Partilhar via


Usando o proxy de aplicativo Microsoft Entra para publicar aplicativos locais para usuários remotos

O proxy de aplicativo Microsoft Entra fornece acesso remoto seguro a aplicativos Web locais. Após um logon único no Microsoft Entra ID, os usuários podem acessar aplicativos na nuvem e locais por meio de uma URL externa ou de um portal de aplicativos interno. Por exemplo, o proxy de aplicativo pode fornecer acesso remoto e logon único para aplicativos de Área de Trabalho Remota, SharePoint, Teams, Tableau, Qlik e linha de negócios (LOB).

O proxy de aplicativo Microsoft Entra é:

  • Simples de usar. Os usuários podem acessar seus aplicativos locais da mesma forma que acessam o Microsoft 365 e outros aplicativos SaaS integrados ao Microsoft Entra ID. Você não precisa alterar ou atualizar seus aplicativos para trabalhar com o proxy de aplicativo.

  • Seguro. Os aplicativos locais podem usar os controles de autorização e a análise de segurança do Azure. Por exemplo, os aplicativos locais podem usar o Acesso Condicional e a verificação em duas etapas. O proxy de aplicativo não exige que você abra conexões de entrada por meio do firewall.

  • Custo-benefício. As soluções locais normalmente exigem que você configure e mantenha zonas desmilitarizadas (DMZs), servidores de borda ou outras infraestruturas complexas. O proxy de aplicativo é executado na nuvem, o que facilita o uso. Para usar o proxy de aplicativo, não é necessário alterar a infraestrutura de rede ou instalar mais dispositivos em seu ambiente local.

Dica

Se você já tiver o Microsoft Entra ID, poderá aproveitá-lo como um plano de controle para permitir acesso contínuo e seguro aos seus aplicativos locais.

Embora não seja abrangente, a lista abaixo ilustra exemplos de uso de proxy de aplicativo em um cenário de coexistência híbrida:

  • Publique aplicativos Web locais externamente de forma simplificada sem uma DMZ
  • Ofereça suporte ao logon único (SSO) entre dispositivos, recursos e aplicativos na nuvem e no local
  • Suporte à autenticação multifator para aplicativos na nuvem e no local
  • Aproveite rapidamente os recursos da nuvem com a segurança do Microsoft Cloud
  • Centralize o gerenciamento de contas de usuário
  • Centralizar o controle de identidade e segurança
  • Adicionar ou remover automaticamente o acesso do usuário aos aplicativos com base na associação ao grupo

Este artigo explica como o Microsoft Entra ID e o proxy de aplicativo oferecem aos usuários remotos uma experiência de logon único (SSO). Os usuários se conectam com segurança a aplicativos locais sem uma VPN ou servidores de hospedagem dupla e regras de firewall. Este artigo ajuda você a entender como o proxy de aplicativo traz os recursos e as vantagens de segurança da nuvem para seus aplicativos Web locais. Ele também descreve a arquitetura e topologias que são possíveis.

Dica

O proxy de aplicativo inclui o serviço de proxy de aplicativo, que é executado na nuvem, e o conector de rede privada, que é executado em um servidor local. O Microsoft Entra ID, o serviço de proxy de aplicativo e o conector de rede privada trabalham juntos para passar com segurança o token de logon do usuário do ID do Microsoft Entra para o aplicativo Web.

O proxy de aplicativo funciona com:

  • Aplicativos Web que usam a autenticação integrada do Windows para autenticação
  • Aplicativos Web que usam acesso baseado em formulário ou cabeçalho
  • APIs da Web que você deseja expor a aplicativos avançados em dispositivos diferentes
  • Aplicativos hospedados atrás de um gateway de área de trabalho remota
  • Aplicativos rich client integrados à Microsoft Authentication Library (MSAL)

O proxy de aplicativo oferece suporte ao logon único. Para obter mais informações sobre métodos suportados, consulte Escolhendo um método de logon único.

