Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Proxy aplikací Microsoft Entra je bezpečné a nákladově efektivní řešení vzdáleného přístupu pro místní aplikace. Poskytuje okamžitou přechodovou cestu pro organizace "Cloud First" ke správě přístupu ke starším místním aplikacím, které ještě nejsou schopné používat moderní protokoly. Další úvodní informace najdete v tématu Co je proxy aplikace.
Pro vzdálené uživatele se doporučuje aplikační proxy pro zpřístupnění interních prostředků. Proxy aplikace nahrazuje potřebu sítě VPN nebo reverzního proxy serveru pro tyto případy použití vzdáleného přístupu. Není určená pro uživatele, kteří jsou v podnikové síti. Tito uživatelé, kteří používají proxy aplikace pro přístup k intranetu, můžou zaznamenat nežádoucí problémy s výkonem.
Tento článek obsahuje zdroje informací, které potřebujete k plánování, provozu a správě proxy aplikací Microsoft Entra.
Plánování implementace
Následující část obsahuje široký přehled klíčových prvků plánování, které vám umožňují efektivní nasazení.
Požadavky
Před zahájením implementace budete muset splnit následující požadavky. Další informace o nastavení prostředí, včetně těchto požadavků, najdete v tomto kurzu.
Konektory: Konektory jsou odlehčení agenti, které můžete umístit na:
- Místní fyzický hardware
- Virtuální počítač hostovaný v rámci jakéhokoli řešení hypervisoru
- Virtuální počítač hostovaný v Azure, který umožňuje odchozí připojení ke službě proxy aplikací.
Podrobnější přehled najdete v tématu Vysvětlení privátních síťových konektorů Microsoft Entra.
Před instalací konektorů musí být stroje konektorů povoleny pro protokol Transport Layer Security (TLS) 1.2.
Pokud je to možné, nasaďte konektory ve stejné síti a segmentujte jako back-endové servery webových aplikací. Po dokončení zjišťování aplikací je nejlepší nasadit konektory.
Pro zajištění vysoké dostupnosti a škálování doporučujeme, aby každá skupina konektorů má aspoň dva konektory. Mít tři konektory jsou optimální pro údržbu počítače v libovolném okamžiku. Projdi si tabulku kapacity připojení pro určení typu stroje pro připojení.
Nastavení přístupu k síti: Privátní síťové konektory Microsoft Entra se připojují k Azure přes protokol HTTPS (TCP) port 443 a HTTP (port TCP 80).
Ukončování provozu TLS konektoru není podporováno a brání konektorům v navazování zabezpečeného kanálu s příslušnými koncovými body proxy aplikací Microsoft Entra.
Vyhněte se všem formám interní kontroly odchozí TLS komunikace mezi konektory a Azure. Interní kontrola mezi konektorem a back-endovými aplikacemi je možná, ale může snížit uživatelské prostředí a proto se nedoporučuje.
Vyrovnávání zatížení samotných konektorů se také nepodporuje ani není nutné.
Důležité informace před konfigurací proxy aplikací Microsoft Entra
Aby bylo možné nakonfigurovat a implementovat proxy aplikace Microsoft Entra, musí být splněny následující základní požadavky.
Onboarding Azure: Před nasazením aplikačního proxy serveru musí být identity uživatelů synchronizovány z místního adresáře nebo vytvořeny přímo v rámci tenantů Microsoft Entra. Synchronizace identit umožňuje službě Microsoft Entra ID předověření uživatelů, než jim je udělen přístup k aplikacím publikovaným prostřednictvím proxy serveru, a získání potřebných informací o identifikátoru uživatele pro provedení jednotného přihlašování (SSO).
Požadavky podmíněného přístupu: Pro intranetový přístup nedoporučujeme používat proxy aplikací, protože přidává latenci, která ovlivňuje uživatele. Pro vzdálený přístup z internetu doporučujeme používat proxy aplikací s předběžným ověřováním a zásadami podmíněného přístupu. Přístup k poskytování podmíněného přístupu pro intranet je modernizace aplikací, aby se mohly přímo ověřit pomocí MICROSOFT Entra ID. Další informace naleznete v tématu Zdroje informací o migraci aplikací do Microsoft Entra ID.
