーネントの背後にある原則を次に示します。

  • DC/AD FS サーバー: ユーザーが 1000 未満の場合、AD FS のロールをドメイン コントローラー (DC) にインストールできます。 DC にパフォーマンスの影響を与えることができない場合、またはユーザー数が 1,000 人を超える場合は、別々のサーバーに AD FS をデプロイします。
  • WAP サーバー – ユーザーが会社のネットワーク上にいないときに AD FS にアクセスできるように、Web アプリケーション プロキシ サーバーをデプロイする必要があります。
  • DMZ: Web アプリケーション プロキシ サーバーは DMZ に配置され、DMZ と内部サブネット間では TCP/443 アクセスだけが許可されます。
  • ロード バランサー: AD FS と Web アプリケーション プロキシ サーバーの高可用性を確保するために、AD FS サーバーには内部ロード バランサーを使用し、Web アプリケーション プロキシ サーバーには Azure Load Balancer を使用することをお勧めします。
  • 可用性セット: AD FS デプロイに冗長性を提供するために、同様のワークロード用の可用性セットに 2 つ以上の仮想マシン (VM) をグループ化することをお勧めします。 この構成により、計画されたメンテナンス中も計画外のメンテナンス中も、少なくとも 1 つの VM が利用可能な状態になります。
  • ストレージ アカウント: 2 つのストレージ アカウントを使用することをお勧めします。 ストレージ アカウントが 1 つしかない場合、単一障害点が発生する原因となる可能性があります。 ストレージ アカウントが 1 つしかない場合、万が一ストレージ アカウントで障害が発生した場合に、デプロイを使用できなくなる可能性があります。 ストレージ アカウントが 2 つあれば、断層線ごとに 1 つのストレージ アカウントを関連付けるのに役立ちます。
  • ネットワークの分離: Web アプリケーション プロキシ サーバーは、単独の DMZ ネットワークにデプロイする必要があります。 1 つの仮想ネットワークを 2 つのサブネットに分割し、分離されたサブネットに Web アプリケーション プロキシ サーバーをデプロイできます。 各サブネットのネットワーク セキュリティ グループの設定を構成し、2 つのサブネット間で必要な通信だけを許可できます。 詳細については、次のデプロイ シナリオに従って説明します。

AD FS を Azure にデプロイする手順

このセクションでは、AD FS インフラストラクチャを Azure にデプロイする手順の概要を説明します。

ネットワークをデプロイする

前に概説したように、1 つの仮想ネットワークに 2 つのサブネットを作成することも、2 つの異なる仮想ネットワークを作成することもできます。 この記事では、1 つの仮想ネットワークをデプロイし、2 つのサブネットに分割することに重点を置いています。 現時点では、この方法がより簡単です。2 つの個別の仮想ネットワークの場合、通信のために仮想ネットワークから仮想ネットワーク ゲートウェイへの仮想ネットワークが必要となるからです。

仮想ネットワークの作成

  1. Azure アカウントで Azure Portal にサインインします。

  2. ポータルで、[仮想ネットワーク] を検索して選択します。

  3. [仮想ネットワーク] ページで、[作成] を選択します。

  4. [仮想ネットワークの作成][基本] タブで次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group リソース グループを選択します。 または、[新規作成] を選んで作成します。
    インスタンスの詳細
    仮想ネットワーク名 仮想ネットワークの名前を入力します。
    リージョン リージョンを選択します。

  5. [次へ] を選択します。 Screenshot showing the basics tab for the Create virtual network page.

  6. [セキュリティ] タブで必要なセキュリティ サービスを有効にして、[次へ] を選びます。

  7. [IP アドレス] タブでは、既定のサブネットが既に作成されており、VM を追加する準備ができています。 この例では、[既定] を選んでサブネットを編集します。

    1. [サブネットの編集] ページで、サブネットの名前を INT に変更します。
    2. IP アドレス空間を定義するために、必要に応じて [IP アドレス][サブネット サイズ] の情報を入力します。
    3. [ネットワーク セキュリティ グループ][新規作成] を選びます。
    4. この例では、"NSG_INT" という名前を入力し、[OK][保存] の順に選びます。 1 つ目のサブネットが作成されました。 Screenshot showing how to edit a subnet and add an internal network security group.
    5. 2 つ目のサブネットを作成するには、[+ サブネットの追加] を選びます。
    6. [サブネットの追加] ページで、2 つ目のサブネット名に "DMZ" と入力し、IP アドレス空間を定義するための情報を必要に応じて入力します。
    7. [ネットワーク セキュリティ グループ][新規作成] を選びます。
    8. "NSG_DMZ" という名前を入力し、[OK][追加] の順に選びます。 Screenshot showing how to add a new subnet that includes a network security group.

