Uso di Microsoft Entra Application Proxy per pubblicare app locali per utenti remoti

  • Articolo

Proxy dell’applicazione per Microsoft Entra fornisce accesso remoto sicuro alle applicazioni Web locali. Dopo un accesso singolo (SSO) ad Microsoft Entra ID, gli utenti possono accedere sia alle applicazioni nel cloud che a quelle locali tramite un URL esterno o un portale per le applicazioni interno. Ad esempio, il proxy dell'applicazione può fornire l'accesso remoto e l'accesso Single Sign-On a Desktop remoto, SharePoint, Teams, Tableau, Qlik e applicazioni line-of-business (LOB).

Il proxy dell’applicazione Microsoft Entra è:

  • Semplice da usare. Gli utenti possono accedere alle applicazioni locali allo stesso modo in cui accedono a Microsoft 365 e ad altre app SaaS integrate con Microsoft Entra ID. Non è necessario modificare o aggiornare le applicazioni in modo che funzionino con il proxy dell'applicazione.

  • Sicuro. Le applicazioni locali possono usare i controlli di autorizzazione e le funzionalità di analisi della sicurezza di Azure. Ad esempio, le applicazioni locali possono usare l'accesso condizionale e la verifica in due passaggi. Il proxy di applicazione non richiede l'apertura delle connessioni in ingresso tramite il firewall.

  • Convenienza. Le soluzioni locali richiedono in genere di configurare e gestire zone demilitarizzate (DMZ), server perimetrali o altre infrastrutture complesse. Il proxy di applicazione viene eseguito nel cloud, che semplifica l'uso. Per usare il proxy dell'applicazione, non è necessario modificare l'infrastruttura di rete o installare più appliance nell'ambiente locale.

Suggerimento

Se si dispone già di Microsoft Entra ID, è possibile sfruttarlo come piano di controllo per consentire l'accesso facile e sicuro alle applicazioni locali.

Anche se non è completo, l'elenco seguente illustra esempi di uso del proxy di applicazione in uno scenario di coesistenza ibrida:

  • Pubblicazione delle app Web locali all'esterno in modo semplice senza una rete perimetrale
  • Supporto per l'accesso SSO (Single Sign-On) a dispositivi, risorse e app nel cloud e nell'ambiente locale
  • Supporto per l'autenticazione a più fattori per le app nel cloud e nell'ambiente locale
  • Possibilità di sfruttare rapidamente le funzionalità del cloud con la sicurezza della piattaforma Microsoft Cloud
  • Gestione centralizzata degli account utente
  • Controllo centralizzato delle identità e della sicurezza
  • Aggiunta o rimozione automatiche dell'accesso utente alle applicazioni in base all'appartenenza a gruppi

Questo articolo illustra in che modo Microsoft Entra ID e proxy dell'applicazione offrono agli utenti remoti un'esperienza single sign-on (SSO). Gli utenti possono connettersi in modo sicuro alle app locali senza una VPN o server dual-homed e regole del firewall. Le informazioni di questo articolo consentono di comprendere in che modo usare Application Proxy per sfruttare le funzionalità e i vantaggi della sicurezza del cloud per le applicazioni Web locali. Descrive inoltre l'architettura e le topologie che è possibile implementare.

Suggerimento

Il proxy dell'applicazione include sia il servizio proxy dell'applicazione, che viene eseguito nel cloud, sia il connettore di rete privata, che viene eseguito in un server locale. Microsoft Entra ID, il servizio proxy dell'applicazione e il connettore di rete privata interagiscono per passare in modo sicuro il token di accesso utente da Microsoft Entra ID all'applicazione Web.

Il proxy dell'applicazione funziona con:

  • Applicazioni Web che usano autenticazione di Windows integrata per l'autenticazione
  • Applicazioni Web che usano l'accesso basato su form o su intestazione
  • API Web che si vuole esporre ad applicazioni avanzate in dispositivi diversi
  • Applicazioni ospitate dietro Gateway Desktop remoto
  • App rich client integrate con Microsoft Authentication Library (MSAL)

Il proxy dell'applicazione supporta l'accesso Single Sign-On. Per altre informazioni sui metodi supportati, vedere Scelta di un metodo di accesso Single Sign-On.

