分享方式:

使用 Microsoft Entra 應用程式 Proxy 來為遠端使用者發佈內部部署應用程式

  • 文章

Microsoft Entra 應用程式 Proxy 提供內部部署 Web 應用程式的安全遠端存取。 單一登入 Microsoft Entra ID 之後,使用者可透過外部 URL 或內部應用程式入口網站來存取雲端與內部部署應用程式。 例如,應用程式 Proxy 可以提供遠端桌面、SharePoint、Teams、Tableau、Qlik 和企業營運 (LOB) 應用程式的遠端訪問和單一登錄。

Microsoft Entra 應用程式 Proxy 為:

  • 容易使用。 用戶可以使用與 Microsoft Entra ID 整合Microsoft 365 和其他 SaaS 應用程式的方式存取內部部署應用程式。 您不需要變更或更新應用程式以使用應用程式 Proxy。

  • 安全。 內部部署應用程式可以使用 Azure 的授權控制和安全性分析。 例如,內部部署應用程式可以使用條件式存取和雙步驟驗證。 應用程式 Proxy 不需要您透過防火牆開啟輸入連線。

  • 符合成本效益。 內部部署解決方案通常需要您設定和維護非軍事區域(DMZ)、邊緣伺服器或其他複雜的基礎結構。 應用程式 Proxy 會在雲端中執行,這可讓您輕鬆使用。 若要使用應用程式 Proxy,您不需要變更網路基礎結構,或在您的內部部署環境中安裝更多設備。

提示

如果您已經有Microsoft Entra ID,您可以將它當作一個控制平面,以允許順暢且安全的存取內部部署應用程式。

雖然不完整,但下列清單說明在混合式共存案例中使用應用程式 Proxy 的範例:

  • 不使用 DMZ,以簡化的方式在外部發佈內部部署 Web 應用程式
  • 在雲端與內部部署的裝置、資源與應用程式之間支援單一登入 (SSO)
  • 支援雲端和內部部署應用程式的多重要素驗證
  • 利用 Microsoft 雲端的安全性快速運用雲端功能
  • 集中用戶帳戶管理
  • 集中控制身分識別和安全性
  • 根據群組成員資格自動新增或移除應用程式的使用者存取權

本文說明Microsoft Entra ID 和應用程式 Proxy 如何為遠端使用者提供單一登錄 (SSO) 體驗。 使用者可以安全地連線到內部部署應用程式,而不需要透過 VPN 或雙重主伺服器和防火牆規則。 本文可協助您,了解應用程式 Proxy 如何將雲端的功能和安全性優點,帶入到內部部署 Web 應用程式。 文中也會說明可行的架構和拓撲。

提示

應用程式 Proxy 包含可在雲端中執行的應用程式 Proxy 服務,以及內部部署伺服器上執行的專用網連接器。 Microsoft Entra ID、應用程式 Proxy 服務和專用網連接器一起運作,以安全地將使用者登入令牌從 Microsoft Entra ID 傳遞至 Web 應用程式。

應用程式 Proxy 適用於:

應用程式 Proxy 支援單一登錄。 如需支援方法的詳細資訊,請參閱 選擇單一登錄方法

過去遠端訪問

先前,用於保護內部資源不受攻擊者攻擊的控制平面,同時協助遠端使用者存取全都位於 DMZ 或周邊網路中。 但外部客戶端用來存取公司資源的 DMZ 中部署的 VPN 和反向 Proxy 解決方案並不適合雲端世界。 它們通常有下列缺點:

  • 硬體成本
  • 維護安全性 (修補、監視埠等等)
  • 在邊緣驗證使用者
  • 將使用者驗證至周邊網路中網頁伺服器
  • 使用 VPN 用戶端軟體的散發和設定,維護遠端使用者的 VPN 存取。 此外,在 DMZ 中維護已加入網域的伺服器,這可能會容易受到外部攻擊。

在現今的雲端優先世界中,Microsoft Entra ID 最適合控制誰和哪些人進入您的網路。 Microsoft Entra 應用程式 Proxy 與新式驗證和雲端式技術整合,例如 SaaS 應用程式和身分識別提供者。 這項整合可讓使用者從任何地方存取應用程式。 應用程式 Proxy 不僅適合現今的數位工作場所,而且比 VPN 和反向 Proxy 解決方案更安全,而且更容易實作。 遠端使用者可以存取內部部署應用程式的方式,就像他們存取Microsoft和其他與 entra ID 整合Microsoft SaaS 應用程式一樣。 您不需要變更或更新應用程式以使用應用程式 Proxy。 此外,應用程式 Proxy 不需要您透過防火牆開啟輸入連線。 使用應用程式 Proxy 時,您只需設定它並忘記它。

