Een implementatie van een Microsoft Entra-toepassingsproxy plannen
Microsoft Entra-toepassingsproxy is een veilige en rendabele externe toegangsoplossing voor on-premises toepassingen. Het biedt een direct overgangstraject voor 'Cloud First'-organisaties voor het beheren van de toegang tot verouderde on-premises toepassingen die nog geen moderne protocollen kunnen gebruiken. Zie Wat is toepassingsproxy voor aanvullende inleidende informatie.
Toepassingsproxy wordt aanbevolen om externe gebruikers toegang te geven tot interne resources. De toepassingsproxy vervangt de noodzaak van een VPN of omgekeerde proxy voor deze use cases voor externe toegang. Toepassingsproxy's zijn niet bedoeld voor gebruikers die zich in het bedrijfsnetwerk bevinden. Deze gebruikers die toepassingsproxy gebruiken voor intranettoegang kunnen ongewenste prestatieproblemen ondervinden.
Dit artikel bevat de resources die u nodig hebt om microsoft Entra-toepassingsproxy te plannen, te gebruiken en te beheren.
Uw implementatie plannen
De volgende sectie biedt een breed overzicht van de belangrijkste planningselementen voor een efficiënte implementatie-ervaring.
Vereisten
U moet voldoen aan de volgende vereisten voordat u begint met de implementatie. In deze zelfstudie vindt u meer informatie over het instellen van uw omgeving, inclusief deze vereisten.
Connectors: connectors zijn lichtgewicht agents die u kunt implementeren op:
- Fysieke on-premises hardware
- Een VM die in een hypervisoroplossing wordt gehost
- Een VM die wordt gehost in Azure om uitgaande verbinding met de toepassingsproxyservice in te schakelen.
Zie Microsoft Entra private network connectors voor een gedetailleerder overzicht.
Connectormachines moeten zijn ingeschakeld voor TLS 1.2 voordat u de connectors installeert.
Implementeer, indien mogelijk, connectors in hetzelfde netwerk en segment als de back-endwebtoepassingsservers. Het is raadzaam om connectors te implementeren nadat u een detectie van toepassingen hebt voltooid.
Het wordt aanbevolen dat elke connectorgroep ten minste twee connectors heeft om hoge beschikbaarheid en schaal te bieden. De aanwezigheid van drie connectors is optimaal voor het geval u op een bepaald moment onderhoud aan de machine moet plegen. Bekijk de capaciteitstabel van de connector om te bepalen op welk type machine connectors moeten worden geïnstalleerd. Hoe groter de machine, hoe groter de buffer en beter presterend de connector zal zijn.
Instellingen voor netwerktoegang: Privénetwerkconnectors van Microsoft Entra maken via HTTPS (TCP-poort 443) en HTTP (TCP-poort 80) verbinding met Azure.
TLS-verkeer beëindigen van connector wordt niet ondersteund en voorkomt dat connectors een beveiligd kanaal tot stand brengen met hun respectieve Eindpunten van de Microsoft Entra-toepassingsproxy.
Vermijd alle vormen van inline-inspectie bij uitgaande TLS-communicatie tussen connectors en Azure. Interne inspectie tussen een connector en back-endtoepassingen is mogelijk, maar kan de gebruikerservaring negatief beïnvloeden en wordt daarom niet aanbevolen.
Taakverdeling van de connectors zelf wordt ook niet ondersteund, of is zelfs niet noodzakelijk.
Belangrijke overwegingen voordat u microsoft Entra-toepassingsproxy configureert
Aan de volgende kernvereisten moet worden voldaan om de Microsoft Entra-toepassingsproxy te configureren en te implementeren.
Azure-onboarding: voordat u toepassingsproxy implementeert, moeten gebruikersidentiteiten worden gesynchroniseerd vanuit een on-premises directory of rechtstreeks in uw Microsoft Entra-tenants worden gemaakt. Met identiteitssynchronisatie kan Microsoft Entra ID gebruikers vooraf verifiëren voordat ze toegang krijgen tot gepubliceerde toepassingen van de toepassingsproxy en beschikken over de benodigde gebruikers-id-gegevens om eenmalige aanmelding (SSO) uit te voeren.