L'accesso remoto in passato

In precedenza, il piano di controllo per proteggere le risorse interne dagli utenti malintenzionati, semplificando l'accesso da parte degli utenti remoti era tutto nella rete perimetrale o perimetrale. Tuttavia, le soluzioni con VPN e proxy inverso distribuite nella rete perimetrale usata dai client esterni per accedere alle risorse aziendali non sono adatte all'ambiente cloud. Le soluzioni di questo tipo presentano in genere gli svantaggi seguenti:

  • Costi hardware
  • Gestione della sicurezza (applicazione di patch, monitoraggio delle porte e così via)
  • Autenticazione degli utenti sul perimetro
  • Autenticazione degli utenti ai server Web nella rete perimetrale
  • Gestione dell'accesso alla VPN per gli utenti remoti, con la distribuzione e la configurazione del software client VPN, e anche gestione dei server aggiunti a un dominio nella rete perimetrale, che può essere vulnerabile ad attacchi esterni.

Nel mondo cloud-first di oggi, Microsoft Entra ID è più adatto per controllare chi e cosa entra nella rete. Il proxy di applicazione Microsoft Entra si integra con tecnologie moderne di autenticazione e basate sul cloud, ad esempio applicazioni SaaS e provider di identità. Grazie a questa integrazione, gli utenti possono accedere alle app da qualsiasi luogo. Non solo è il proxy di applicazione più adatto per l'ambiente di lavoro digitale di oggi, è più sicuro rispetto alle soluzioni VPN e proxy inverso e più facile da implementare. Gli utenti remoti possono accedere alle applicazioni locali allo stesso modo in cui accedono a Microsoft e ad altre app SaaS integrate con Microsoft Entra ID. Non è necessario modificare o aggiornare le applicazioni in modo che funzionino con il proxy dell'applicazione. Inoltre, il proxy dell'applicazione non richiede l'apertura delle connessioni in ingresso tramite il firewall. Con il proxy dell'applicazione, è sufficiente impostarlo e dimenticarlo.

Il futuro dell'accesso remoto

Nell'attuale ambiente di lavoro digitale, gli utenti lavorano ovunque con più dispositivi e app. L'unica costante è l'identità utente. Ecco perché il primo passaggio per una rete sicura consiste nell'usare le funzionalità di gestione delle identità di Microsoft Entra come piano di controllo della sicurezza. Un modello che usa le identità come piano di controllo è in genere costituito dai componenti seguenti:

  • Un provider di identità per tenere traccia degli utenti e delle informazioni correlate.
  • Una directory dei dispositivi per gestire un elenco dei dispositivi che hanno accesso alle risorse aziendali. Nella directory sono incluse le informazioni relative ai dispositivi, ad esempio il tipo di dispositivo, l'integrità e così via.
  • Servizio di valutazione dei criteri per determinare se un utente e un dispositivo sono conformi ai criteri definiti dagli amministratori della sicurezza.
  • La possibilità di concedere o negare l'accesso alle risorse dell'organizzazione.

Con il proxy dell'applicazione, Microsoft Entra ID tiene traccia degli utenti che devono accedere alle app Web pubblicate in locale e nel cloud. offrendo un punto di gestione centrale per tali app. Anche se non è necessario, è consigliabile abilitare anche l'accesso condizionale Microsoft Entra. Definendo le condizioni per il modo in cui gli utenti eseguono l'autenticazione e ottengono l'accesso, si garantisce inoltre che le persone giuste accecano alle applicazioni.

Nota

È importante comprendere che il proxy dell'applicazione Microsoft Entra è destinato a sostituire vpn o proxy inverso per gli utenti mobili (o remoti) che devono accedere alle risorse interne. Non è destinato agli utenti interni alla rete aziendale. Gli utenti interni che usano inutilmente il proxy dell'applicazione possono introdurre problemi di prestazioni imprevisti e indesiderati.

