Använda Microsoft Entra-programproxy för att publicera lokala appar för fjärranvändare

Microsoft Entra ID erbjuder många funktioner för att skydda användare, appar och data i molnet och lokalt. I synnerhet kan Microsoft Entra-programproxyfunktionen implementeras av IT-proffs som vill publicera lokala webbprogram externt. Fjärranvändare som behöver åtkomst till interna appar kan sedan komma åt dem på ett säkert sätt.

Möjligheten att få säker åtkomst till interna appar utanför nätverket blir ännu mer kritisk på den moderna arbetsplatsen. Med scenarier som BYOD (Bring Your Own Device) och mobila enheter utmanas IT-proffs att uppfylla två mål:

  • Ge användarna möjlighet att vara produktiva när som helst och var som helst.
  • Skydda företagets tillgångar hela tiden.

Många organisationer tror att de har kontroll och skyddas när resurser finns inom gränserna för deras företagsnätverk. Men på dagens digitala arbetsplats har den gränsen utökats med hanterade mobila enheter och resurser och tjänster i molnet. Nu måste du hantera komplexiteten i att skydda användarnas identiteter och data som lagras på deras enheter och appar.

Du kanske redan använder Microsoft Entra-ID för att hantera användare i molnet som behöver komma åt Microsoft 365 och andra SaaS-program samt webbappar som finns lokalt. Om du redan har Microsoft Entra-ID kan du använda det som ett kontrollplan för att ge sömlös och säker åtkomst till dina lokala program. Eller så funderar du fortfarande på att flytta till molnet. I så fall kan du börja din resa till molnet genom att implementera Programproxy och ta det första steget mot att skapa en stark identitetsgrund.

Även om listan nedan inte är omfattande illustrerar den några av de saker du kan aktivera genom att implementera Programproxy i ett hybridexistensscenario:

  • Publicera lokala webbappar externt på ett förenklat sätt utan DMZ
  • Stöd för enkel inloggning (SSO) mellan enheter, resurser och appar i molnet och lokalt
  • Stöd för multifaktorautentisering för appar i molnet och lokalt
  • Utnyttja snabbt molnfunktioner med säkerheten i Microsoft Cloud
  • Centralisera hantering av användarkonton
  • Centralisera kontrollen av identitet och säkerhet
  • Lägg automatiskt till eller ta bort användaråtkomst till program baserat på gruppmedlemskap

I den här artikeln beskrivs hur Microsoft Entra-ID och Programproxy ge fjärranvändare en enkel inloggning (SSO). Användare ansluter säkert till lokala appar utan VPN eller dubbla hemservrar eller brandväggsregler. Den här artikeln hjälper dig att förstå hur Programproxy ger molnets funktioner och säkerhetsfördelar till dina lokala webbprogram. Den beskriver också den arkitektur och de topologier som är möjliga.

Fjärråtkomst tidigare

Tidigare fanns ditt kontrollplan för att skydda interna resurser från angripare samtidigt som fjärranvändare underlättade åtkomsten i DMZ- eller perimeternätverket. Men DE VPN- och omvända proxylösningar som distribueras i DMZ som används av externa klienter för att komma åt företagsresurser passar inte för molnvärlden. De drabbas vanligtvis av följande nackdelar:

  • Maskinvarukostnader
  • Upprätthålla säkerhet (korrigering, övervakningsportar osv.)
  • Autentisera användare vid gränsen
  • Autentisera användare till webbservrar i perimeternätverket
  • Underhåll av VPN-åtkomst för fjärranvändare med distribution och konfiguration av VPN-klientprogramvara. Dessutom kan du underhålla domänanslutna servrar i DMZ, som kan vara sårbara för attacker utifrån.

I dagens molnbaserade värld passar Microsoft Entra-ID bäst för att styra vem och vad som kommer in i nätverket. Microsoft Entra-programproxy integreras med modern autentisering och molnbaserad teknik, till exempel SaaS-program och identitetsprovidrar. Den här integreringen gör det möjligt för användare att komma åt appar var de än befinner sig. Appproxy passar inte bara bättre för dagens digitala arbetsplats, det är säkrare än VPN- och omvända proxylösningar och enklare att implementera. Fjärranvändare kan komma åt dina lokala program på samma sätt som de får åtkomst till Microsoft och andra SaaS-appar som är integrerade med Microsoft Entra-ID. Du behöver inte ändra eller uppdatera dina program för att fungera med programproxy. Dessutom kräver appproxy inte att du öppnar inkommande anslutningar via brandväggen. Med App Proxy ställer du helt enkelt in den och glömmer den.

