使用 Microsoft Entra 應用程式 Proxy 來為遠端使用者發佈內部部署應用程式

Microsoft Entra 應用程式 Proxy 提供內部部署 Web 應用程式的安全遠端存取。 單一登入 Microsoft Entra ID 之後，使用者可透過外部 URL 或內部應用程式入口網站來存取雲端與內部部署應用程式。 例如，應用程式 Proxy 可以為遠端桌面、SharePoint、Teams、Tableau、Qlik 和企業營運 (LOB) 應用程式提供遠端存取和單一登入。

Microsoft Entra 應用程式代理是：

• 用法簡單。 使用者可以用與其存取 Microsoft 365 和其他與 Microsoft Entra ID 整合的 SaaS 應用程式相同的方式，來存取內部部署應用程式。 您不需要變更或更新應用程式，即可與應用程式代理程式一起使用。

• 安全。 內部部署應用程式可以使用 Azure 的授權控制項和安全性分析。 例如，內部部署應用程式可以使用條件式存取和雙步驟驗證。 應用程式 Proxy 不需要您透過防火牆開啟輸入連線。

• 符合成本效益。 內部部署解決方案一般需要您設置和維護周邊區域網路 (DMZ)、邊緣伺服器或其他複雜的基礎設施。 應用程式 Proxy 在雲端中執行，這使其更容易使用。 若要使用應用程式 Proxy，您不需要變更網路基礎結構，或在內部部署環境中安裝更多的設備。

提示

如果您已經有Microsoft Entra ID，您可以使用它作為一個控制平面，以允許順暢且安全的存取內部部署應用程式。

雖然不完整，但列表說明在混合式共存案例中使用應用程式 Proxy 的範例：

• 以簡化的方式將內部部署 Web 應用程式對外發佈，而不需要 DMZ
• 在雲端和內部部署環境中跨裝置、資源和應用程式支援單一登入 (SSO)
• 針對雲端和內部部署環境中的應用程式支援多重要素驗證
• 快速使用 Microsoft 雲端的安全功能
• 集中管理使用者帳戶
• 集中控制身分識別和安全性
• 根據群組成員資格來自動新增或移除使用者的應用程式存取權

本文說明 Microsoft Entra ID 和應用程式 Proxy 如何對遠端使用者提供單一登入 (SSO) 體驗。 使用者可以安全地連線到內部部署應用程式，而不需要透過 VPN 或雙重主伺服器和防火牆規則。 本文可協助您，了解應用程式 Proxy 如何將雲端的功能和安全性優點，帶入到內部部署 Web 應用程式。 文中也會說明可行的架構和拓撲。

提示

應用程式 Proxy 包括在雲端中執行的私人網路服務，和在內部部署伺服器上執行的應用程式 Proxy 連接器。 Microsoft Entra ID、應用程式 Proxy 服務和私人網路連接器會一起運作，以將使用者登入權杖從 Microsoft Entra ID 安全地傳遞至 Web 應用程式。

應用程式代理與以下內容一起運作：

• 使用整合式 Windows 驗證來進行驗證的 Web 應用程式
• 使用表單架構或標頭型存取的 Web 應用程式
• 您想要公開給不同裝置上豐富應用程式的 Web API
• 裝載在遠端桌面閘道之後的應用程式
• 與 Microsoft Authentication Library (MSAL) 整合的豐富型用戶端應用程式

應用程式 Proxy 支援單一登入。 如需有關支援的方法的詳細資訊，請參閱選擇單一登入方法。

以往的遠端存取

以前，在方便遠端使用者存取的同時，用於保護內部資源免於遭受攻擊者入侵的控制平面，全都放在 DMZ (即周邊網路) 內。 不過，DMZ 內所部署供外部用戶端用來存取公司資源的 VPN 和反向 Proxy 解決方案，並不適合雲端世界。 這些解決方案一般會遇到下列缺點：

• 增加硬體成本
• 維護安全性（修補、監控通訊埠等等）
• 在邊緣驗證使用者
• 在邊緣網路中驗證使用者到網頁伺服器
• 使用 VPN 用戶端軟體的散發和設定，維護遠端使用者的 VPN 存取。 此外，還會在 DMZ 中保有已加入網域的伺服器，這可能使其容易受到外部攻擊。