ID Microsoft Entra e tutte le app

Panoramica del funzionamento del proxy dell'applicazione

Il diagramma mostra come Microsoft Entra ID e proxy dell'applicazione interagiscono per fornire l'accesso Single Sign-On alle applicazioni locali.

Diagramma del proxy dell'applicazione Microsoft Entra.

  1. Un utente viene indirizzato alla pagina di accesso di Microsoft Entra dopo l'accesso all'applicazione tramite un endpoint.
  2. Microsoft Entra ID invia un token al dispositivo client dell'utente dopo un accesso riuscito.
  3. Il client invia il token al servizio proxy dell'applicazione. Il servizio recupera il nome dell'entità utente (UPN) e il nome dell'entità di sicurezza (SPN) dal token. Il proxy dell'applicazione invia quindi la richiesta al connettore.
  4. Il connettore esegue l'autenticazione Single Sign-On (SSO) necessaria per conto dell'utente.
  5. Il connettore invia la richiesta all'applicazione locale.
  6. La risposta viene inviata tramite il connettore e il servizio proxy dell'applicazione all'utente.

Nota

Come la maggior parte degli agenti ibridi di Microsoft Entra, il connettore di rete privata non richiede l'apertura delle connessioni in ingresso attraverso il firewall. Il traffico utente nel passaggio 3 termina nel servizio proxy dell'applicazione (in Microsoft Entra ID). Il connettore di rete privata (locale) è responsabile del resto della comunicazione.

Componente Descrizione
Endpoint L'endpoint è un URL o un portale per gli utenti finali. Gli utenti possono raggiungere le applicazioni all'esterno della rete accedendo a un URL esterno. Gli utenti all'interno della rete possono accedere all'applicazione tramite un URL o un portale per gli utenti finali. Quando gli utenti passano a uno di questi endpoint, eseguono l'autenticazione in Microsoft Entra ID e quindi vengono instradati attraverso il connettore all'applicazione locale.
Microsoft Entra ID Microsoft Entra ID esegue l'autenticazione usando la directory tenant archiviata nel cloud.
Servizio proxy applicazione Questo servizio proxy di applicazione viene eseguito nel cloud come parte di Microsoft Entra ID. Passa il token di accesso dall'utente al connettore di rete privato. Il proxy dell'applicazione inoltra tutte le intestazioni accessibili nella richiesta e imposta le intestazioni in base al relativo protocollo, all'indirizzo IP del client. Se la richiesta in ingresso per il proxy include già tale intestazione, l'indirizzo IP del client viene aggiunto alla fine dell'elenco delimitato da virgole che rappresenta il valore dell'intestazione.
connettore di rete privato Il connettore è un agente semplice eseguito in un server Windows all'interno della rete. Il connettore gestisce la comunicazione tra il servizio proxy dell'applicazione nel cloud e l'applicazione locale. Il connettore usa solo connessioni in uscita, quindi non è necessario aprire le porte in ingresso nelle reti con connessione Internet. I connettori sono senza stato e prelevano le informazioni dal cloud in base alle esigenze. Per altre informazioni sui connettori, ad esempio il bilanciamento del carico e l'autenticazione, vedere Informazioni sui connettori di rete privata Di Microsoft Entra.
Active Directory (AD) Active Directory viene eseguito in locale per eseguire l'autenticazione per gli account di dominio. Quando viene configurato l'accesso Single Sign-On, il connettore comunica con AD per eseguire qualsiasi autenticazione aggiuntiva necessaria.
Applicazione locale Infine, l'utente è in grado di accedere a un'applicazione locale.

Il proxy di applicazione è un servizio Microsoft Entra configurato nell'interfaccia di amministrazione di Microsoft Entra. Questo servizio consente di pubblicare un endpoint per URL HTTP/HTTPS pubblici esterni nel cloud di Azure, che si connette all'URL di un server applicazioni all'interno dell'organizzazione. Queste app Web locali possono essere integrate con Microsoft Entra ID per supportare l'accesso Single Sign-On. Gli utenti possono quindi accedere alle app Web locali nello stesso modo in cui accedono a Microsoft 365 e ad altre app SaaS.