Limity služeb: Aby se zabránilo nadměrnému využívání prostředků jednotlivými nájemníky, jsou nastaveny limity omezování na úrovni jednotlivých aplikací a nájemníků. Informace o těchto omezeních najdete v omezeních a omezeních služby Microsoft Entra. Tyto limity škrcení jsou založené na benchmarku přesahujícím typický objem použití a poskytují dostatečnou rezervu pro většinu nasazení.
Veřejný certifikát: Pokud používáte vlastní názvy domén, musíte si opatřet certifikát TLS. V závislosti na požadavcích vaší organizace může získání certifikátu nějakou dobu trvat a doporučujeme začít proces co nejdříve. Proxy aplikací Azure podporuje standardní, zástupné dokumentace nebo certifikáty založené na síti SAN. Další informace naleznete v tématu Konfigurace vlastních domén pomocí proxy aplikací Microsoft Entra.
Požadavky na doménu: Pokud chcete pro jednotné přihlašování použít omezené delegování Kerberos (KCD), ujistěte se, že jsou server konektoru i aplikační server připojené k doméně a buď ve stejné doméně, nebo v důvěryhodných doménách. Služba konektoru běží pod místním systémovým účtem a neměla by používat vlastní identitu. Další informace najdete v tématu KCD pro jednotné přihlašování.
Záznamy DNS pro adresy URL
Před použitím vlastních domén v proxy aplikací musíte vytvořit záznam CNAME ve veřejném dns (Domain Name System), který klientům umožňuje přeložit vlastní definovanou externí adresu URL na předdefinovanou adresu proxy aplikace. Nepodaří-li se vytvořit záznam CNAME pro aplikaci, která používá vlastní doménu, zabrání to vzdáleným uživatelům v připojení k aplikaci. Kroky potřebné k přidání záznamů CNAME se můžou lišit od poskytovatele DNS po poskytovatele, takže zjistěte, jak spravovat záznamy a sady záznamů DNS pomocí Centra pro správu Microsoft Entra.
Podobně musí být hostitelé konektorů schopni přeložit interní adresu URL publikovaných aplikací.
Administrativní práva a role
Instalace konektoru vyžaduje oprávnění místního správce k serveru s Windows, na který se instaluje. K ověření a registraci instance konektoru do vašeho tenanta Microsoft Entra je také nutné mít minimálně roli správce aplikace.
Publikování a správa aplikací vyžaduje roli Správce aplikací. Správci aplikací můžou spravovat všechny aplikace v adresáři, včetně registrací, nastavení jednotného přihlašování, přiřazení uživatelů a skupin a licencování, nastavení proxy aplikací a souhlasu. Neuděluje možnost spravovat podmíněný přístup. Role Správce cloudových aplikací má všechny možnosti správce aplikace s tím rozdílem, že neumožňuje správu nastavení proxy aplikací.
Licencování: Proxy aplikací je k dispozici prostřednictvím předplatného Microsoft Entra ID P1 nebo P2. Úplný seznam možností licencování a funkcí najdete na stránce s cenami Microsoft Entra.
