共用方式為

使用 Microsoft Entra 應用程式 Proxy 來為遠端使用者發佈內部部署應用程式

  • 發行項

Microsoft Entra 應用程式 Proxy 提供內部部署 Web 應用程式的安全遠端存取。 單一登入 Microsoft Entra ID 之後,使用者可透過外部 URL 或內部應用程式入口網站來存取雲端與內部部署應用程式。 例如,應用程式 Proxy 可以為遠端桌面、SharePoint、Teams、Tableau、Qlik 和企業營運 (LOB) 應用程式提供遠端存取和單一登入。

Microsoft Entra 應用程式 Proxy 為:

  • 用法簡單。 使用者可以採取與其存取 Microsoft 365 和其他 SaaS 應用程式 (與 Microsoft Entra ID 整合) 的相同方式,來存取內部部署應用程式。 您不需要變更或更新應用程式,即可使用應用程式 Proxy。

  • 安全。 內部部署應用程式可以使用 Azure 的授權控制項和安全性分析。 例如,內部部署應用程式可以使用條件式存取和雙步驟驗證。 應用程式 Proxy 不需要您透過防火牆開啟輸入連線。

  • 符合成本效益。 內部部署解決方案一般需要您設定及維護周邊網路 (DMZ)、Edge Server 或其他複雜的基礎結構。 應用程式 Proxy 在雲端中執行,這使其更容易使用。 若要使用應用程式 Proxy,您不需要變更網路基礎結構,或在內部部署環境中安裝更多的設備。

提示

如果您已有 Microsoft Entra ID,便可以其作為控制平面,來允許使用者對內部部署應用程式進行順暢且安全的存取。

雖然不完整,但下列清單說明在混合式共存案例中使用應用程式 Proxy 的範例:

  • 以簡化的方式將內部部署 Web 應用程式對外發佈,而不需要 DMZ
  • 在雲端和內部部署環境中跨裝置、資源和應用程式支援單一登入 (SSO)
  • 針對雲端和內部部署環境中的應用程式支援多重要素驗證
  • 透過 Microsoft Cloud 的安全性來快速利用雲端功能
  • 集中管理使用者帳戶
  • 集中控制身分識別和安全性
  • 根據群組成員資格來自動新增或移除使用者的應用程式存取權

本文說明 Microsoft Entra ID 和應用程式 Proxy 如何對遠端使用者提供單一登入 (SSO) 體驗。 使用者可以安全地連線到內部部署應用程式,而不需要透過 VPN 或雙重主伺服器和防火牆規則。 本文可協助您,了解應用程式 Proxy 如何將雲端的功能和安全性優點,帶入到內部部署 Web 應用程式。 文中也會說明可行的架構和拓撲。

提示

應用程式 Proxy 包括在雲端中執行的私人網路服務,和在內部部署伺服器上執行的應用程式 Proxy 連接器。 Microsoft Entra ID、應用程式 Proxy 服務和私人網路連接器會一起運作,以將使用者登入權杖從 Microsoft Entra ID 安全地傳遞至 Web 應用程式。

應用程式 Proxy 適用於:

  • 使用整合式 Windows 驗證來進行驗證的 Web 應用程式
  • 使用表單架構或標頭型存取的 Web 應用程式
  • 您想要公開給不同裝置上豐富應用程式的 Web API
  • 裝載在遠端桌面閘道之後的應用程式
  • 與 Microsoft Authentication Library (MSAL) 整合的豐富型用戶端應用程式

應用程式 Proxy 支援單一登入。 如需有關支援的方法的詳細資訊,請參閱選擇單一登入方法

以往的遠端存取

以前,在方便遠端使用者存取的同時,用於保護內部資源免於遭受攻擊者入侵的控制平面,全都放在 DMZ (即周邊網路) 內。 不過,DMZ 內所部署供外部用戶端用來存取公司資源的 VPN 和反向 Proxy 解決方案,並不適合雲端世界。 這些解決方案一般會遇到下列缺點:

  • 硬體成本
  • 維護安全性 (修補、監視連接埠等)
  • 在邊緣驗證使用者
  • 向周邊網路內的 Web 伺服器驗證使用者
  • 藉由散發和設定 VPN 用戶端軟體來讓遠端使用者保有 VPN 存取權。 此外,還會在 DMZ 中保有已加入網域的伺服器,因而容易遭受外部攻擊。