在現今的雲端優先世界中，Microsoft Entra ID 最適合用來控制可以進入網路的人員和內容。 Microsoft Entra 應用程式 Proxy 整合了現代化的驗證和雲端技術，例如 SaaS 應用程式和身份識別提供者。 此一整合可讓使用者從任何地方存取應用程式。 應用程式 Proxy 不只更適合現今的數位職場，還比 VPN 和反向 Proxy 解決方案更安全且更容易實作。 遠端使用者可以使用和 Microsoft 以及其他與 Microsoft Entra ID 整合 SaaS 應用程式相同的存取方式，來存取內部部署應用程式。 您不需要變更或更新應用程式，即可與應用程式代理程式一起使用。 此外，應用程式 Proxy 不需要您穿過防火牆開啟輸入連線。 使用應用程式 Proxy 時，只要完成設定就不用再加以理會。

遠端存取的未來

在現今的數位工作場所中，使用者使用多個裝置從任何地方存取應用程式和工作。 常數因素是使用者身分識別。 使用 Microsoft Entra 身分識別管理 作為安全性控制平面，開始保護您的網路。 此身分識別型模型包含下列元件：

• 識別提供者，用來追蹤使用者和使用者相關資訊。
• 裝置目錄，用來維護可存取公司資源的裝置清單。 此目錄包含對應的裝置資訊 (例如，裝置類型、完整性等)。
• 原則評估服務會檢查使用者和裝置是否符合系統管理員所設定的安全策略。
• 授與或拒絕對組織資源存取的能力。 Microsoft Entra ID 會追蹤存取內部部署和雲端中發佈的 Web 應用程式的使用者。 它提供管理這些應用程式的中心點。 若要增強安全性，請啟用 Microsoft Entra 條件式存取。 此功能藉由設定驗證和存取的條件，確保只有正確的人員才能存取您的應用程式。

注意

Microsoft Entra 應用程式 Proxy 取代遠端使用者存取內部資源時所需的 VPN 或反向 Proxy。 它並非針對公司網路上的內部使用者所設計。 當內部使用者不必要地使用應用程式 Proxy 時，可能會導致非預期的效能問題。

應用程式 Proxy 運作方式概觀

此圖顯示 Microsoft Entra ID 和應用程式 Proxy 一起運作，以向內部部署應用程式提供單一登入的方式。

1. 在透過端點存取應用程式之後，使用者會重新導向至 Microsoft Entra 登入頁面。
2. 成功登入之後，Microsoft Entra ID 會將權杖傳送至使用者的用戶端裝置。
3. 用戶端會將權杖傳送至應用程式 Proxy 服務。 服務會從權杖中擷取使用者主體名稱 (UPN) 和安全性主體名稱 (SPN)。 應用程式 Proxy 接著會將要求傳送至連接器。
4. 此連接器會代表使用者執行單一登入 (SSO) 驗證。
5. 該連接器會將要求傳送至內部部署應用程式。
6. 回應會透過應用程式 Proxy 服務與連接器傳送給使用者。

注意

如同大多數 Microsoft Entra 混合式代理程式，私人網路連接器不會要求您透過防火牆開啟輸入連線。 步驟 3 中的使用者流量會在應用程式 Proxy 服務終止。 位於您私人網路中的私人網路連接器負責其餘的通訊。

元件	描述
端點	端點可以是 URL 或使用者入口網站。 使用者可以藉由存取外部 URL，來連線網路外部的應用程式。 您網路內的使用者可以透過 URL 或使用者入口網站存取應用程式。 使用者移至這些端點的其中一個時，其會在 Microsoft Entra ID 中進行驗證，然後透過連接器路由至內部部署應用程式。
Microsoft Entra 識別碼	Microsoft Entra ID 會使用雲端中儲存的租用戶目錄執行驗證。
應用程式 Proxy 服務	此應用程式 Proxy 服務會在雲端中執行，作為 Microsoft Entra ID 的一部分。 它會將使用者的登入權杖傳遞至私人網路連接器。 應用程式代理會轉送請求中任何可存取的標頭，並根據其通訊協定將標頭設定為用戶端 IP 位址。 如果對 Proxy 的連入要求中已經有該標頭，則將用戶端 IP 位址加入到該標頭值的逗號分隔清單的結尾。
內部網路連接器	連接器是位於網路內部 Windows 伺服器上執行的輕量型代理程式。 連接器管理雲端中的應用程式 Proxy 服務與內部部署應用程式之間的通訊。 連接器僅會使用輸出連線，因此您不需要在面向網際網路的網路中開啟輸入連接埠。 連接器是無狀態的，且在必要時會從雲端提取資訊。 如需連接器的詳細資訊，例如其如何負載平衡和驗證，請參閱了解 Microsoft Entra 私人網路連接器。
Active Directory （AD）	Active Directory 在內部部署執行以對網域帳戶執行驗證。 設定單一登入後，連接器會與 AD 通訊以執行任何必要的額外驗證。
內部部署應用程式	最後，使用者就能夠存取內部部署應用程式。