Vereisten voor voorwaardelijke toegang: Het wordt afgeraden om toepassingsproxy te gebruiken voor intranettoegang, omdat hierdoor latentie wordt toegevoegd die van invloed is op gebruikers. Het is raadzaam om toepassingsproxy te gebruiken met beleid voor verificatie vooraf en voorwaardelijke toegang voor externe toegang vanaf internet. Een benadering voor het bieden van voorwaardelijke toegang voor intranetgebruik is het moderniseren van toepassingen, zodat ze zich rechtstreeks kunnen verifiëren met Microsoft Entra-id. Raadpleeg bronnen voor het migreren van toepassingen naar Microsoft Entra ID voor meer informatie.
Servicelimieten: ter bescherming tegen overmatig gebruik van bronnen door afzonderlijke tenants, zijn er beperkingen ingesteld per toepassing en tenant. Als u deze limieten wilt zien, raadpleegt u servicelimieten en -beperkingen van Microsoft Entra. Deze beperkingslimieten zijn gebaseerd op een benchmark die veel hoger is dan het typische gebruiksvolume en een ruime buffer bieden voor een meerderheid van de implementaties.
Openbaar certificaat: als u aangepaste domeinnamen gebruikt, moet u een TLS/SSL-certificaat aanschaffen. Afhankelijk van de vereisten van uw organisatie kan het ophalen van een certificaat enige tijd duren en wordt u aangeraden deze procedure zo vroeg mogelijk te starten. Azure-toepassingsproxy ondersteunt standaardcertificaten, jokertekens of op SAN gebaseerde certificaten. Zie Aangepaste domeinen configureren met Microsoft Entra-toepassingsproxy voor meer informatie.
Domeinvereisten: eenmalige aanmelding bij uw gepubliceerde toepassingen met behulp van Kerberos Constrained Delegation (KCD) vereist dat de server waarop de connector wordt uitgevoerd en de server waarop de app wordt uitgevoerd lid zijn van een domein en deel uitmaken van hetzelfde domein of vertrouwde domeinen. Zie KCD voor eenmalige aanmelding met toepassingsproxy voor gedetailleerde informatie over het onderwerp. De connectorservice wordt uitgevoerd in de context van het lokale systeem en mag niet worden geconfigureerd voor gebruik van een aangepaste identiteit.
DNS-records voor URL's
Voordat u aangepaste domeinen in de toepassingsproxy gebruikt, moet u een CNAME-record maken in openbare DNS, zodat clients de aangepaste gedefinieerde externe URL kunnen omzetten in het vooraf gedefinieerde toepassingsproxyadres. Als u geen CNAME-record maakt voor een toepassing die gebruikmaakt van een aangepast domein, kunnen externe gebruikers geen verbinding maken met de toepassing. Stappen die nodig zijn om CNAME-records toe te voegen, kunnen variëren van DNS-provider tot provider, dus leer hoe u DNS-records en -recordsets beheert met behulp van het Microsoft Entra-beheercentrum.
Op dezelfde manier moeten connectorhosts de interne URL van toepassingen die worden gepubliceerd kunnen omzetten.
Beheerdersrechten en rollen
Voor de installatie van de connector zijn lokale beheerdersrechten vereist voor de Windows-server waarop deze wordt geïnstalleerd. Er is ook minimaal een toepassingsrol Beheer istrator vereist om het connectorexemplaren te verifiëren en te registreren bij uw Microsoft Entra-tenant.
Voor het publiceren en beheren van toepassingen is de rol van toepassingsbeheerder vereist. Toepassings-Beheer istrators kunnen alle toepassingen in de directory beheren, waaronder registraties, SSO-instellingen, gebruikers- en groepstoewijzingen en -licenties, toepassingsproxy-instellingen en toestemming. De mogelijkheid om voorwaardelijke toegang te beheren, valt hier niet onder. De rol cloudtoepassing Beheer istrator heeft alle mogelijkheden van de toepassings-Beheer istrator, behalve dat het beheer van de proxy-instellingen van de toepassing niet toestaat.
Licentieverlening: toepassingsproxy is beschikbaar via een Microsoft Entra ID P1- of P2-abonnement. Raadpleeg de pagina met prijzen van Microsoft Entra voor een volledige lijst met licentieopties en -functies.