  8. [確認と作成] を選び、問題がなければ [作成] を選びます。

これで、それぞれにネットワーク セキュリティ グループが関連付けられた 2 つのサブネットを含む仮想ネットワークが作成されました。

Screenshot showing the new subnets and their network security groups.

仮想ネットワークをセキュリティで保護する

ネットワーク セキュリティ グループ (NSG) には、仮想ネットワークの VM インスタンスに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) 規則が含まれています。 NSG は、サブネットまたはそのサブネット内の個々の VM インスタンスと関連付けることができます。 NSG がサブネットに関連付けられている場合、ACL 規則はそのサブネット内のすべての VM インスタンスに適用されます。

サブネットに関連付けられている NSG には、いくつかの既定の受信規則とアウトバウンド規則が自動的に含まれています。 既定の規則は削除できませんが、優先順位の高い規則を使用してオーバーライドできます。 また、必要なセキュリティ レベルに応じて、受信規則とアウトバウンド規則をさらに追加できます。

次に、2 つのセキュリティ グループのそれぞれにいくつかの規則を追加します。 1 つ目の例では、NSG_INT セキュリティ グループに受信セキュリティ規則を追加します。

  1. 仮想ネットワークの [サブネット] ページで、[NSG_INT] を選びます。

  2. 左側で、[受信セキュリティ規則][+ 追加] の順に選びます。

  3. [受信セキュリティ規則の追加] で、次の情報を入力または選択します。

    設定
    ソース 10.0.1.0/24
    ソース ポート範囲 アスタリスクをそのままに (または選択) します。 アスタリスク (*) は、任意のポートでトラフィックを許可します。 この例では、作成するすべての規則でアスタリスクを選びます。
    宛先 10.0.0.0/24
    サービス [HTTPS] を選択します。
    [宛先ポートの範囲][プロトコル] の設定は、指定された [サービス] に基づいて自動的に入力されます。
    アクション [許可] を選びます。
    優先順位 1010
    規則は優先度順に処理されます。値が小さいほど、優先度は高くなります。
    名前 AllowHTTPSFromDMZ
    説明 DMZ からの HTTPS 通信を許可します。

  4. 選択したら、[追加] を選びます。

    Screenshot showing how to add an inbound security rule. 新しい受信セキュリティ規則が NSG_INT の規則の一覧の一番上に追加されました。

  5. 次の表に示す値を使用して、これらの手順を繰り返します。 内部サブネットと DMZ サブネットをセキュリティで保護するために、作成した新しい規則に加えて、次の規則を優先順位に追加する必要があります。

    NSG 規則の種類 ソース 宛先 サービス アクション Priority 名前 説明
    NSG_INT 送信 Any サービス タグ/インターネット カスタム (80/任意) 拒否 100 DenyInternetOutbound インターネットにアクセスできません。
    NSG_DMZ 受信 Any Any カスタム (アスタリスク (*)/任意) 許可 1010 AllowHTTPSFromInternet インターネットから DMZ への HTTPS を許可します。
    NSG_DMZ 送信 Any サービス タグ/インターネット カスタム (80/任意) 拒否 100 DenyInternetOutbound インターネットへの HTTPS 以外はブロックされます。

    新しい規則ごとに値を入力したら、[追加] を選び、NSG ごとに 2 つの新しいセキュリティ規則が追加されるまで次の手順に進みます。

構成後、NSG のページは次の例のようになります。

Screenshot showing your NSGs after you added security rules.