Framtiden för fjärråtkomst

På dagens digitala arbetsplats arbetar användarna var som helst med flera enheter och appar. Den enda konstanten är användaridentitet. Därför är det första steget i ett säkert nätverk i dag att använda Microsoft Entra-identitetshanteringsfunktioner som säkerhetskontrollplan. En modell som använder identitet som kontrollplan består vanligtvis av följande komponenter:

  • En identitetsprovider för att hålla reda på användare och användarrelaterad information.
  • Enhetskatalog för att underhålla en lista över enheter som har åtkomst till företagsresurser. Den här katalogen innehåller motsvarande enhetsinformation (till exempel typ av enhet, integritet osv.).
  • Principutvärderingstjänst för att avgöra om en användare och enhet överensstämmer med den princip som angetts av säkerhetsadministratörer.
  • Möjligheten att bevilja eller neka åtkomst till organisationsresurser.

Med Programproxy håller Microsoft Entra ID reda på användare som behöver komma åt webbappar som publiceras lokalt och i molnet. Den tillhandahåller en central hanteringsplats för dessa appar. Även om det inte krävs rekommenderar vi att du även aktiverar villkorsstyrd åtkomst för Microsoft Entra. Genom att definiera villkor för hur användare autentiserar och får åtkomst ser du ytterligare till att rätt personer får åtkomst till dina program.

Kommentar

Det är viktigt att förstå att Microsoft Entra-programproxy är avsedd som vpn- eller omvänd proxyersättning för roaminganvändare (eller fjärranvändare) som behöver åtkomst till interna resurser. Den är inte avsedd för interna användare i företagsnätverket. Interna användare som i onödan använder Programproxy kan medföra oväntade och oönskade prestandaproblem.

Microsoft Entra ID and all your apps

En översikt över hur App Proxy fungerar

Programproxy är en Microsoft Entra-tjänst som du konfigurerar i administrationscentret för Microsoft Entra. Det gör att du kan publicera en extern offentlig HTTP/HTTPS URL-slutpunkt i Azure Cloud, som ansluter till en intern programserver-URL i din organisation. Dessa lokala webbappar kan integreras med Microsoft Entra-ID för enkel inloggning. Användarna kan sedan komma åt lokala webbappar på samma sätt som de får åtkomst till Microsoft 365 och andra SaaS-appar.

Komponenterna i den här funktionen inkluderar Programproxy-tjänsten, som körs i molnet, Programproxy-anslutningsappen, som är en enkel agent som körs på en lokal server och Microsoft Entra-ID, som är identitetsprovidern. Alla tre komponenterna fungerar tillsammans för att ge användaren en enkel inloggningsupplevelse för att få åtkomst till lokala webbprogram.

När du har loggat in kan externa användare komma åt lokala webbprogram med hjälp av en visnings-URL eller Mina appar från skrivbordet eller iOS/MAC-enheter. Appproxy kan till exempel ge fjärråtkomst och enkel inloggning till Fjärrskrivbord, SharePoint-webbplatser, Tableau, Qlik, Outlook på webben och verksamhetsspecifika program (LOB).

Microsoft Entra application proxy architecture

Autentisering

Det finns flera sätt att konfigurera ett program för enkel inloggning och vilken metod du väljer beror på vilken autentisering programmet använder. Programproxy stöder följande typer av program:

  • Webbprogram
  • Webb-API:er som du vill exponera för omfattande program på olika enheter
  • Program som finns bakom en fjärrskrivbordsgateway
  • Omfattande klientappar som är integrerade med Microsoft Authentication Library (MSAL)

Appproxy fungerar med appar som använder följande interna autentiseringsprotokoll:

AppProxy stöder även följande autentiseringsprotokoll med tredjepartsintegrering eller i specifika konfigurationsscenarier:

