規劃 Microsoft Entra 應用程式 Proxy 部署
Microsoft Entra 應用程式 Proxy 是內部部署應用程式的安全且符合成本效益的遠端存取解決方案。 它為「雲端優先」組織提供立即轉換路徑,以管理對尚未使用新式通訊協定的舊版內部部署應用程式的存取權。 如需其他簡介資訊,請參閱 什麼是應用程式 Proxy 。
應用程式 Proxy 有利於遠端使用者存取內部資源。 應用程式 Proxy取代這些遠端存取使用案例的 VPN 或反向 Proxy 需求。 不適用於在公司網路上的使用者。 使用這些應用程式 Proxy進行內部網路存取的使用者可能會遇到不良的效能問題。
本文包含規劃、操作及管理 Microsoft Entra 應用程式 Proxy 所需的資源。
計劃您的實作
下一節將提供主要規劃元素的廣泛觀點,這些元素將帶給您有效率的部署體驗。
必要條件
開始實作之前,您必須符合下列必要條件。 您可以在本教學課程中看到有關設定環境的詳細資訊,包括這些必要條件。
連線or :連線ors 是輕量型代理程式,您可以部署到:
- 內部部署實體硬體
- 裝載在任何 Hypervisor 解決方案內的 VM
- 裝載在 Azure 中的 VM,以啟用應用程式 Proxy服務的輸出連線。
如需更詳細的概觀,請參閱 瞭解 Microsoft Entra 應用程式 Proxy 連線ors 。
網路存取設定 :Microsoft Entra 應用程式 Proxy 連接器 會透過 HTTPS 連線到 Azure (TCP 埠 443) 和 HTTP (TCP 埠 80)。
不支援終止連接器 TLS 流量,而且會防止連接器使用其各自的 Azure 應用程式 Proxy 端點建立安全通道。
避免連接器與 Azure 之間輸出 TLS 通訊的所有內嵌檢查形式。 連接器與後端應用程式之間的內部檢查可能,但可能會降低使用者體驗,因此不建議這麼做。
也不支援連接器本身的負載平衡,甚至是必要的。
設定 Microsoft Entra 應用程式 Proxy 之前的重要考慮
必須符合下列核心需求,才能設定及實作 Microsoft Entra 應用程式 Proxy。
Azure 上線 :部署應用程式 Proxy 之前,使用者身分識別必須從內部部署目錄同步處理,或直接在 Microsoft Entra 租使用者內建立。 身分識別同步處理可讓 Microsoft Entra ID 預先驗證使用者,再授與應用程式 Proxy 已發佈應用程式的存取權,並具備執行單一登入的必要使用者識別碼資訊。
條件式存取需求 :不建議使用應用程式 Proxy進行內部網路存取,因為這會增加會影響使用者的延遲。 我們建議使用 應用程式 Proxy搭配預先驗證和條件式存取原則,從網際網路進行遠端存取。 提供內部網路使用條件式存取的方法,是將應用程式現代化,讓應用程式能夠直接使用 Microsoft Entra 識別碼進行驗證。 如需詳細資訊,請參閱將應用程式遷移至 Microsoft Entra ID 的資源。
服務限制 :若要防止個別租使用者過度使用資源,每個應用程式和租使用者會設定節流限制。 若要查看這些限制, 請參閱 Microsoft Entra 服務限制和限制 。 這些節流限制是以遠高於一般使用量磁片區的基準測試為基礎,並為大部分的部署提供充足的緩衝區。
公開憑證 :如果您使用自訂功能變數名稱,您必須購買 TLS/SSL 憑證。 根據您的組織需求,取得憑證可能需要一些時間,我們建議儘早開始程式。 Azure 應用程式 Proxy 支援標準、 萬用字元 或 SAN 型憑證。 如需詳細資訊,請參閱 使用 Microsoft Entra 應用程式 Proxy 設定自訂網域。
網域需求 :使用 Kerberos 限制委派 (KCD) 對已發佈的應用程式進行單一登入,需要執行連線或執行應用程式的伺服器已加入網域,以及屬於相同網域或信任網域的一部分。 如需主題的詳細資訊,請參閱 使用 應用程式 Proxy 進行單一登入 的 KCD。 連接器服務會在本機系統的內容中執行,不應設定為使用自訂身分識別。