注意

クライアント ユーザー証明書認証 (X.509 ユーザー証明書を使用する clientTLS 認証) が必要な場合、AD FS では受信アクセスに対して TCP ポート 49443 を有効にする必要があります。

オンプレミスへの接続を作成する

DC を Azure でデプロイするには、オンプレミスへの接続が必要です。 Azure では、オンプレミス インフラストラクチャを Azure インフラストラクチャに接続するためのさまざまなオプションが用意されています。

  • ポイント対サイト
  • 仮想ネットワークのサイト間
  • ExpressRoute

ExpressRoute を使用することをお勧めします。 ExpressRoute を使用すると、Azure のデータセンターとオンプレミスや共用環境にあるインフラストラクチャとの間にプライベート接続を作成できます。 ExpressRoute 接続はパブリックなインターネットを経由しません。 インターネットを経由する一般的な接続に比べて、信頼性が高く、より高速で、待機時間が少なく、セキュリティが強固です。

ExpressRoute を使用することをお勧めしますが、組織に最適な任意の接続方法を選択できます。 ExpressRoute と ExpressRoute を使用した各種の接続方法の詳細については、「 ExpressRoute の技術概要」を参照してください。

Create storage accounts

高可用性を維持し、1 つのストレージ アカウントへの依存を回避するために、2 つのストレージ アカウントを作成します。 各可用性セット内のマシンを 2 つのグループに分割し、各グループに個別のストレージ アカウントを割り当てます。

2 つのストレージ アカウントを作成するには、Azure portal で [ストレージ アカウント] を検索および選択して、[+ 作成] を選びます

  1. [ストレージ アカウントの作成] で、[基本] タブで次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group リソース グループを選択します。 または、[新規作成] を選んで作成します。
    インスタンスの詳細
    ストレージ アカウント名 ストレージ アカウントの名前を入力します。 この例では、"contososac1" と入力します。
    リージョン 自分のリージョンを選択します。
    パフォーマンス パフォーマンス レベルに [Premium] を選びます。
    Premium アカウントの種類 必要なストレージ アカウントの種類 (ブロック BLOB、ファイル共有、またはページ BLOB) を選びます。
    冗長性 [ローカル冗長ストレージ (LRS)] を選択します。

  2. 残りのタブに進みます。 準備ができたら、[確認] タブで [作成] を選びます。

    Screenshot showing how to create storage accounts.

  3. 前の手順を繰り返して、"contososac2" という名前の 2 つ目のストレージ アカウントを作成します。

可用性セットを作成する

ロール (DC/AD FS および WAP) ごとに、少なくとも 2 台のマシンを含む可用性セットを作成します。 この構成は、各ロールの高可用性を実現するのに役立ちます。 可用性セットの作成時に、次のドメインを決定する必要があります。

  • 障害ドメイン: 同じ障害ドメイン内の VM は、共通の電源と物理ネットワーク スイッチを共有します。 障害ドメインは 2 つ以上をお勧めします。 既定値は 2 で、このデプロイではそのままにしておくことができます。
  • 更新ドメイン: 同じ更新ドメインに属しているマシンは、更新時に一緒に再起動されます。 更新ドメインは 2 つ以上をお勧めします。 既定値は 5 で、このデプロイではそのままにしておくことができます。

可用性セットを作成するには、Azure portal で [可用性セット] を検索および選択して、[+ 作成] を選びます

  1. [可用性セットの作成] で、[基本] タブで次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group リソース グループを選択します。 または、[新規作成] を選んで作成します。
    インスタンスの詳細
    名前 可用性セットの名前を入力します。 この例では、"contosodcset" と入力します。
    リージョン 自分のリージョンを選択します。
    障害ドメイン 2
    更新ドメイン 5
    マネージド ディスクの使用 この例では、[いいえ (クラシック)] を選びます。

    Screenshot showing how to create availability sets.

  2. すべての選択を行った後、[確認と作成] を選び、問題がなければ [作成] を選びます。

  3. 前の手順を繰り返して、"contososac2" という名前の 2 つ目の可用性セットを作成します。

仮想マシンをデプロイする

次の手順では、インフラストラクチャでさまざまなロールをホストする VM をデプロイします。 各可用性セットに少なくとも 2 台のマシンを使用することをお勧めします。 そのため、この例では、基本的なデプロイのために 4 つの VM を作成します。