I componenti di questa funzionalità includono il servizio proxy dell'applicazione, che viene eseguito nel cloud, il connettore di rete privato, che è un agente leggero che viene eseguito in un server locale e l'ID Microsoft Entra, ovvero il provider di identità. Tutti e tre i componenti interagiscono in modo da offrire all'utente un'esperienza Single Sign-On per accedere alle applicazioni Web locali.

Dopo l'accesso, gli utenti esterni possono accedere alle applicazioni Web locali usando un URL di visualizzazione o App personali dai dispositivi desktop o iOS/MAC. Ad esempio, il proxy dell'applicazione può fornire l'accesso remoto e l'accesso Single Sign-On a Desktop remoto, siti di SharePoint, Tableau, Qlik, Outlook sul web e applicazioni line-of-business (LOB).

Architettura del proxy dell'applicazione Microsoft Entra

Autenticazione

Esistono diversi modi per configurare un'applicazione per l'accesso Single Sign-On e il metodo selezionato dipende dall'autenticazione usata dall'applicazione. Il proxy di applicazione supporta i tipi di applicazioni seguenti:

  • Applicazioni Web
  • API Web che si vuole esporre ad applicazioni avanzate in dispositivi diversi
  • Applicazioni ospitate dietro Gateway Desktop remoto
  • App rich client integrate con Microsoft Authentication Library (MSAL)

application proxy funziona con le app che usano il protocollo di autenticazione nativo seguente:

Il proxy applicazione supporta anche i protocolli di autenticazione seguenti con l'integrazione di terze parti o in scenari di configurazione specifici:

  • Autenticazione basata su intestazione. Questo metodo di accesso usa un servizio di autenticazione di terze parti chiamato PingAccess e viene usato quando l'applicazione usa le intestazioni per l'autenticazione. In questo scenario l'autenticazione viene gestita da PingAccess.
  • Autenticazione basata su moduli o su password. Con questo metodo di autenticazione, gli utenti eseguono la procedura di accesso all'applicazione con nome utente e password solo la prima volta. Dopo il primo accesso, Microsoft Entra ID fornisce il nome utente e la password all'applicazione. In questo scenario, l'autenticazione viene gestita da Microsoft Entra ID.
  • Autenticazione SAML. L'accesso Single Sign-On basato su SAML è supportato per le applicazioni che usano protocolli SAML 2.0 o WS-Federation. Con l'accesso Single Sign-On SAML, Microsoft Entra esegue l'autenticazione per l'applicazione usando l'account Microsoft Entra dell'utente.

Per altre informazioni sui metodi supportati, vedere Scelta di un metodo di accesso Single Sign-On.

Vantaggi di sicurezza

La soluzione di accesso remoto offerta dal proxy dell'applicazione e da Microsoft Entra ID supporta diversi vantaggi per la sicurezza che i clienti possono sfruttare, tra cui:

  • Accesso autenticato. Il proxy di applicazione è più adatto per pubblicare applicazioni con preautenticazione per garantire che solo le connessioni autenticate raggiungono la rete. Non è consentito il passaggio del traffico attraverso il servizio proxy dell'applicazione all'ambiente locale senza un token valido per le applicazioni pubblicate con la preautenticazione. Per sua natura, la preautenticazione blocca un numero significativo di attacchi mirati, poiché solo le identità autenticate possono accedere all'applicazione back-end.

  • Accesso condizionale. È possibile applicare controlli più avanzati basati su criteri prima che vengano stabilite connessioni alla rete. L'Accesso Condizionale consente di definire restrizioni sul tipo di traffico autorizzato ad accedere alle applicazioni back-end. Si creano criteri che limitano gli accessi in base alla posizione, al livello di autenticazione e al profilo di rischio utente. Man mano che l'accesso condizionale si evolve, vengono aggiunti altri controlli per offrire maggiore sicurezza, ad esempio l'integrazione con Microsoft Defender per il cloud App. Defender per il cloud l'integrazione delle app consente di configurare un'applicazione locale per il monitoraggio in tempo reale sfruttando l'accesso condizionale per monitorare e controllare le sessioni in tempo reale in base ai criteri di accesso condizionale.