在現今的雲端優先世界中,Microsoft Entra ID 最適合用來控制可以進入網路的人員和內容。 Microsoft Entra 應用程式 Proxy 整合了新式的驗證和雲端式技術,例如 SaaS 應用程式和識別提供者。 此一整合可讓使用者從任何地方存取應用程式。 應用程式 Proxy 不只更適合現今的數位職場,還比 VPN 和反向 Proxy 解決方案更安全且更容易實作。 遠端使用者可以使用和 Microsoft 以及其他與 Microsoft Entra ID 整合 SaaS 應用程式相同的存取方式,來存取內部部署應用程式。 您不需要變更或更新應用程式,即可使用應用程式 Proxy。 此外,應用程式 Proxy 不需要您穿過防火牆開啟輸入連線。 使用應用程式 Proxy 時,只要完成設定就不用再加以理會。

遠端存取的未來

在現今的數位職場中,使用者會在任何地方使用多個裝置和應用程式來工作。 唯一不變的就是使用者身分識別。 因此,現今要打造安全網路環境的第一步,就是使用 Microsoft Entra 的身分識別管理功能來作為安全性控制平面。 使用身分識別作為控制平面的模型一般會由下列元件組成:

  • 識別提供者,用來追蹤使用者和使用者相關資訊。
  • 裝置目錄,用來維護可存取公司資源的裝置清單。 此目錄包含對應的裝置資訊 (例如,裝置類型、完整性等)。
  • 原則評估服務,用來判斷使用者和裝置是否符合安全性管理員所規定的原則。
  • 授與或拒絕對組織資源存取的能力。

使用應用程式 Proxy 時,Microsoft Entra ID 會追蹤需要存取內部部署環境和雲端中所發佈 Web 應用程式的使用者。 其可讓您集中管理這些應用程式。 雖非必要,但建議您也啟用 Microsoft Entra 條件式存取。 藉由定義使用者要如何進行驗證和獲得存取權的條件,您可以進一步確保只有適當的人員能存取您的應用程式。

注意

請務必了解,Microsoft Entra 應用程式 Proxy 的目的是要用來為需要存取內部資源的漫遊 (或遠端) 使用者取代 VPN 或反向 Proxy。 其適用對象並非是公司網路上的內部使用者。 沒必要卻使用應用程式 Proxy 的內部使用者會造成非預期且不想要的效能問題。

Microsoft Entra ID 和所有應用程式

應用程式 Proxy 運作方式概觀

此圖顯示 Microsoft Entra ID 和應用程式 Proxy 一起運作,以向內部部署應用程式提供單一登入的方式。

Microsoft Entra 應用程式圖表。

  1. 在透過端點存取應用程式之後,使用者會重新導向至 Microsoft Entra 登入頁面。
  2. 成功登入之後,Microsoft Entra ID 會將權杖傳送至使用者的用戶端裝置。
  3. 用戶端會將權杖傳送至應用程式 Proxy 服務。 服務會從權杖擷取使用者主體名稱 (UPN) 和安全性主體名稱 (SPN)。 應用程式 Proxy 接著會將要求傳送至連接器。
  4. 此連接器會代表使用者執行單一登入 (SSO) 驗證。
  5. 該連接器會將要求傳送至內部部署應用程式。
  6. 回應會透過應用程式 Proxy 服務與連接器傳送給使用者。

注意

如同大多數 Microsoft Entra 混合式代理程式,私人網路連接器不會要求您透過防火牆開啟輸入連線。 步驟 3 中的使用者流量會在應用程式 Proxy 服務終止。 位於您私人網路中的私人網路連接器負責其餘的通訊。

元件 描述
端點 端點可以是 URL 或使用者入口網站。 使用者可以藉由存取外部 URL,來連線網路外部的應用程式。 您網路內的使用者可以透過 URL 或使用者入口網站存取應用程式。 使用者移至這些端點的其中一個時,其會在 Microsoft Entra ID 中進行驗證,然後透過連接器路由至內部部署應用程式。
Microsoft Entra ID Microsoft Entra ID 會使用雲端中儲存的租用戶目錄執行驗證。
應用程式 Proxy 服務 此應用程式 Proxy 服務會在雲端中執行,作為 Microsoft Entra ID 的一部分。 它會將登入權杖從使用者傳遞至私人網路連接器時。 應用程式 Proxy 在請求上轉送任何可存取的標頭,並根據其通訊協定將標頭設定為用戶端 IP 位址。 如果對 Proxy 的連入要求中已經有該標頭,則將用戶端 IP 位址加入到以逗號分隔清單的結尾,該用戶端 IP 位址是標頭的值。
內部網路連接器 連接器是位於網路內部 Windows 伺服器上執行的輕量型代理程式。 連接器管理雲端中的應用程式 Proxy 服務與內部部署應用程式之間的通訊。 連接器僅會使用輸出連線,因此您不需要在面向網際網路的網路中開啟輸入連接埠。 連接器是無狀態的,且在必要時會從雲端提取資訊。 如需連接器的詳細資訊,例如其如何負載平衡和驗證,請參閱了解 Microsoft Entra 私人網路連接器
Active Directory (AD) Active Directory 在內部部署執行以對網域帳戶執行驗證。 設定單一登入後,連接器會與 AD 通訊以執行任何必要的額外驗證。
內部部署應用程式 最後,使用者就能夠存取內部部署應用程式。