應用程式 Proxy 是您在 Microsoft Entra 系統管理中心中設定的一種 Microsoft Entra 服務。 其可讓您在 Azure Cloud 中發佈外部的公用 HTTP/HTTPS URL 端點，這些端點會連線到組織中的內部應用程式伺服器 URL。 這些內部部署 Web 應用程式可與 Microsoft Entra ID 整合以支援單一登入。 然後，使用者就可以使用和用來存取 Microsoft 365 及其他 SaaS 應用程式的相同方式，來存取內部部署 Web 應用程式。

應用程式 Proxy 服務會在雲端中執行，專用網連接器會在內部部署伺服器上以羽量型代理程式的形式運作，Microsoft Entra ID 作為識別提供者。 這些元件可讓使用者使用順暢的單一登錄體驗來存取內部部署 Web 應用程式。

在使用者驗證之後，外部使用者可藉由從其桌面或 iOS/Mac 裝置，使用顯示的 URL 或 我的應用程式，存取內部部署的 Web 應用程式。 例如，應用程式 Proxy 可以為遠端桌面、SharePoint 網站、Tableau、Qlik、Outlook 網頁版和企業營運 (LOB) 應用程式提供遠端存取和單一登入。

驗證

有數種方式可用來設定應用程式的單一登入，要選取什麼方式則取決於應用程式所使用的驗證。 應用程式 Proxy 支援下列類型的應用程式：

• Web 應用程式
• 您想要公開給不同裝置上豐富應用程式的 Web API
• 裝載在遠端桌面閘道之後的應用程式
• 與 Microsoft Authentication Library (MSAL) 整合的豐富型用戶端應用程式

應用程式 Proxy 適用於使用下列原生驗證通訊協定的應用程式：

• 整合式 Windows 驗證 （IWA）。 針對整合式 Windows 驗證 (IWA)，私有網路連接器會使用 Kerberos 限制委派 (KCD) 向 Kerberos 應用程式驗證使用者。

應用程式 Proxy 也支援在特定組態案例中使用非Microsoft合作夥伴的驗證通訊協定：

• 標頭型驗證。 此方法會使用非Microsoft夥伴服務 PingAccess 來處理依賴標頭之應用程式的驗證。
• 表單或密碼型驗證。 若使用此驗證方法，使用者在第一次存取應用程式時，要以使用者名稱和密碼登入應用程式。 第一次登入之後，Microsoft Entra ID 就會向應用程式提供使用者名稱和密碼。 在此案例中，Microsoft Entra ID 會處理驗證。
• SAML 驗證。 使用安全性聲明標記語言 （SAML） 2.0 或 WS-Federation 通訊協定的應用程式支援 SAML 型單一登錄。 透過 SAML 單一登入，使用使用者的 Microsoft Entra 帳戶對應用程式進行 Microsoft Entra 驗證。

如需有關支援的方法的詳細資訊，請參閱選擇單一登入方法。

安全性優點

應用程式 Proxy 和 Microsoft Entra 提供的遠端存取解決方案支援客戶可能利用的數個安全性優點，包括：

• 已驗證的存取。 應用程式 Proxy 會使用 預先驗證 來確保只有已驗證的連線能夠連線到您的網路。 它會封鎖針對已配置預先驗證的應用程式而沒有有效令牌的所有流量。 此方法藉由只允許已驗證的身分識別存取後端應用程式，大幅減少目標攻擊。

• 條件式存取。 在連線到您的網路之前，可以先套用更詳細的政策控制。 使用條件式存取，就可以對允許連上後端應用程式的流量來定義限制。 您可以使用位置、驗證強度和使用者風險狀況做為基礎，建立限制登入的原則。 隨著條件式存取的發展，會新增更多控件以提供更多安全性，例如與適用於CloudApps的 Microsoft Defender 整合。 適用於 Cloud Apps 的 Defender 整合可讓您根據條件式存取原則即時監視及控制會話，以設定內部部署應用程式以進行即時 監視 。

• 流量終止。 在向後端伺服器重新建立工作階段時，雲端中的應用程式 Proxy 服務會終止所有流向後端應用程式的流量。 此連線策略表示您的後端伺服器不會受到直接 HTTP 流量的影響。 它們會受到更好的保護，以防止目標 DoS（阻斷服務）攻擊，因為您的防火牆並未受到攻擊。

