Używanie serwera proxy aplikacji usługi Microsoft Entra do publikowania aplikacji lokalnych dla użytkowników zdalnych

Serwer proxy aplikacji Entra firmy Microsoft zapewnia bezpieczny dostęp zdalny do lokalnych aplikacji internetowych. Po zalogowaniu jednokrotnym do usługi Microsoft Entra ID użytkownicy mogą uzyskiwać dostęp zarówno do aplikacji w chmurze, jak i lokalnych za pośrednictwem zewnętrznego adresu URL lub wewnętrznego portalu aplikacji. Na przykład serwer proxy aplikacji może zapewnić dostęp zdalny i logowanie jednokrotne do aplikacji pulpitu zdalnego, programu SharePoint, aplikacji Teams, Tableau, Qlik i aplikacji biznesowych (LOB).

Serwer proxy aplikacji Entra firmy Microsoft to:

• Proste w użyciu. Użytkownicy mogą uzyskiwać dostęp do aplikacji lokalnych w taki sam sposób, jak w przypadku uzyskiwania dostępu do platformy Microsoft 365 i innych aplikacji SaaS zintegrowanych z identyfikatorem Entra firmy Microsoft. Nie musisz zmieniać ani aktualizować aplikacji, aby działały z serwerem proxy aplikacji.

• Bezpieczeństwo. Aplikacje lokalne mogą używać mechanizmów kontroli autoryzacji i analizy zabezpieczeń platformy Azure. Na przykład aplikacje lokalne mogą używać dostępu warunkowego i weryfikacji dwuetapowej. Serwer proxy aplikacji nie wymaga otwierania połączeń przychodzących przez zaporę.

• Ekonomiczne. Rozwiązania lokalne zwykle wymagają skonfigurowania i obsługi stref zdemilitaryzowanych (DMZ), serwerów brzegowych lub innych złożonych infrastruktur. Serwer proxy aplikacji działa w chmurze, co ułatwia korzystanie z niej. Aby korzystać z serwera proxy aplikacji, nie trzeba zmieniać infrastruktury sieciowej ani instalować większej liczby urządzeń w środowisku lokalnym.

Napiwek

Jeśli masz już identyfikator Entra firmy Microsoft, możesz wykorzystać go jako jedną płaszczyznę sterowania, aby umożliwić bezproblemowy i bezpieczny dostęp do aplikacji lokalnych.

Chociaż nie jest kompleksowa, poniższa lista ilustruje przykłady używania serwera proxy aplikacji w scenariuszu współistnienia hybrydowego:

• Zewnętrzne publikowanie lokalnych aplikacji internetowych w uproszczony sposób bez strefy DMZ
• Obsługa logowania jednokrotnego (SSO) między urządzeniami, zasobami i aplikacjami w chmurze i lokalnie
• Obsługa uwierzytelniania wieloskładnikowego dla aplikacji w chmurze i lokalnie
• Szybkie korzystanie z funkcji w chmurze dzięki bezpieczeństwu chmury firmy Microsoft
• Scentralizowane zarządzanie kontami użytkowników
• Scentralizowana kontrola tożsamości i zabezpieczeń
• Automatyczne dodawanie lub usuwanie dostępu użytkowników do aplikacji na podstawie członkostwa w grupie

W tym artykule wyjaśniono, jak usługa Microsoft Entra ID i serwer proxy aplikacji zapewniają użytkownikom zdalnym środowisko logowania jednokrotnego. Użytkownicy łączą się bezpiecznie z aplikacjami lokalnymi, nie używając sieci VPN ani serwerów z podwójnymi lokalizacjami lub reguł zapory. Ten artykuł pomaga zrozumieć, w jaki sposób serwer proxy aplikacji zapewnia możliwości chmury oraz korzyści jakie ona oferuje w zakresie zabezpieczeń, w lokalnych aplikacjach sieci Web. Opisano w nim również możliwe architektury i topologie.

Napiwek

Serwer proxy aplikacji obejmuje zarówno usługę serwera proxy aplikacji, która działa w chmurze, jak i łącznik sieci prywatnej, który działa na serwerze lokalnym. Microsoft Entra ID, usługa serwera proxy aplikacji i łącznik sieci prywatnej współpracują ze sobą, aby bezpiecznie przekazać token logowania użytkownika z identyfikatora Entra firmy Microsoft do aplikacji internetowej.

Serwer proxy aplikacji działa z:

• Aplikacje internetowe korzystające ze zintegrowanego uwierzytelniania systemu Windows do uwierzytelniania
• Aplikacje internetowe korzystające z dostępu opartego na formularzach lub opartego na nagłówkach
• Internetowe interfejsy API, które mają być widoczne dla zaawansowanych aplikacji na różnych urządzeniach
• Aplikacje hostowane za bramą usług pulpitu zdalnego
• Rozbudowane aplikacje klienckie zintegrowane z biblioteką Microsoft Authentication Library (MSAL)

Serwer proxy aplikacji obsługuje logowanie jednokrotne. Aby uzyskać więcej informacji na temat obsługiwanych metod, zobacz Wybieranie metody logowania jednokrotnego.