Toepassingsdetectie
Compileer een inventaris van alle toepassingen binnen het bereik die worden gepubliceerd via de toepassingsproxy door de volgende informatie te verzamelen:
| Type informatie | Te verzamelen gegevens |
|---|---|
| Servicetype | Bijvoorbeeld: SharePoint, SAP, CRM, aangepaste webtoepassing, API |
| Toepassingsplatform | Bijvoorbeeld: Windows IIS, Apache op Linux, Tomcat, NGINX |
| Domeinlidmaatschap | Volledig gekwalificeerde domeinnaam (FQDN) van de webserver |
| Toepassingslocatie | Waar de webserver of farm zich in uw infrastructuur bevindt |
| Interne toegang | De exacte URL die wordt gebruikt als de toepassing intern wordt geopend. Welk type taakverdeling wordt gebruikt als een farm wordt gebruikt? Of de toepassing inhoud uit andere bronnen dan zichzelf ophaalt. Bepalen of de toepassing via WebSockets werkt. |
| Externe toegang | De leverancieroplossing die de toepassing mogelijk al extern beschikbaar maakt. De URL die u wilt gebruiken voor externe toegang. Als SharePoint is geconfigureerd, moet u ervoor zorgen dat alternatieve toegangstoewijzingen zijn geconfigureerd volgens deze richtlijnen. Als dit niet het geval is, moet u externe URL's definiëren. |
| Openbaar certificaat | Als u een aangepast domein gebruikt, moet u een certificaat met een bijbehorende onderwerpnaam aanschaffen. Als er een certificaat bestaat, noteert u het serienummer en de locatie waar het kan worden verkregen. |
| Authentication type | Het type verificatie dat wordt ondersteund door de toepassingsondersteuning, zoals Basic, Windows Integration Authentication, op basis van formulieren, op basis van headers en claims. Als de toepassing is geconfigureerd voor uitvoering onder een specifiek domeinaccount, noteert u de FQDN (Fully Qualified Domain Name) van het serviceaccount. Als op SAML is gebaseerd, worden de id en antwoord-URL's gebruikt. Bij verificatie op basis van headers de leverancieroplossing en de specifieke vereiste voor het afhandelen van het verificatietype. |
| Naam connectorgroep | De logische naam voor de groep connectors die als verbindingspunt en SSO wordt aangewezen voor deze back-endtoepassing. |
| Gebruikers-/groepstoegang | De gebruikers of gebruikersgroepen die externe toegang tot de toepassing krijgen. |
| Aanvullende vereisten | Let op eventuele aanvullende vereisten voor externe toegang of beveiliging waarmee rekening moet worden gehouden bij het publiceren van de toepassing. |
U kunt dit spreadsheet voor de inventaris van toepassingen downloaden om uw apps te inventariseren.
Organisatievereisten definiëren
Hieronder vindt u gebieden waarvoor u de bedrijfsvereisten van uw organisatie moet definiëren. Elk gebied bevat voorbeelden van vereisten
Toegang
Externe gebruikers met apparaten die lid zijn van een domein of aan Microsoft Entra gekoppelde apparaten hebben veilig toegang tot gepubliceerde toepassingen met naadloze eenmalige aanmelding (SSO).
Externe gebruikers met goedgekeurde persoonlijke apparaten hebben veilig toegang tot gepubliceerde toepassingen, mits ze zijn ingeschreven bij MFA en de Microsoft Authenticator-app op hun mobiele telefoon als verificatiemethode hebben geregistreerd.
Governance
- Beheer istrators kunnen de levenscyclus van gebruikerstoewijzingen definiëren en bewaken die zijn gepubliceerd via de toepassingsproxy.
Beveiliging
- Alleen gebruikers die via groepslidmaatschap of afzonderlijk zijn toegewezen aan toepassingen hebben toegang tot deze toepassingen.
Prestaties
- Er is geen verslechtering van de toepassingsprestaties in vergelijking met toegang tot de toepassing vanuit het interne netwerk.
Gebruikerservaring
- Gebruikers weten hoe ze toegang krijgen tot hun toepassingen met behulp van vertrouwde bedrijfs-URL's op elk apparaatplatform.
Controle
- Beheerders kunnen toegangsactiviteiten van gebruikers controleren.
Aanbevolen procedures voor een testfase
Bepaal de hoeveelheid tijd en moeite die nodig is om één toepassing volledig in gebruik te nemen voor externe toegang met eenmalige aanmelding (SSO). Doe dit door een testfase uit te voeren die rekening moet houden met de initiële detectie, publicatie en algemene tests. Het gebruik van een eenvoudige op IIS gebaseerde webtoepassing die al vooraf is geconfigureerd voor geïntegreerde Windows-verificatie (IWA) helpt bij het opzetten van een basislijn, omdat voor deze installatie minimale inspanning is vereist om externe toegang en eenmalige aanmelding te testen.
De volgende ontwerpelementen moeten het succes van de implementatie van uw testfase rechtstreeks in een productietenant verhogen.
