對於內部部署應用程式,Microsoft Entra 應用程式 Proxy 是一個安全且符合成本效益的遠端存取解決方案。 它為「雲端優先」組織提供立即轉換路徑,以管理對尚未使用新式通訊協定的舊版內部部署應用程式的存取權。 如需詳細資訊,請參閱 什麼是應用程式 Proxy。
建議使用應用程式 Proxy,讓遠端使用者存取內部資源。 應用程式代理可取代這些遠端存取使用案例中 VPN 或反向代理的需求。 不適用於公司網路上的使用者。 這些使用應用程式 Proxy 進行內部網路存取的使用者可能會遇到不良的效能問題。
本文包含規劃、操作及管理 Microsoft Entra 應用程式 Proxy 所需的資源。
計劃您的執行
下一節提供您重要規劃元素的概覽,這些元素將為您順利部署做好準備。
必要條件
開始實作之前,您必須符合下列必要條件。 您可以在教學課程中看到設定環境的詳細資訊,包括這些必要條件。
連接器:連接器是輕量型代理程式,您可以部署到:
- 內部部署的實體硬體
- 載入在任何 Hypervisor 解決方案內的虛擬機器 (VM)
- 裝載在 Azure 中的 VM,可對應用程式 Proxy 服務啟用輸出連線。
如需更詳細的概觀,請參閱 瞭解Microsoft Entra 專用網連接器 。
網路存取設定:Microsoft Entra 專用網連接器透過 HTTPS 連線到 Azure(傳輸控制通訊協定 (TCP) 埠 443) 和 HTTP (TCP 連接埠 80)。
不支援終止連接器 TLS 流量,並防止連接器與其各自的Microsoft Entra 應用程式 Proxy 端點建立安全通道。
避免對連接器與 Azure 之間的出站 TLS 通訊進行所有形式的就地檢查。 連接器與後端應用程式之間的內部檢查是可能的,但可能會降低使用者體驗,因此不建議這樣做。
也不支援連接器本身的負載平衡,甚至沒有必要。
設定 Microsoft Entra 應用程式 Proxy 之前的重要考量事項
必須符合下列核心需求,才能設定及實作 Microsoft Entra 應用程式 Proxy。
Azure 上線:在部署應用程式代理之前,使用者身分識別必須從本地端目錄同步,或直接在 Microsoft Entra 租戶內建立。 身分識別同步處理可讓Microsoft Entra ID 預先驗證使用者,再授與他們應用程式 Proxy 已發佈應用程式的存取權,並具有執行單一登錄 (SSO) 的必要使用者標識符資訊。
條件式存取需求:不建議使用應用程式 Proxy 進行內部網路存取,因為它會增加影響用戶的延遲。 我們建議使用應用程式 Proxy 搭配預先驗證和條件式存取原則,從因特網進行遠端訪問。 為使用內部網路提供條件式存取的一種方法是將應用程式現代化,以便它們可以直接向 Microsoft Entra ID 進行驗證。 如需詳細資訊,請參閱 將應用程式遷移至 Microsoft Entra ID 的資源。
服務限制:若要防止個別租使用者過度使用資源,每個應用程式和租使用者都有設定節流限制。 若要查看這些限制,請參閱 Microsoft Entra 服務限制和限制。 這些節流限制是以超出一般使用量的基準為檢驗基礎,並為大部分的部署提供充足的緩衝區。
公開憑證:如果您使用自定義網域名稱,您必須購買 TLS 憑證。 根據您的組織需求,取得憑證可能需要一些時間,我們建議儘早開始進行此流程。 Azure 應用程式代理支援標準、通配符 或 SAN 型憑證。 如需詳細資訊,請參閱 使用 Microsoft Entra 應用程式 Proxy 設定自定義網域。
網域需求:若要使用 Kerberos 限制委派 (KCD) 進行單一登錄,請確定連接器伺服器和應用程式伺服器都已加入網域,且位於相同網域或信任網域中。 連接器服務會在本機系統帳戶下執行,不應使用自定義身分識別。 如需詳細資訊,請參閱 適用於單一登錄的 KCD。