  • Rubrikbaserad autentisering. Den här inloggningsmetoden använder en autentiseringstjänst från tredje part som heter PingAccess och används när programmet använder rubriker för autentisering. I det här scenariot hanteras autentiseringen av PingAccess.
  • Formulär- eller lösenordsbaserad autentisering. Med den här autentiseringsmetoden loggar användarna in på programmet med ett användarnamn och lösenord första gången de kommer åt det. Efter den första inloggningen tillhandahåller Microsoft Entra-ID användarnamnet och lösenordet till programmet. I det här scenariot hanteras autentiseringen av Microsoft Entra-ID.
  • SAML-autentisering. SAML-baserad enkel inloggning stöds för program som använder SAML 2.0- eller WS-Federation-protokoll. Med enkel inloggning med SAML autentiserar Microsoft Entra till programmet med hjälp av användarens Microsoft Entra-konto.

Mer information om metoder som stöds finns i Välja en enkel inloggningsmetod.

Säkerhetsfördelar

Fjärråtkomstlösningen som erbjuds av Programproxy och Microsoft Entra ID stöder flera säkerhetsfördelar som kunder kan dra nytta av, inklusive:

  • Autentiserad åtkomst. Programproxy passar bäst för att publicera program med förautentisering för att säkerställa att endast autentiserade anslutningar når nätverket. Ingen trafik tillåts passera via App Proxy-tjänsten till din lokala miljö utan en giltig token för program som publicerats med förautentisering. Förautentisering blockerar till sin natur ett stort antal riktade attacker, eftersom endast autentiserade identiteter kan komma åt serverdelsprogrammet.

  • Villkorlig åtkomst. Du kan använda mer omfattande principkontroller innan anslutningar till nätverket upprättas. Med villkorsstyrd åtkomst kan du definiera begränsningar för den trafik som du tillåter för att träffa ditt serverdelsprogram. Du skapar principer som begränsar inloggningar baserat på plats, styrkan i autentiseringen och användarriskprofilen. Allt eftersom villkorlig åtkomst utvecklas läggs fler kontroller till för att ge ytterligare säkerhet, till exempel integrering med Microsoft Defender för molnet-appar. Defender för molnet Apps-integrering kan du konfigurera ett lokalt program för realtidsövervakning genom att använda villkorlig åtkomst för att övervaka och kontrollera sessioner i realtid baserat på principer för villkorsstyrd åtkomst.

  • Trafikavslut. All trafik till serverdelsprogrammet avslutas vid Programproxy-tjänsten i molnet medan sessionen återupprättas med serverdelsservern. Den här anslutningsstrategin innebär att dina serverdelsservrar inte exponeras för direkt HTTP-trafik. De är bättre skyddade mot riktade DoS-attacker (denial-of-service) eftersom brandväggen inte är under attack.

  • All åtkomst är utgående. Programproxy-anslutningsappar använder endast utgående anslutningar till Programproxy-tjänsten i molnet via portarna 80 och 443. Utan inkommande anslutningar behöver du inte öppna brandväggsportar för inkommande anslutningar eller komponenter i DMZ. Alla anslutningar är utgående och över en säker kanal.

  • Security Analytics- och Machine Learning-baserad intelligens (ML). Eftersom det är en del av Microsoft Entra-ID kan Programproxy använda Microsoft Entra ID Protection (kräver Premium P2-licensiering). Microsoft Entra ID Protection kombinerar maskininlärningssäkerhetsinformation med dataflöden från Microsofts enhet för digitala brott och Microsoft Security Response Center för att proaktivt identifiera komprometterade konton. Identity Protection erbjuder realtidsskydd mot högriskinloggningar. Det tar hänsyn till faktorer som åtkomst från infekterade enheter, anonymisering av nätverk eller från atypiska och osannolika platser för att öka riskprofilen för en session. Den här riskprofilen används för realtidsskydd. Många av dessa rapporter och händelser är redan tillgängliga via ett API för integrering med dina SIEM-system.

  • Fjärråtkomst som en tjänst. Du behöver inte bekymra dig om att underhålla och korrigera lokala servrar för att aktivera fjärråtkomst. Programproxy är en internetskalningstjänst som Microsoft äger, så du får alltid de senaste säkerhetskorrigeringarna och uppgraderingarna. Oskickad programvara står fortfarande för ett stort antal attacker. Enligt Department of Homeland Security kan så många som 85 procent av riktade attacker förhindras. Med den här tjänstmodellen behöver du inte längre bära den tunga bördan att hantera dina gränsservrar och förvränga för att korrigera dem efter behov.