Acesso remoto no passado

Anteriormente, seu plano de controle para proteger recursos internos de invasores e, ao mesmo tempo, facilitar o acesso de usuários remotos estava todo na DMZ ou rede de perímetro. Mas as soluções de VPN e proxy reverso implantadas na DMZ usadas por clientes externos para acessar recursos corporativos não são adequadas para o mundo da nuvem. Normalmente sofrem das seguintes desvantagens:

  • Custos de hardware
  • Manutenção da segurança (aplicação de patches, monitoramento de portas e assim por diante)
  • Autenticando usuários na borda
  • Autenticando usuários em servidores Web na rede de perímetro
  • Manutenção de acesso VPN para usuários remotos com a distribuição e configuração de software cliente VPN. Além disso, manter servidores associados ao domínio na DMZ, que podem ser vulneráveis a ataques externos.

No mundo atual que prioriza a nuvem, o Microsoft Entra ID é mais adequado para controlar quem e o que entra na sua rede. O proxy de aplicativo Microsoft Entra integra-se com autenticação moderna e tecnologias baseadas em nuvem, como aplicativos SaaS e provedores de identidade. Essa integração permite que os usuários acessem aplicativos de qualquer lugar. O proxy de aplicativos não só é mais adequado para o local de trabalho digital de hoje, como também é mais seguro do que VPN e soluções de proxy reverso e mais fácil de implementar. Os utilizadores remotos podem aceder às suas aplicações no local da mesma forma que acedem à Microsoft e a outras aplicações SaaS integradas com o Microsoft Entra ID. Você não precisa alterar ou atualizar seus aplicativos para trabalhar com o proxy de aplicativo. Além disso, o proxy de aplicativo não exige que você abra conexões de entrada através do firewall. Com o proxy do aplicativo, basta configurá-lo e esquecê-lo.

O futuro do acesso remoto

No local de trabalho digital de hoje, os usuários trabalham em qualquer lugar com vários dispositivos e aplicativos. A única constante é a identidade do usuário. É por isso que o primeiro passo para uma rede segura hoje é usar os recursos de gerenciamento de identidade do Microsoft Entra como seu plano de controle de segurança. Um modelo que usa a identidade como seu plano de controle geralmente é composto pelos seguintes componentes:

  • Um provedor de identidade para manter o controle de usuários e informações relacionadas ao usuário.
  • Diretório de dispositivos para manter uma lista de dispositivos que têm acesso a recursos corporativos. Este diretório inclui informações correspondentes do dispositivo (por exemplo, tipo de dispositivo, integridade e assim por diante).
  • Serviço de avaliação de políticas para determinar se um utilizador e um dispositivo estão em conformidade com a política definida pelos administradores de segurança.
  • A capacidade de conceder ou negar acesso a recursos organizacionais.

Com o proxy de aplicativo, o Microsoft Entra ID controla os usuários que precisam acessar aplicativos Web publicados no local e na nuvem. Ele fornece um ponto de gerenciamento central para esses aplicativos. Embora não seja necessário, é recomendável que você também habilite o Acesso Condicional do Microsoft Entra. Ao definir condições para como os usuários se autenticam e obtêm acesso, você garante ainda mais que as pessoas certas acessem seus aplicativos.

Observação

É importante entender que o proxy de aplicativo Microsoft Entra destina-se como uma VPN ou substituto de proxy reverso para usuários móveis (ou remotos) que precisam de acesso a recursos internos. Não se destina a utilizadores internos na rede empresarial. Os usuários internos que usam desnecessariamente o proxy de aplicativo podem introduzir problemas de desempenho inesperados e indesejáveis.

Microsoft Entra ID e todas as suas aplicações

Visão geral de como o proxy de aplicativo funciona

O diagrama mostra como o Microsoft Entra ID e o proxy de aplicativo trabalham juntos para fornecer logon único para aplicativos locais.

Diagrama do proxy de aplicativo Microsoft Entra.

  1. Um usuário é direcionado para a página de entrada do Microsoft Entra depois de acessar o aplicativo por meio de um ponto de extremidade.
  2. O Microsoft Entra ID envia um token para o dispositivo cliente do usuário após uma entrada bem-sucedida.
  3. O cliente envia o token para o serviço de proxy de aplicativo. O serviço recupera o nome principal do usuário (UPN) e o nome da entidade de segurança (SPN) do token. Em seguida, o proxy do aplicativo envia a solicitação para o conector.
  4. O conector executa a autenticação de logon único (SSO) necessária em nome do usuário.
  5. O conector envia a solicitação para o aplicativo local.
  6. A resposta é enviada através do conector e do serviço de proxy de aplicativo para o usuário.