Zjišťování aplikací
Zkompilujte inventář všech aplikací v oboru, které se publikují prostřednictvím proxy aplikací, shromažďováním následujících informací:
| Typ informací | Informace ke shromáždění |
|---|---|
| Typ služby | Příklad: SharePoint, SAP, CRM, vlastní webová aplikace, rozhraní API |
| Aplikační platforma | Příklad: Internetová informační služba systému Windows (IIS), Apache v Linuxu, Tomcat, NGINX |
| Členství v doméně | Plně kvalifikovaný název domény webového serveru (FQDN) |
| Umístění aplikace | Kde se webový server nebo farma nachází ve vaší infrastruktuře |
| Interní přístup | Přesná adresa URL použitá při interním přístupu k aplikaci. Pokud je farma, jaký typ vyrovnávání zatížení se používá? Určuje, jestli aplikace získává obsah z jiných zdrojů než z sebe sama. Určete, jestli aplikace funguje přes WebSockets. |
| Externí přístup | Řešení dodavatele, přes které může být aplikace již potencálně vystavena externě. Adresa URL, kterou chcete použít pro externí přístup. Pokud SharePoint, ujistěte se, že jsou na základě pokynů nakonfigurovaná mapování alternativních přístupů. Pokud ne, musíte definovat externí adresy URL. |
| Veřejný certifikát | Pokud používáte vlastní doménu, pořiďte certifikát s odpovídajícím názvem subjektu. Pokud certifikát existuje, poznamenejte si sériové číslo a umístění, odkud ho lze získat. |
| Typ autentizace | Typ ověřování, který aplikace podporuje, zahrnuje například základní ověřování, ověřování pomocí integrace se systémem Windows, ověřování na bázi formulářů, na bázi hlaviček a na bázi tvrzení. Pokud je aplikace nakonfigurovaná tak, aby běžela pod konkrétním účtem domény, poznamenejte si plně kvalifikovaný název domény (FQDN) účtu služby. Pokud je založený na SAML, identifikátor a adresy URL odpovědí. Pokud je založeno na hlavičce, řešení dodavatele a konkrétní požadavek na zpracování typu ověřování. |
| Název skupiny konektorů | Logický název skupiny konektorů, které jsou určené k poskytnutí kanálu a jednotného přihlašování k backendové aplikaci. |
| Přístup uživatelů/skupin | Uživatelům nebo skupinám uživatelů, kterým je udělen externí přístup k aplikaci. |
| Další požadavky | Všimněte si dalších požadavků na vzdálený přístup nebo zabezpečení, které by se měly zohlednit při publikování aplikace. |
Do inventáře aplikací si můžete stáhnout tabulku inventáře aplikací .
Definování požadavků organizace
Níže jsou uvedené oblasti, pro které byste měli definovat obchodní požadavky vaší organizace. Každá oblast obsahuje příklady požadavků.
Přístup
Vzdálení uživatelé se zařízeními připojenými k doméně nebo k Microsoft Entra mohou bezpečně přistupovat k publikovaným aplikacím s bezproblémovým jednotným přihlašováním (SSO).
Vzdálení uživatelé se schválenými osobními zařízeními můžou bezpečně přistupovat k publikovaným aplikacím za předpokladu, že jsou zaregistrovaní v MFA a zaregistrovali aplikaci Microsoft Authenticator na svém mobilním telefonu jako metodu ověřování.
Zásady správného řízení
- Správci mohou definovat a monitorovat životní cyklus přiřazení uživatelů k aplikacím publikovaným prostřednictvím proxy aplikací.
Zabezpečení
- K těmto aplikacím mají přístup jenom uživatelé přiřazení prostřednictvím členství ve skupině nebo jednotlivě.
Výkon
- V porovnání s přístupem k aplikaci z interní sítě nedojde k žádnému snížení výkonu aplikace.
Uživatelské prostředí
- Uživatelé vědí, jak přistupovat ke svým aplikacím pomocí známých adres URL společnosti na libovolné platformě zařízení.
Auditování
- Správci můžou auditovat aktivitu přístupu uživatelů.
Osvědčené postupy pro piloty
Určete dobu a úsilí potřebné k úplnému zprovoznění jedné aplikace pro vzdálený přístup pomocí jednotného přihlašování (SSO). Proveďte to spuštěním pilotního projektu, které zahrnuje počáteční zjišťování, publikování a obecné testování. Použití jednoduché webové aplikace založené na službě IIS, která je již předem nakonfigurovaná pro integrované ověřování systému Windows (IWA), by pomohla vytvořit základní hodnoty, protože instalace vyžaduje minimální úsilí k úspěšnému pilotnímu nasazení vzdáleného přístupu a jednotného přihlašování.