  • Terminazione del traffico. Tutto il traffico verso l'applicazione back-end viene terminato nel servizio proxy dell'applicazione nel cloud mentre la sessione viene ristabilita con il server back-end. Con questa strategia di connessione, i server back-end non sono esposti al traffico HTTP diretto. Sono protetti in modo più efficace dagli attacchi DoS (Denial of Service) mirati perché il firewall non è soggetto ad attacchi.

  • Tutti gli accessi sono in uscita. I connettori di rete privata usano solo connessioni in uscita al servizio proxy dell'applicazione nel cloud sulle porte 80 e 443. Senza connessioni in ingresso, non è necessario aprire le porte del firewall per i componenti o le connessioni in ingresso nella rete perimetrale. Tutte le connessioni vengono stabilite in uscita e su un canale sicuro.

  • Intelligenza basata su analisi della sicurezza e Machine Learning (ML). Poiché fa parte di Microsoft Entra ID, il proxy dell'applicazione può sfruttare Microsoft Entra ID Protection (richiede licenze Premium P2). Microsoft Entra ID Protection combina l'intelligence sulla sicurezza di Machine Learning con i feed di dati di Microsoft Digital Crimes Unit e Microsoft Security Response Center per identificare in modo proattivo gli account compromessi. Identity Protection offre protezione in tempo reale dagli accessi ad alto rischio. Prende in considerazione fattori come l'accesso da dispositivi infetti, tramite reti anonime o da posizioni atipiche e improbabili per aumentare il profilo di rischio di una sessione. Questo profilo di rischio viene usato per la protezione in tempo reale. Molte di queste segnalazioni ed eventi sono già disponibili tramite un'API per l'integrazione con i sistemi SIEM.

  • Accesso remoto come servizio. Per abilitare l'accesso remoto non è necessario preoccuparsi di gestire e applicare patch ai server locali. Il proxy di applicazione è un servizio di scalabilità Internet di proprietà di Microsoft, quindi si ottengono sempre le patch di sicurezza e gli aggiornamenti più recenti. Il software senza patch è tuttora responsabile di un numero elevato di attacchi. Secondo il dipartimento per la sicurezza interna degli Stati Uniti, ben l'85% degli attacchi mirati può essere evitato. Con questo modello di servizio, non è più necessario sostenere il gravoso carico che comporta la gestione dei server perimetrali né preoccuparsi di applicare le opportune patch.

  • Integrazione di Intune. Con Intune, il traffico aziendale viene instradato separatamente da quello personale. Il proxy dell'applicazione garantisce che il traffico aziendale sia autenticato. Il proxy di applicazione e la funzionalità di Intune Managed Browser possono anche essere usati insieme per consentire agli utenti remoti di accedere in modo sicuro ai siti Web interni dai dispositivi iOS e Android.

Guida di orientamento al cloud

Un altro importante vantaggio dell'implementazione del proxy dell'applicazione consiste nell'estendere Microsoft Entra ID all'ambiente locale. L'implementazione del proxy dell'applicazione è infatti un passaggio fondamentale per spostare l'organizzazione e le app nel cloud. Passando al cloud e lontano dall'autenticazione locale, si riduce il footprint locale e si usano le funzionalità di gestione delle identità di Microsoft Entra come piano di controllo. Con un intervento minimo di aggiornamento delle applicazioni esistenti, o addirittura senza alcun aggiornamento, sarà possibile accedere alle funzionalità del cloud, come l'accesso Single Sign-On, l'autenticazione a più fattori e la gestione centralizzata. L'installazione dei componenti necessari nel proxy dell'applicazione è un processo semplice per stabilire un framework di accesso remoto. Passando al cloud, è possibile accedere alle funzionalità, agli aggiornamenti e alle funzionalità più recenti di Microsoft Entra, ad esempio disponibilità elevata e ripristino di emergenza.

Per altre informazioni sulla migrazione delle app all'ID Microsoft Entra, vedere Migrazione delle applicazioni a Microsoft Entra ID.

Architettura

Il diagramma seguente illustra in generale come interagiscono i servizi di autenticazione di Microsoft Entra e il proxy dell'applicazione per fornire l'accesso Single Sign-On alle applicazioni locali agli utenti.