Connectorbeheer:
- Connectors spelen een belangrijke rol bij het leveren van het on-premises verbindingspunt aan uw toepassingen. Het gebruik van de standaardconnectorgroep is voldoende voor de eerste testfase van gepubliceerde toepassingen voordat ze in productie worden genomen. Met succes geteste toepassingen kunnen vervolgens naar productieconnectorgroepen worden verplaatst.
Toepassingsbeheer:
Uw werknemers onthouden waarschijnlijk een externe URL die bekend en relevant is. Vermijd het publiceren van uw toepassing met behulp van ons vooraf gedefinieerde msappproxy.net- of onmicrosoft.com-achtervoegsel. Geef in plaats daarvan een vertrouwd geverifieerd domein op het hoogste niveau op, voorafgegaan door een logische hostnaam, zoals intranet.<customers_domain>.com.
Beperk de zichtbaarheid van het pictogram van de testtoepassing tot een testgroep door het startpictogram te verbergen in de Azure MyApps-portal. Wanneer u klaar bent voor productie, kunt u de app richten op de betreffende doelgroep, hetzij in dezelfde pre-productietenant, of door de toepassing ook in uw productietenant te publiceren.
Instellingen voor eenmalige aanmelding: sommige instellingen voor eenmalige aanmelding hebben specifieke afhankelijkheden die tijd kunnen kosten om in te stellen. Vermijd vertragingen bij wijzigingsbeheer door ervoor te zorgen dat afhankelijkheden van tevoren worden afgehandeld. Dit omvat het toevoegen van connectorhosts voor domeindeelname om eenmalige aanmelding uit te voeren met behulp van Kerberos Constrained Delegation (KCD) en het afhandelen van andere tijdrovende activiteiten.
TLS tussen connectorhost en doeltoepassing: beveiliging is van cruciaal belang, dus TLS tussen de connectorhost en doeltoepassingen moet altijd worden gebruikt. Met name als de webtoepassing is geconfigureerd voor verificatie op basis van formulieren (FBA), omdat gebruikersreferenties dan effectief worden verzonden in duidelijke tekst.
Implementeer incrementeel en test elke stap. Voer eenvoudige functionele tests uit na het publiceren van een toepassing om ervoor te zorgen dat aan alle vereisten van gebruikers en bedrijven wordt voldaan door de onderstaande aanwijzingen te volgen:
- Test en valideer algemene toegang tot de webtoepassing met verificatie vooraf uitgeschakeld.
- Als dit lukt, schakelt u verificatie vooraf in en wijst u gebruikers en groepen toe. Test en valideer toegang.
- Voeg vervolgens de SSO-methode voor uw toepassing toe en test opnieuw om de toegang te valideren.
- Pas indien nodig beleid voor voorwaardelijke toegang en MFA toe. Test en valideer toegang.
Hulpprogramma's voor probleemoplossing: bij het oplossen van problemen begint u altijd met het valideren van de toegang tot de gepubliceerde toepassing via de browser op de connectorhost en controleert u of de toepassing werkt zoals verwacht. Hoe eenvoudiger uw installatie, hoe eenvoudiger de hoofdoorzaak te bepalen is. Overweeg dus om problemen met een minimale configuratie te reproduceren, zoals het gebruik van slechts één connector en zonder eenmalige aanmelding. In sommige gevallen kunnen hulpprogramma's voor webfoutopsporing, zoals Fiddler van Telerik, onmisbaar zijn voor het oplossen van problemen met toegang of inhoud in toepassingen die toegankelijk zijn via een proxy. Fiddler kan ook als proxy fungeren om fouten op te sporen en op te lossen in verkeer voor mobiele platforms zoals iOS en Android, en vrijwel alles wat kan worden geconfigureerd om via een proxy te routeren. Raadpleeg de handleiding voor het oplossen van problemen voor meer informatie.
Uw oplossing implementeren
Toepassingsproxy implementeren
De stappen voor het implementeren van uw toepassingsproxy worden beschreven in deze zelfstudie voor het toevoegen van een on-premises toepassing voor externe toegang. Als de installatie niet lukt, selecteert u Toepassingsproxy oplossen in de portal of gebruikt u de handleiding voor probleemoplossing voor problemen met het installeren van de agent voor de toepassingsproxy Verbinding maken or.
Toepassingen publiceren via toepassingsproxy
Bij het publiceren van toepassingen wordt ervan uitgegaan dat u aan alle vereisten hebt voldaan en dat u meerdere connectors hebt die worden weergegeven als geregistreerd en actief zijn op de pagina van de toepassingsproxy.