Následující prvky návrhu by měly zvýšit úspěch pilotní implementace přímo v produkčním tenantovi.
Správa konektorů:
Konektory hrají klíčovou roli při poskytování místních připojení k vašim aplikacím. Použití výchozí skupiny konektorů je vhodné pro počáteční pilotní testování publikovaných aplikací před jejich uvedením do produkčního prostředí. Úspěšně otestované aplikace je pak možné přesunout do skupin produkčních konektorů.
Správa aplikací:
Vaši pracovníci si pravděpodobně budou pamatovat, že externí adresa URL je známá a relevantní. Vyhněte se publikování aplikace pomocí předdefinovaných msappproxy.net nebo přípon onmicrosoft.com. Místo toho zadejte známou ověřenou doménu nejvyšší úrovně s předponou logického názvu hostitele, jako je intranet.<customers_domain>.com.
Omezte viditelnost ikony pilotní aplikace pro pilotní skupinu skrytím její ikony pro spuštění z portálu Azure MyApps. Až budete připraveni na produkční prostředí, můžete aplikaci zpřístupnit odpovídající cílové skupině, a to buď ve stejném předprodukčním tenantovi, nebo tím, že aplikaci publikujete ve vašem produkčním tenantovi.
Nastavení jednotného přihlašování: Některá nastavení SSO mají specifické závislosti, které mohou vyžadovat delší dobu na nastavení, proto abyste předešli zpoždění při kontrole změn, je důležité tyto závislosti předem řešit. Proces zahrnuje připojení hostitelů konektorů do domény pro provádění jednotného přihlašování s využitím Omezené Delegace protokolu Kerberos (KCD) a řešení dalších časově náročných úkolů.
Tls Between Connector Host and Target Application: Zabezpečení je nejdůležitější, takže protokol TLS mezi hostitelem konektoru a cílovými aplikacemi by se měl vždy používat. Zvláště pokud je webová aplikace nakonfigurovaná pro ověřování pomocí formulářů (FBA), protože přihlašovací údaje uživatele se pak efektivně přenášejí ve formátu prostého textu.
Implementujte postupně a testujte jednotlivé kroky. Po publikování aplikace proveďte základní funkční testování, abyste zajistili splnění všech požadavků na uživatele a firmy:
Otestujte a ověřte obecný přístup k webové aplikaci se zakázaným předběžným ověřením. V případě úspěchu povolte předběžné ověření a přiřaďte uživatele a skupiny. Pak otestujte a ověřte přístup. Dále přidejte metodu jednotného přihlašování pro vaši aplikaci a otestujte znovu, abyste ověřili přístup. Nakonec podle potřeby použijte zásady podmíněného přístupu a vícefaktorového ověřování. Otestujte a ověřte přístup.
Nástroje pro řešení potíží: Začněte řešit potíže kontrolou přístupu k publikované aplikaci přímo z prohlížeče na hostiteli konektoru. Ujistěte se, že aplikace funguje podle očekávání. Zjednodušte nastavení, abyste mohli izolovat problémy, jako je použití jednoho konektoru a zakázání jednotného přihlašování. Nástroje, jako je Telerikův Fiddler, mohou pomoci ladit problémy s přístupem nebo obsahem trasováním provozu, včetně mobilních platforem, jako jsou iOS a Android. Další informace najdete v průvodci odstraňováním potíží .
Implementace řešení
Nasazení aplikace proxy
Postup nasazení proxy aplikace najdete v kurzu pro přidání místní aplikace pro vzdálený přístup. Pokud instalace není úspěšná, vyberte na portálu poradce při potížích s proxy aplikací nebo použijte průvodce odstraňováním potíží s instalací konektoru agenta proxy aplikací.
Publikování aplikací prostřednictvím proxy aplikací
Publikování aplikací předpokládá, že jste splnili všechny požadavky a že máte několik konektorů, které se zobrazují jako registrované a aktivní na stránce proxy aplikací.