Flusso di autenticazione del proxy dell'applicazione Microsoft Entra

  1. Dopo che l'utente ha eseguito l'accesso all'applicazione tramite un endpoint, l'utente viene reindirizzato alla pagina di accesso di Microsoft Entra. Se sono stati configurati criteri di Accesso Condizionale, in questa fase vengono verificate condizioni specifiche per determinare la conformità ai requisiti di sicurezza dell'organizzazione.
  2. Dopo l'accesso, Microsoft Entra ID invia un token al dispositivo client dell'utente.
  3. Il client invia il token al servizio proxy dell'applicazione, che recupera il nome dell'entità utente (UPN) e il nome dell'entità di sicurezza (SPN) dal token.
  4. Il proxy dell'applicazione inoltra la richiesta, che viene prelevata dal connettore proxy dell'applicazione.
  5. Il connettore esegue le altre operazioni di autenticazione necessarie per conto dell'utente (facoltative, a seconda del metodo di autenticazione), richiede l'endpoint interno del server applicazioni e invia la richiesta all'applicazione locale.
  6. La risposta dal server applicazioni viene inviata tramite il connettore al servizio proxy dell'applicazione.
  7. La risposta viene inviata dal servizio proxy dell'applicazione all'utente.
Componente Descrizione
Endpoint L'endpoint è un URL o un portale utenti. Gli utenti possono raggiungere le applicazioni all'esterno della rete accedendo a un URL esterno. Gli utenti all'interno della rete possono accedere all'applicazione tramite un URL o un portale utenti. Quando gli utenti passano a uno di questi endpoint, eseguono l'autenticazione in Microsoft Entra ID e quindi vengono instradati attraverso il connettore all'applicazione locale.
Microsoft Entra ID Microsoft Entra ID esegue l'autenticazione usando la directory tenant archiviata nel cloud.
Servizio proxy applicazione Questo servizio proxy di applicazione viene eseguito nel cloud come parte di Microsoft Entra ID. Passa il token di accesso dall'utente al connettore di rete privato. Il proxy dell'applicazione inoltra tutte le intestazioni accessibili nella richiesta e imposta le intestazioni in base al relativo protocollo, all'indirizzo IP del client. Se la richiesta in ingresso per il proxy include già tale intestazione, l'indirizzo IP del client viene aggiunto alla fine dell'elenco delimitato da virgole che rappresenta il valore dell'intestazione.
connettore di rete privato Il connettore è un agente semplice eseguito in un server Windows all'interno della rete. Il connettore gestisce la comunicazione tra il servizio proxy dell'applicazione nel cloud e l'applicazione locale. Il connettore usa solo connessioni in uscita, per cui non è necessario aprire porte in ingresso né inserire nulla nella rete perimetrale. I connettori sono senza stato e prelevano le informazioni dal cloud in base alle esigenze. Per altre informazioni sui connettori, ad esempio il bilanciamento del carico e l'autenticazione, vedere Informazioni sui connettori di rete privata Di Microsoft Entra.
Active Directory (AD) Active Directory viene eseguito in locale per eseguire l'autenticazione per gli account di dominio. Quando si configura l'accesso Single Sign-On, il connettore comunica con AD per eseguire eventuali autenticazioni aggiuntive necessarie.
Applicazione locale Infine, l'utente è in grado di accedere a un'applicazione locale.

Il proxy dell'applicazione Microsoft Entra è costituito dal servizio proxy dell'applicazione basato sul cloud e da un connettore locale. Il connettore è in ascolto delle richieste del servizio proxy dell'applicazione e gestisce le connessioni alle applicazioni interne. È importante notare che tutte le comunicazioni si verificano tramite TLS e hanno sempre origine nel connettore al servizio proxy dell'applicazione. In altre parole, le comunicazioni sono solo in uscita. Il connettore usa un certificato client per eseguire l'autenticazione al servizio proxy dell'applicazione per tutte le chiamate. L'unica eccezione alla sicurezza della connessione è data dal passaggio di configurazione iniziale in cui viene stabilito il certificato client. Per altri dettagli, vedere il proxy dell'applicazione sotto il cappuccio .

connettori di rete privati

i connettori di rete privati sono agenti leggeri distribuiti in locale che facilitano la connessione in uscita al servizio proxy dell'applicazione nel cloud. I connettori devono essere installati in un server Windows dotato di accesso all'applicazione back-end. Gli utenti si connettono al servizio cloud proxy dell'applicazione che instrada il traffico alle app tramite i connettori, come illustrato di seguito.