URL 的 DNS 記錄
在應用程式 Proxy 中使用自訂網域之前,您必須在公用域名系統 (DNS) 中建立 CNAME 記錄,讓用戶端將自定義定義的外部 URL 解析為預先定義的應用程式 Proxy 位址。 無法為使用自定義網域的應用程式建立 CNAME 記錄,會防止遠端使用者連線到應用程式。 新增 CNAME 記錄所需的步驟可能會因 DNS 提供者而異,因此瞭解如何 使用 Microsoft Entra 系統管理中心來管理 DNS 記錄和記錄集。
同樣地,連接器主機必須能夠解析所發佈的應用程式的內部 URL。
管理權限與角色
連接器安裝 需要安裝 Windows 伺服器的本機系統管理員許可權。 它也至少需要 應用程式管理員 角色,才能向您的 Microsoft Entra 租戶驗證和註冊連接器實例。
應用程式發佈和管理 需要 應用程式管理員 角色。 應用程式管理員可以管理目錄中的所有應用程式,包括註冊、SSO 設定、使用者和群組指派和授權、應用程式 Proxy 設定和同意。 其並不會授與管理條件式存取的能力。 雲端應用程式管理員角色具有應用程式管理員的所有功能,但不允許管理應用程式 Proxy 設定。
授權:應用程式 Proxy 可透過Microsoft Entra ID P1 或 P2 訂用帳戶取得。 如需授權選項和功能的完整清單 ,請參閱Microsoft Entra 定價頁面 。
應用程式探索
收集下列資訊,以彙整透過應用程式代理發佈的所有範圍內應用程式清單:
| 資訊類型 | 要收集的資訊 |
|---|---|
| 服務類型 | 例如:SharePoint、SAP、CRM、自訂 Web 應用程式、API |
| 應用程式平台 | 例如:Windows Internet Information Services (IIS)、Linux 上的 Apache、Tomcat、NGINX |
| 網域成員資格 | 網頁伺服器的完整網域名稱 (FQDN) |
| 應用程式位置 | Web 伺服器或伺服器陣列在您的基礎結構中的位置位於何處 |
| 內部存取 | 在內部存取應用程式時所使用的確切 URL。 如果使用伺服器陣列,那麼要使用何種類型的負載平衡? 應用程式是否從本身以外的來源取得內容。 確定應用程式是否透過 WebSocket 運作。 |
| 外部存取 | 應用程式可能已經透過廠商解決方案在外部曝光。 您要用於外部存取的 URL。 如果您使用 SharePoint,請確保替代存取對應已根據 指引設定。 如果沒有,您需要定義外部 URL。 |
| 公開憑證 | 如果使用自訂網域,請取得具有對應主體名稱的憑證。 如果有憑證,請記下序號以及取得憑證的位置。 |
| 驗證類型 | 應用程式所支援的驗證類型,例如基本驗證(Basic Authentication)、Windows 整合驗證、表單型驗證、標頭型驗證以及宣告型驗證。 如果應用程式設定為在特定網域帳戶下執行,請記下服務帳戶的完整網域名稱 (FQDN)。 如果使用 SAML 驗證,則需要提供識別碼和回覆 URL。 如果使用標頭型的驗證,則需要考慮供應商解決方案以及處理驗證類型的具體需求。 |
| 連接器群組名稱 | 指定為將管道和 SSO 提供給後端應用程式的連接器群組邏輯名稱。 |
| 使用者/群組存取 | 授與應用程式外部存取權的用戶或使用者群組。 |
| 更多需求 | 請記下應納入發佈應用程式的更多遠端訪問或安全性需求。 |
您可以下載 應用程式清查電子表格 來清查您的應用程式。
定義組織需求
以下是您應定義組織業務需求的方面。 每個方面都包含需求的範例
存取
擁有加入網域或加入 Microsoft Entra 的裝置的遠端使用者可以透過無縫單一登入 (SSO) 安全地存取已發佈的應用程式。