遠端訪問的未來

在現今的數位工作場所中,用戶隨處使用多個裝置和應用程式。 唯一的常數是使用者身分識別。 這就是為什麼現今安全網路的第一個步驟是使用 Microsoft Entra 身分識別管理功能 作為安全性控制平面。 使用身分識別作為控制平面的模型通常由下列元件組成:

  • 識別提供者,用來追蹤使用者和使用者相關信息。
  • 裝置目錄,可維護可存取公司資源的裝置清單。 此目錄包含對應的裝置資訊(例如裝置類型、完整性等等)。
  • 原則評估服務,可判斷使用者和裝置是否符合安全性系統管理員所設定的原則。
  • 授與或拒絕組織資源存取的能力。

使用應用程式 Proxy 時,Microsoft Entra ID 會追蹤需要存取內部部署和雲端中發佈的 Web 應用程式的使用者。 它為這些應用程式提供集中管理點。 雖然不需要,但建議您也啟用Microsoft Entra 條件式存取。 藉由定義使用者如何驗證和取得存取權的條件,您可以進一步確保正確的人員存取您的應用程式。

注意

請務必瞭解,Microsoft Entra 應用程式 Proxy 是做為需要存取內部資源的漫遊(或遠端)使用者的 VPN 或反向 Proxy 取代。 它不適用於公司網路上的內部使用者。 不必要地使用應用程式 Proxy 的內部使用者可能會造成非預期且不想要的效能問題。

Microsoft Entra 識別碼和所有應用程式

應用程式 Proxy 運作方式概觀

此圖顯示Microsoft Entra ID 和應用程式 Proxy 如何一起運作,以提供對內部部署應用程式的單一登錄。

Microsoft Entra 應用程式 Proxy 的圖表。

  1. 在透過端點存取應用程式之後,使用者會被導向至 Microsoft Entra 登入頁面。
  2. Microsoft Entra ID 會在成功登入之後,將令牌傳送給使用者的用戶端裝置。
  3. 用戶端會將令牌傳送至應用程式 Proxy 服務。 服務會從令牌擷取用戶主體名稱 (UPN) 和安全性主體名稱 (SPN)。 然後,應用程式 Proxy 會將要求傳送至連接器。
  4. 連接器會代表使用者執行所需的單一登錄 (SSO) 驗證。
  5. 該連接器會將要求傳送至內部部署應用程式。
  6. 回應會透過連接器和應用程式 Proxy 服務傳送給使用者。

注意

與大多數Microsoft Entra 混合式代理程序一樣,專用網連接器不需要您透過防火牆開啟輸入連線。 步驟 3 中的使用者流量會在應用程式 Proxy 服務終止。 位於您專用網中的專用網連接器負責其餘的通訊。

元件 描述
端點 端點是 URL 或 使用者入口網站。 用戶可以透過存取外部 URL,在網路外部連線到應用程式。 您網路內的使用者可以透過 URL 或使用者入口網站存取應用程式。 當使用者移至其中一個端點時,他們會在 Microsoft Entra ID 中驗證,然後透過連接器路由傳送至內部部署應用程式。
Microsoft Entra ID Microsoft Entra ID 會使用儲存在雲端中的租用戶目錄來執行驗證。
應用程式 Proxy 服務 此應用程式 Proxy 服務會在雲端中執行,做為Microsoft Entra ID 的一部分。 它會將登入令牌從用戶傳遞至專用網連接器。 應用程式 Proxy 會將要求上的任何可存取標頭轉送,並根據其通訊協定將標頭設定為用戶端 IP 位址。 如果 Proxy 的連入要求已經有該標頭,用戶端 IP 位址會新增至標頭值的逗號分隔清單結尾。
專用網連接器 連接器是輕量型代理程式,可在網路內的 Windows Server 上執行。 連接器會管理雲端中應用程式 Proxy 服務與內部部署應用程式之間的通訊。 連接器只會使用輸出連線,因此您不需要在因特網對向網路中開啟輸入埠。 連接器是無狀態的,並視需要從雲端提取資訊。 如需連接器的詳細資訊,例如連接器的負載平衡和驗證方式,請參閱 瞭解Microsoft Entra 專用網連接器
Active Directory (AD) Active Directory 會在內部部署執行,以執行網域帳戶的驗證。 設定單一登錄時,連接器會與 AD 通訊,以執行所需的任何額外驗證。
內部部署應用程式 最後,用戶能夠存取內部部署應用程式。