  • Intune-integrering. Med Intune dirigeras företagstrafik separat från personlig trafik. Programproxy ser till att företagstrafiken autentiseras. Programproxy och intune Managed Browser-funktionen kan också användas tillsammans för att fjärranvändare ska kunna få säker åtkomst till interna webbplatser från iOS- och Android-enheter.

Översikt över molnet

En annan viktig fördel med att implementera Programproxy är att utöka Microsoft Entra-ID:t till din lokala miljö. Att implementera appproxy är i själva verket ett viktigt steg för att flytta din organisation och dina appar till molnet. Genom att flytta till molnet och bort från lokal autentisering minskar du ditt lokala fotavtryck och använder Microsoft Entra-identitetshanteringsfunktioner som kontrollplan. Med minimala eller inga uppdateringar av befintliga program har du åtkomst till molnfunktioner som enkel inloggning, multifaktorautentisering och central hantering. Att installera nödvändiga komponenter i App Proxy är en enkel process för att upprätta ett ramverk för fjärråtkomst. Och genom att flytta till molnet har du åtkomst till de senaste Funktionerna i Microsoft Entra, uppdateringar och funktioner, till exempel hög tillgänglighet och haveriberedskap.

Mer information om hur du migrerar dina appar till Microsoft Entra-ID finns i Migrera dina program till Microsoft Entra-ID.

Arkitektur

Följande diagram illustrerar i allmänhet hur Microsoft Entra-autentiseringstjänster och Programproxy arbeta tillsammans för att tillhandahålla enkel inloggning till lokala program till användare.

Microsoft Entra application proxy authentication flow

  1. När användaren har använt programmet via en slutpunkt omdirigeras användaren till inloggningssidan för Microsoft Entra. Om du har konfigurerat principer för villkorsstyrd åtkomst kontrolleras specifika villkor just nu för att säkerställa att du uppfyller organisationens säkerhetskrav.
  2. Efter en lyckad inloggning skickar Microsoft Entra-ID en token till användarens klientenhet.
  3. Klienten skickar token till Programproxy-tjänsten, som hämtar användarens huvudnamn (UPN) och säkerhetshuvudnamn (SPN) från token.
  4. Programproxy vidarebefordrar begäran, som hämtas av Programproxy-anslutningsappen.
  5. Anslutningsappen utför ytterligare autentisering som krävs för användarens räkning (valfritt beroende på autentiseringsmetod), begär programserverns interna slutpunkt och skickar begäran till det lokala programmet.
  6. Svaret från programservern skickas via anslutningsappen till Programproxy-tjänsten.
  7. Svaret skickas från Programproxy-tjänsten till användaren.
Komponent Beskrivning
Slutpunkt Slutpunkten är en URL eller en användarportal. Användare kan nå program utanför nätverket genom att komma åt en extern URL. Användare i nätverket kan komma åt programmet via en URL eller en användarportal. När användarna går till en av dessa slutpunkter autentiseras de i Microsoft Entra-ID och dirigeras sedan via anslutningsappen till det lokala programmet.
Microsoft Entra ID Microsoft Entra ID utför autentiseringen med hjälp av klientkatalogen som lagras i molnet.
Programproxy tjänst Den här Programproxy-tjänsten körs i molnet som en del av Microsoft Entra-ID. Den skickar inloggningstoken från användaren till Programproxy Anslut eller. Programproxy vidarebefordrar alla tillgängliga huvuden i begäran och anger rubrikerna enligt protokollet till klientens IP-adress. Om den inkommande begäran till proxyn redan har det huvudet läggs klientens IP-adress till i slutet av den kommaavgränsade listan som är värdet för huvudet.
Programproxy-anslutningsapp Anslutningsappen är en lätt agent som körs på en Windows Server i nätverket. Anslutningsappen hanterar kommunikationen mellan Programproxy-tjänsten i molnet och det lokala programmet. Anslutningsappen använder endast utgående anslutningar, så du behöver inte öppna några inkommande portar eller placera något i DMZ. Anslutningsapparna är tillståndslösa och hämtar information från molnet efter behov. Mer information om anslutningsappar, till exempel hur de belastningsutjämnas och autentiseras, finns i Förstå Anslutningsappar för Microsoft Entra-programproxy.
Active Directory (AD) Active Directory körs lokalt för att utföra autentisering för domänkonton. När enkel inloggning har konfigurerats kommunicerar anslutningsappen med AD för att utföra ytterligare autentisering som krävs.
Lokalt program Slutligen kan användaren komma åt ett lokalt program.