Aplikace můžete publikovat také pomocí PowerShellu.
Osvědčené postupy pro publikování aplikace:
Použití skupin konektorů: Přiřaďte skupinu konektorů určenou pro publikování každé příslušné aplikace. Pro zajištění vysoké dostupnosti a škálování doporučujeme, aby každá skupina konektorů má aspoň dva konektory. Mít tři konektory jsou optimální v případě, že potřebujete obsluhovat počítač v libovolném okamžiku. Další informace najdete v tématu Vysvětlení skupin privátních síťových konektorů Microsoft Entra a zjistěte, jak můžete skupiny konektorů použít k segmentaci konektorů podle sítě nebo umístění.
Nastavení časového limitu back-endové aplikace: Nastavení je užitečné ve scénářích, ve kterých může aplikace vyžadovat zpracování transakce klienta déle než 75 sekund. Když například klient odešle dotaz do webové aplikace, která funguje jako front-end do databáze. Front-end odešle dotaz na back-endový databázový server a čeká na odpověď, ale v době, kdy obdrží odpověď, vyprší časový limit klientské strany konverzace. Nastavení časového limitu na Long poskytuje 180 sekund pro dokončení delších transakcí.
Použít vhodné typy souborů cookie
HTTP-Only cookie: Poskytuje dodatečné zabezpečení tím, že proxy aplikace zahrnuje příznak HTTPOnly v hlavičkách odpovědi HTTP set-cookie. Toto nastavení pomáhá zmírnit zneužití, jako je skriptování mezi weby (XSS). U klientů a uživatelských agentů, kteří vyžadují přístup k souboru cookie relace, ponechte nastavenou hodnotu Ne. Například klient RDP/MTSC se připojuje prostřednictvím aplikačního proxy serveru k bráně pro vzdálenou plochu.
Zabezpečený soubor cookie: Pokud je soubor cookie nastavený s atributem Secure, uživatelský agent (aplikace na straně klienta) obsahuje soubor cookie pouze v požadavcích HTTP, pokud je požadavek přenášen přes zabezpečený kanál TLS. Toto nastavení pomáhá zmírnit riziko napadení souboru cookie přes kanály s prostým textem, proto by mělo být povolené.
Trvalý soubor cookie: Umožňuje, aby soubor cookie relace proxy aplikace zůstal platný i mezi uzavřeními prohlížeče, dokud nevyprší nebo není odstraněn. Používá se ve scénářích, kdy bohatá aplikace, jako je office, přistupuje k dokumentu v rámci publikované webové aplikace, aniž by se uživatel překlikoval na ověření. Povolte ale opatrně, protože trvalé soubory cookie můžou v konečném důsledku zanechat službu riziku neoprávněného přístupu, pokud se nepoužívá s jinými kompenzačními ovládacími prvky. Toto nastavení by se mělo používat jenom pro starší aplikace, které nemůžou sdílet soubory cookie mezi procesy. Je lepší aktualizovat aplikaci tak, aby zpracovávala soubory cookie sdílení mezi procesy místo použití tohoto nastavení.
Překlad adres URL v hlavičkách: Povolíte nastavení pro scénáře, ve kterých není možné nakonfigurovat interní DNS tak, aby odpovídaly veřejnému oboru názvů organizace (a.k.a Split DNS). Pokud vaše aplikace nevyžaduje původní hlavičku hostitele v požadavku klienta, ponechte hodnotu nastavenou na Ano. Alternativou je, že konektor použije plně kvalifikovaný název domény v interní adrese URL pro směrování skutečného provozu a plně kvalifikovaný název domény v externí adrese URL jako hlavičku hostitele. Ve většině případů by měla alternativní možnost aplikaci při vzdáleném přístupu umožnit, aby fungovala normálně, ale uživatelé ztratí výhody, které mají odpovídající vnitřní a vnější adresu URL.