應用程式 Proxy 是您在 Microsoft Entra 系統管理中心中設定的 Microsoft Entra 服務。 它可讓您在 Azure 雲端中發佈外部公用 HTTP/HTTPS URL 端點,以連線到您組織中的內部應用程式伺服器 URL。 這些內部部署 Web 應用程式可以與 Microsoft Entra ID 整合,以支援單一登錄。 然後,使用者可以存取內部部署 Web 應用程式的方式,就像他們存取 Microsoft 365 和其他 SaaS 應用程式一樣。

此功能的元件包括應用程式 Proxy 服務、在雲端中執行的應用程式 Proxy 服務、專用網連接器,這是在內部部署伺服器上執行的輕量型代理程式,以及身分識別提供者Microsoft Entra ID。 這三個元件都會一起運作,為使用者提供單一登錄體驗,以存取內部部署 Web 應用程式。

使用者驗證之後,外部使用者可以使用顯示 URL 或從其桌面或 iOS/MAC 裝置 我的應用程式 存取內部部署 Web 應用程式。 例如,應用程式 Proxy 可以提供遠端桌面、SharePoint 網站、Tableau、Qlik、Outlook 網頁版 和企業營運 (LOB) 應用程式的遠端訪問和單一登錄。

Microsoft Entra 應用程式 Proxy 架構

驗證

有數種方式可以設定應用程式進行單一登錄,而您選取的方法取決於應用程式所使用的驗證。 應用程式 Proxy 支援下列型態的應用程式:

  • Web 應用程式
  • 您想要在不同裝置上公開給豐富應用程式的 Web API
  • 裝載在遠端桌面閘道後方的應用程式
  • 與 Microsoft 驗證連結庫整合的 豐富用戶端應用程式 (MSAL)

應用程式 Proxy 適用於使用下列原生驗證通訊協定的應用程式:

  • 綜合 Windows 驗證(IWA)。 針對 IWA,專用網連接器會使用 Kerberos 限制委派 (KCD) 向 Kerberos 應用程式驗證使用者。

應用程式 Proxy 也支援下列驗證通訊協定與第三方整合,或在特定組態案例中:

  • 標頭型驗證。 此登入方法會使用名為 PingAccess 的第三方驗證服務,並在應用程式使用標頭進行驗證時使用。 在此案例中,PingAccess 會處理驗證。
  • 表單或密碼型驗證。 使用此驗證方法,使用者第一次存取應用程式時,使用使用者名稱和密碼登入應用程式。 第一次登入之後,Microsoft Entra ID 會提供應用程式的使用者名稱和密碼。 在此案例中,驗證會由Microsoft Entra ID 來處理。
  • SAML 驗證。 使用 SAML 2.0 或 WS 同盟通訊協定的應用程式支援 SAML 型單一登錄。 透過 SAML 單一登入,使用使用者的 Microsoft Entra 帳戶對應用程式進行 Microsoft Entra 驗證。

如需支援方法的詳細資訊,請參閱 選擇單一登錄方法

安全性優點

應用程式 Proxy 和 Microsoft Entra 提供的遠端存取解決方案支援客戶可以利用的數個安全性優點,包括:

  • 已驗證的存取權。 應用程式 Proxy 最適合使用 預先驗證 發佈應用程式,以確保只有已驗證的聯機會叫用到您的網路。 不允許任何流量透過應用程式 Proxy 服務傳遞至內部部署環境,而不需要使用預先驗證發行之應用程式的有效令牌。 預先驗證的本質是封鎖大量目標攻擊,因為只有已驗證的身分識別可以存取後端應用程式。

  • 條件式存取。 建立網路連線之前,可以套用更豐富的原則控制。 透過條件式存取,您可以定義允許叫用後端應用程式的流量限制。 您可以建立原則,以根據位置、驗證強度和用戶風險配置檔來限制登入。 隨著條件式存取的發展,會新增更多控件,以提供額外的安全性,例如與 適用於雲端的 Microsoft Defender Apps 整合。 適用於雲端的 Defender Apps 整合可讓您利用條件式存取,根據條件式存取原則即時監視及控制會話,以設定內部部署應用程式以進行即時監視