Dostęp zdalny w przeszłości

Wcześniej płaszczyzna sterowania do ochrony zasobów wewnętrznych przed osobami atakującymi, ułatwiając dostęp użytkownikom zdalnym, znajdowała się w strefie DMZ lub sieci obwodowej. Jednak rozwiązania sieci VPN i zwrotnego serwera proxy wdrożone w strefie DMZ używanej przez klientów zewnętrznych do uzyskiwania dostępu do zasobów firmy nie są odpowiednie dla świata chmury. Zwykle cierpią one na następujące wady:

• Koszty sprzętu
• Utrzymywanie zabezpieczeń (stosowanie poprawek, monitorowanie portów itp.)
• Uwierzytelnianie użytkowników na urządzeniach brzegowych
• Uwierzytelnianie użytkowników na serwerach internetowych w sieci obwodowej
• Utrzymywanie dostępu do sieci VPN dla użytkowników zdalnych przy użyciu dystrybucji i konfiguracji oprogramowania klienckiego sieci VPN. Ponadto utrzymywanie serwerów przyłączonych do domeny w strefie DMZ, które mogą być narażone na ataki zewnętrzne.

W dzisiejszym świecie firmy Microsoft Entra ID najlepiej nadaje się do kontrolowania tego, kto i co dostaje się do sieci. Serwer proxy aplikacji Firmy Microsoft Entra integruje się z nowoczesnymi technologiami uwierzytelniania i opartymi na chmurze, takimi jak aplikacje SaaS i dostawcy tożsamości. Ta integracja umożliwia użytkownikom dostęp do aplikacji z dowolnego miejsca. Nie tylko serwer proxy aplikacji jest bardziej odpowiedni dla dzisiejszego cyfrowego miejsca pracy, jest bezpieczniejszy niż rozwiązania vpn i zwrotny serwer proxy i łatwiejsze do zaimplementowania. Użytkownicy zdalni mogą uzyskiwać dostęp do aplikacji lokalnych w taki sam sposób, w jaki uzyskują dostęp do firmy Microsoft i innych aplikacji SaaS zintegrowanych z identyfikatorem Entra firmy Microsoft. Nie musisz zmieniać ani aktualizować aplikacji, aby działały z serwerem proxy aplikacji. Ponadto serwer proxy aplikacji nie wymaga otwierania połączeń przychodzących przez zaporę. Za pomocą serwera proxy aplikacji wystarczy ustawić go i zapomnieć.

Przyszłość dostępu zdalnego

W dzisiejszym cyfrowym miejscu pracy użytkownicy pracują w dowolnym miejscu z wieloma urządzeniami i aplikacjami. Jedyną stałą jest tożsamość użytkownika. Dlatego pierwszym krokiem do bezpiecznej sieci jest korzystanie z funkcji zarządzania tożsamościami firmy Microsoft jako płaszczyzny kontroli zabezpieczeń. Model, który używa tożsamości jako płaszczyzny sterowania, zwykle składa się z następujących składników:

• Dostawca tożsamości umożliwiający śledzenie użytkowników i informacji związanych z użytkownikiem.
• Katalog urządzeń do obsługi listy urządzeń, które mają dostęp do zasobów firmy. Ten katalog zawiera odpowiednie informacje o urządzeniu (na przykład typ urządzenia, integralność itp.).
• Usługa oceny zasad w celu określenia, czy użytkownik i urządzenie są zgodne z zasadami określonymi przez administratorów zabezpieczeń.
• Możliwość udzielenia lub odmowy dostępu do zasobów organizacji.

Dzięki serwerowi proxy aplikacji identyfikator Entra firmy Microsoft śledzi użytkowników, którzy muszą uzyskiwać dostęp do aplikacji internetowych publikowanych lokalnie i w chmurze. Zapewnia centralny punkt zarządzania dla tych aplikacji. Chociaż nie jest to wymagane, zaleca się również włączenie dostępu warunkowego firmy Microsoft Entra. Definiując warunki dotyczące sposobu uwierzytelniania i uzyskiwania dostępu przez użytkowników, należy dodatkowo upewnić się, że odpowiednie osoby uzyskują dostęp do aplikacji.

Uwaga

Ważne jest, aby zrozumieć, że serwer proxy aplikacji Firmy Microsoft Entra jest przeznaczony jako zamiennik sieci VPN lub zwrotnego serwera proxy dla użytkowników mobilnych (lub zdalnych), którzy potrzebują dostępu do zasobów wewnętrznych. Nie jest przeznaczona dla użytkowników wewnętrznych w sieci firmowej. Użytkownicy wewnętrzni, którzy niepotrzebnie używają serwera proxy aplikacji, mogą wprowadzać nieoczekiwane i niepożądane problemy z wydajnością.

