透過Microsoft Entra應用程式 Proxy 遠端存取內部部署應用程式

Microsoft Entra應用程式 Proxy 提供對內部部署 Web 應用程式的安全遠端存取。 單一登入Microsoft Entra識別碼之後,使用者可以透過外部 URL 或內部應用程式入口網站來存取雲端和內部部署應用程式。 例如,應用程式 Proxy 可提供遠端桌面、SharePoint、Teams、Tableau、Qlik 與企業營運 (LOB) 應用程式的遠端存取與單一登入。

Microsoft Entra應用程式 Proxy 為:

  • 用法簡單。 使用者可以以存取 Microsoft 365 和其他與Microsoft Entra識別碼整合之 SaaS 應用程式的方式存取內部部署應用程式。 您不需要變更或更新應用程式,即可使用應用程式 Proxy。

  • 安全。 內部部署應用程式可以使用 Azure 的授權控制項和安全性分析。 例如,內部部署應用程式可以使用條件式存取和雙步驟驗證。 應用程式 Proxy 不需要您穿過防火牆開啟輸入連線。

  • 符合成本效益。 內部部署解決方案則一般需要您設定及維護周邊網路 (DMZ)、Edge Server 或其他複雜的基礎結構。 應用程式 Proxy 在雲端中執行,這使其更容易使用。 若要使用應用程式 Proxy,您不需要變更網路基礎結構,或在內部部署環境中安裝額外的設備。

什麼是應用程式 Proxy?

應用程式 Proxy是Microsoft Entra識別碼的功能,可讓使用者從遠端用戶端存取內部部署 Web 應用程式。 應用程式 Proxy 包括在雲端中執行的應用程式 Proxy 服務,和在內部部署伺服器上執行的應用程式 Proxy 連接器。 Microsoft Entra識別碼、應用程式 Proxy服務和應用程式 Proxy連接器一起運作,安全地將使用者登入權杖從Microsoft Entra識別碼傳遞至 Web 應用程式。

應用程式 Proxy 適用於:

  • 使用整合式 Windows 驗證來進行驗證的 Web 應用程式
  • 使用表單架構或標頭型存取的 Web 應用程式
  • 您想要公開給不同裝置上豐富應用程式的 Web API
  • 裝載在遠端桌面閘道之後的應用程式
  • 與 Microsoft Authentication Library (MSAL) 整合的豐富型用戶端應用程式

應用程式 Proxy 支援單一登入。 如需有關支援的方法的詳細資訊,請參閱選擇單一登入方法

應用程式 Proxy 有利於遠端使用者存取內部資源。 應用程式 Proxy 會取代 VPN 或反向 Proxy 的需求。 其適用對象並非公司網路的內部使用者。 非必要卻使用應用程式 Proxy 的這些使用者會造成非預期且不樂見的效能問題。

應用程式 Proxy 的運作方式

下圖顯示Microsoft Entra識別碼和應用程式 Proxy如何一起運作,以提供對內部部署應用程式的單一登入。

Microsoft Entra應用程式 Proxy 圖表

  1. 使用者透過端點存取應用程式之後,系統會將使用者導向至Microsoft Entra登入頁面。
  2. 成功登入之後,Microsoft Entra識別碼會將權杖傳送給使用者的用戶端裝置。
  3. 用戶端會將權杖傳送至應用程式 Proxy 服務,該服務會從權杖中擷取使用者主體名稱 (UPN) 與安全性主體名稱 (SPN)。 然後,應用程式 Proxy 會將要求傳送至應用程式 Proxy 連接器。
  4. 若您已設定單一登入,則連接器會執行代表使用者所需的任何額外驗證。
  5. 該連接器會將要求傳送至內部部署應用程式。
  6. 回應會透過應用程式 Proxy 服務與連接器傳送給使用者。

注意

如同大部分Microsoft Entra混合式代理程式,應用程式 Proxy連接器不需要您透過防火牆開啟輸入連線。 步驟 3 中的使用者流量會在Microsoft Entra識別碼) 中的應用程式 Proxy服務 (終止。 應用程式 Proxy 連接器 (內部部署) 負責通訊的其餘部分。

元件 描述
端點 端點可以是 URL 或使用者入口網站。 使用者可以藉由存取外部 URL,來連線網路外部的應用程式。 您網路內的使用者可以透過 URL 或使用者入口網站存取應用程式。 當使用者移至這些端點的其中一個時,他們會在Microsoft Entra識別碼中進行驗證,然後透過連接器路由傳送至內部部署應用程式。
Microsoft Entra 識別碼 Microsoft Entra識別碼會使用儲存在雲端中的租使用者目錄來執行驗證。
應用程式 Proxy 服務 此應用程式 Proxy服務會在雲端中執行,作為Microsoft Entra識別碼的一部分。 它會將登入權杖從使用者傳遞至應用程式 Proxy 連接器時。 應用程式 Proxy 在請求上轉送任何可存取的標頭,並根據其通訊協定將標頭設定為用戶端 IP 位址。 如果對 Proxy 的連入要求中已經有該標頭,則將用戶端 IP 位址加入到以逗號分隔清單的結尾,該用戶端 IP 位址是標頭的值。
應用程式 Proxy 連接器 連接器是位於網路內部 Windows 伺服器上執行的輕量型代理程式。 連接器管理雲端中的應用程式 Proxy 服務與內部部署應用程式之間的通訊。 連接器僅使用輸出連線,因此您不需要開啟任何輸入連接埠,或在 DMZ 中放置任何物件。 連接器是無狀態的,且在必要時會從雲端提取資訊。 如需連接器的詳細資訊,例如它們如何負載平衡和驗證,請參閱瞭解應用程式 Proxy 連接器Microsoft Entra
Active Directory (AD) Active Directory 在內部部署執行以對網域帳戶執行驗證。 設定單一登入之後,連接器將與 AD 通訊以執行所需的任何額外的驗證。
內部部署應用程式 最後,使用者就能夠存取內部部署應用程式。

後續步驟

若要開始使用應用程式 Proxy,請參閱教學課程:新增內部部署應用程式以便透過應用程式 Proxy 進行遠端存取