  • 流量終止。 在後端伺服器重新建立會話時,後端應用程式的所有流量都會在雲端的應用程式 Proxy 服務終止。 此連線策略表示您的後端伺服器不會公開至直接 HTTP 流量。 它們會受到更好的保護,以防止目標 DoS(拒絕服務)攻擊,因為您的防火牆並未受到攻擊。

  • 所有存取都是輸出。 專用網連接器只會透過埠 80 和 443,對雲端中的應用程式 Proxy 服務使用輸出連線。 如果沒有輸入連線,就不需要針對 DMZ 中的連入連線或元件開啟防火牆埠。 所有連線都是輸出和透過安全通道。

  • 以安全性分析和 機器學習 (ML) 為基礎的情報。 因為它是Microsoft Entra ID 的一部分,所以應用程式 Proxy 可以利用 Microsoft Entra ID Protection (需要 進階 P2 授權)。 Microsoft Entra ID Protection 結合了機器學習安全性情報與來自 Microsoft 數位犯罪單位和 Microsoft 安全性回應中心的數據摘要,以主動識別遭入侵的帳戶。 Identity Protection 提供來自高風險登入的實時保護。它會考慮從受感染裝置、透過匿名網路或非典型且不太可能的位置存取等因素,以增加會話的風險配置檔。 此風險配置檔用於即時保護。 這些報告和事件中有許多已可透過 API 取得,以便與您的 SIEM 系統整合。

  • 遠端訪問即服務。 您不必擔心維護及修補內部部署伺服器以啟用遠端訪問。 應用程式 Proxy 是Microsoft擁有的因特網規模服務,因此您一律會取得最新的安全性修補程式和升級。 未修補的軟體仍會造成大量攻擊。 根據國土安全部的說法,多達 85%的目標襲擊是可以預防的。 有了此服務模型,您就不需要承擔管理邊緣伺服器的繁重負擔,並爭先恐後地進行修補。

  • Intune 整合。 使用 Intune 時,公司流量會與個人流量分開路由傳送。 應用程式 Proxy 可確保已驗證公司流量。 應用程式 Proxy 和 Intune Managed Browser 功能也可以一起使用,讓遠端用戶能夠安全地從 iOS 和 Android 裝置存取內部網站。

雲端藍圖

實作應用程式 Proxy 的另一個主要優點是將Microsoft Entra 標識碼延伸至您的內部部署環境。 事實上,實作應用程式 Proxy 是將組織和應用程式移至雲端的重要步驟。 藉由移至雲端,遠離內部部署驗證,您可以減少內部部署使用量,並使用 Microsoft Entra 身分識別管理功能作為控制平面。 只要對現有應用程式進行最少或沒有更新,您就能夠存取雲端功能,例如單一登錄、多重要素驗證和集中管理。 將必要的元件安裝至應用程式 Proxy 是建立遠端存取架構的簡單程式。 透過移至雲端,您可以存取最新的Microsoft Entra 功能、更新和功能,例如高可用性和災害復原。

若要深入瞭解如何將應用程式移轉至 Microsoft Entra 標識碼,請參閱 將您的應用程式移轉至 Microsoft Entra 識別碼

架構

此圖說明一般Microsoft Entra 驗證服務和應用程式 Proxy 如何一起運作,為使用者提供內部部署應用程式的單一登錄。

Microsoft Entra 應用程式 Proxy 驗證流程

  1. 使用者透過端點存取應用程式之後,會將使用者重新導向至 Microsoft Entra 登入頁面。 如果您已設定條件式存取原則,此時會檢查特定條件,以確保您符合組織的安全性需求。
  2. 成功登入之後,Microsoft Entra ID 會將權杖傳送至使用者的用戶端裝置。
  3. 用戶端會將令牌傳送至應用程式 Proxy 服務,從令牌擷取用戶主體名稱 (UPN) 和安全性主體名稱 (SPN)。
  4. 應用程式 Proxy 會轉送要求,而此要求是由 專用網連接器所挑選。
  5. 連接器會代表使用者執行任何其他所需的驗證(視驗證方法而定),要求應用程式伺服器的內部端點,並將要求傳送至內部部署應用程式。
  6. 來自應用程式伺服器的回應會透過連接器傳送至應用程式 Proxy 服務。
  7. 回應會從應用程式 Proxy 服務傳送給使用者。