Omówienie działania serwera proxy aplikacji

Na diagramie pokazano, jak firma Microsoft Entra ID i serwer proxy aplikacji współpracują ze sobą w celu zapewnienia logowania jednokrotnego do aplikacji lokalnych.

1. Użytkownik jest kierowany do strony logowania microsoft Entra po dokonaniu dostępu do aplikacji za pośrednictwem punktu końcowego.
2. Identyfikator Entra firmy Microsoft wysyła token do urządzenia klienckiego użytkownika po pomyślnym zalogowaniu.
3. Klient wysyła token do usługi serwera proxy aplikacji. Usługa pobiera główną nazwę użytkownika (UPN) i nazwę główną zabezpieczeń (SPN) z tokenu. Następnie serwer proxy aplikacji wysyła żądanie do łącznika.
4. Łącznik wykonuje uwierzytelnianie jednokrotne wymagane w imieniu użytkownika.
5. Łącznik wysyła żądanie do aplikacji lokalnej.
6. Odpowiedź jest wysyłana za pośrednictwem łącznika i usługi serwera proxy aplikacji do użytkownika.

Uwaga

Podobnie jak większość agentów hybrydowych firmy Microsoft Entra, łącznik sieci prywatnej nie wymaga otwierania połączeń przychodzących przez zaporę. Ruch użytkowników w kroku 3 kończy się w usłudze serwera proxy aplikacji (w identyfikatorze Entra firmy Microsoft). Łącznik sieci prywatnej (lokalnie) jest odpowiedzialny za pozostałą część komunikacji.

Składnik	opis
Punkt końcowy	Punkt końcowy to adres URL lub portal użytkownika końcowego. Użytkownicy mogą uzyskiwać dostęp do aplikacji poza siecią, korzystając z zewnętrznego adresu URL. Użytkownicy w sieci mogą uzyskiwać dostęp do aplikacji za pośrednictwem adresu URL lub portalu użytkowników końcowych. Gdy użytkownicy przechodzą do jednego z tych punktów końcowych, uwierzytelniają się w identyfikatorze Entra firmy Microsoft, a następnie są kierowani przez łącznik do aplikacji lokalnej.
Microsoft Entra ID	Identyfikator entra firmy Microsoft wykonuje uwierzytelnianie przy użyciu katalogu dzierżawy przechowywanego w chmurze.
Usługa serwera proxy aplikacji	Ta usługa serwera proxy aplikacji działa w chmurze w ramach identyfikatora Entra firmy Microsoft. Przekazuje token logowania od użytkownika do łącznika sieci prywatnej. Serwer proxy aplikacji przekazuje wszelkie dostępne nagłówki w żądaniu i ustawia nagłówki zgodnie z jego protokołem na adres IP klienta. Jeśli żądanie przychodzące do serwera proxy ma już ten nagłówek, adres IP klienta zostanie dodany na końcu listy rozdzielonej przecinkami, która jest wartością nagłówka.
łącznik sieci prywatnej	Łącznik jest lekkim agentem, który działa w systemie Windows Server w sieci. Łącznik zarządza komunikacją między usługą serwera proxy aplikacji w chmurze a aplikacją lokalną. Łącznik używa tylko połączeń wychodzących, więc nie trzeba otwierać portów przychodzących w sieciach internetowych. Łączniki są bezstanowe i pobierają informacje z chmury w razie potrzeby. Aby uzyskać więcej informacji na temat łączników, takich jak równoważenie obciążenia i uwierzytelnianie, zobacz Omówienie łączników sieci prywatnej firmy Microsoft Entra.
Active Directory (AD)	Usługa Active Directory działa lokalnie w celu przeprowadzenia uwierzytelniania dla kont domeny. Po skonfigurowaniu logowania jednokrotnego łącznik komunikuje się z usługą AD w celu przeprowadzenia dodatkowego uwierzytelniania.
Aplikacja lokalna	Na koniec użytkownik może uzyskać dostęp do aplikacji lokalnej.

Serwer proxy aplikacji to usługa firmy Microsoft entra skonfigurowana w centrum administracyjnym firmy Microsoft Entra. Umożliwia publikowanie zewnętrznego publicznego punktu końcowego adresu URL HTTP/HTTPS w chmurze platformy Azure, który łączy się z wewnętrznym adresem URL serwera aplikacji w organizacji. Te lokalne aplikacje internetowe można zintegrować z usługą Microsoft Entra ID w celu obsługi logowania jednokrotnego. Użytkownicy mogą następnie uzyskiwać dostęp do lokalnych aplikacji internetowych w taki sam sposób, jak w przypadku uzyskiwania dostępu do platformy Microsoft 365 i innych aplikacji SaaS.