Překlad adres URL v textu aplikace: Zapněte překlad odkazů v textu aplikace, pokud chcete, aby odkazy z této aplikace byly přeloženy v odpovědích zpět na klienta. Pokud je tato funkce povolená, poskytuje nejlepší úsilí při překladu všech interních odkazů, které proxy aplikace najde v odpovědích HTML a CSS, které se vrací klientům. Je užitečné, když publikujete aplikace, které obsahují pevně zakódované odkazy na absolutní název nebo krátké názvy rozhraní NetBIOS v obsahu, nebo aplikace s obsahem, který odkazuje na jiné místní aplikace.
Ve scénářích, kdy publikovaná aplikace odkazuje na jiné publikované aplikace, povolte překlad odkazů pro každou aplikaci, abyste měli kontrolu nad uživatelským prostředím na úrovni jednotlivých aplikací.
Předpokládejme například, že máte tři aplikace publikované prostřednictvím proxy aplikací, které se vzájemně propojují: Výhody, Výdaje a Cestování a čtvrtá aplikace, Zpětná vazba, která se nepublikuje prostřednictvím proxy aplikací.
Pokud je pro aplikaci Výhody povolen překlad odkazů, odkazy na aplikace Výdaje a Cestování se přesměrují na jejich externí adresy URL, což externím uživatelům umožňuje přístup k nim. Odkazy na výdaje a cestování zpět na výhody ale nefungují, pokud není pro tyto aplikace povolen překlad odkazů. Odkaz aplikace Feedback není přesměrován, protože nemá externí adresu URL, což externím uživatelům brání v přístupu k aplikaci Výhody. Další informace najdete v tématu možnosti překladu odkazů a přesměrování.
Přístup k aplikaci
Přístup k publikovaným prostředkům proxy aplikací můžete spravovat tak, že vyberete přístup, který nejlépe vyhovuje vašim požadavkům na scénář a škálovatelnost. Mezi běžné metody patří synchronizace místních skupin prostřednictvím služby Microsoft Entra Connect, vytváření dynamických skupin v ID Microsoft Entra na základě atributů uživatele, povolení samoobslužných skupin spravovaných vlastníky prostředků nebo kombinování těchto strategií. Prozkoumejte propojené prostředky a seznamte se s výhodami jednotlivých metod.
Nejpřímější způsob přiřazení přístupu uživatelů k aplikaci spočívá v možnostech Uživatelé a skupiny v levém podokně publikované aplikace a přímé přiřazování skupin nebo jednotlivců.
Uživatelům můžete také povolit samoobslužný přístup k vaší aplikaci tím, že přiřadíte skupinu, ve které momentálně nejsou členy a konfigurují možnosti samoobslužné služby.
Pokud je tato možnost povolená, uživatelé se přihlásí k portálu MyApps, aby požádali o přístup. Buď jsou automaticky schváleny a přidány do samoobslužné skupiny, nebo vyžadují schválení od určeného schvalovatele.
Uživatelé typu host mohou být také pozváni k přístupu k interním aplikacím publikovaným prostřednictvím aplikačního proxy serveru Microsoft Entra B2B.
U místních aplikací, které jsou normálně přístupné anonymně a nevyžadují žádné ověřování, můžete zakázat možnost umístěnou ve vlastnostech aplikace.
Možnost nastavená na Ne umožňuje uživatelům přistupovat k místní aplikaci prostřednictvím proxy aplikací Microsoft Entra bez oprávnění, takže buďte opatrní.
Jakmile je vaše aplikace publikovaná, měla by být přístupná zadáním jeho externí adresy URL v prohlížeči nebo jeho ikonou na adrese https://myapps.microsoft.com.
Povolení předběžného ověření
Ověřte, že je vaše aplikace přístupná prostřednictvím proxy aplikace, která k ní přistupuje přes externí adresu URL.
Přejděte dopodnikových aplikací>Entra ID>Všechny aplikace a zvolte aplikaci, kterou chcete spravovat.