具有已核准個人裝置的遠端使用者可以安全地存取已發佈的應用程式,前提是他們在 MFA 中註冊,並在其行動電話上註冊Microsoft Authenticator 應用程式作為驗證方法。
統轄
- 系統管理員可以定義及監視將使用者指派給透過應用程式 Proxy 所發佈的應用程式的生命週期。
安全
- 只有透過群組成員資格或個別指派給應用程式的使用者才能存取這些應用程式。
性能
- 相較於從內部網路存取應用程式,應用程式效能不會降低。
用戶體驗
- 使用者知道如何在任何裝置平台上使用熟悉的公司 URL 來存取其應用程式。
審計
- 系統管理員能夠稽核使用者的存取活動。
試點的最佳做法
確定完全啟動單個應用程式以使用單一登入 (SSO) 進行遠端存取所需的時間和精力。 這可透過一個試點,考慮其初步發現、發佈及一般測試來進行。 使用已針對整合式 Windows 驗證預先設定的簡單 IIS 型 Web 應用程式,有助於建立基準,因為安裝程式需要最少的努力才能成功試驗遠端訪問和 SSO。
下列設計元素應該可以提高直接在生產租用戶中進行試驗實作的成功率。
連接器管理:
連線器在為您的應用程式提供內部部署管道方面扮演重要的角色。 使用 預設 連接器群組就足以進行已發佈應用程式的初始試驗測試,然後再將應用程式調試至生產環境。 然後,可以將測試成功的應用程式移至生產連接器群組。
應用程式管理:
您的員工最有可能記住一個他們熟悉且與其相關的外部 URL。 請避免使用預先定義的 msappproxy.net 或 onmicrosoft.com 後綴來發佈您的應用程式。 相反地,請提供熟悉的最上層驗證網域,前面加上邏輯主機名,例如 內部網路。<customers_domain>.com。
透過在 Azure MyApps 入口網站中隱藏試驗應用程式的啟動圖示,以限制該圖示對試驗群組的可見性。 準備好進入生產時,您可以將應用程式的範圍設定為其目標使用者,可以在相同的預備租用戶中,或在您的生產租用戶中發佈應用程式。
單一登錄設定:某些 SSO 設定具有可能需要時間設定的特定相依性,因此可藉由確保相依性事先解決,以避免變更控制延遲。 整個流程包括將主機加入網域以使用 Kerberos 限制性委派(KCD)來執行 SSO,以及處理其他耗時的工作。
連接器主機與目標應用程式之間的 TLS:安全性是最重要的,因此應該一律使用連接器主機和目標應用程式之間的 TLS。 特別是在 Web 應用程式設定為表單型驗證 (FBA) 的情況下,因為使用者認證會以明文形式有效傳輸,所以可能會存在安全性風險。
以累加方式實作,並測試每個步驟。 發佈應用程式之後進行基本功能測試,以確保符合所有使用者和商務需求:
測試並驗證已停用預先驗證之 Web 應用程式的一般存取權。 如果成功,請啟用預先驗證並指派使用者和群組。 然後測試並驗證存取權。 接下來,新增應用程式的 SSO 方法,然後再次測試以驗證存取權。 最後,視需要套用條件式存取和 MFA 原則。 測試及驗證存取權。
疑難解答工具:從連接器主機上的瀏覽器直接檢查已發佈應用程式的存取權,開始進行疑難解答。 請確定應用程式如預期般運作。 簡化設定以隔離問題,例如使用單一連接器和停用 SSO。 Telerik 的 Fiddler 之類的工具可藉由追蹤流量來協助偵錯存取或內容問題,包括 iOS 和 Android 等行動平臺。 如需詳細資訊,請參閱疑難排解指南。
實作您的解決方案
部署應用程式代理
部署應用程式 Proxy 的步驟已在 新增內部部署應用程式提供遠端存取的教學指南中涵蓋。 如果安裝失敗,請在入口網站中選取 [應用程式代理疑難排解],或使用 應用程式代理程式連接器安裝問題疑難排解指南。
透過應用程式 Proxy 發佈應用程式
發佈應用程式假設您符合所有必要條件,而且您有數個連接器在應用程式 Proxy 頁面中顯示為已註冊且作用中。