Składniki tej funkcji obejmują usługę serwera proxy aplikacji, która działa w chmurze, łącznik sieci prywatnej, który jest lekkim agentem uruchomionym na serwerze lokalnym, oraz identyfikatorem Microsoft Entra, który jest dostawcą tożsamości. Wszystkie trzy składniki współpracują ze sobą, aby zapewnić użytkownikowi środowisko logowania jednokrotnego w celu uzyskania dostępu do lokalnych aplikacji internetowych.

Po zalogowaniu użytkownicy zewnętrzni mogą uzyskiwać dostęp do lokalnych aplikacji internetowych przy użyciu adresu URL wyświetlania lub Moje aplikacje z komputerów stacjonarnych lub urządzeń z systemem iOS/MAC. Na przykład serwer proxy aplikacji może zapewnić dostęp zdalny i logowanie jednokrotne do pulpitu zdalnego, witryn programu SharePoint, Tableau, Qlik, Outlook w sieci Web i aplikacji biznesowych (LOB).

Uwierzytelnianie

Istnieje kilka sposobów konfigurowania aplikacji na potrzeby logowania jednokrotnego, a wybrana metoda zależy od uwierzytelniania używanego przez aplikację. Serwer proxy aplikacji obsługuje następujące typy aplikacji:

• Aplikacje sieci Web
• Internetowe interfejsy API, które mają być widoczne dla zaawansowanych aplikacji na różnych urządzeniach
• Aplikacje hostowane za bramą usług pulpitu zdalnego
• Rozbudowane aplikacje klienckie zintegrowane z biblioteką Microsoft Authentication Library (MSAL)

Serwer proxy aplikacji współdziała z aplikacjami korzystającymi z następującego natywnego protokołu uwierzytelniania:

• Zintegrowane uwierzytelnianie systemu Windows (IWA). W przypadku usługi IWA łączniki sieci prywatnej używają ograniczonego delegowania protokołu Kerberos (KCD) do uwierzytelniania użytkowników w aplikacji Kerberos.

Serwer proxy aplikacji obsługuje również następujące protokoły uwierzytelniania z integracją innej firmy lub w określonych scenariuszach konfiguracji:

• Uwierzytelnianie oparte na nagłówku. Ta metoda logowania używa usługi uwierzytelniania innej firmy o nazwie PingAccess i jest używana, gdy aplikacja używa nagłówków do uwierzytelniania. W tym scenariuszu uwierzytelnianie jest obsługiwane przez funkcję PingAccess.
• Uwierzytelnianie oparte na formularzach lub hasłach. Przy użyciu tej metody uwierzytelniania użytkownicy logują się do aplikacji przy użyciu nazwy użytkownika i hasła podczas pierwszego uzyskiwania do niej dostępu. Po pierwszym logowaniu identyfikator Firmy Microsoft Entra dostarcza nazwę użytkownika i hasło do aplikacji. W tym scenariuszu uwierzytelnianie jest obsługiwane przez identyfikator entra firmy Microsoft.
• Uwierzytelnianie SAML. Logowanie jednokrotne oparte na protokole SAML jest obsługiwane w przypadku aplikacji korzystających z protokołów SAML 2.0 lub WS-Federation. W przypadku logowania jednokrotnego SAML usługa Microsoft Entra uwierzytelnia się w aplikacji przy użyciu konta Microsoft Entra użytkownika.

Aby uzyskać więcej informacji na temat obsługiwanych metod, zobacz Wybieranie metody logowania jednokrotnego.

Korzyści z zabezpieczeń

Rozwiązanie dostępu zdalnego oferowane przez serwer proxy aplikacji i identyfikator Entra firmy Microsoft obsługują kilka korzyści zabezpieczeń, z których mogą korzystać klienci, w tym:

• Uwierzytelniony dostęp. Serwer proxy aplikacji najlepiej nadaje się do publikowania aplikacji z uwierzytelnianiem wstępnym, aby upewnić się, że tylko uwierzytelnione połączenia trafią do sieci. Ruch nie może przechodzić przez usługę serwera proxy aplikacji do środowiska lokalnego bez prawidłowego tokenu dla aplikacji opublikowanych przy użyciu wstępnego uwierzytelniania. Uwierzytelnianie wstępne, ze swej natury, blokuje znaczną liczbę ataków docelowych, ponieważ tylko uwierzytelnione tożsamości mogą uzyskiwać dostęp do aplikacji zaplecza.