Vyberte proxy aplikace.
V poli Předběžné ověřování vyberte pomocí rozevíracího seznamu ID Microsoft Entra a vyberte Uložit. Při povoleném předběžném ověření nejprve ověřuje uživatele ID Microsoft Entra. Pokud je nastavené jednotné přihlašování, back-endová aplikace před udělením přístupu také ověří uživatele. Přepnutí režimu předběžného ověření z předávání na Microsoft Entra ID zabezpečí externí adresu URL pomocí protokolu HTTPS a zajistí, aby všechny aplikace původně používající protokol HTTP fungovaly přes PROTOKOL HTTPS.
Povolení jednotného přihlašování
Jednotné přihlašování zlepšuje uživatelské prostředí a zabezpečení tím, že uživatelům umožňuje přihlásit se jednou pomocí Microsoft Entra ID. Po předběžném ověření se privátní síťový konektor přihlásí k místní aplikaci pro uživatele a zobrazí se, jako by se uživatel přihlásil přímo.
Volba Passthrough umožňuje uživatelům přístup k publikované aplikaci, aniž by se museli ověřovat prostřednictvím Microsoft Entra ID.
Aby bylo možné povolit jednotné přihlašování, musí vaše aplikace předem autorizovat uživatele s ID Microsoft Entra. Bez předběžného ověření nejsou možnosti jednotného přihlašování dostupné.
Přečtěte si jednotné přihlašování k aplikacím v Microsoft Entra ID , abyste při konfiguraci aplikací vybrali nejvhodnější metodu jednotného přihlašování.
Práce s jinými typy aplikací
Proxy aplikace Microsoft Entra podporuje aplikace vytvořené pomocí knihovny MSAL (Microsoft Authentication Library). Zpracovává nativní klientské aplikace pomocí tokenů ID Microsoft Entra v hlavičce požadavků klienta k předběžnému ověření uživatelů.
Seznamte se s dostupnými konfiguracemi proxy aplikací. Čtení publikování nativních a mobilních klientských aplikací a aplikací založených na deklaracích identity
Posílení zabezpečení pomocí podmíněného přístupu
Zabezpečení aplikací vyžaduje pokročilou sadu možností zabezpečení, které můžou chránit před komplexními hrozbami místně i v cloudu a reagovat na ně. Pomocí zásad podmíněného přístupu můžete řídit přístup k aplikacím na základě mnoha podmínek, jako je umístění, riziko, typ zařízení, dodržování předpisů zařízením a další. Příklady zásad, které můžete nasadit, najdete v článku Šablony podmíněného přístupu.
K podpoře proxy aplikací Microsoft Entra je možné použít následující možnosti:
Podmíněný přístup založený na uživateli a umístění: Udržujte citlivá data chráněná omezením přístupu uživatelů na základě geografického umístění nebo IP adresy pomocí zásad podmíněného přístupu založeného na poloze.
Podmíněný přístup založený na zařízeních: Zajistěte, aby k podnikovým datům s podmíněným přístupem založeným na zařízeních měli přístup jenom zaregistrovaná, schválená a vyhovující zařízení.
Podmíněný přístup založený na aplikaci: Práce se nemusí zastavit, když uživatel není v podnikové síti. Zabezpečený přístup k podnikovému cloudu a místním aplikacím a udržování kontroly pomocí podmíněného přístupu.
Podmíněný přístup založený na riziku: Chraňte svá data před škodlivými hackery pomocí zásad podmíněného přístupu na základě rizika, které je možné použít pro všechny aplikace a všechny uživatele, ať už místně, nebo v cloudu.
Microsoft Entra Moje aplikace: S nasazenou službou proxy aplikací a bezpečně publikovanými aplikacemi nabídněte uživatelům jednoduché centrum pro zjišťování a přístup ke všem svým aplikacím. Zvyšte produktivitu díky samoobslužným funkcím, jako je například možnost požádat o přístup k novým aplikacím a skupinám nebo spravovat přístup k těmto prostředkům jménem ostatních prostřednictvím Moje aplikace.