您也可以使用 PowerShell 發佈應用程式。
發佈應用程式時要遵循的最佳做法:
使用連接器群組:指派指定發佈每個個別應用程式的連接器群組。 我們建議每個連接器群組至少有兩個連接器,以提供高可用性和規模。 擁有三個連接器是最佳的配置,以防您在任何時候需要維修機器。 此外,請參閱 瞭解Microsoft Entra 專用網連接器群組 ,以瞭解如何使用連接器群組依網路或位置分割連接器。
設定後端應用程式逾時:此設定適用於應用程式可能需要超過 75 秒來處理用戶端交易的情況。 例如,當客戶端將查詢傳送至做為資料庫前端的 Web 應用程式時。 前端會將查詢傳送至其後端資料庫伺服器,並等候回應,但在收到回應時,客戶端連線逾時。將逾時設定為延長時間提供 180 秒的時間,以完成較長的交易。
使用適當的 Cookie 類型
HTTP-Only Cookie:讓應用程式 Proxy 在 set-cookie HTTP 回應標頭中包含 HTTPOnly 旗標,以提供額外的安全性。 此設定有助於緩解像跨站指令碼攻擊(XSS)等的漏洞攻擊。 將需要存取會話 Cookie 的用戶端/使用者代理程式設定為 [否]。 例如,RDP/MTSC 用戶端連線到透過應用程式代理發佈的遠端桌面閘道。
安全 Cookie:使用 Secure 屬性設定 Cookie 時,使用者代理程式(用戶端應用程式)只有在要求透過 TLS 安全通道傳輸要求時,才會在 HTTP 要求中包含 Cookie。 此設定有助於降低 Cookie 透過純文本通道遭到入侵的風險,因此應該啟用。
持續性 Cookie:允許應用程式代理工作階段的 Cookie 在瀏覽器關閉之後仍然持續有效,直到到期或被刪除為止。 用於複雜的應用程式,例如 Office 在已發佈的網頁應用程式內存取文件,而無需要求用戶重新進行驗證。 不過,請謹慎啟用,因為持續性 Cookie 最終可能會讓服務面臨未經授權的存取風險,如果不與其他補償控件搭配使用。 此設定僅適用於無法在處理程序之間共用 Cookie 的舊版應用程式。 建議更新您的應用程式以便更好地處理進程之間的共享 Cookie,而非僅僅依靠設定。
轉換標頭中的 URL:您可以針對無法將內部 DNS 設為符合組織的公用命名空間(又稱分割 DNS)的情況啟用此設定。 除非您的應用程式在用戶端要求中要求原始主機標頭,否則請將值設定為 [是]。 替代方案是讓連接器使用內部 URL 中的 FQDN 來路由傳送實際的流量,並使用外部 URL 中的 FQDN 作為主機標頭。 在大部分情況下,替代方案應該允許應用程式在遠端訪問時正常運作,但使用者會損失內部和外部 URL 一致的好處。
翻譯應用程式正文中的 URL:當您希望應用程式中的連結在回應客戶端時被翻譯時,請開啟應用程式正文的連結翻譯功能。 如果啟用,函式會盡力轉譯應用程式 Proxy 在 HTML 和 CSS 回應中找到的所有內部連結,並將其傳回給用戶端。 發佈包含內容中硬式編碼絕對或 NetBIOS 簡短名稱連結的應用程式,或是具有連結至其他內部部署應用程式之內容的應用程式時,會很有用。
針對已發佈的應用程式連結到其他已發佈的應用程式的情況,為每個應用程式啟用連結轉譯,以便您可以控制每個應用程式層級的使用者體驗。
例如,假設您有三個透過應用程式 Proxy 發佈的應用程式,它們都相互連結:「福利」、「費用」和「差旅」,加上第四個應用程式 (即不會透過應用程式 Proxy 發佈的「意見反應」)。
當權益應用程式啟用鏈接轉譯時,費用和旅遊應用程式的連結會重新導向至其外部URL,讓外部使用者存取它們。 然而,除非同時啟用這些應用程式的連結翻譯功能,否則從費用報告和差旅返回福利的連結將無法運作。 意見反應應用程式連結不會重新導向,因為它缺少外部URL,可防止外部使用者透過權益應用程式存取它。 如需詳細資訊,請參閱 鏈接翻譯和重新導向選項。