• Dostęp warunkowy. Przed nawiązaniem połączeń z siecią można zastosować bardziej zaawansowane mechanizmy kontroli zasad. Za pomocą dostępu warunkowego można zdefiniować ograniczenia dotyczące ruchu, który ma być osiągany przez aplikację zaplecza. Tworzone są zasady ograniczające logowania na podstawie lokalizacji, siły uwierzytelniania i profilu ryzyka użytkownika. W miarę rozwoju dostępu warunkowego dodawana jest większa kontrola w celu zapewnienia dodatkowych zabezpieczeń, takich jak integracja z aplikacjami Microsoft Defender dla Chmury. integracja usługi Defender dla Chmury Apps umożliwia skonfigurowanie aplikacji lokalnej na potrzeby monitorowania w czasie rzeczywistym przy użyciu dostępu warunkowego do monitorowania sesji i kontrolowania ich w czasie rzeczywistym na podstawie zasad dostępu warunkowego.

• Kończenie ruchu. Cały ruch do aplikacji zaplecza jest przerywany w usłudze serwera proxy aplikacji w chmurze, podczas gdy sesja zostanie ponownie ustanowiona z serwerem zaplecza. Ta strategia połączenia oznacza, że serwery zaplecza nie są narażone na bezpośredni ruch HTTP. Są one lepiej chronione przed atakami ataków typu "odmowa usługi", ponieważ zapora nie jest atakowana.

• Cały dostęp jest wychodzący. Łączniki sieci prywatnej używają tylko połączeń wychodzących do usługi serwera proxy aplikacji w chmurze za pośrednictwem portów 80 i 443. Bez połączeń przychodzących nie ma potrzeby otwierania portów zapory dla połączeń przychodzących lub składników w strefie DMZ. Wszystkie połączenia są wychodzące i za pośrednictwem bezpiecznego kanału.

• Analiza zabezpieczeń i analiza maszynowa oparta na Edukacja (ML). Ponieważ jest to część identyfikatora Entra firmy Microsoft, serwer proxy aplikacji może korzystać z Ochrona tożsamości Microsoft Entra (wymaga licencjonowania Premium P2). Ochrona tożsamości Microsoft Entra łączy analizę zabezpieczeń uczenia maszynowego ze źródłami danych firmy Microsoft Digital Crimes Unit i Microsoft Security Response Center w celu proaktywnego identyfikowania kont zagrożonych. Usługa Identity Protection oferuje ochronę w czasie rzeczywistym przed logowaniem o wysokim ryzyku. Uwzględnia on czynniki, takie jak dostęp z zainfekowanych urządzeń, za pośrednictwem sieci anonimizacji lub nietypowych i mało prawdopodobnych lokalizacji w celu zwiększenia profilu ryzyka sesji. Ten profil ryzyka jest używany do ochrony w czasie rzeczywistym. Wiele z tych raportów i zdarzeń jest już dostępnych za pośrednictwem interfejsu API na potrzeby integracji z systemami SIEM.

• Dostęp zdalny jako usługa. Nie musisz martwić się o konserwowanie i stosowanie poprawek na serwerach lokalnych w celu umożliwienia dostępu zdalnego. Serwer proxy aplikacji to usługa skalowania internetu, która jest właścicielem firmy Microsoft, więc zawsze uzyskujesz najnowsze poprawki zabezpieczeń i uaktualnienia. Oprogramowanie niezaznaczone nadal odpowiada za dużą liczbę ataków. Według Departamentu Bezpieczeństwa Wewnętrznego, aż 85 procent ataków ukierunkowanych jest nie do uniknięcia. W przypadku tego modelu usług nie trzeba już ponosić dużego obciążenia związanego z zarządzaniem serwerami brzegowymi i rozwiązywania problemów, aby je w razie potrzeby zastosować.

• Integracja z usługą Intune. W usłudze Intune ruch firmowy jest kierowany oddzielnie od ruchu osobistego. Serwer proxy aplikacji gwarantuje, że ruch firmowy jest uwierzytelniany. Serwer proxy aplikacji i możliwość programu Intune Managed Browser mogą być również używane razem, aby umożliwić użytkownikom zdalnym bezpieczny dostęp do wewnętrznych witryn internetowych z urządzeń z systemami iOS i Android.

Harmonogram działania dotyczący chmury

Kolejną główną zaletą implementacji serwera proxy aplikacji jest rozszerzenie identyfikatora Entra firmy Microsoft do środowiska lokalnego. W rzeczywistości implementacja serwera proxy aplikacji to kluczowy krok w zakresie przenoszenia organizacji i aplikacji do chmury. Przenosząc się do chmury i z dala od uwierzytelniania lokalnego, zmniejszasz zużycie zasobów lokalnych i używasz możliwości zarządzania tożsamościami firmy Microsoft jako płaszczyzny sterowania. Dzięki minimalnym aktualizacjom istniejących aplikacji masz dostęp do funkcji chmury, takich jak logowanie jednokrotne, uwierzytelnianie wieloskładnikowe i centralne zarządzanie. Instalowanie niezbędnych składników serwera proxy aplikacji to prosty proces ustanawiania struktury dostępu zdalnego. Przechodząc do chmury, masz dostęp do najnowszych funkcji, aktualizacji i funkcji firmy Microsoft, takich jak wysoka dostępność i odzyskiwanie po awarii.