VM を作成するには、Azure portal で [仮想マシン] を検索および選択します。

  1. [仮想マシン] ページ、[+ 作成][Azure 仮想マシン] の順に選びます。

  2. [仮想マシンの作成][基本] タブで、この情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group リソース グループを選択します。 または、[新規作成] を選んで作成します。
    インスタンスの詳細
    仮想マシン名 VM の名前を入力します。 1 つ目のマシンに "contosodc1" と入力します。
    リージョン 自分のリージョンを選択します。
    可用性のオプション [可用性セット] を選択します。
    可用性セット [contosodcset] を選びます。
    セキュリティの種類 [Standard] を選択します。
    Image イメージを選びます。 次に、[VM の世代の構成] を選び、[Gen 1] を選びます。 この例では、Gen 1 のイメージを使用する必要があります。
    管理者アカウント
    認証の種類 [SSH 公開キー] を選択します。
    ユーザー名 ユーザー名を入力します。
    キーの組名 キーの組名を入力します。

    指定されていない項目は既定値のままにして、準備ができたら [次へ : ディスク] を選びます。 Screenshot showing the first steps in how to create a virtual machine.

  3. [ディスク] タブの [詳細] で、[マネージド ディスクを使用する] を選択解除し、前に作成した [contososac1] ストレージ アカウントを選びます。 準備ができたら、[次へ : ネットワーク] を選びます。 Screenshot showing the Disks tab for how to create a virtual machine.

  4. [ネットワーク] タブで、次の情報を入力または選択します。

    設定
    仮想ネットワーク 前に作成したサブネットを含む仮想ネットワークを選びます。
    サブネット この 1 つ目の VM に、INT サブネットを選びます。
    NIC ネットワーク セキュリティ グループ [なし] を選択します。

    指定されていない項目は、既定値のままにしておくことができます。 Screenshot showing the Networking tab for how to create a virtual machine.

すべての選択を行った後、[確認と作成] を選び、問題がなければ [作成] を選びます。

次の表の情報を使用して、これらの手順を繰り返し、残りの 3 つの VM を作成します。

仮想マシン名 サブネット 可用性のオプション 可用性セット ストレージ アカウント
contosodc2 INT 可用性セット contosodcset contososac2
contosowap1 DMZ 可用性セット contosowapset contososac1
contosowap2 DMZ 可用性セット contosowapset contososac2

お気付きのように、Azure では NSG をサブネット レベルで使用できるため、NSG は指定されていません。 その後、サブネットまたは NIC オブジェクトに関連付けられている個別の NSG を使用してマシンのネットワーク トラフィックを制御できます。 詳細については、「ネットワーク セキュリティ グループ (NSG) とは」をご覧ください。

DNS を管理する場合、静的 IP アドレスを使用することをお勧めします。 Azure DNS を使用し、ドメインの DNS レコード内の Azure FQDN で新しいマシンを参照できます。 詳細については、「プライベート IP アドレスを静的に変更する」をご覧ください。

デプロイが完了したら、[仮想マシン] ページに 4 つの VM がすべて表示されます。

DC\AD FS サーバーを構成する

受信要求を認証するには、AD FS が DC に接続する必要があります。 認証のために Azure からオンプレミス DC にかかる費用を節約するために、Azure に DC のレプリカをデプロイすることをお勧めします。 高可用性を実現するには、少なくとも 2 つの DC の可用性セットを作成することをお勧めします。

ドメイン コントローラー ロール ストレージ アカウント
contosodc1 [レプリカ] contososac1
contosodc2 [レプリカ] contososac2
  • DNS を使用して 2 台のサーバーをレプリカ DC として昇格させる
  • サーバー マネージャーを使用して AD FS ロールをインストールし、AD FS サーバーを構成します。

内部ロード バランサー (ILB) を作成してデプロイする

ILB を作成してデプロイするには、Azure portal で [ロード バランサー] を検索および選択して、[+ 作成] を選びます。

  1. [ロード バランサーの作成] で、[基本] タブで次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group リソース グループを選択します。 または、[新規作成] を選んで作成します。
    インスタンスの詳細
    名前 ロード バランサーの名前を入力します。
    リージョン 自分のリージョンを選択します。
    Type このロード バランサーは AD FS サーバーの前に配置されます。つまり内部的なネットワーク接続のみを意図したものであるため、[内部] を選択します。

    [SKU][レベル] を既定値のままにし、[次へ : フロントエンド IP 構成] を選びますScreenshot showing the Basics tab for how to create a load balancer.