Microsoft Entra-programproxy består av den molnbaserade Programproxy-tjänsten och en lokal anslutningsapp. Anslutningsappen lyssnar efter begäranden från Programproxy-tjänsten och hanterar anslutningar till de interna programmen. Observera att all kommunikation sker via TLS och alltid kommer från anslutningstjänsten till Programproxy-tjänsten. Kommunikationen är alltså endast utgående. Anslutningsappen använder ett klientcertifikat för att autentisera till Programproxy-tjänsten för alla anrop. Det enda undantaget för anslutningssäkerheten är det första installationssteget där klientcertifikatet upprättas. Mer information finns i Programproxy Under huven.

Programproxy Anslut orer

Programproxy anslutningsappar är lätta agenter som distribueras lokalt och som underlättar den utgående anslutningen till Programproxy-tjänsten i molnet. Anslutningsprogrammen måste vara installerade på en Windows Server som har åtkomst till serverdelsprogrammet. Användare ansluter till appproxymolntjänsten som dirigerar sin trafik till apparna via anslutningsapparna enligt nedan.

Microsoft Entra application proxy network connections

Installation och registrering mellan en anslutningsapp och appproxytjänsten utförs på följande sätt:

  1. IT-administratören öppnar portarna 80 och 443 för utgående trafik och ger åtkomst till flera URL:er som behövs av anslutningsappen, App Proxy-tjänsten och Microsoft Entra-ID.
  2. Administratören loggar in på administrationscentret för Microsoft Entra och kör en körbar fil för att installera anslutningsappen på en lokal Windows-server.
  3. Anslutningsappen börjar "lyssna" på appproxytjänsten.
  4. Administratören lägger till det lokala programmet i Microsoft Entra-ID:t och konfigurerar inställningar som de URL:er som användarna behöver för att ansluta till sina appar.

Mer information finns i Planera en distribution av Microsoft Entra-programproxy.

Vi rekommenderar att du alltid distribuerar flera anslutningsappar för redundans och skalning. Anslutningsapparna tar tillsammans med tjänsten hand om alla uppgifter med hög tillgänglighet och kan läggas till eller tas bort dynamiskt. Varje gång en ny begäran tas emot dirigeras den till en av de anslutningsappar som är tillgängliga. När en anslutningsapp körs förblir den aktiv när den ansluter till tjänsten. Om en anslutningsapp är tillfälligt otillgänglig svarar den inte på den här trafiken. Oanvända anslutningsappar taggas som inaktiva och tas bort efter 10 dagars inaktivitet.

Anslut orer avsöker också servern för att ta reda på om det finns en nyare version av anslutningsappen. Även om du kan göra en manuell uppdatering uppdateras anslutningsappar automatiskt så länge Programproxy Anslut eller Updater-tjänsten körs. För klienter med flera anslutningsappar är de automatiska uppdateringarna inriktade på en anslutningsapp i taget i varje grupp för att förhindra stilleståndstid i din miljö.

Kommentar

Du kan övervaka sidan Programproxy versionshistorik så att den meddelas när uppdateringar har släppts genom att prenumerera på rss-flödet.

Varje Programproxy anslutningsapp tilldelas till en anslutningsgrupp. Anslut orer i samma anslutningsgrupp fungerar som en enda enhet för hög tillgänglighet och belastningsutjämning. Du kan skapa nya grupper, tilldela anslutningsappar till dem i administrationscentret för Microsoft Entra och sedan tilldela specifika anslutningsappar för att hantera specifika program. Vi rekommenderar att du har minst två anslutningsappar i varje anslutningsgrupp för hög tillgänglighet.