Aby dowiedzieć się więcej na temat migrowania aplikacji do identyfikatora Entra firmy Microsoft, zobacz Migrowanie aplikacji do identyfikatora Entra firmy Microsoft.

Architektura

Na poniższym diagramie pokazano ogólnie, jak usługi uwierzytelniania Firmy Microsoft Entra i serwer proxy aplikacji współpracują ze sobą w celu zapewnienia logowania jednokrotnego do aplikacji lokalnych dla użytkowników.

1. Gdy użytkownik uzyskuje dostęp do aplikacji za pośrednictwem punktu końcowego, użytkownik jest przekierowywany do strony logowania firmy Microsoft Entra. Jeśli skonfigurowano zasady dostępu warunkowego, określone warunki są sprawdzane w tej chwili, aby upewnić się, że spełniasz wymagania dotyczące zabezpieczeń organizacji.
2. Po pomyślnym zalogowaniu identyfikator Entra firmy Microsoft wysyła token na urządzenie klienckie użytkownika.
3. Klient wysyła token do usługi serwera proxy aplikacji, która pobiera główną nazwę użytkownika (UPN) i nazwę główną zabezpieczeń (SPN) z tokenu.
4. Serwer proxy aplikacji przekazuje żądanie odebrane przez łącznik serwera proxy aplikacji.
5. Łącznik wykonuje wszelkie dodatkowe uwierzytelnianie wymagane w imieniu użytkownika (opcjonalne w zależności od metody uwierzytelniania), żąda wewnętrznego punktu końcowego serwera aplikacji i wysyła żądanie do aplikacji lokalnej.
6. Odpowiedź z serwera aplikacji jest wysyłana za pośrednictwem łącznika do usługi serwera proxy aplikacji.
7. Odpowiedź jest wysyłana z usługi serwera proxy aplikacji do użytkownika.

Składnik	Opis
Punkt końcowy	Punkt końcowy to adres URL lub portal użytkowników. Użytkownicy mogą uzyskiwać dostęp do aplikacji poza siecią, korzystając z zewnętrznego adresu URL. Użytkownicy w sieci mogą uzyskiwać dostęp do aplikacji za pośrednictwem adresu URL lub portalu użytkowników. Gdy użytkownicy przechodzą do jednego z tych punktów końcowych, uwierzytelniają się w identyfikatorze Entra firmy Microsoft, a następnie są kierowani przez łącznik do aplikacji lokalnej.
Microsoft Entra ID	Identyfikator entra firmy Microsoft wykonuje uwierzytelnianie przy użyciu katalogu dzierżawy przechowywanego w chmurze.
Usługa serwera proxy aplikacji	Ta usługa serwera proxy aplikacji działa w chmurze w ramach identyfikatora Entra firmy Microsoft. Przekazuje token logowania od użytkownika do łącznika sieci prywatnej. Serwer proxy aplikacji przekazuje wszelkie dostępne nagłówki w żądaniu i ustawia nagłówki zgodnie z jego protokołem na adres IP klienta. Jeśli żądanie przychodzące do serwera proxy ma już ten nagłówek, adres IP klienta zostanie dodany na końcu listy rozdzielanej przecinkami, która jest wartością nagłówka.
łącznik sieci prywatnej	Łącznik jest lekkim agentem, który działa w systemie Windows Server w sieci. Łącznik zarządza komunikacją między usługą serwera proxy aplikacji w chmurze a aplikacją lokalną. Łącznik używa tylko połączeń wychodzących, więc nie trzeba otwierać żadnych portów przychodzących ani umieszczać niczego w strefie DMZ. Łączniki są bezstanowe i pobierają informacje z chmury w razie potrzeby. Aby uzyskać więcej informacji na temat łączników, takich jak równoważenie obciążenia i uwierzytelnianie, zobacz Omówienie łączników sieci prywatnej firmy Microsoft Entra.
Active Directory (AD)	Usługa Active Directory działa lokalnie w celu przeprowadzenia uwierzytelniania dla kont domeny. Po skonfigurowaniu logowania jednokrotnego łącznik komunikuje się z usługą AD, aby wykonać dodatkowe wymagane uwierzytelnianie.
Aplikacja lokalna	Na koniec użytkownik może uzyskać dostęp do aplikacji lokalnej.

Serwer proxy aplikacji Firmy Microsoft Entra składa się z usługi serwera proxy aplikacji opartej na chmurze i łącznika lokalnego. Łącznik nasłuchuje żądań z usługi serwera proxy aplikacji i obsługuje połączenia z aplikacjami wewnętrznymi. Należy pamiętać, że cała komunikacja odbywa się za pośrednictwem protokołu TLS i zawsze pochodzi z łącznika do usługi serwera proxy aplikacji. Oznacza to, że komunikacja jest tylko wychodząca. Łącznik używa certyfikatu klienta do uwierzytelniania w usłudze serwera proxy aplikacji dla wszystkich wywołań. Jedynym wyjątkiem od zabezpieczeń połączenia jest początkowy krok konfiguracji, w którym jest ustanawiany certyfikat klienta. Aby uzyskać więcej informacji, zobacz serwer proxy aplikacji Pod maską .