  2. [+ フロントエンド IP 構成の追加] を選び、[フロントエンド IP 構成の追加] ページで次の情報を入力または選択します。

    設定
    名前 フロントエンド IP 構成名を入力します。
    仮想ネットワーク AD FS をデプロイする仮想ネットワークを選びます。
    サブネット 内部サブネット INT を選びます。
    割り当て [静的] を選びます。
    IP アドレス IP アドレスを入力します。

    [可用性ゾーン] を既定値のままにして、[追加] を選びます。 Screenshot showing how to add a frontend IP configuration when you create a load balancer.

  3. [次へ : バックエンド プール][+ バックエンド プールの追加] の順に選びます。

  4. [バックエンド プールの追加] ページで、[名前] を入力して [IP 構成] 領域で [+ 追加] を選びます。

  5. [バックエンド プールの追加] ページで、バックエンド プールに合わせて配置する VM を選び、[追加][保存] の順に選びます。 Screenshot showing how to add a backend pool when you create a load balancer.

  6. [次へ : 受信規則] を選びます。

  7. [受信規則] タブで [不可分散規則の追加] を選び、[負荷分散規則の追加] ページで次の情報を入力または選択します。

    設定
    名前 規則の名前を入力します。
    フロントエンド IP アドレス 前の手順で作成したフロントエンド IP アドレスを選びます。
    バックエンド プール 前の手順で作成したバックエンド プールを選びます。
    Protocol [TCP] を選択します。
    Port 443」を入力します。
    バックエンド ポート 443」を入力します。
    正常性プローブ [新規作成] を選び、次の値を入力して正常性プローブを作成します。
    [名前]: 正常性プローブの名前
    [プロトコル]: HTTP
    [ポート]: 80 (HTTP)
    [パス]: /adfs/probe
    間隔: 5 (既定値) – ILB がバックエンドプール内のマシンをプローブする間隔
    [保存] を選択します。

  8. [保存] を選んで受信規則を保存します。 Screenshot showing how to add load balancing rules.

  9. [確認と作成] を選び、問題がなければ [作成] を選びます。

[作成] を選んで ILB がデプロイされたら、ロード バランサーの一覧に表示されます。

Screenshot showing the new load balancer you just created.

DNS サーバーを ILB で更新する

内部 DNS サーバーを使用して、ILB の A レコードを作成します。 A レコードは、ILB の IP アドレスを指す IP アドレスをもつフェデレーション サービス用である必要があります。 たとえば、ILB IP アドレスが 10.3.0.8 で、インストールされているフェデレーション サービスが fs.contoso.com の場合、10.3.0.8 を指す fs.contoso.com の A レコードを作成します。

この設定により、fs.contoso.com に送信されたすべてのデータが ILB に到達し、適切にルーティングされます。

警告

AD FS データベースに Windows Internal Database (WID) を使用している場合は、この値を、プライマリ AD FS サーバーを指すように一時的に設定します。そうしないと、Web アプリケーション プロキシの登録が失敗します。 すべての Web アプリケーション プロキシ サーバーを正常に登録したら、この DNS エントリをロード バランサーを指すように変更します。

注意

デプロイで IPv6 も使用している場合は、対応する AAAA レコードを作成します。

AD FS サーバーに到達するように Web アプリケーション プロキシ サーバーを構成する

Web アプリケーション プロキシ サーバーが ILB の背後にある AD FS サーバーに確実に到達できるようにするために、ILB の %systemroot%\system32\drivers\etc\hosts ファイルにレコードを作成します。 識別名 (DN) はフェデレーション サービス名 (fs.contoso.com など) にする必要があります。 また、IP エントリは ILB の IP アドレス (例では 10.3.0.8) である必要があります。

警告

AD FS データベースに Windows Internal Database (WID) を使用している場合は、この値を、プライマリ AD FS サーバーを指すように一時的に設定します。そうしないと、Web アプリケーション プロキシの登録が失敗します。 すべての Web アプリケーション プロキシ サーバーを正常に登録したら、この DNS エントリをロード バランサーを指すように変更します。