Connessioni di rete del proxy dell'applicazione Microsoft Entra

Il programma di installazione e la registrazione tra un connettore e il servizio proxy dell'applicazione vengono eseguiti come segue:

  1. L'amministratore IT apre le porte 80 e 443 al traffico in uscita e consente l'accesso a diversi URL necessari per il connettore, il servizio proxy dell'applicazione e l'ID Microsoft Entra.
  2. L'amministratore accede all'interfaccia di amministrazione di Microsoft Entra ed esegue un eseguibile per installare il connettore in un server Windows locale.
  3. Il connettore inizia a "ascoltare" il servizio proxy dell'applicazione.
  4. L'amministratore aggiunge l'applicazione locale a Microsoft Entra ID e configura impostazioni come gli URL che gli utenti devono connettersi alle app.

Per altre informazioni, vedere Pianificare una distribuzione del proxy dell'applicazione Microsoft Entra.

È consigliabile distribuire in ogni caso più connettori per garantire ridondanza e scalabilità. Insieme al servizio, i connettori si occupano di tutte le attività che richiedono disponibilità elevata e possono essere aggiunti o rimossi in modo dinamico. Ogni volta che arriva una nuova richiesta, questa viene indirizzata a uno dei connettori disponibili. Quando un connettore è in esecuzione, rimane attivo quando si connette al servizio. Se un connettore è temporaneamente non disponibile, non risponde a questo traffico. I connettori inutilizzati vengono contrassegnati come inattivi e rimossi dopo 10 giorni di inattività.

Viene inoltre eseguito automaticamente il polling del server per verificare se per i connettori è disponibile una versione più recente. Sebbene sia possibile eseguire un aggiornamento manuale, i connettori verranno aggiornati automaticamente, purché il servizio Updater del connettore di rete privato sia in esecuzione. In caso di tenant con più connettori, gli aggiornamenti automatici vengono applicati a un connettore per volta in ogni gruppo, al fine di evitare tempo di inattività nell'ambiente in uso.

Nota

È possibile monitorare la pagina della cronologia delle versioni del proxy dell'applicazione per ricevere una notifica quando gli aggiornamenti sono stati rilasciati sottoscrivendo il relativo feed RSS.

Ogni connettore di rete privata viene assegnato a un gruppo di connettori. I connettori appartenenti allo stesso gruppo agiscono come singola unità per la disponibilità elevata e il bilanciamento del carico. È possibile creare nuovi gruppi, assegnarvi connettori nell'interfaccia di amministrazione di Microsoft Entra, quindi assegnare connettori specifici per gestire applicazioni specifiche. È consigliabile avere almeno due connettori in ogni gruppo per garantire disponibilità elevata.

I gruppi di connettori sono utili quando è necessario supportare gli scenari seguenti:

  • Pubblicazione di app geografiche
  • Segmentazione/isolamento di applicazioni
  • Pubblicazione di app Web in esecuzione nel cloud o in locale

Per altre informazioni sulla scelta della posizione in cui installare i connettori e ottimizzare la rete, vedere Considerazioni sulla topologia di rete quando si usa il proxy dell'applicazione Microsoft Entra.