U kunt ook toepassingen publiceren met PowerShell.
Hieronder volgen enkele aanbevolen procedures voor het publiceren van een toepassing:
Connectorgroepen gebruiken: wijs een connectorgroep toe die is aangewezen voor het publiceren van elke respectieve toepassing. Het wordt aanbevolen dat elke connectorgroep ten minste twee connectors heeft om hoge beschikbaarheid en schaal te bieden. De aanwezigheid van drie connectors is optimaal voor het geval u op een bepaald moment onderhoud aan de machine moet plegen. Zie Meer informatie over connectorgroepen voor privénetwerken van Microsoft Entra om te zien hoe u ook connectorgroepen kunt gebruiken om uw connectors te segmenteren op netwerk of locatie.
Time-out van back-endtoepassing instellen: deze instelling is handig in scenario's waarin de toepassing meer dan 75 seconden nodig heeft om een clienttransactie te verwerken. Bijvoorbeeld wanneer een client een query naar een webtoepassing verzendt die als front-end voor een database fungeert. De front-end verzendt deze query naar de back-enddatabaseserver en wacht op een antwoord, maar op het moment dat deze een antwoord ontvangt, treedt er een time-out op voor de clientzijde van het gesprek. Het instellen van de time-out op 'Lang' biedt 180 seconden voor het voltooien van langere transacties.
Geschikte cookietypen gebruiken
HTTP-only cookie: biedt extra beveiliging door toepassingsproxy toe te voegen aan de HTTPOnly-vlag in http-antwoordheaders voor set-cookie. Met deze instelling kunt u aanvallen zoals cross-site scripting (XSS) beperken. Laat deze optie ingesteld op Nee voor clients/gebruikersagents waarvoor wel toegang tot de sessiecookie vereist is. Bijvoorbeeld RDP/MTSC-client die verbinding maakt met een Extern bureaublad-gateway die is gepubliceerd via de toepassingsproxy.
Beveiligde cookie: wanneer een cookie is ingesteld met het kenmerk Beveiligd, bevat de gebruikersagent (app aan clientzijde) alleen de cookie in HTTP-aanvragen als de aanvraag via een beveiligd TLS-kanaal wordt verzonden. Dit helpt het risico te beperken dat een cookie wordt aangetast via een protocol dat platte tekst gebruikt, en moet dus worden ingeschakeld.
Permanente cookie: hiermee staat u toe dat de cookie van de toepassingsproxysessie tussen browsersluitingen blijft bestaan door geldig te blijven totdat deze verloopt of wordt verwijderd. Wordt gebruikt voor scenario's waarbij een uitgebreide toepassing, zoals Office, toegang heeft tot een document in een gepubliceerde webtoepassing, zonder dat de gebruiker opnieuw om verificatie wordt gevraagd. Wees echter voorzichtig, omdat met permanente cookies een service, indien niet gebruikt in combinatie met andere compenserende controles, uiteindelijk het risico loopt op onbevoegde toegang. Deze instelling mag alleen worden gebruikt voor toepassingen die cookies niet kunnen delen tussen processen. Het is beter om uw toepassing bij te werken zodat cookies worden gedeeld tussen processen in plaats van deze instelling te gebruiken.
URL's in headers vertalen: u schakelt dit in voor scenario's waarin interne DNS niet kan worden geconfigureerd voor overeenstemming met de openbare naamruimte van de organisatie (ook wel gesplitste DNS genoemd). Laat deze waarde ingesteld op Ja, tenzij voor uw toepassing de oorspronkelijke hostheader in de clientaanvraag vereist is. Het alternatief is om de connector de FQDN in de interne URL voor het routeren van het werkelijke verkeer en de FQDN in de externe URL als de host-header te laten gebruiken. In de meeste gevallen moet dit alternatief ervoor zorgen dat de toepassing normaal functioneert, wanneer deze extern wordt geopend, maar uw gebruikers verliezen de voordelen van het hebben van een overeenkomende binnen- en buiten-URL.
URL's vertalen in de hoofdtekst van de toepassing: schakel de vertaling van de koppeling naar de hoofdtekst van de toepassing in voor een app wanneer u wilt dat de koppelingen van die app worden vertaald in antwoorden aan de client. Indien ingeschakeld, biedt deze functie een best effort poging om alle interne koppelingen te vertalen die de toepassingsproxy vindt in HTML- en CSS-antwoorden die worden geretourneerd naar clients. Het is handig bij het publiceren van apps die in code vastgelegde absolute of NetBIOS-kortenaamkoppelingen in de inhoud bevatten, of apps met inhoud die is gekoppeld aan andere on-premises toepassingen.