應用程式 Proxy 是您在 Microsoft Entra 系統管理中心中設定的一種 Microsoft Entra 服務。 其可讓您在 Azure Cloud 中發佈外部的公用 HTTP/HTTPS URL 端點,這些端點會連線到組織中的內部應用程式伺服器 URL。 這些內部部署 Web 應用程式可與 Microsoft Entra ID 整合以支援單一登入。 然後,使用者就可以使用和用來存取 Microsoft 365 及其他 SaaS 應用程式的相同方式,來存取內部部署 Web 應用程式。

這項功能的元件包括應用程式 Proxy 服務 (在雲端中執行)、私人網路連接器 (在內部部署伺服器上執行的輕量型代理程式) 和 Microsoft Entra ID (作為識別提供者)。 這三個元件一起運作,便可為使用者提供用來存取內部部署 Web 應用程式的單一登入體驗。

在使用者驗證之後,可藉由從其桌面或 iOS/MAC 裝置使用顯示的 URL 或我的應用程式,存取內部部署 Web 應用程式。 例如,應用程式 Proxy 可以為遠端桌面、SharePoint 網站、Tableau、Qlik、Outlook 網頁版和企業營運 (LOB) 應用程式提供遠端存取和單一登入。

Microsoft Entra 應用程式 Proxy 結構

驗證

有數種方式可用來設定應用程式的單一登入,要選取什麼方式則取決於應用程式所使用的驗證。 應用程式 Proxy 支援下列類型的應用程式:

  • Web 應用程式
  • 您想要公開給不同裝置上豐富應用程式的 Web API
  • 裝載在遠端桌面閘道之後的應用程式
  • Microsoft Authentication Library (MSAL) 整合的豐富型用戶端應用程式

應用程式 Proxy 適用於使用下列原生驗證通訊協定的應用程式:

  • 整合式 Windows 驗證 (IWA)。 針對 IWA,私人網路連接器會使用 Kerberos 限制委派 (KCD) 來向 Kerberos 應用程式驗證使用者。

應用程式 Proxy 也支援搭配第三方整合或在特定的設定案例中使用下列驗證通訊協定:

  • 標頭型驗證。 此登入方法會使用名為 PingAccess 的第三方驗證服務,使用時機則在應用程式使用標頭進行驗證時。 在此案例中,驗證會由 PingAccess 處理。
  • 表單或密碼型驗證。 若使用此驗證方法,使用者在第一次存取應用程式時,要以使用者名稱和密碼登入應用程式。 第一次登入之後,Microsoft Entra ID 就會向應用程式提供使用者名稱和密碼。 在此案例中,驗證是由 Microsoft Entra ID 處理。
  • SAML 驗證。 使用 SAML 2.0 或 WS-同盟通訊協定的應用程式都支援 SAML 型單一登入。 透過 SAML 單一登入,使用使用者的 Microsoft Entra 帳戶對應用程式進行 Microsoft Entra 驗證。

如需有關支援的方法的詳細資訊,請參閱選擇單一登入方法

安全性優點

應用程式 Proxy 和 Microsoft Entra 所提供的遠端存取解決方案支援幾項安全性優點可供客戶利用,包括:

  • 已驗證的存取。 應用程式 Proxy 最適合用來發佈具有預先驗證的應用程式,以確保只有已驗證的連線能夠連上您的網路。 對於使用預先驗證發佈的應用程式,不允許沒有有效權杖的流量通過應用程式 Proxy 服務而到達您的內部部署環境。 預先驗證 (就其本質) 會封鎖大量目標式攻擊,因為只有已驗證的身分識別才能存取後端應用程式。

  • 條件式存取。 在建立通往您網路的連線之前,可以先套用更豐富的原則控制。 使用條件式存取,就可以對允許連上後端應用程式的流量來定義限制。 您可以使用位置、驗證強度和使用者風險狀況做為基礎,建立限制登入的原則。 條件式存取隨著發展新增了更多的控制以提供額外的安全性,例如與 Microsoft Defender for Cloud Apps 整合。 Defender for Cloud Apps 整合可讓您藉由利用條件式存取來根據條件式存取原則即時監視並控制工作階段,而為內部部署應用程式設定即時監視