łączniki sieci prywatnej

Prywatne łączniki sieciowe to uproszczone agenty wdrożone lokalnie, które ułatwiają połączenie wychodzące z usługą serwera proxy aplikacji w chmurze. Łączniki muszą być zainstalowane w systemie Windows Server, który ma dostęp do aplikacji zaplecza. Użytkownicy łączą się z usługą w chmurze serwera proxy aplikacji, która kieruje ruch do aplikacji za pośrednictwem łączników, jak pokazano poniżej.

Konfiguracja i rejestracja między łącznikiem a usługą serwera proxy aplikacji odbywa się w następujący sposób:

1. Administrator IT otwiera porty 80 i 443 do ruchu wychodzącego i umożliwia dostęp do kilku adresów URL wymaganych przez łącznik, usługę serwera proxy aplikacji i identyfikator Microsoft Entra.
2. Administrator loguje się do centrum administracyjnego firmy Microsoft Entra i uruchamia plik wykonywalny w celu zainstalowania łącznika na lokalnym serwerze z systemem Windows.
3. Łącznik zaczyna "nasłuchiwać" usługi serwera proxy aplikacji.
4. Administrator dodaje aplikację lokalną do identyfikatora Entra firmy Microsoft i konfiguruje ustawienia, takie jak adresy URL, które użytkownicy muszą łączyć się z aplikacjami.

Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia serwera proxy aplikacji firmy Microsoft Entra.

Zaleca się, aby zawsze wdrażać wiele łączników na potrzeby nadmiarowości i skalowania. Łączniki, w połączeniu z usługą, dbają o wszystkie zadania o wysokiej dostępności i można je dynamicznie dodawać lub usuwać. Za każdym razem, gdy pojawia się nowe żądanie, jest kierowane do jednego z dostępnych łączników. Gdy łącznik jest uruchomiony, pozostaje aktywny podczas nawiązywania połączenia z usługą. Jeśli łącznik jest tymczasowo niedostępny, nie odpowiada na ten ruch. Nieużywane łączniki są oznaczane jako nieaktywne i usuwane po 10 dniach braku aktywności.

Połączenie ors sonduj również serwer, aby dowiedzieć się, czy istnieje nowsza wersja łącznika. Chociaż można przeprowadzić ręczną aktualizację, łączniki będą aktualizowane automatycznie, o ile usługa updater łącznika sieci prywatnej jest uruchomiona. W przypadku dzierżaw z wieloma łącznikami automatyczne aktualizacje są przeznaczone dla jednego łącznika jednocześnie w każdej grupie, aby zapobiec przestojom w środowisku.

Uwaga

Możesz monitorować stronę historii wersji serwera proxy aplikacji, aby otrzymywać powiadomienia, gdy aktualizacje zostały wydane, subskrybując kanał informacyjny RSS.

Każdy łącznik sieci prywatnej jest przypisywany do grupy łączników. Połączenie ory w tej samej grupie łączników działają jako pojedyncza jednostka w celu zapewnienia wysokiej dostępności i równoważenia obciążenia. Możesz tworzyć nowe grupy, przypisywać do nich łączniki w centrum administracyjnym firmy Microsoft Entra, a następnie przypisywać określone łączniki do obsługi określonych aplikacji. Zaleca się posiadanie co najmniej dwóch łączników w każdej grupie łączników w celu zapewnienia wysokiej dostępności.

grupy Połączenie or są przydatne, gdy musisz obsługiwać następujące scenariusze:

• Publikowanie aplikacji geograficznych
• Segmentacja/izolacja aplikacji
• Publikowanie aplikacji internetowych działających w chmurze lub lokalnie

Aby uzyskać więcej informacji na temat wybierania miejsca instalowania łączników i optymalizowania sieci, zobacz Zagadnienia dotyczące topologii sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.