Voor scenario's waarin een gepubliceerde app koppelingen naar andere gepubliceerde apps bevat, schakelt u de vertaling van koppelingen in voor elke toepassing, zodat u controle hebt over de gebruikerservaring op toepassingsniveau.
Stel dat u drie toepassingen hebt gepubliceerd via de toepassingsproxy die allemaal aan elkaar zijn gekoppeld: Voordelen, Onkosten en Reizen, plus een vierde app, Feedback die niet wordt gepubliceerd via de toepassingsproxy.
Wanneer u vertaling van koppelingen inschakelt voor de toepassing Vergoedingen, worden de koppelingen naar Onkosten en Reizen omgeleid naar de externe URL's voor deze toepassing, zodat gebruikers die toegang hebben tot de toepassingen van buiten het bedrijfsnetwerk, toegang hebben tot deze toepassingen. Koppelingen van Onkosten en Reizen terug naar Vergoedingen werken niet omdat de vertaling van koppelingen niet is ingeschakeld voor deze twee toepassingen. De koppeling naar Feedback wordt niet omgeleid omdat er geen externe URL is, zodat gebruikers die de toepassing Vergoedingen gebruiken van buiten het bedrijfsnetwerk geen toegang hebben tot de toepassing Feedback. Zie gedetailleerde informatie over de vertaling van koppelingen en andere omleidingsopties.
Toegang tot uw toepassing
Er zijn verschillende opties voor het beheren van de toegang tot gepubliceerde resources van de toepassingsproxy, dus kies de meest geschikte optie voor uw opgegeven scenario en schaalbaarheidsbehoeften. Veelvoorkomende benaderingen zijn: het gebruik van on-premises groepen die worden gesynchroniseerd via Microsoft Entra Verbinding maken, het maken van dynamische groepen in Microsoft Entra-id op basis van gebruikerskenmerken, het gebruik van selfservicegroepen die worden beheerd door een resource-eigenaar of een combinatie hiervan. Bekijk de in een koppeling vermelde bronnen voor de voordelen van elk hiervan.
De eenvoudigste manier om gebruikers toegang tot een toepassing toe te wijzen, is door naar de opties Gebruikers en groepen in het linkerdeelvenster van uw gepubliceerde toepassing te gaan en rechtstreeks groepen of personen toe te wijzen.
U kunt gebruikers ook selfservicetoegang tot uw toepassing toestaan door een groep toe te wijzen waarvan ze momenteel geen lid zijn en de selfserviceopties te configureren.
Als deze optie is ingeschakeld, kunnen gebruikers zich aanmelden bij de MyApps-portal en toegang aanvragen. Ze kunnen hierna automatisch worden goedgekeurd en toegevoegd aan de al toegestane selfservicegroep of goedkeuring nodig hebben van een aangewezen fiatteur.
Gastgebruikers kunnen ook worden uitgenodigd voor toegang tot interne toepassingen die zijn gepubliceerd via toepassingsproxy via Microsoft Entra B2B.
Voor on-premises toepassingen die normaal anoniem toegankelijk zijn en waarvoor geen verificatie vereist is, kunt u de optie in de eigenschappen van de toepassing uitschakelen.
Als u deze optie instelt op Nee, kunnen gebruikers zonder machtigingen toegang krijgen tot de on-premises toepassing via Microsoft Entra-toepassingsproxy, dus wees voorzichtig.
Zodra uw toepassing is gepubliceerd, moet deze toegankelijk zijn door de externe URL in een browser te typen of via het bijbehorende pictogram op https://myapps.microsoft.com.
Verificatie vooraf inschakelen
Controleer of uw toepassing toegankelijk is via de toepassingsproxy die deze opent via de externe URL.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>alle toepassingen en kies de app die u wilt beheren.
Selecteer de toepassingsproxy.
Gebruik in het veld Verificatie vooraf de vervolgkeuzelijst om Microsoft Entra-id te selecteren en selecteer Opslaan.
Als verificatie vooraf is ingeschakeld, vraagt Microsoft Entra ID gebruikers eerst uit voor verificatie en als eenmalige aanmelding is geconfigureerd, controleert de back-endtoepassing ook de gebruiker voordat toegang tot de toepassing wordt verleend. Als u de modus vóór verificatie wijzigt van Passthrough in Microsoft Entra ID, wordt ook de externe URL geconfigureerd met HTTPS. Daarom wordt elke toepassing die in eerste instantie is geconfigureerd voor HTTP, beveiligd met HTTPS.