  • 流量終止。 在向後端伺服器重新建立工作階段時,雲端中的應用程式 Proxy 服務會終止所有流向後端應用程式的流量。 此連線策略表示您的後端伺服器不會對直接 HTTP 流量公開。 由於您的防火牆不會遭受攻擊,因此這些伺服器能更好地防禦目標型 DoS (拒絕服務) 攻擊。

  • 所有存取都是輸出。 私人網路連接器只會透過連接埠 80 和 443,來使用目的地為雲端中應用程式 Proxy 服務的輸出連線。 由於沒有輸入連線,因此不需要為 DMZ 中的連入連線或元件開啟防火牆連接埠。 所有連線皆為輸出且透過安全通道進行。

  • 以安全性分析和 Machine Learning (ML) 為基礎的情報。 因為應用程式 Proxy 是 Microsoft Entra ID 的一部分,所以可以利用 Microsoft Entra ID Protection (需要 Premium P2 授權)。 Microsoft Entra ID Protection 會結合機器學習安全情報與來自 Microsoft 數位犯罪防治中心Microsoft Security Response Center 的資料摘要,來主動識別遭到入侵的帳戶。 Identity Protection 可即時防範高風險的登入。其會考量各種因素 (如來自受感染裝置的存取、透過匿名網路的存取,或來自非典型與虛假位置的存取),以增加工作階段的風險概況。 此風險概況可用於提供即時保護。 這些報告和事件中有許多已可透過 API 與 SIEM 系統整合。

  • 遠端存取即服務。 您不必煩惱要如何維護及修補內部部署伺服器以實現遠端存取。 應用程式 Proxy 是 Microsoft 自有的網際網路級別服務,因此您永遠會獲得最新的安全性修補程式和升級。 未更新的軟體仍需負責處理大量攻擊。 根據美國國土安全部的調查,多達 85% 的目標型攻擊是可以預防的。 使用此服務模型,您就不必再艱辛管理邊緣伺服器並視需要加以修補。

  • Intune 整合。 使用 Intune 時,公司流量會與個人流量分開進行路由。 應用程式 Proxy 可確保公司流量會經過驗證。 應用程式 Proxy 與 Intune Managed Browser 功能也可一起使用,而讓遠端使用者能夠安全地從 iOS 和 Android 裝置存取內部網站。

雲端藍圖

實作應用程式 Proxy 的另一個主要優點是可以將 Microsoft Entra ID 延伸到內部部署環境。 事實上,實作應用程式 Proxy 是讓組織和應用程式移至雲端的關鍵步驟。 藉由移至雲端並遠離內部部署驗證,您可以減少內部部署的磁碟使用量,並使用 Microsoft Entra 的身分識別管理功能來作為控制平面。 不用對現有應用程式進行多少更新,您就可以存取單一登入、多重要素驗證和集中管理等雲端功能。 在應用程式 Proxy 內安裝必要元件是很簡單的程序,可用於建立遠端存取架構。 而且藉由移至雲端,您也可以存取最新的 Microsoft Entra 功能和更新,例如高可用性和災害復原。

若要深入了解如何將應用程式遷移至 Microsoft Entra ID,請參閱將應用程式遷移至 Microsoft Entra ID

架構

此圖說明在一般情況下,Microsoft Entra 驗證服務和應用程式 Proxy 會如何搭配運作,來為使用者提供內部部署應用程式的單一登入。

Microsoft Entra 應用程式 Proxy 的驗證流程

  1. 使用者透過端點存取應用程式之後,系統會將使用者重新導向至 Microsoft Entra 登入頁面。 如果您已設定條件式存取原則,此時便會檢查具體條件以確保您符合組織的安全性需求。
  2. 成功登入之後,Microsoft Entra ID 會將權杖傳送至使用者的用戶端裝置。
  3. 用戶端會將權杖傳送至應用程式 Proxy 服務,該服務會取出權杖的使用者主體名稱 (UPN) 和安全性主體名稱 (SPN)。
  4. 應用程式 Proxy 會轉送要求 (要求會由私人網路連接器接收)。
  5. 連接器會代表使用者執行任何額外的必要驗證 (選擇性功能,視驗證方法而定)、要求應用程式伺服器的內部端點,並將要求傳送至內部部署應用程式。
  6. 來自該應用程式伺服器的回應會透過連接器傳送給應用程式 Proxy 服務。
  7. 回應會從應用程式 Proxy 服務傳送給使用者。