Altri casi d'uso

Fino a questo punto, ci siamo concentrati sull'uso del proxy dell'applicazione per pubblicare le app locali esternamente, abilitando l'accesso Single Sign-On a tutte le app cloud e locali. Esistono tuttavia altri casi d'uso per il proxy dell'applicazione che vale la pena menzionare. che includono:

  • Pubblicazione sicura di API REST. Quando si dispone di logica di business o API in esecuzione in locale o ospitate in macchine virtuali nel cloud, il proxy dell'applicazione fornisce un endpoint pubblico per l'accesso alle API. L'accesso alle API tramite l'endpoint consente di controllare l'autenticazione e l'autorizzazione senza richiedere porte in ingresso. Offre sicurezza aggiuntiva tramite le funzionalità P1 o P2 di Microsoft Entra ID, ad esempio l'autenticazione a più fattori e l'accesso condizionale basato su dispositivo per desktop, iOS, MAC e Dispositivi Android tramite Intune. Per altre informazioni, vedere How to enable native client applications to interact with proxy applications and Protect an API by using OAuth 2.0 with Microsoft Entra ID and Gestione API (Come abilitare le applicazioni client native per interagire con le applicazioni proxy e Proteggere un'API usando OAuth 2.0 con Microsoft Entra ID e Gestione API).
  • Servizi Desktopremoto. Le distribuzioni standard di Servizi Desktop remoto richiedono connessioni in ingresso aperte, Tuttavia, la distribuzione di Servizi Desktop remoto con il proxy dell'applicazione ha una connessione in uscita permanente dal server che esegue il servizio connettore. In questo modo, è possibile offrire più applicazioni agli utenti pubblicando applicazioni locali tramite Servizi Desktop remoto. È inoltre possibile ridurre la superficie di attacco della distribuzione con un set limitato di controlli di verifica in due passaggi e di Accesso Condizionale per Servizi Desktop remoto.
  • Pubblicazione di applicazioni che si connettono tramite WebSocket. Il supporto con Qlik Sense è in anteprima pubblica e verrà esteso ad altre app in futuro.
  • Abilitazione di applicazioni client native per l'interazione con le applicazioni proxy. È possibile usare il proxy dell'applicazione Microsoft Entra per pubblicare app Web, ma può essere usato anche per pubblicare applicazioni client native configurate con Microsoft Authentication Library (MSAL). Le applicazioni client native si differenziano dalle app Web perché vengono installate in un dispositivo, mentre le app Web sono accessibili tramite un browser.

Conclusione

Il modo di lavorare e gli strumenti di lavoro sono in rapida evoluzione. Poiché sempre più dipendenti portano i propri dispositivi al lavoro e fanno ampio uso di applicazioni SaaS (Software as a Service), anche il modo in cui le organizzazioni gestiscono e proteggono i propri dati deve evolversi. Le aziende non operano più esclusivamente all'interno delle proprie mura, protette da una barriera di sicurezza. I dati sono sempre più in movimento e questo fenomeno ha assunto proporzioni senza precedenti, attraverso ambienti locali e cloud. Questa evoluzione ha consentito di incrementare la produttività degli utenti e le opportunità di collaborazione, ma ha reso più impegnativa l'attività di protezione dei dati sensibili.

Se si usa attualmente Microsoft Entra ID per gestire gli utenti in uno scenario di coesistenza ibrida o si è interessati a iniziare il percorso verso il cloud, l'implementazione di Microsoft Entra application proxy può contribuire a ridurre le dimensioni del footprint locale fornendo l'accesso remoto come servizio.

Le organizzazioni dovrebbero iniziare a sfruttare subito i vantaggi offerti dal proxy dell'applicazione per sfruttare i vantaggi seguenti:

  • Pubblicazione di app locali all'esterno, senza i costi associati alla gestione di una VPN tradizionale, o di altre soluzioni per la pubblicazione Web in locale, e all'approccio basato su rete perimetrale
  • Single Sign-On a tutte le applicazioni, ad esempio Microsoft 365 o altre app SaaS e incluse le applicazioni locali
  • Sicurezza su scala cloud in cui Microsoft Entra sfrutta i dati di telemetria di Microsoft 365 per impedire l'accesso non autorizzato
  • Integrazione di Intune per garantire l'autenticazione del traffico aziendale
  • Gestione centralizzata degli account utente
  • Aggiornamenti automatici per accertarsi di avere le patch di sicurezza più recenti
  • Nuove funzionalità appena rilasciate, tra cui le più recenti per il supporto di Single Sign-On SAML e la gestione più granulare dei cookie delle applicazioni

Passaggi successivi