Inne przypadki użycia

Do tego momentu skupiliśmy się na używaniu serwera proxy aplikacji do zewnętrznego publikowania aplikacji lokalnych przy jednoczesnym włączeniu logowania jednokrotnego do wszystkich aplikacji w chmurze i lokalnych. Istnieją jednak inne przypadki użycia serwera proxy aplikacji, które warto wspomnieć. To na przykład:

• Bezpieczne publikowanie interfejsów API REST. Jeśli masz logikę biznesową lub interfejsy API działające lokalnie lub hostowane na maszynach wirtualnych w chmurze, serwer proxy aplikacji zapewnia publiczny punkt końcowy dla dostępu do interfejsu API. Dostęp do punktu końcowego interfejsu API umożliwia kontrolowanie uwierzytelniania i autoryzacji bez konieczności stosowania portów przychodzących. Zapewnia dodatkowe zabezpieczenia za pośrednictwem funkcji microsoft Entra ID P1 lub P2, takich jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy oparty na urządzeniach stacjonarnych, iOS, MAC i Android przy użyciu usługi Intune. Aby dowiedzieć się więcej, zobacz How to enable native client applications to interact with proxy applications and Protect an API by using OAuth 2.0 with Microsoft Entra ID and API Management (Jak włączyć natywne aplikacje klienckie do interakcji z aplikacjami proxy) i Protect an API by using OAuth 2.0 with Microsoft Entra ID and API Management (Ochrona interfejsu API przy użyciu protokołu OAuth 2.0 z identyfikatorem Entra firmy Microsoft i usługą API Management).
• Usługi pulpitu zdalnego (RDS). Wdrożenia usług pulpitu zdalnego w warstwie Standardowa wymagają otwartych połączeń przychodzących. Jednak wdrożenie usług pulpitu zdalnego z serwerem proxy aplikacji ma trwałe połączenie wychodzące z serwera z uruchomioną usługą łącznika. Dzięki temu można oferować użytkownikom więcej aplikacji, publikując aplikacje lokalne za pośrednictwem usług pulpitu zdalnego. Można również zmniejszyć obszar ataków wdrożenia przy użyciu ograniczonego zestawu mechanizmów weryfikacji dwuetapowej i kontroli dostępu warunkowego do usług pulpitu zdalnego.
• Publikowanie aplikacji łączących się przy użyciu obiektów WebSocket. Obsługa usługi Qlik Sense jest dostępna w publicznej wersji zapoznawczej i zostanie rozszerzona do innych aplikacji w przyszłości.
• Włącz natywne aplikacje klienckie do interakcji z aplikacjami proxy. Serwer proxy aplikacji Entra firmy Microsoft umożliwia publikowanie aplikacji internetowych, ale może również służyć do publikowania natywnych aplikacji klienckich skonfigurowanych za pomocą biblioteki Microsoft Authentication Library (MSAL). Natywne aplikacje klienckie różnią się od aplikacji internetowych, ponieważ są instalowane na urządzeniu, podczas gdy aplikacje internetowe są dostępne za pośrednictwem przeglądarki.

Podsumowanie

Sposób, w jaki pracujemy i używane narzędzia szybko się zmieniają. W przypadku większej liczby pracowników, którzy przenoszą własne urządzenia do pracy i wszechobecnego korzystania z aplikacji SaaS (Software-as-a-Service), organizacje muszą również rozwijać sposób zarządzania danymi i ich zabezpieczania. Firmy nie działają już wyłącznie na własnych ścianach, chronione przez fosę, która otacza ich granicę. Dane są przesyłane do większej liczby lokalizacji niż kiedykolwiek wcześniej — zarówno w środowiskach lokalnych, jak i w chmurze. Ta ewolucja pomogła zwiększyć produktywność i zdolność użytkowników do współpracy, ale również sprawia, że ochrona poufnych danych jest trudniejsza.

Niezależnie od tego, czy obecnie używasz identyfikatora Entra firmy Microsoft do zarządzania użytkownikami w hybrydowym scenariuszu współistnienia, czy interesuje Cię rozpoczęcie podróży do chmury, zaimplementowanie serwera proxy aplikacji Microsoft Entra może pomóc zmniejszyć rozmiar śladu lokalnego, zapewniając dostęp zdalny jako usługę.

Organizacje powinny już dziś korzystać z serwera proxy aplikacji, aby skorzystać z następujących korzyści:

• Zewnętrzne publikowanie aplikacji lokalnych bez konieczności utrzymywania tradycyjnej sieci VPN lub innych lokalnych rozwiązań do publikowania w Internecie i podejścia DMZ
• Logowanie jednokrotne do wszystkich aplikacji, takich jak microsoft 365 lub inne aplikacje SaaS, w tym aplikacje lokalne
• Zabezpieczenia w skali chmury, w których firma Microsoft Entra korzysta z danych telemetrycznych platformy Microsoft 365, aby zapobiec nieautoryzowanemu dostępowi
• Integracja z usługą Intune w celu zapewnienia uwierzytelnienia ruchu firmowego
• Centralizacja zarządzania kontami użytkowników
• Aktualizacje automatyczne, aby upewnić się, że masz najnowsze poprawki zabezpieczeń
• Nowe funkcje w miarę ich wydawania; najnowsza obsługa logowania jednokrotnego SAML i bardziej szczegółowe zarządzanie plikami cookie aplikacji

Następne kroki

• Samouczek: dodawanie aplikacji lokalnej na potrzeby dostępu zdalnego za pośrednictwem serwera proxy aplikacji