URL 的 DNS 記錄
在 應用程式 Proxy中使用自訂網域之前,您必須在公用 DNS 中建立 CNAME 記錄,讓用戶端將自訂定義的外部 URL 解析為預先定義的應用程式 Proxy位址。 無法為使用自訂網域的應用程式建立 CNAME 記錄,將會防止遠端使用者連線到應用程式。 新增 CNAME 記錄所需的步驟可能會因 DNS 提供者而異,因此瞭解如何 使用 Microsoft Entra 系統管理中心 來管理 DNS 記錄和記錄集。
同樣地,連接器主機必須能夠解析所發行應用程式的內部 URL。
管理員主義權利和角色
連線or 安裝 需要安裝 Windows 伺服器的本機系統管理員許可權。 它也至少需要 應用程式管理員istrator 角色,才能向 Microsoft Entra 租使用者驗證和註冊連接器實例。
應用程式發行和管理 需要 應用程式管理員istrator 角色。 應用程式管理員istrators 可以管理目錄中的所有應用程式,包括註冊、SSO 設定、使用者和群組指派和授權、應用程式 Proxy設定和同意。 其並不會授與管理條件式存取的能力。 Cloud Application 管理員istrator 角色具有 Application 管理員istrator 的所有功能,但不允許管理應用程式 Proxy設定。
授權 :應用程式 Proxy可透過 Microsoft Entra ID P1 或 P2 訂用帳戶取得。 如需 授權選項和功能的完整清單,請參閱 Microsoft Entra 定價頁面 。
應用程式探索
藉由收集下列資訊,編譯透過 應用程式 Proxy 發行的所有範圍內應用程式清查:
| 資訊類型 | 要收集的資訊 |
|---|---|
| 服務類型 | 例如:SharePoint、SAP、CRM、自訂 Web 應用程式、API |
| 應用程式平台 | 例如:Windows IIS、Linux 上的 Apache、Tomcat、NGINX |
| 網域成員資格 | 網頁伺服器的完整功能變數名稱 (FQDN) |
| 應用程式位置 | 網頁伺服器或伺服器陣列位於基礎結構的位置 |
| 內部存取 | 在內部存取應用程式時所使用的確切 URL。 如果伺服器陣列,使用何種類型的負載平衡? 應用程式是否從本身以外的來源繪製內容。 判斷應用程式是否透過 WebSocket 運作。 |
| 外部存取 | 應用程式可能已在外部公開的廠商解決方案。 您想要用於外部存取的 URL。 如果 SharePoint,請確定已根據 本指導方針 設定替代存取對應。 如果沒有,您必須定義外部 URL。 |
| 公開憑證 | 如果使用自訂網域,請採購具有對應主體名稱的憑證。 如果憑證存在,請記下可從中取得的序號和位置。 |
| 驗證類型 | 應用程式支援支援的驗證類型,例如基本、Windows 整合驗證、表單型、標頭型和宣告。 如果應用程式設定為在特定網域帳戶下執行,請注意服務帳戶的完整功能變數名稱 (FQDN)。 如果以 SAML 為基礎,則識別碼和回復 URL。 如果是標頭型,則廠商解決方案和處理驗證類型的特定需求。 |
| 連線or 組名 | 將指定為提供管道和 SSO 給此後端應用程式的連接器群組邏輯名稱。 |
| 使用者/群組存取 | 將授與應用程式外部存取權的使用者或使用者群組。 |
| 其他需求 | 請注意,應該納入發佈應用程式的任何其他遠端存取或安全性需求。 |
您可以下載此 應用程式清查試算表 來清查您的應用程式。
定義組織需求
以下是您應該定義組織商務需求的區域。 每個區域都包含需求的範例
存取權限
已加入網域或 Microsoft Entra 已加入裝置的遠端使用者可以使用無縫單一登入安全地存取已發佈的應用程式。
具有已核准個人裝置的遠端使用者可以安全地存取已發佈的應用程式,前提是他們在 MFA 中註冊,並在其行動電話上註冊 Microsoft Authenticator 應用程式作為驗證方法。
