【2024/6/10(月)開催】Entra(SC-300)勉強会
問題
次の表に示すホストを含むオンプレミス データセンターがあります。
| 名前 | 説明 |
|---|---|
| サーバ1 | Windows Server 2019、ドメインコントローラがデプロイされている |
| サーバ2 | Windows Server 2019、Entra Connectがデプロイされている |
| サーバ3 | Windows Server 2019、App1という名前のASP.NETアプリがデプロイされている |
| サーバ4 | Windows Server 2019、何もデプロイされていない |
| ファイアウォール1 | インターネットに接続されているハードウェアファイアウォール、明示的に許可しない限りすべてのトラヒックをブロックする |
Active Directory フォレストは、Entra テナントと同期します。App1 を Entra ID ユーザーに公開できることを確認する必要があります。
問1 : サーバ4にデプロイすべきサービスは何か
■選択肢
A. Entra アプリケーションプロキシ
B. Entra パスワードプロテクションDCエージェント
C. Entra パスワードプロテクションプロキシサービス
D. Windows serverのWebアプリケーションプロキシ
問2:ファイルウォール1で構成すべきルールは何か
■選択肢
A. インバウンドのHTTPS通信を許可する設定
B. インバウンドのIPSEC通信を許可する設定
C. アウトバウンドのHTTPS通信を許可する設定
D. アウトバウンドのIPSEC通信を許可する設定
解答
問1:A. Entra アプリケーションプロキシ
問2:C. アウトバウンドのHTTPS通信を許可する設定
解説
問題内容について
・インターネット上の端末からFW内のイントラ上にあるWebアプリケーションサーバにアクセスさせる問題
サーバ4にインストールするべきサービス
A. Entra アプリケーションプロキシ
⇒ 正確には、「Entra アプリケーションプロキシのアプリケーションコネクタ」 が正解。
Entra アプリケーションプロキシは、「①アプリケーションサービス」と「②アプリケーションコネクタ」の二つが含まれる
(参考URL) 動作概要(シーケンス)
Microsoft Entra アプリケーション プロキシを使用してオンプレミス アプリを発行する – Microsoft Entra ID | Microsoft Learn
- VPN(SSL-VPN、IPSec-VPNなど)接続をしなくても、インターネット経由で、社内イントラ内にあるWEBアプリケーションサーバにアクセスできる
- ユーザは、Entra ID上のアプリケーションプロキシサービスで作成されるエンドポイント(URL)に接続するイメージ
- 認証には、Entra ID上のユーザ名/パスワードが使用される
- Entra Application Proxyは、Web系アプリケーションしか公開できない。
- 最近、Entra Private Access(ゼロトラ用語でいうところの、「SDP/ZTNA」)というサービスが出ており(現時点ではプレビュー段階)、Web系以外のアプリケーションも公開できる(RDP、FTP、SMBなど、TCP/UDPを使用するあらゆるポートやプロトコルに対応)
その他の選択肢
- Entra パスワードプロテクションは、Entra ID上の厳しいパスワードポリシーを、オンプレADにも適用する仕組み
- Windows serverのWebアプリケーションプロキシは、少し古い技術でActive Direcotoryに外部からアクセスするための仕組み(参考:https://learn.microsoft.com/ja-jp/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs#standard-deployment-topology) → インターネット側から見て、Webアプリケーションの手前に配置されているのがEntra アプリケーションプロキシ、Active Directoryの手前に配置されているのがWebアプリケーションプロキシ。
FW1に構成すべきルール
C. アウトバウンドのHTTPS通信を許可する設定
- 「中→外」の通信のみを許可すればよいため、「外→中」のポートを空ける必要がなくよりセキュア
- 「アプリケーションサービス(クラウド)⇔アプリケーションコネクタ(オンプレ)」間のやり取り(トークンの受け渡しなど)は、すべて「中→外」で確立されたHTTPSコネクションの中で行われる