Eenmalige aanmelding inschakelen
Eenmalige aanmelding biedt de best mogelijke gebruikerservaring en beveiliging, omdat gebruikers zich slechts één keer hoeven aan te melden bij toegang tot Microsoft Entra-id. Zodra een gebruiker vooraf is geverifieerd, wordt eenmalige aanmelding uitgevoerd door de privénetwerkconnector die wordt geverifieerd bij de on-premises toepassing, namens de gebruiker. De back-endtoepassing verwerkt de aanmelding alsof het de gebruiker zelf is.
Als u de optie Passthrough kiest, hebben gebruikers toegang tot de gepubliceerde toepassing zonder dat ze zich hoeven te verifiëren bij Microsoft Entra-id.
Het uitvoeren van eenmalige aanmelding is alleen mogelijk als Microsoft Entra-id de gebruiker kan identificeren die toegang tot een resource aanvraagt, zodat uw toepassing moet worden geconfigureerd om gebruikers vooraf te verifiëren met Microsoft Entra ID bij toegang tot SSO om te kunnen functioneren, anders worden de opties voor eenmalige aanmelding uitgeschakeld.
Lees eenmalige aanmelding voor toepassingen in Microsoft Entra ID om u te helpen bij het kiezen van de meest geschikte SSO-methode bij het configureren van uw toepassingen.
Werken met andere typen toepassingen
Microsoft Entra-toepassingsproxy kan ook toepassingen ondersteunen die zijn ontwikkeld voor het gebruik van de Microsoft Authentication Library (MSAL). Het biedt ondersteuning voor systeemeigen client-apps door door Microsoft Entra ID uitgegeven tokens te gebruiken die zijn ontvangen in de headergegevens van de clientaanvraag om namens de gebruikers vooraf verificatie uit te voeren.
Lees het publiceren van systeemeigen en mobiele client-apps en op claims gebaseerde toepassingen voor meer informatie over beschikbare configuraties van toepassingsproxy.
Voorwaardelijke toegang gebruiken om de beveiliging te versterken
Toepassingsbeveiliging vereist een geavanceerde set beveiligingsmogelijkheden die bescherming kunnen bieden tegen en reageren op complexe bedreigingen on-premises en in de cloud. Gebruik beleid voor voorwaardelijke toegang om de toegang tot uw toepassingen te beheren op basis van een aantal voorwaarden, zoals locatie, risico, apparaattype, apparaatnaleving en meer. Zie het artikel Sjablonen voor voorwaardelijke toegang voor voorbeelden van beleidsregels die u kunt implementeren.
De volgende mogelijkheden kunnen worden gebruikt om microsoft Entra-toepassingsproxy te ondersteunen:
Voorwaardelijke toegang op basis van gebruikers en locaties: houd gevoelige gegevens beveiligd door gebruikerstoegang te beperken op basis van geografische locatie of een IP-adres met beleid voor voorwaardelijke toegang op basis van locatie.
Voorwaardelijke toegang op basis van apparaten: zorg ervoor dat alleen ingeschreven, goedgekeurde en compatibele apparaten toegang hebben tot bedrijfsgegevens met voorwaardelijke toegang op basis van apparaten.
Voorwaardelijke toegang op basis van toepassingen: werk hoeft niet te stoppen wanneer een gebruiker zich niet in het bedrijfsnetwerk bevindt. Beveilig de toegang tot bedrijfscloud- en on-premises apps en behoud controle met voorwaardelijke toegang.
Voorwaardelijke toegang op basis van risico's: bescherm uw gegevens tegen kwaadwillende hackers met een beleid voor voorwaardelijke toegang op basis van risico's dat kan worden toegepast op alle apps en alle gebruikers, zowel on-premises als in de cloud.
Microsoft Entra Mijn apps: wanneer uw toepassingsproxyservice is geïmplementeerd en toepassingen veilig zijn gepubliceerd, bieden uw gebruikers een eenvoudige hub om al hun toepassingen te detecteren en te openen. Verhoog de productiviteit met selfservicemogelijkheden, zoals de mogelijkheid om toegang tot nieuwe apps en groepen aan te vragen of de toegang tot deze bronnen namens anderen te beheren, via Mijn apps.