Observação

Como a maioria dos agentes híbridos do Microsoft Entra, o conector de rede privada não exige que você abra conexões de entrada através do firewall. O tráfego de usuário na etapa 3 termina no serviço de proxy de aplicativo. O conector de rede privada, que reside na sua rede privada, é responsável pelo resto da comunicação.

Componente Descrição
Ponto final O ponto de extremidade é uma URL ou um portal do usuário final. Os usuários podem acessar aplicativos enquanto estão fora da sua rede acessando uma URL externa. Os utilizadores da sua rede podem aceder à aplicação através de um URL ou de um portal de utilizador final. Quando os usuários vão para um desses pontos de extremidade, eles se autenticam no Microsoft Entra ID e, em seguida, são roteados através do conector para o aplicativo local.
Microsoft Entra ID O Microsoft Entra ID executa a autenticação usando o diretório de locatário armazenado na nuvem.
Serviço de proxy de aplicativo Este serviço de proxy de aplicativo é executado na nuvem como parte do Microsoft Entra ID. Ele passa o token de logon do usuário para o conector de rede privada. O proxy do aplicativo encaminha todos os cabeçalhos acessíveis na solicitação e define os cabeçalhos de acordo com seu protocolo para o endereço IP do cliente. Se a solicitação de entrada para o proxy já tiver esse cabeçalho, o endereço IP do cliente será adicionado ao final da lista separada por vírgulas que é o valor do cabeçalho.
Conector de rede privada O conector é um agente leve que é executado em um Windows Server dentro da rede. O conector gerencia a comunicação entre o serviço de proxy de aplicativo na nuvem e o aplicativo local. O conector usa apenas conexões de saída, portanto, você não precisa abrir portas de entrada em redes voltadas para a Internet. Os conectores são sem monitoração de estado e extraem informações da nuvem conforme necessário. Para obter mais informações sobre conectores, como balanceamento de carga e autenticação, consulte Compreender os conectores de rede privada do Microsoft Entra.
Ative Directory (AD) O Ative Directory é executado no local para executar a autenticação de contas de domínio. Quando o logon único é configurado, o conector se comunica com o AD para executar qualquer autenticação extra necessária.
Aplicativo local Finalmente, o usuário é capaz de acessar um aplicativo local.

O proxy de aplicativo é um serviço do Microsoft Entra que você configura no centro de administração do Microsoft Entra. Ele permite que você publique um ponto de extremidade de URL HTTP/HTTPS público externo na Nuvem do Azure, que se conecta a uma URL do servidor de aplicativos interno em sua organização. Esses aplicativos Web locais podem ser integrados ao Microsoft Entra ID para oferecer suporte ao logon único. Os usuários podem acessar aplicativos Web locais da mesma forma que acessam o Microsoft 365 e outros aplicativos SaaS.

Os componentes desse recurso incluem o serviço de proxy de aplicativo, que é executado na nuvem, o conector de rede privada, que é um agente leve que é executado em um servidor local, e o Microsoft Entra ID, que é o provedor de identidade. Todos os três componentes trabalham juntos para fornecer ao usuário uma experiência de logon único para acessar aplicativos Web locais.

Depois que um usuário se autentica, os usuários externos podem acessar aplicativos Web locais usando uma URL de exibição ou Meus Aplicativos de sua área de trabalho ou dispositivos iOS/MAC. Por exemplo, o proxy de aplicativo pode fornecer acesso remoto e logon único para Área de Trabalho Remota, sites do SharePoint, Tableau, Qlik, Outlook na Web e aplicativos de linha de negócios (LOB).

Arquitetura de proxy de aplicativo Microsoft Entra

Autenticação

Há várias maneiras de configurar um aplicativo para logon único, e o método selecionado depende da autenticação usada pelo aplicativo. O proxy de aplicativo suporta os seguintes tipos de aplicativos:

  • Aplicações Web
  • APIs da Web que você deseja expor a aplicativos avançados em dispositivos diferentes
  • Aplicativos hospedados atrás de um gateway de área de trabalho remota
  • Aplicativos rich client integrados à Microsoft Authentication Library (MSAL)

O proxy de aplicativo funciona com aplicativos que usam o seguinte protocolo de autenticação nativo:

O proxy de aplicativo também suporta os seguintes protocolos de autenticação com integração de terceiros ou em cenários de configuração específicos:

  • Autenticação baseada em cabeçalho. Esse método de logon usa um serviço de autenticação de terceiros chamado PingAccess e é usado quando o aplicativo usa cabeçalhos para autenticação. Nesse cenário, a autenticação é manipulada pelo PingAccess.
  • Autenticação baseada em formulários ou senha. Com esse método de autenticação, os usuários fazem logon no aplicativo com um nome de usuário e senha na primeira vez que o acessam. Após o primeiro início de sessão, o Microsoft Entra ID fornece o nome de utilizador e a palavra-passe à aplicação. Nesse cenário, a autenticação é manipulada pelo Microsoft Entra ID.
  • Autenticação SAML. O logon único baseado em SAML é suportado para aplicativos que usam protocolos SAML 2.0 ou WS-Federation. Com o logon único SAML, o Microsoft Entra se autentica no aplicativo usando a conta Microsoft Entra do usuário.

Para obter mais informações sobre métodos suportados, consulte Escolhendo um método de logon único.

Benefícios de segurança

A solução de acesso remoto oferecida pelo proxy de aplicativo e pelo Microsoft Entra oferece suporte a vários benefícios de segurança que os clientes podem aproveitar, incluindo:

  • Acesso autenticado. O proxy de aplicativo é mais adequado para publicar aplicativos com pré-autenticação para garantir que apenas conexões autenticadas cheguem à sua rede. Nenhum tráfego tem permissão para passar pelo serviço de proxy de aplicativo para seu ambiente local sem um token válido para aplicativos publicados com pré-autenticação. A pré-autenticação, por sua própria natureza, bloqueia um número significativo de ataques direcionados, pois apenas identidades autenticadas podem acessar o aplicativo de back-end.

  • Acesso condicional. Controles de política mais avançados podem ser aplicados antes que as conexões com sua rede sejam estabelecidas. Com o Acesso Condicional, você pode definir restrições sobre o tráfego que você permite que atinja seu aplicativo de back-end. Você cria políticas que restringem as entradas com base na localização, na força da autenticação e no perfil de risco do usuário. À medida que o Acesso Condicional evolui, mais controles estão sendo adicionados para fornecer segurança adicional, como a integração com o Microsoft Defender for Cloud Apps. A integração do Defender for Cloud Apps permite configurar um aplicativo local para monitoramento em tempo real, aproveitando o Acesso Condicional para monitorar e controlar sessões em tempo real com base em políticas de Acesso Condicional.

  • Terminação de tráfego. Todo o tráfego para o aplicativo de back-end é encerrado no serviço de proxy de aplicativo na nuvem enquanto a sessão é restabelecida com o servidor de back-end. Essa estratégia de conexão significa que seus servidores back-end não estão expostos ao tráfego HTTP direto. Eles estão mais bem protegidos contra ataques DoS (negação de serviço) direcionados porque seu firewall não está sob ataque.

  • Todo o acesso é de saída. Os conectores de rede privada usam apenas conexões de saída para o serviço de proxy de aplicativo na nuvem pelas portas 80 e 443. Sem conexões de entrada, não há necessidade de abrir portas de firewall para conexões de entrada ou componentes na DMZ. Todas as conexões são de saída e através de um canal seguro.

  • Security Analytics e inteligência baseada em Machine Learning (ML). Como faz parte do Microsoft Entra ID, o proxy de aplicativo pode aproveitar a Proteção de ID do Microsoft Entra (requer licenciamento Premium P2). O Microsoft Entra ID Protection combina inteligência de segurança de aprendizado de máquina com feeds de dados da Unidade de Crimes Digitais da Microsoft e do Centro de Resposta de Segurança da Microsoft para identificar proativamente contas comprometidas. O Microsoft Entra ID Protection oferece proteção em tempo real contra entradas de alto risco. Ele leva em consideração fatores como acessos de dispositivos infetados, através de redes de anonimização, ou de locais atípicos e improváveis para aumentar o perfil de risco de uma sessão. Este perfil de risco é utilizado para proteção em tempo real. Muitos desses relatórios e eventos já estão disponíveis por meio de uma API para integração com seus sistemas SIEM.