Správa implementace
Požadované role
Společnost Microsoft doporučuje udělit nejnižší možné oprávnění k provádění potřebných úkolů s ID Microsoft Entra. Projděte si různé dostupné role Azure a zvolte tu správnou, která bude řešit potřeby jednotlivých osob. Některé role musí být po dokončení nasazení dočasně použity a odebrány.
| Obchodní role | Obchodní úkoly | Role Microsoft Entra |
|---|---|---|
| Správce helpdesku | Zpracovává základní úlohy podpory uživatelů, jako je resetování hesel, zneplatnění obnovovacích tokenů a kontrola stavu služby. | Správce helpdesku |
| Správce identit | Přečtěte si zprávy o přihlášení a protokoly auditu Microsoft Entra k ladění problémů souvisejících s proxy aplikací. | Čtenář zabezpečení |
| Vlastník aplikace | Vytvářejte a spravujte všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. | Správce aplikace |
| Správce infrastruktury | Vlastník převodu certifikátu | Správce aplikace |
Minimalizace počtu osob, které mají přístup k zabezpečeným informacím nebo prostředkům, pomáhají snížit riziko neoprávněného přístupu aktéra se zlými úmysly nebo neúmyslně ovlivnění citlivého prostředku autorizovaným uživatelem.
Pokud chcete efektivně spravovat přístup pro správu a zajistit správné auditování, doporučujeme používat přístup za běhu (JIT) s Privileged Identity Management. Tento přístup poskytuje privilegovaný přístup k prostředkům Azure na vyžádání a ID Microsoft Entra pouze v případě potřeby.
Zprávy a monitorování
Microsoft Entra ID poskytuje lepší přehled o využití aplikací a provozním stavu vaší organizace prostřednictvím auditních protokolů a sestav. Proxy aplikací také usnadňuje monitorování konektorů z Centra pro správu Microsoft Entra a protokolů událostí systému Windows.
Protokoly auditu aplikací
Tyto protokoly poskytují podrobné informace o přihlášeních k aplikacím nakonfigurovaným pomocí proxy aplikací a zařízení a uživatele, který k aplikaci přistupuje. Protokoly auditu se nacházejí v Centru pro správu Microsoft Entra a v rozhraní API pro audit pro export. Kromě toho jsou pro vaši aplikaci k dispozici také sestavy přehledů a využití.
Monitorování konektoru privátní sítě
Konektory a služba se postarají o všechny úlohy s vysokou dostupností. Stav konektorů můžete monitorovat na stránce proxy aplikací v Centru pro správu Microsoft Entra. Další informace o údržbě konektorů najdete v tématu Principy privátních síťových konektorů Microsoft Entra.
Protokoly událostí Windows a čítače výkonu
Konektory mají protokoly správce i relace. Protokoly správců zahrnují klíčové události a jejich chyby. Protokoly relace zahrnují všechny transakce a detaily o jejich zpracování. Protokoly a čítače se nacházejí v protokolech událostí systému Windows. Další informace najdete v tématu Principy privátních síťových konektorů Microsoft Entra. Podle kurzu nakonfigurujte zdroje dat protokolu událostí ve službě Azure Monitor.
Průvodce odstraňováním potíží a kroky
Přečtěte si další informace o běžných problémech a jejich řešení pomocí našeho průvodce odstraňováním chybových zpráv.
Související obsah
Následující články popisují běžné scénáře, které můžete použít také k vytvoření průvodců odstraňováním potíží pro vaši organizaci podpory.
- Řešení potíží s nefunkčními odkazy na stránce aplikace
- Otevření portů pro aplikaci
- Konfigurace jednotného přihlašování
- Konfigurace omezeného delegování Kerberos
- Konfigurace s využitím PingAccess
- Řešení problémů s přístupem k podnikové aplikaci
- Řešení potíží s instalací konektoru agenta proxy aplikací
- Řešení potíží s přihlášením