Microsoft Entra Suite 提供了部署可靠解决方案的功能,用于控制谁可以在现代远程工作方案中访问本地和旧版应用程序。 Microsoft Entra Private Access 使组织能够现代化用户如何安全地连接到现有 Web 应用、旧应用和其他专用网络上的资源,无论用户是在本地还是远程访问。 权利管理使组织能够大规模管理标识和访问生命周期,方法是自动执行访问请求工作流、访问分配、评审和过期。
与云应用、支持预配或联合身份验证或安全组的本地应用类似,通过 Microsoft Entra Private Access 为连接配置的应用可以集成到权利管理中,从而允许组织跨多种类型的资源保持一致的治理过程。
传统上,Entra 应用程序代理用于提供对本地基于 Web 的应用程序的安全远程访问,而无需 VPN。 远程工作的用户可能仍需要访问传统上需要 VPN 作为协议(如 MSSQL、SSH 或 RDP)的非基于 Web 的应用。 这提供了两个关键问题:
- 大多数 VPN 都允许访问整个网络
- 某些 VPN 一贯授予任何拥有客户端的人访问权限,并且不会检查用户是否被授权访问。
常见应用场景
以下方案说明了 Microsoft Entra Suite 如何通过管理谁可以访问专用网络上的应用程序来帮助环境现代化。
方案 1:非 Active Directory 集成应用程序的 VPN 替换
Entra ID Governance 可以确定谁应该有权访问本地应用,使用户能够在用户未位于本地时通过 Entra Private Access 安全地访问应用。
许多组织在专用网络上都有应用程序,使分配的用户能够在用户位于其组织的网络上时访问这些应用。 通过Microsoft Entra 的预配连接器,Entra ID Governance 可以协调在大多数本地系统中(例如 LDAP 目录或 SQL 数据库)中创建用户帐户。
根据你的方案,Entra 中将有两个或三个对象表示真实应用程序:
- 将有一个应用程序对象,该对象表示与该应用程序终结点的 Entra Private Access 连接。
- 如果应用程序作为身份提供商联合到 Microsoft Entra 目录,则会有一个应用程序对象,代表对应用程序的端点进行用户身份验证,例如使用 SAML、OAuth 或 OpenID Connect。
- 如果应用程序使用本地预配代理连接器通过 LDAP、SQL、PowerShell、SOAP 或 REST 进行预配,则将有一个表示预配集成的应用程序对象。
- 如果应用程序使用由 Microsoft Entra 创建的 Active Directory 组(请参阅下面的方案 3),则会有一个组
在访问包中包含相关应用程序的资源,当用户请求包并获得批准时,他们将在每个应用中接收应用角色分配。 这将导致他们(如果需要)被配置到应用中,并由 Microsoft Entra 根据请求为用户颁发应用的联合令牌,且允许用户通过 Entra 私有访问连接到应用。 当用户的访问包分配结束时,将从应用中删除其帐户,并且也会撤销其连接到应用的能力。
方案 2:本地 Active Directory 集成应用程序的 VPN 替换
组织在为混合用户(即身份既存在于云中又存在于本地的用户)启用 AD 集成应用程序方面经常面临挑战。 通过利用 Entra 专用访问、权利管理和组写回,组织可以对混合用户实现对与 AD 集成的本地应用的受控访问。
为 Entra 中的一个组配置了组写回,它将 Entra 组成员身份与本地 AD 组同步。 用户通过提交 Entra 中包含 Entra 安全组的访问包的请求来启动该过程。 请求获得批准后,将向用户分配访问包并添加到组。
通过组写回,用户的 Entra 组成员身份反映在相应的本地 AD 组中。 此同步可确保本地 AD 组的成员身份始终与 Entra 中的更改保持同步。 而本地 AD 组则配置为提供对目标本地应用程序的访问权限。 组成员身份配置了私有访问范围策略,该策略定义了用户在何种条件下可以安全地连接到本地资源。
预配用户访问权限后,他们现在可以通过 Entra Private Access 安全地连接到本地应用程序。
方案 3:未连接应用程序的 VPN 替代方案
组织可能具有不支持任何预配协议或新式身份验证协议(如 Kerberos 或 SAML)的旧版应用程序。 在这些方案中,组织可以手动将用户预配到应用,然后将应用放入单独的网段(VLAN),以及其依赖项和 Entra Private Access 代理。 这可以防止用户即使在本地也无法连接到应用。
然后,用户可以请求对受保护应用的访问权限。 获得批准后,Entra ID Governance 会打开服务票证(例如,在 ServiceNow 中),以便应用所有者手动为员工 提供在系统中的帐户。 然后,Entra ID 治理将用户分配给 Entra 中应用的表示形式。
现在,当员工从电脑连接到应用时,Entra Private Access 会自动将连接安全地从电脑传送到受保护的应用。
当访问分配过期时,Entra ID Governance 同样会打开另一个票证,让应用所有者手动删除其帐户,从而删除用户连接到该应用程序的能力。