  • Acesso remoto como um serviço. Você não precisa se preocupar com a manutenção e aplicação de patches em servidores locais para habilitar o acesso remoto. O proxy de aplicativo é um serviço de escala da Internet que a Microsoft possui, para que você sempre obtenha os patches e atualizações de segurança mais recentes. O software sem patches ainda é responsável por um grande número de ataques. De acordo com o Departamento de Segurança Interna, até 85% dos ataques direcionados são evitáveis. Com esse modelo de serviço, você não precisa mais carregar o pesado fardo de gerenciar seus servidores de borda e se esforçar para corrigi-los conforme necessário.

  • Integração com o Intune. Com o Intune, o tráfego corporativo é roteado separadamente do tráfego pessoal. O proxy de aplicativo garante que o tráfego corporativo seja autenticado. O proxy de aplicativo e o recurso Intune Managed Browser também podem ser usados juntos para permitir que usuários remotos acessem sites internos com segurança a partir de dispositivos iOS e Android.

Roteiro para a nuvem

Outro grande benefício da implementação do proxy de aplicativo é estender o Microsoft Entra ID para seu ambiente local. Na verdade, implementar o proxy de aplicativo é uma etapa fundamental para mover sua organização e aplicativos para a nuvem. Ao migrar para a nuvem e se afastar da autenticação local, você reduz sua pegada local e usa os recursos de gerenciamento de identidade do Microsoft Entra como seu plano de controle. Com poucas ou nenhuma atualização para aplicativos existentes, você tem acesso a recursos de nuvem, como logon único, autenticação multifator e gerenciamento central. Instalar os componentes necessários no proxy do aplicativo é um processo simples para estabelecer uma estrutura de acesso remoto. E ao migrar para a nuvem, você tem acesso aos recursos, atualizações e funcionalidades mais recentes do Microsoft Entra, como alta disponibilidade e recuperação de desastres.

Para saber mais sobre como migrar seus aplicativos para o Microsoft Entra ID, consulte Migrando seus aplicativos para o Microsoft Entra ID.

Arquitetura

O diagrama ilustra em geral como os serviços de autenticação do Microsoft Entra e o proxy de aplicativo trabalham juntos para fornecer logon único para aplicativos locais aos usuários.

Fluxo de autenticação de proxy de aplicativo Microsoft Entra

  1. Depois que o usuário acessa o aplicativo por meio de um ponto de extremidade, o usuário é redirecionado para a página de entrada do Microsoft Entra. Se você configurou políticas de Acesso Condicional, as condições específicas serão verificadas neste momento para garantir que você esteja em conformidade com os requisitos de segurança da sua organização.
  2. Após uma entrada bem-sucedida, o Microsoft Entra ID envia um token para o dispositivo cliente do usuário.
  3. O cliente envia o token para o serviço de proxy de aplicativo, que recupera o nome principal do usuário (UPN) e o nome principal de segurança (SPN) do token.
  4. O proxy de aplicativo encaminha a solicitação, que é captada pelo conector de rede privada.
  5. O conector executa qualquer autenticação adicional necessária em nome do usuário (opcional, dependendo do método de autenticação), solicita o ponto de extremidade interno do servidor de aplicativos e envia a solicitação para o aplicativo local.
  6. A resposta do servidor de aplicativos é enviada através do conector para o serviço de proxy de aplicativo.
  7. A resposta é enviada do serviço de proxy de aplicativo para o usuário.

O proxy de aplicativo Microsoft Entra consiste no serviço de proxy de aplicativo baseado em nuvem e em um conector local. O conector escuta solicitações do serviço de proxy de aplicativo e lida com conexões com os aplicativos internos. É importante observar que todas as comunicações ocorrem por TLS e sempre se originam no conector do serviço de proxy do aplicativo. Ou seja, as comunicações são apenas de saída. O conector usa um certificado de cliente para autenticar no serviço de proxy de aplicativo para todas as chamadas. A única exceção à segurança da conexão é a etapa de configuração inicial onde o certificado do cliente é estabelecido. Consulte o proxy do aplicativo Under the hood para obter mais detalhes.

Conector de rede privada Microsoft Entra

O proxy de aplicativo usa o conector de rede privada Microsoft Entra. O mesmo conector é usado pelo Microsoft Entra Private Access. Para saber mais sobre conectores, consulte Conector de rede privada Microsoft Entra.