治理
- 管理員istrators 可以定義及監視透過 應用程式 Proxy 所發行應用程式的使用者指派生命週期。
安全性
- 只有透過群組成員資格或個別指派給應用程式的使用者才能存取這些應用程式。
效能
- 相較于從內部網路存取應用程式,應用程式效能並沒有降低。
使用者體驗
- 使用者知道如何在任何裝置平臺上使用熟悉的公司 URL 來存取其應用程式。
稽核
- 管理員istrators 能夠稽核使用者存取活動。
試驗的最佳做法
決定使用單一登入 (SSO) 完整委託單一應用程式進行遠端存取所需的時間和精力量。 執行試驗來考慮其初始探索、發佈和一般測試,以執行此動作。 使用已針對整合式Windows 驗證 (IWA) 預先設定的簡單 IIS 型 Web 應用程式,有助於建立基準,因為此設定需要最少的努力才能成功試驗遠端存取和 SSO。
下列設計項目應該會在生產租使用者中直接增加試驗實作的成功。
連線or 管理 :
- 連線者在為您的應用程式提供內部部署管道方面扮演重要角色。 使用預設 連接器群組就足以進行已發佈應用程式的初始試驗測試,然後再將應用程式調試至生產環境。 然後,成功測試的應用程式可以移至生產連接器群組。
應用程式管理:
您的員工最有可能記住外部 URL 很熟悉且相關。 請避免使用預先定義的 msappproxy.net 或 onmicrosoft.com 尾碼來發佈您的應用程式。 相反地,請提供熟悉的最上層驗證網域,前面加上邏輯主機名稱,例如 內部網路。 <>customers_domain.com 。
藉由隱藏試驗應用程式的啟動圖示表單 Azure MyApps 入口網站,將試驗應用程式的圖示限制為試驗群組的可見度。 準備好生產環境時,您可以將應用程式的範圍設定為其各自的目標物件,無論是在相同的生產前租使用者中,還是在生產租使用者中發佈應用程式。
單一登入設定 :某些 SSO 設定具有可能需要時間設定的特定相依性,因此可藉由確保相依性事先解決,以避免變更控制延遲。 這包括使用 Kerberos 限制委派執行 SSO 的網域加入連接器主機,以及處理其他耗時的活動。
連線或主機與目標應用程式 之間的 TLS:安全性至關重要,因此應一律使用連接器主機和目標應用程式之間的 TLS。 特別是如果 Web 應用程式設定為表單型驗證 (FBA),因為使用者認證會以純文字有效傳輸。
以累加方式實作,並測試每個步驟 。 在發佈應用程式之後進行基本功能測試,以確保所有使用者和商務需求都遵循下列指示:
- 使用停用預先驗證來測試及驗證 Web 應用程式的一般存取權。
- 如果成功啟用預先驗證,並指派使用者和群組。 測試及驗證存取權。
- 然後新增應用程式的 SSO 方法,然後再次測試以驗證存取權。
- 視需要套用條件式存取和 MFA 原則。 測試及驗證存取權。
疑難排解工具 :進行疑難排解時,請一律從連接器主機上的瀏覽器驗證已發佈應用程式的存取權,並確認應用程式如預期般運作。 設定更簡單,判斷根本原因比較簡單,因此請考慮嘗試以最少的組態重現問題,例如只使用單一連接器和無 SSO。 在某些情況下,Telerik 的 Fiddler 之類的 Web 偵錯工具對於透過 Proxy 存取的應用程式進行存取或內容問題的疑難排解可能不可或缺。 Fiddler 也可以作為 Proxy,協助追蹤和偵錯 iOS 和 Android 等行動平臺的流量,以及可設定為透過 Proxy 路由的任何專案。 如需詳細資訊, 請參閱疑難排解指南 。
實作您的解決方案
部署應用程式 Proxy
本 教學課程涵蓋部署應用程式 Proxy的步驟,以新增內部部署應用程式以進行遠端存取 。 如果安裝未成功,請在入口網站中選取 [針對應用程式 Proxy 進行疑難排解],或使用安裝 應用程式 Proxy Agent 連線or 問題疑難排解指南 。
透過 應用程式 Proxy 發佈應用程式
發佈應用程式會假設您已滿足所有必要條件,而且您有數個連接器在 [應用程式 Proxy] 頁面中顯示為已註冊且作用中。