Anslut eller-grupper är användbara när du behöver stöd för följande scenarier:

  • Geografisk apppublicering
  • Programsegmentering/isolering
  • Publicera webbappar som körs i molnet eller lokalt

Mer information om hur du väljer var du vill installera dina anslutningsappar och optimera nätverket finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.

Andra användningsfall

Fram till nu har vi fokuserat på att använda Programproxy för att publicera lokala appar externt samtidigt som du aktiverar enkel inloggning till alla dina molnappar och lokala appar. Det finns dock andra användningsfall för App Proxy som är värda att nämna. De omfattar:

  • Publicera REST-API:er på ett säkert sätt. När du har affärslogik eller API:er som körs lokalt eller finns på virtuella datorer i molnet tillhandahåller Programproxy en offentlig slutpunkt för API-åtkomst. Med API-slutpunktsåtkomst kan du styra autentisering och auktorisering utan att kräva inkommande portar. Det ger ytterligare säkerhet via Microsoft Entra ID P1- eller P2-funktioner, till exempel multifaktorautentisering och enhetsbaserad villkorlig åtkomst för stationära datorer, iOS-, MAC- och Android-enheter med Intune. Mer information finns i Så här aktiverar du interna klientprogram för att interagera med proxyprogram och Skydda ett API med hjälp av OAuth 2.0 med Microsoft Entra ID och API Management.
  • Fjärrskrivbordstjänster(RDS). Standard-RDS-distributioner kräver öppna inkommande anslutningar. RDS-distributionen med Programproxy har dock en permanent utgående anslutning från servern som kör anslutningstjänsten. På så sätt kan du erbjuda fler program till användare genom att publicera lokala program via Fjärrskrivbordstjänster. Du kan också minska attackytan för distributionen med en begränsad uppsättning tvåstegsverifiering och kontroller för villkorsstyrd åtkomst till RDS.
  • Publicera program som ansluter med WebSockets. Stöd med Qlik Sense finns i offentlig förhandsversion och kommer att utökas till andra appar i framtiden.
  • Aktivera interna klientprogram för att interagera med proxyprogram. Du kan använda Microsoft Entra-programproxy för att publicera webbappar, men det kan också användas för att publicera interna klientprogram som har konfigurerats med Microsoft Authentication Library (MSAL). Interna klientprogram skiljer sig från webbappar eftersom de är installerade på en enhet, medan webbappar nås via en webbläsare.

Slutsats

Vårt sätt att arbeta och de verktyg vi använder förändras snabbt. Med fler anställda som tar sina egna enheter till jobbet och den genomgripande användningen av SaaS-program (Software-as-a-Service) måste organisationers sätt att hantera och skydda sina data också utvecklas. Företag arbetar inte längre enbart inom sina egna väggar, skyddade av en vallgrav som omger deras gräns. Data överförs till fler platser än någonsin tidigare – i både lokala och molnbaserade miljöer. Den här utvecklingen har bidragit till att öka användarnas produktivitet och förmåga att samarbeta, men det gör det också svårare att skydda känsliga data.

Oavsett om du för närvarande använder Microsoft Entra-ID för att hantera användare i ett hybrid samexistensscenario eller är intresserad av att starta din resa till molnet, kan implementering av Microsoft Entra-programproxy hjälpa till att minska storleken på ditt lokala fotavtryck genom att tillhandahålla fjärråtkomst som en tjänst.

Organisationer bör börja dra nytta av App Proxy idag för att dra nytta av följande fördelar:

  • Publicera lokala appar externt utan att behöva använda traditionella VPN-tjänster eller andra lokala webbpubliceringslösningar och DMZ-metoder
  • Enkel inloggning till alla program, oavsett om de är Microsoft 365 eller andra SaaS-appar och inklusive lokala program
  • Säkerhet i molnskala där Microsoft Entra använder Microsoft 365-telemetri för att förhindra obehörig åtkomst
  • Intune-integrering för att säkerställa att företagstrafiken autentiseras
  • Centralisering av hantering av användarkonton
  • Automatiska uppdateringar för att säkerställa att du har de senaste säkerhetskorrigeringarna
  • Nya funktioner när de släpps; det senaste stödet för enkel inloggning med SAML och mer detaljerad hantering av programcookies

Nästa steg