Microsoft Entra 應用程式 Proxy 是由雲端式應用程式 Proxy 服務和內部部署連接器所組成的。 連接器會接聽來自應用程式 Proxy 服務的要求,並處理對內部應用程式的連線。 請務必請注意,所有通訊都會透過 TLS 發生,且一律源自於至應用程式 Proxy 服務的連接器。 也就是說,通訊只會對外輸出。 連接器會使用用戶端憑證來驗證所有呼叫的應用程式 Proxy 服務。 連線安全性的唯一例外是可供建立用戶端憑證的初始設定步驟。 如需詳細資訊,請參閱應用程式 Proxy 運作原理

Microsoft Entra 私人網路連接器

應用程式 Proxy 會使用 Microsoft Entra 私人網路連接器。 Microsoft Entra 私人存取會使用相同的連接器。 若要深入瞭解連接器,請參閱 Microsoft Entra 私人網路連接器

其他使用案例

到目前為止,我們的焦點一直放在使用應用程式 Proxy 來對外發佈內部部署應用程式,同時讓所有雲端和內部部署應用程式實現單一登入。 不過,另外還有一些值得一提的應用程式 Proxy 使用案例。 其中包含:

  • 安全發佈 REST API。 當您讓商務邏輯或 API 在內部部署環境中執行,或裝載於雲端中的虛擬機器時,應用程式 Proxy 會提供用來進行 API 存取的公用端點。 API 端點存取可讓您控制驗證和授權,而不需要有連入連接埠。 其可透過 Microsoft Entra ID P1 或 P2 功能 (例如,使用 Intune 的桌面、iOS、MAC 和 Android 裝置,會有多重要素驗證和裝置型條件式存取) 來提供額外的安全性。 若要深入了解,請參閱如何讓原生用戶端應用程式能與 Proxy 應用程式互動以及使用 OAuth 2.0 搭配 Microsoft Entra ID 與 APIM 來保護 API
  • 遠端桌面服務 (RDS)。 需要使用開啟的輸入連線才能進行標準 RDS 部署。 不過,使用應用程式 Proxy 的 RDS 部署具有來自連接器服務執行所在伺服器的永久輸出連線。 如此一來,您就可以透過遠端桌面服務發佈內部部署應用程式,藉此來提供更多應用程式給使用者。 您也可以向 RDS 提供一組有限的雙步驟驗證和條件式存取控制,來減少部署的受攻擊面。
  • 發佈使用 Websocket 來連線的應用程式Qlik Sense 支援目前為公開預覽狀態,未來會擴展至其他應用程式。
  • 讓原生用戶端應用程式與 Proxy 應用程式互動。 您可以使用 Microsoft Entra 應用程式 Proxy 來發佈 Web 應用程式,但其也可用來發佈使用 Microsoft 驗證程式庫 (MSAL) 所設定的原生用戶端應用程式。 原生用戶端應用程式與 Web 應用程式不同,因為這種應用程式會安裝在裝置上,而 Web 應用程式則是透過瀏覽器存取。

結論

我們的工作方式和使用的工具變化得很快。 隨著越來越多的員工攜帶自己的裝置來工作並普遍使用軟體即服務 (SaaS) 應用程式,組織用來管理及保護其資料的方式也必須跟著演化。 公司無法再關起門來獨自營運。 比起以往,資料會移動到更多位置,蹤跡橫跨內部部署和雲端環境。 這樣的發展不僅幫助使用者提高生產力和共同作業能力,同時也讓敏感性資料變得更難以保護。

無論您目前正使用 Microsoft Entra ID 來管理混合式共存案例中的使用者,還是想要開始您的雲端旅程,實作 Microsoft Entra 應用程式 Proxy 都可藉由提供遠端存取服務來協助您減少內部部署使用量的大小。

組織應該立即開始利用應用程式 Proxy 來利用下列優勢:

  • 可對外發佈內部部署應用程式,而不必為了維護傳統 VPN 或其他內部部署 Web 發佈解決方案和 DMZ 方法而衍生相關額外負荷
  • 單一登入至所有應用程式,不論是 Microsoft 365 或其他 SaaS 應用程式,內部部署應用程式也包括在內
  • 可獲得雲端級別的安全性,Microsoft Entra 會運用 Microsoft 365 遙測來防止未經授權進行存取
  • Intune 整合,可確保公司流量會經過驗證
  • 集中管理使用者帳戶
  • 自動更新,以確保您有最新的安全性修補程式
  • 獲得新發行的功能;最新功能是支援 SAML 單一登入和更加細微的應用程式 Cookie 管理

下一步