Microsoft Entra 應用程式 Proxy 是由雲端式應用程式 Proxy 服務和內部部署連接器所組成。 連接器會接聽來自應用程式 Proxy 服務的要求,並處理與內部應用程式的連線。 請務必注意,所有通訊都會透過TLS發生,且一律源自應用程式 Proxy 服務的連接器。 也就是說,通訊只會輸出。 連接器會使用客戶端憑證向應用程式 Proxy 服務驗證所有呼叫。 線上安全性的唯一例外是建立客戶端憑證的初始設定步驟。 如需詳細資訊,請參閱應用程式 Proxy

Microsoft Entra 專用網連接器

應用程式 Proxy 會使用 Microsoft Entra 專用網連接器。 Microsoft Entra 私人存取 使用相同的連接器。 若要深入了解連接器,請參閱 Microsoft Entra 專用網連接器

其他使用案例

到目前為止,我們一直專注於使用應用程式 Proxy 在外部發佈內部部署應用程式,同時啟用所有雲端和內部部署應用程式的單一登錄。 不過,對於值得一提的應用程式 Proxy,還有其他使用案例。 其中包含:

  • 安全地發佈 REST API。 當您有執行內部部署或裝載於雲端虛擬機的商業規則或 API 時,應用程式 Proxy 會提供公用端點以供 API 存取。 API 端點存取可讓您控制驗證和授權,而不需要連入埠。 它透過 Microsoft Entra ID P1 或 P2 功能提供額外的安全性,例如使用 Intune 的桌面、iOS、MAC 和 Android 裝置的多重要素驗證和裝置型條件式存取。 若要深入瞭解,請參閱如何讓原生用戶端應用程式與 Proxy 應用程式互動,並使用 OAuth 2.0 搭配 Microsoft Entra ID 和 API 管理 來保護 API。
  • 遠端桌面服務(RDS)。 標準 RDS 部署需要開啟的輸入連線。 不過,使用應用程式 ProxyRDS 部署具有從執行連接器服務的伺服器永久輸出連線。 如此一來,您可以透過遠端桌面服務發佈內部部署應用程式,為使用者提供更多應用程式。 您也可以使用一組有限的雙步驟驗證和 RDS 的條件式訪問控制來減少部署的攻擊面。
  • 發佈使用 WebSocket 連線的應用程式。 Qlik Sense 的支援處於公開預覽狀態,未來將會擴充至其他應用程式。
  • 啟用原生用戶端應用程式與 Proxy 應用程式互動。 您可以使用Microsoft Entra 應用程式 Proxy 來發佈 Web 應用程式,但也可用來發佈 使用 Microsoft 驗證連結庫 (MSAL) 設定的原生用戶端應用程式 。 原生用戶端應用程式與 Web 應用程式不同,因為它們已安裝在裝置上,而 Web 應用程式則是透過瀏覽器存取。

結論

我們的工作方式和我們使用的工具會快速變更。 隨著更多員工攜帶自己的裝置運作,以及軟體即服務 (SaaS) 應用程式的普遍使用方式,組織管理和保護其數據的方式也必須演進。 公司不再獨自在自己的牆壁內運營,由包圍邊界的護河保護。 數據會跨越內部部署和雲端環境,前往比以往更多的位置。 這種演進有助於提升使用者的生產力和共同作業能力,但也使得保護敏感數據更具挑戰性。

無論您是目前使用 Microsoft Entra 識別符來管理混合式共存案例中的使用者,還是有興趣開始雲端旅程,實作 Microsoft Entra 應用程式 Proxy 可藉由提供遠端訪問即服務來協助減少內部部署使用量的大小。

組織應該立即開始利用應用程式 Proxy,以利用下列優點:

  • 在外部發佈內部部署應用程式,而不需要維護傳統 VPN 或其他內部部署 Web 發佈解決方案和 DMZ 方法的相關額外負荷
  • 所有應用程式的單一登錄,都是Microsoft 365或其他 SaaS 應用程式,包括內部部署應用程式
  • Microsoft Entra 利用Microsoft 365 遙測來防止未經授權的存取的雲端規模安全性
  • Intune整合以確保已驗證公司流量
  • 用戶帳戶管理的集中化
  • 自動更新以確保您有最新的安全性修補程式
  • 新功能發行時;最近支援SAML單一登錄和更細微的應用程式Cookie管理

下一步