Outros casos de uso

Até este ponto, nos concentramos em usar o proxy de aplicativo para publicar aplicativos locais externamente e, ao mesmo tempo, permitir o logon único em todos os seus aplicativos locais e na nuvem. No entanto, existem outros casos de uso para proxy de aplicativo que valem a pena mencionar. Entre eles contam-se:

  • Publique APIs REST com segurança. Quando você tem lógica de negócios ou APIs em execução local ou hospedadas em máquinas virtuais na nuvem, o proxy de aplicativo fornece um ponto de extremidade público para acesso à API. O acesso ao endpoint da API permite controlar a autenticação e a autorização sem exigir portas de entrada. Ele fornece segurança adicional por meio de recursos do Microsoft Entra ID P1 ou P2, como autenticação multifator e Acesso Condicional baseado em dispositivo para desktops, dispositivos iOS, MAC e Android usando o Intune. Para saber mais, consulte Como habilitar aplicativos cliente nativos para interagir com aplicativos proxy e Proteger uma API usando o OAuth 2.0 com o Microsoft Entra ID e o Gerenciamento de API.
  • Serviços de Área de Trabalho Remota (RDS). As implantações padrão do RDS exigem conexões de entrada abertas. No entanto, a implantação do RDS com proxy de aplicativo tem uma conexão de saída permanente do servidor que executa o serviço de conector. Dessa forma, você pode oferecer mais aplicativos aos usuários publicando aplicativos locais por meio dos Serviços de Área de Trabalho Remota. Você também pode reduzir a superfície de ataque da implantação com um conjunto limitado de verificação em duas etapas e controles de Acesso Condicional ao RDS.
  • Publique aplicativos que se conectam usando WebSockets. O suporte com o Qlik Sense está em visualização pública e será expandido para outros aplicativos no futuro.
  • Permita que aplicativos cliente nativos interajam com aplicativos proxy. Você pode usar o proxy de aplicativo Microsoft Entra para publicar aplicativos Web, mas também pode ser usado para publicar aplicativos cliente nativos configurados com a Biblioteca de Autenticação da Microsoft (MSAL). Os aplicativos cliente nativos diferem dos aplicativos Web porque são instalados em um dispositivo, enquanto os aplicativos Web são acessados por meio de um navegador.

Conclusão

A forma como trabalhamos e as ferramentas que utilizamos estão a mudar rapidamente. Com mais funcionários trazendo seus próprios dispositivos para o trabalho e o uso generalizado de aplicativos de Software como Serviço (SaaS), a maneira como as organizações gerenciam e protegem seus dados também deve evoluir. As empresas já não operam apenas dentro dos seus próprios muros, protegidos por um fosso que rodeia a sua fronteira. Os dados viajam para mais locais do que nunca, em ambientes locais e na nuvem. Essa evolução ajudou a aumentar a produtividade e a capacidade de colaboração dos usuários, mas também torna a proteção de dados confidenciais mais desafiadora.

Se você está usando atualmente o Microsoft Entra ID para gerenciar usuários em um cenário de coexistência híbrida ou está interessado em iniciar sua jornada para a nuvem, a implementação do proxy de aplicativo Microsoft Entra pode ajudar a reduzir o tamanho de sua pegada local, fornecendo acesso remoto como um serviço.

As organizações devem começar a aproveitar o proxy de aplicativo hoje mesmo para aproveitar os seguintes benefícios:

  • Publique aplicativos locais externamente sem a sobrecarga associada à manutenção de VPN tradicional ou outras soluções de publicação na Web locais e abordagem DMZ
  • Logon único para todos os aplicativos, sejam eles Microsoft 365 ou outros aplicativos SaaS e incluindo aplicativos locais
  • Segurança em escala de nuvem onde o Microsoft Entra aproveita a telemetria do Microsoft 365 para impedir acesso não autorizado
  • Integração do Intune para garantir que o tráfego corporativo seja autenticado
  • Centralização da gestão de contas de utilizador
  • Atualizações automáticas para garantir que você tenha os patches de segurança mais recentes
  • Novos recursos à medida que são lançados; sendo o mais recente o suporte para logon único SAML e gerenciamento mais granular de cookies de aplicativos

Próximos passos