Web アプリケーション プロキシ ロールをインストールする

Web アプリケーション プロキシ サーバーが ILB の背後にある AD FS サーバーに確実に到達できるようにしたら、次に Web アプリケーション プロキシ サーバーをインストールできます。 Web アプリケーション プロキシ サーバーをドメインに参加させる必要はありません。 リモート アクセス ロールを選択して、2 つの Web アプリケーション プロキシ サーバーに Web アプリケーション プロキシ ロールをインストールします。 サーバー マネージャーによって、WAP インストールを完了するためのガイドが表示されます。

詳細については、「Web アプリケーション プロキシ サーバーのインストールと構成」をご覧ください。

インターネットに接続する (パブリック) ロード バランサーを作成してデプロイする

  1. Azure portal で、[ロード バランサー][作成] の順に選びます。

  2. [ロード バランサーの作成] で、[基本] タブで次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group リソース グループを選択します。 または、[新規作成] を選んで作成します。
    インスタンスの詳細
    名前 ロード バランサーの名前を入力します。
    リージョン 自分のリージョンを選択します。
    Type このロード バランサーにはパブリック IP アドレスが必要であるため、[パブリック] を選びます。

    [SKU][レベル] を既定値のままにし、[次へ : フロントエンド IP 構成] を選びます

    Screenshot showing how to add public-facing load balancing rules.

  3. [+ フロントエンド IP 構成の追加] を選び、[フロントエンド IP 構成の追加] ページで次の情報を入力または選択します。

    設定
    名前 フロントエンド IP 構成名を入力します。
    IP の種類 [IP アドレス] を選択します。
    パブリック IP アドレス ドロップダウン リストから [パブリック IP アドレス] を選ぶか、必要に応じて新しく作成して、[追加] を選びます。

    Screenshot showing how to add a frontend IP configuration when you create a public load balancer.

  4. [次へ : バックエンド プール][+ バックエンド プールの追加] の順に選びます。

  5. [バックエンド プールの追加] ページで、[名前] を入力して [IP 構成] 領域で [+ 追加] を選びます。

  6. [バックエンド プールの追加] ページで、バックエンド プールに合わせて配置する VM を選び、[追加][保存] の順に選びます。 Screenshot showing how to add a backend pool when you create a public load balancer.

  7. [次へ : 受信規則][負荷分散規則の追加] の順に選び、[負荷分散規則の追加] で次の情報を入力または選択します。

    設定
    名前 規則の名前を入力します。
    フロントエンド IP アドレス 前の手順で作成したフロントエンド IP アドレスを選びます。
    バックエンド プール 前の手順で作成したバックエンド プールを選びます。
    Protocol [TCP] を選択します。
    Port 443」を入力します。
    バックエンド ポート 443」を入力します。
    正常性プローブ [新規作成] を選び、次の値を入力して正常性プローブを作成します。
    [名前]: 正常性プローブの名前
    [プロトコル]: HTTP
    [ポート]: 80 (HTTP)
    [パス]: /adfs/probe
    間隔: 5 (既定値) – ILB がバックエンドプール内のマシンをプローブする間隔
    [保存] を選択します。

  8. [保存] を選んで受信規則を保存します。 Screenshot showing how to create an inbound rule.

  9. [確認と作成] を選び、問題がなければ [作成] を選びます。

[作成] を選んでパブリック ILB がデプロイされたら、ロード バランサーの一覧に表示されます。

Screenshot showing how to save an inbound rule.

パブリック IP に DNS ラベルを割り当てる

リソースの検索機能を使用して、[パブリック IP アドレス] を検索します。 次の手順に従って、パブリック IP の DNS ラベルを構成します。

  1. リソースを選び、[設定][構成] を選びます。
  2. [DNS ラベルを指定する (オプション)] で、外部ロード バランサー (contosofs.westus.cloudapp.azure.com など) の DNS ラベルを解決するエントリ (fs.contoso.com など) をテキスト フィールドに追加します。
  3. [保存] を選び、DNS ラベルの割り当てを完了します。

AD FS サインインをテストする

AD FS をテストする最も簡単な方法は、IdpInitiatedSignon.aspx ページを使用する方法です。 これを行うには、AD FS プロパティの IdpInitiatedSignOn を有効にする必要があります。 AD FS 設定を確認するには、次の手順に従います。

  1. PowerShell で、AD FS サーバーで次のコマンドレットを実行して、有効に設定します。 Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. 外部のマシンから https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx にアクセスします。
  3. 次の AD FS ページが表示されます。

Screenshot of test login page.