存取您的應用程式
選取最適合您案例和延展性需求的方法,以管理應用程式 Proxy 已發佈資源的存取。 常見方法包括透過 Microsoft Entra Connect 同步處理內部部署群組、根據使用者屬性在 Microsoft Entra 識別符中建立動態群組、啟用由資源擁有者管理的自助群組,或結合這些策略。 探索鏈接的資源,以瞭解每個方法的優點。
指派使用者對應用程式的存取權的最直接方法是從已發佈應用程式的左窗格進入[使用者和群組] 選項,然後直接指派群組或個人。
您也可以指派目前使用者還不是其中成員的群組,並設定自助選項,讓使用者可以透過自助方式存取您的應用程式。
如果已啟用,使用者登入 MyApps 入口網站以要求存取權。 它們要麼會自動獲得核准並加入自助群組,要麼需要指定核准者的核准。
來賓使用者也可以受邀透過 Microsoft Entra B2B 存取透過應用程式 Proxy 發行的內部應用程式。
對於通常可匿名存取的內部部署應用程式,不需要驗證,您可能會想要停用位於應用程式 [屬性] 中的選項。
將選項設定為 [否] 可讓使用者透過 Microsoft Entra 應用程式 Proxy 存取內部部署應用程式,而不需要許可權,請謹慎使用。
當您的應用程式發佈之後,您就可以在瀏覽器中輸入其外部 URL 或使用 https://myapps.microsoft.com 上的圖示來存取應用程式。
啟用預先驗證
驗證您的應用程式是否可以透過應用程式 Proxy (透過外部 URL 存取它) 來進行存取。
流覽至 [專案識別符>企業應用程式>][所有應用程式 ],然後選擇您想要管理的應用程式。
選取 應用程式代理。
在 [預先驗證] 欄位中,使用下拉式清單選取 [Microsoft Entra ID],然後選取 [儲存]。 啟用預先驗證后,Microsoft Entra ID 會先驗證使用者。 如果已設定單一登錄,後端應用程式也會在授與存取權之前先驗證使用者。 將預先驗證模式從Passthrough切換至 Microsoft Entra ID 可透過 HTTPS 保護外部 URL,確保一開始使用 HTTP 的任何應用程式現在會透過 HTTPS 運作。
啟用單一登入
SSO 可讓使用者使用 Microsoft Entra 識別符登入一次,藉此改善使用者體驗和安全性。 預先驗證之後,專用網連接器會登入用戶的內部部署應用程式,使其顯示為使用者直接登入。
選擇 Passthrough 選項可讓使用者存取已發佈的應用程式,而不需要向 Microsoft Entra ID 進行驗證。
若要啟用 SSO,您的應用程式必須預先驗證具有 Microsoft Entra 識別碼的使用者。 如果沒有預先驗證,SSO 選項就無法使用。
閱讀 Microsoft Entra ID 中的應用程式單一登錄 ,以協助您在設定應用程式時選擇最適當的 SSO 方法。
使用其他類型的應用程式
Microsoft Entra 應用程式 Proxy 支援使用 Microsoft 驗證連結庫 (MSAL) 建置的應用程式。 它會在用戶端要求標頭中使用 Microsoft Entra ID 令牌來處理原生用戶端應用程式,以預先驗證使用者。
瞭解應用程式 Proxy 的可用組態。 參閱 發布原生和行動客戶端應用程式 和 基於宣告的應用程式。
使用條件式存取加強安全性
應用程式安全性需要一組進階的安全性功能,以便可以防範內部部署和雲端中的複雜威脅並加以回應。 使用條件式存取原則,根據位置、風險、裝置類型、裝置合規性等許多條件來控制應用程式的存取。 如需您可能會部署的原則範例,請參閱 條件式存取範本一文。
下列功能可用來支援 Microsoft Entra 應用程式 Proxy:
使用者和位置型條件式存取:根據地理位置或具有 位置型條件式存取原則的IP位址限制使用者存取,以保護敏感數據。
裝置型條件式存取:確定只有已註冊、核准和相容的裝置可以使用 裝置型條件式存取來存取公司數據。
應用程式型條件式存取:工作不必因使用者不在公司網路上時而停止。 保護對公司雲端和內部部署應用程式的存取 ,並透過條件式存取維護控制。
風險型條件式存取:使用可套用至內部部署或雲端中所有應用程式和所有用戶 的風險型條件式存取原則 ,保護您的數據免於惡意駭客的攻擊。
Microsoft Entra My Apps:部署您的應用程式 Proxy 服務並安全地發佈應用程式後,可為您的使用者提供一個簡單的中樞來探索及存取其所有應用程式。 透過自助功能提高生產力,例如透過 「我的應用程式」要求存取新的應用程式和群組,或代表其他人管理這些資源的存取權。
管理您的實施
所需角色
Microsoft 提倡授與盡可能少的權限來使用 Microsoft Entra ID 執行所需工作的原則。 檢閱可用的不同 Azure 角色, 並選擇適當的角色來解決每個角色的需求。 某些角色必須在部署完成之後暫時套用並移除。
| 商業角色 | 商務工作 | Microsoft Entra 角色 |
|---|---|---|
| 技術支援中心管理員 | 處理基本用戶支援工作,例如重設密碼、使重新整理令牌失效,以及檢查服務健康情況。 | 服務台系統管理員 |
| 身分識別管理員 | 讀取 Microsoft Entra 登入報告和稽核記錄,以對應用程式 Proxy 相關問題進行偵錯。 | 安全性讀取者 |
| 應用程式擁有者 | 建立及管理企業應用程式、應用程式註冊和應用程式 Proxy 設定的所有層面。 | 應用程式系統管理員 |
| 基礎結構管理員 | 憑證更新擁有者 | 應用程式系統管理員 |
將可存取安全資訊或資源的人員數目降至最低,有助於減少惡意執行者取得未經授權存取的機會,或授權使用者無意中影響敏感性資源的機會。
若要有效管理系統管理存取,並確保進行適當的稽核,建議您搭配 Privileged Identity Management 使用 Just-In-Time (JIT) 存取權。 此方法僅在需要時,才提供對 Azure 資源和 Microsoft Entra ID 的隨選專屬存取。
報告與監視
Microsoft Entra ID 可透過 稽核記錄和報告,進一步深入瞭解貴組織的應用程式使用狀況和作業健康情況。 應用程式 Proxy 也可讓您輕鬆地從 Microsoft Entra 系統管理中心和 Windows 事件記錄檔監視連接器。
應用程式稽核記錄
這些記錄提供有關使用應用程式 Proxy 所設定之應用程式、存取這些應用程式的裝置,以及使用者的詳細登入資訊。 稽核記錄 位於 Microsoft Entra 系統管理中心以及 稽核 API,用於匯出。 此外,您的應用程式也可以使用 使用量和深入解析報告 。
私人網路連接器監控
連接器和服務負責所有高可用性工作。 您可以從 Microsoft Entra 系統管理中心的應用程式 Proxy 頁面監視連接器的狀態。 如需連接器維護的詳細資訊,請參閱 瞭解Microsoft Entra 專用網連接器。
Windows 事件記錄檔和效能計數器
連接器具有系統管理記錄和會話記錄。 系統管理記錄包含主要事件及其錯誤。 工作階段記錄包含所有交易及其處理詳細資料。 記錄和計數器位於 Windows 事件記錄檔中。 如需詳細資訊,請參閱 瞭解 Microsoft Entra 專用網連接器。 請遵循教學 課程,在 Azure 監視器中設定事件記錄檔數據源。
疑難排解指南和步驟
深入瞭解常見問題,以及如何透過我們的 疑難解答錯誤訊息 指南來解決這些問題。
相關內容
下列文章涵蓋的常見案例,也可以用來為您的支援組織建立疑難排解指南。