您也可以使用 PowerShell 來發佈應用程式。
以下是發佈應用程式時要遵循的一些最佳做法:
使用 連線or 群組 :指派已指定發行每個個別應用程式的連接器群組。 我們建議每個連接器群組至少有兩個連接器,以提供高可用性和規模。 如果您有三個連接器是最佳的,以防您隨時需要服務電腦。 此外,請參閱 使用連接器群組 在個別的網路和位置上發佈應用程式,以瞭解如何使用連接器群組依網路或位置分割連接器。
設定後端應用程式逾時 :此設定適用于應用程式可能需要超過 75 秒來處理用戶端交易的情況。 例如,當用戶端將查詢傳送至做為資料庫前端的 Web 應用程式時。 前端會將此查詢傳送至其後端資料庫伺服器,並等候回應,但在收到回應時,交談的用戶端逾時。將逾時設定為 Long 提供 180 秒的時間,讓較長的交易完成。
使用適當的 Cookie 類型
僅限 HTTP 的 Cookie :藉由應用程式 Proxy在 set-cookie HTTP 回應標頭中包含 HTTPOnly 旗標,以提供額外的安全性。 此設定有助於緩解跨網站腳本 (XSS) 等惡意探索。 針對需要存取會話 Cookie 的用戶端/使用者代理程式,將此設定保留為 [否]。 例如,RDP/MTSC 用戶端會連線到透過應用程式 Proxy 發佈的遠端桌面閘道。
安全 Cookie:使用 Secure 屬性設定 Cookie 時,只有在要求透過 TLS 安全通道傳輸要求時,使用者代理程式(用戶端應用程式)才會在 HTTP 要求中包含 Cookie。 這有助於降低 Cookie 透過純文字通道遭到入侵的風險,因此應該啟用。
持續性 Cookie :允許應用程式 Proxy會話 Cookie 在瀏覽器關閉之間保留有效,直到到期或刪除為止。 用於豐富的應用程式,例如 Office 存取已發佈 Web 應用程式內的檔,而不需要重新提示使用者進行驗證。 不過,請謹慎啟用,因為持續性 Cookie 最終可能會讓服務面臨未經授權的存取風險,如果不與其他補償控制項搭配使用。 此設定僅適用于無法在進程之間共用 Cookie 的繼承應用程式。 最好更新應用程式來處理進程之間的共用 Cookie,而不是使用此設定。
轉譯標頭 中的 URL:您可以針對無法設定內部 DNS 以符合組織的公用命名空間(亦即分割 DNS)的案例啟用此功能。 除非您的應用程式需要用戶端要求中的原始主機標頭,否則請將此值設定為 [是]。 替代方法是讓連接器使用內部 URL 中的 FQDN 來路由實際流量,並在外部 URL 中使用 FQDN 做為主機標頭。 在大部分情況下,此替代方式應該允許應用程式正常運作,在遠端存取時,但您的使用者會失去在外部 URL 內 & 比對的優點。
翻譯應用程式本文 中的 URL:當您想要從該應用程式轉譯連結以回應用戶端時,開啟應用程式的應用程式本文連結轉譯。 如果啟用,此函式會盡最大努力嘗試轉譯應用程式 Proxy 在 HTML 和 CSS 回應中找到的所有內部連結,並將其傳回給用戶端。 發行包含內容中硬式編碼絕對或 NetBIOS 簡短名稱連結的應用程式,或是具有連結至其他內部部署應用程式之內容的應用程式時,會很有用。
針對已發佈應用程式連結到其他已發佈應用程式的案例,請為每個應用程式啟用連結轉譯,讓您能夠控制每個應用程式層級的使用者體驗。
例如,假設您有三個應用程式透過應用程式 Proxy發佈,且全部連結至彼此:權益、費用和旅遊,再加上第四個應用程式「意見反應」,不會透過應用程式 Proxy發佈。
當您啟用權益應用程式的連結轉譯時,費用和旅行的連結會重新導向至這些應用程式的外部 URL,以便從公司網路外部存取應用程式的使用者可以存取它們。 費用和旅行回到權益的連結無法運作,因為尚未針對這兩個應用程式啟用連結翻譯。 意見反應的連結不會重新導向,因為沒有外部 URL,因此使用權益應用程式的使用者將無法從公司網路外部存取意見反應應用程式。 請參閱連結轉譯和其他重新導向選項 的詳細資訊 。
存取您的應用程式