サインインに成功すると、次のような成功メッセージが表示されます。

Screenshot that shows the test success message.

Azure で AD FS をデプロイするためのテンプレート

このテンプレートでは、ドメイン コントローラー、AD FS、WAP のそれぞれに 2 つずつ、合計 6 台のマシンの設定をデプロイします。

Azure での AD FS のデプロイ テンプレート

このテンプレートのデプロイでは、既存の仮想ネットワークを使用することも、新しい仮想ネットワークを作成することもできます。 次の表では、デプロイのカスタマイズに使用できるさまざまなパラメーターを示し、デプロイ プロセスでパラメーターを使用する方法について説明します。

パラメーター 説明
Location リソースをデプロイするリージョン (米国東部など)
StorageAccountType 作成するストレージ アカウントの種類
VirtualNetworkUsage 新しい仮想ネットワークを作成するか、既存の仮想ネットワークを使用するかを示します
VirtualNetworkName 作成する仮想ネットワークの名前 (既存と新規の仮想ネットワークのどちらを使用する場合でも必須)
VirtualNetworkResourceGroupName 既存の仮想ネットワークが存在するリソース グループの名前を指定します。 既存の仮想ネットワークを使用する場合、このオプションは、デプロイで既存の仮想ネットワークの ID を見つけられるようにするために必須のパラメーターです。
VirtualNetworkAddressRange 新しい仮想ネットワークのアドレス範囲 (新しい仮想ネットワークを作成する場合に必須)
InternalSubnetName 内部サブネットの名前 (新規および既存の仮想ネットワークのどちらを使用する場合でも必須)
InternalSubnetAddressRange 新しい仮想ネットワークを作成する場合、ドメイン コントローラーと AD FS サーバーを含む内部サブネットのアドレス範囲が必須です
DMZSubnetAddressRange Windows アプリケーション プロキシ サーバーを含む DMZ サブネットのアドレス範囲 (新しい仮想ネットワークを作成する場合に必須)
DMZSubnetName 内部サブネットの名前 (新しい仮想ネットワークと既存の仮想ネットワークの両方で必須)
ADDC01NICIPAddress 1 つ目のドメイン コントローラーの内部 IP アドレス。この IP アドレスは、DC に静的に割り当てられ、内部サブネットで有効な IP アドレスである必要があります
ADDC02NICIPAddress 2 つ目のドメイン コントローラーの内部 IP アドレス。この IP アドレスは、DC に静的に割り当てられ、内部サブネットで有効な IP アドレスである必要があります
ADFS01NICIPAddress 1 つ目の AD FS サーバーの内部 IP アドレス。この IP アドレスは、AD FS サーバーに静的に割り当てられ、内部サブネットで有効な IP アドレスである必要があります
ADFS02NICIPAddress 2 番目の AD FS サーバーの内部 IP アドレス。この IP アドレスは、AD FS サーバーに静的に割り当てられ、内部サブネットで有効な IP アドレスである必要があります
WAP01NICIPAddress 1 つ目の WAP サーバーの内部 IP アドレス。この IP アドレスは、WAP サーバーに静的に割り当てられ、DMZ サブネットで有効な IP アドレスである必要があります
WAP02NICIPAddress 2 つ目の WAP サーバーの内部 IP アドレス。この IP アドレスは、WAP サーバーに静的に割り当てられ、DMZ サブネットで有効な IP アドレスである必要があります
ADFSLoadBalancerPrivateIPAddress AD FS ロード バランサーの内部 IP アドレス。この IP アドレスは、ロード バランサーに静的に割り当てられ、内部サブネットで有効な IP アドレスである必要があります
ADDCVMNamePrefix ドメイン コントローラーの VM 名のプレフィックス
ADFSVMNamePrefix AD FS サーバーの VM 名のプレフィックス
WAPVMNamePrefix WAP サーバーの VM 名のプレフィックス
ADDCVMSize ドメイン コントローラーの VM のサイズ
ADFSVMSize AD FS サーバーの VM のサイズ
WAPVMSize WAP サーバーの VM のサイズ
AdminUserName VM のローカル管理者の名前
AdminPassword VM のローカル管理者アカウントのパスワード

次のステップ