Uw implementatie beheren
Vereiste rollen
Microsoft pleit voor het principe van het verlenen van de minst mogelijke bevoegdheden voor het uitvoeren van benodigde taken met Microsoft Entra-id. Bekijk de verschillende Azure-rollen die beschikbaar zijn en kies de juiste rol om aan de behoeften van elke persona te voldoen. Sommige rollen moeten mogelijk tijdelijk worden toegepast en worden verwijderd nadat de implementatie is voltooid.
| Bedrijfsrol | Bedrijfstaken | Microsoft Entra-rollen |
|---|---|---|
| Helpdeskbeheerder | Normaal gesproken beperkt tot in aanmerking komende door eindgebruikers gemelde problemen en het uitvoeren van beperkte taken, zoals het wijzigen van wachtwoorden van gebruikers, het ongeldig maken van vernieuwingstokens en het controleren van de servicestatus. | Helpdeskbeheerder |
| Identiteitsbeheerder | Lees aanmeldingsrapporten en auditlogboeken van Microsoft Entra om problemen met de toepassingsproxy op te sporen. | Beveiligingslezer |
| Toepassingseigenaar | Alle aspecten van bedrijfstoepassingen, toepassingsregistraties en toepassingsproxy-instellingen maken en beheren. | Toepassingsbeheerder |
| Infrastructuurbeheerder | Eigenaar van certificaatrollover | Toepassingsbeheerder |
Het beperken van het aantal mensen dat toegang heeft tot beveiligde gegevens of bronnen, verkleint de kans dat een kwaadwillende gebruiker toegang verkrijgt of dat een geautoriseerde gebruiker per ongeluk een gevoelige bron wijzigt.
Gebruikers moeten echter nog steeds dagelijkse bevoegde bewerkingen uitvoeren, dus het afdwingen van Just-In-Time-beleid (JIT) op basis van Privileged Identity Management om bevoorrechte toegang op aanvraag tot Azure-resources te bieden en Microsoft Entra ID is onze aanbevolen benadering voor het effectief beheren van beheertoegang en controle.
Rapportage en bewaking
Microsoft Entra ID biedt aanvullende inzichten in het gebruik en de operationele status van uw organisatie via auditlogboeken en -rapporten. Toepassingsproxy maakt het ook heel eenvoudig om connectors te bewaken vanuit het Microsoft Entra-beheercentrum en Windows-gebeurtenislogboeken.
Auditlogboeken van toepassingen
Deze logboeken bieden gedetailleerde informatie over aanmeldingen bij toepassingen die zijn geconfigureerd met toepassingsproxy en het apparaat en de gebruiker die toegang heeft tot de toepassing. Auditlogboeken bevinden zich in het Microsoft Entra-beheercentrum en in de Audit-API voor export. Daarnaast zijn gebruiks- en inzichtenrapporten ook beschikbaar voor uw toepassing.
bewaking van privénetwerkconnector
De connectors en de service neemt alle taken met hoge beschikbaarheid op zich. U kunt de status van uw connectors controleren vanaf de pagina toepassingsproxy in het Microsoft Entra-beheercentrum. Zie Microsoft Entra private network connectors voor meer informatie over connectoronderhoud.
Windows-gebeurtenislogboeken en prestatiemeteritems
Connectors hebben zowel beheer- als sessielogboeken. De beheerlogboeken bevatten belangrijke gebeurtenissen en hun fouten. De sessielogboeken bevatten alle transacties en hun verwerkingsdetails. Logboeken en tellers bevinden zich in Windows-gebeurtenislogboeken voor meer informatie. Zie Meer informatie over microsoft Entra private network-connectors. Volg deze zelfstudie om gegevensbronnen voor gebeurtenislogboeken te configureren in Azure Monitor.
Handleiding en stappen voor het oplossen van problemen
Meer informatie over veelvoorkomende problemen en hoe u deze kunt oplossen met onze handleiding voor het oplossen van foutberichten.
In de volgende artikelen worden algemene scenario's beschreven die ook kunnen worden gebruikt voor het maken van handleidingen voor probleemoplossing voor uw ondersteuningsorganisatie.
- Koppelingen op de toepassingspagina werken niet
- Welke poorten moet ik openen voor mijn app?
- Eenmalige aanmelding voor mijn app configureren
- Kerberos-beperkte overdracht configureren
- Configureren met PingAccess
- De fout 'Kan deze zakelijke toepassing niet openen'
- Probleem bij het installeren van de toepassingsproxyagent Verbinding maken or
- Aanmeldingsprobleem