有數個選項可用來管理應用程式 Proxy 已發佈資源的存取權,因此請選擇最適合您指定案例和延展性需求的選項。 常見方法包括:使用透過 Microsoft Entra 連線 同步的內部部署群組、根據使用者屬性在 Microsoft Entra 識別碼中建立動態群組、使用資源擁有者管理的自助群組,或所有這些群組的組合。 如需每個資源的優點,請參閱連結的資源。
將使用者存取權指派給應用程式的最直接方式,是從已發佈應用程式的左側窗格進入 [使用者和群組 ] 選項,並直接指派群組或個人。
您也可以指派使用者目前不是成員的群組,並設定自助選項,讓使用者能夠存取您的應用程式。
啟用時,使用者將能夠登入 MyApps 入口網站並要求存取權,並自動核准並新增至已允許的自助群組,或需要指定核准者的核准。
來賓使用者也可以 受邀存取透過 Microsoft Entra B2B 透過應用程式 Proxy發佈的內部應用程式。
對於通常以匿名方式存取的內部部署應用程式,不需要驗證,建議您停用位於應用程式 [屬性 ] 中的選項。
將此選項設定為 [否] 可讓使用者透過沒有許可權的 Microsoft Entra 應用程式 Proxy 存取內部部署應用程式,因此請謹慎使用。
發佈應用程式之後,應該可以在瀏覽器中輸入外部 URL,或透過其位於 的圖示來 https://myapps.microsoft.com 存取它。
啟用預先驗證
請確認您的應用程式可透過應用程式 Proxy透過外部 URL 存取應用程式。
流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ][所有應用程式 ],然後選擇您想要管理的應用程式。
選取 [應用程式 Proxy ]。
在 [ 預先驗證 ] 欄位中,使用下拉式清單選取 [Microsoft Entra ID ],然後選取 [ 儲存 ]。
啟用預先驗證後,Microsoft Entra ID 會先挑戰使用者進行驗證,如果已設定單一登入,則後端應用程式也會在授與應用程式存取權之前先驗證使用者。 將預先驗證模式從 Passthrough 變更為 Microsoft Entra ID 也會使用 HTTPS 設定外部 URL,因此一開始針對 HTTP 設定的任何應用程式現在都會使用 HTTPS 來保護。
啟用單一登入
SSO 提供最佳的使用者體驗和安全性,因為使用者只需要在存取 Microsoft Entra ID 時登入一次。 一旦使用者預先驗證,SSO 就會由代表使用者向內部部署應用程式驗證的應用程式 Proxy連接器執行。 後端應用程式會像使用者本身一樣處理登入。
選擇 [傳遞 ] 選項可讓使用者存取已發佈的應用程式,而不需要向 Microsoft Entra 識別碼進行驗證。
只有在 Microsoft Entra ID 可以識別要求存取資源的使用者時,才能執行 SSO,因此您的應用程式必須設定為在 SSO 存取功能時使用 Microsoft Entra ID 預先驗證使用者,否則 SSO 選項將會停用。
閱讀 Microsoft Entra ID 中的應用程式單一登入,以協助您在設定應用程式時選擇最適當的 SSO 方法。
使用其他類型的應用程式
Microsoft Entra 應用程式 Proxy 也可以支援已開發以使用 Microsoft 驗證程式庫 (MSAL) 的應用程式。 它藉由取用用戶端要求標頭資訊中收到的 Microsoft Entra ID 發行權杖,代表使用者執行預先驗證,以支援原生用戶端應用程式。
閱讀 發佈原生和行動用戶端應用程式 和 宣告型應用程式 ,以瞭解應用程式 Proxy的可用組態。
使用條件式存取加強安全性
應用程式安全性需要一組進階的安全性功能,可保護內部部署和雲端中的複雜威脅並加以回應。 攻擊者最常透過弱式、預設或遭竊的使用者認證來取得公司網路存取權。 Microsoft 身分識別驅動安全性可藉由管理和保護特殊許可權和非特殊許可權的身分識別,減少使用遭竊的認證。
下列功能可用來支援 Microsoft Entra 應用程式 Proxy:
使用者和位置型條件式存取:根據地理位置或具有 位置型條件式存取 原則的 IP 位址限制使用者存取,以保護敏感性資料。
裝置型條件式存取:確定只有已註冊、核准和相容的裝置可以使用裝置型條件式存取 來存取公司資料 。
以應用程式為基礎的條件式存取:當使用者不在公司網路上時,工作不需要停止。 保護對公司雲端和內部部署應用程式的 存取,並透過條件式存取維護控制。
風險型條件式存取:使用可套用至內部部署或雲端中所有應用程式和所有使用者的風險型條件式存取原則 ,保護您的資料免于惡意駭客 的攻擊。
Microsoft Entra 我的應用程式:部署應用程式 Proxy服務並安全地發佈應用程式後,為使用者提供簡單的中樞來探索及存取其所有應用程式。 透過自助功能提高生產力,例如透過我的應用程式 要求存取新的應用程式和群組,或代表其他人 管理這些資源的存取權。
管理您的實作
所需角色
Microsoft 主張授與最低許可權,以使用 Microsoft Entra ID 執行所需工作的原則。 檢閱可用的不同 Azure 角色, 並選擇適當的角色來解決每個角色的需求。 某些角色可能需要在部署完成後暫時套用並移除。
| 商務角色 | 商務工作 | Microsoft Entra 角色 |
|---|---|---|
| 技術支援中心管理員 | 通常僅限於限定終端使用者回報的問題,並執行有限的工作,例如變更使用者的密碼、使重新整理權杖失效,以及監視服務健康情況。 | 服務台系統管理員 |
| 身分識別管理員 | 閱讀 Microsoft Entra 登入報告和稽核記錄,以偵錯應用程式 Proxy 相關問題。 | 安全性讀取者 |
| 應用程式擁有者 | 建立和管理企業應用程式、應用程式註冊和應用程式 Proxy 設定的所有層面。 | 應用程式管理員 |
| 基礎結構管理員 | 憑證變換擁有者 | 應用程式管理員 |
將可存取安全資訊或資源的人員數目降至最低,有助於減少惡意執行者取得未經授權存取的機會,或授權使用者無意中影響敏感性資源的機會。
不過,使用者仍然需要每天執行特殊許可權作業,因此強制執行 Just-In-Time (JIT) 型 Privileged Identity Management 原則,以提供對 Azure 資源和 Microsoft Entra ID 的隨選特殊許可權存取,我們建議用來有效管理系統管理存取和稽核的方法。
報告和監視
Microsoft Entra ID 透過稽核記錄和報告 ,提供組織應用程式使用量和作業健康情況 的其他見解。 應用程式 Proxy也可讓您輕鬆地從 Microsoft Entra 系統管理中心和 Windows 事件記錄檔監視連接器。
應用程式稽核記錄
這些記錄提供有關使用 應用程式 Proxy 和裝置和存取應用程式之使用者所設定之應用程式的登入詳細資訊。 稽核記錄 位於 Microsoft Entra 系統管理中心和 用於匯出的稽核 API 中。 此外, 您的應用程式也可以使用使用量和深入解析報告 。
應用程式 Proxy 連線or 監視
連接器和服務會負責所有高可用性工作。 您可以從 Microsoft Entra 系統管理中心的 [應用程式 Proxy] 頁面監視連接器的狀態。 如需連接器維護的詳細資訊,請參閱 瞭解 Microsoft Entra 應用程式 Proxy 連線ors 。
Windows 事件記錄檔和效能計數器
連線者同時具有系統管理員和會話記錄。 系統管理記錄包含重要事件及其錯誤。 會話記錄包含所有交易及其處理詳細資料。 記錄和計數器位於 Windows 事件記錄檔中,以取得詳細資訊,請參閱 瞭解 Microsoft Entra 應用程式 Proxy 連線ors 。 請遵循本教學 課程,在 Azure 監視器 中設定事件記錄檔資料來源。
疑難排解指南和步驟
深入瞭解常見問題,以及如何透過我們的疑難排解錯誤訊息指南 來解決這些問題。
下列文章涵蓋常見案例,這些案例也可用來為您的支援組織建立疑難排解指南。