• 所有存取都是向外。 私人網路連接器僅使用連接埠 80 和 443，與雲端中的應用程式代理服務進行出站連線。 由於沒有輸入連線，因此不需要為 DMZ 中的連入連線或元件開啟防火牆連接埠。 所有連線皆為輸出且透過安全通道進行。

• 以安全性分析和 Machine Learning (ML) 為基礎的情報。 因為它是Microsoft Entra ID 的一部分，所以應用程式 Proxy 可以使用 Microsoft Entra ID Protection （需要 進階 P2 授權）。 Microsoft Entra ID Protection 會結合機器學習安全情報與來自 Microsoft 數位犯罪防治中心和 Microsoft 安全回應中心的資料摘要，來主動識別遭到入侵的帳戶。 Microsoft Entra ID Protection 可即時防範高風險的登入。這會考量各種因素(如來自受感染裝置的存取、透過匿名網路的存取，或來自非典型與虛假位置的存取)，以增加工作階段的風險概況。 此風險概況可用於提供即時保護。 這些報告和事件中有許多已可透過 API 取得，以便與您的安全性資訊和事件管理 （SIEM） 系統整合。

• 遠端存取作為一種服務。 您不必煩惱要如何維護及修補內部部署伺服器以實現遠端存取。 應用程式 Proxy 是 Microsoft 自有的網際網路級別服務，因此您永遠會獲得最新的安全性修補程式和升級。 未修補的軟體仍是大量攻擊的原因。 根據美國國土安全部的調查，多達 85% 的目標型攻擊是可以預防的。 使用此服務模型，您就不必再艱辛管理邊緣伺服器並視需要加以修補。

• Intune 整合。 使用 Intune 時，公司流量會與個人流量分開進行路由。 應用程式 Proxy 可確保公司流量會經過驗證。 應用程式 Proxy 與 Intune Managed Browser 功能也可一起使用，而讓遠端使用者能夠安全地從 iOS 和 Android 裝置存取內部網站。

雲端藍圖

實作應用程式 Proxy 的另一個主要優點是可以將 Microsoft Entra ID 延伸到內部部署環境。 事實上，實作應用程式 Proxy 是讓組織和應用程式移至雲端的關鍵步驟。 藉由移至雲端並遠離內部部署驗證，您可以減少內部部署的磁碟使用量，並使用 Microsoft Entra 的身分識別管理功能來作為控制平面。 不用對現有應用程式進行多少更新，您就可以存取單一登入、多重要素驗證和集中管理等雲端功能。 在應用程式 Proxy 內安裝必要元件是很簡單的程序，可用於建立遠端存取架構。 而且藉由移至雲端，您也可以存取最新的 Microsoft Entra 功能和更新，例如高可用性和災害復原。

若要深入了解如何將應用程式遷移至 Microsoft Entra ID，請參閱將應用程式遷移至 Microsoft Entra ID。

架構

此圖說明在一般情況下，Microsoft Entra 驗證服務和應用程式 Proxy 會如何搭配運作，來為使用者提供內部部署應用程式的單一登入。

1. 使用者透過端點存取應用程式，並重新導向至 Microsoft Entra 登入頁面。 條件式存取原則會檢查特定條件，以確保符合貴組織的安全性需求。
2. Microsoft Entra ID 會將令牌傳送給使用者的客戶端裝置。
3. 用戶端會將令牌傳送至應用程式 Proxy 服務，從令牌中擷取用戶主體名稱 （UPN） 和安全性主體名稱 （SPN）。
4. 應用程式 Proxy 會將要求轉送至 專用網連接器。
5. 連接器會處理任何所需的驗證（選擇性根據驗證方法），檢索應用程式伺服器的內部端點，並將要求傳送至本地端應用程式。
6. 應用程式伺服器會回應，連接器會將回應傳回給應用程式 Proxy 服務。
7. 應用程式 Proxy 服務會將回應傳遞給使用者。

Microsoft Entra 應用程式 Proxy 是由雲端式應用程式 Proxy 服務和內部部署連接器所組成的。 連接器會接聽來自應用程式 Proxy 服務的要求，並處理對內部應用程式的連線。 請務必注意，所有通訊都會透過傳輸層安全性 （TLS） 發生，且一律源自應用程式 Proxy 服務的連接器。 也就是說，通訊只會對外輸出。 連接器會使用用戶端憑證來驗證所有呼叫的應用程式 Proxy 服務。 連線安全性的唯一例外是設定客戶證書的初始設定步驟。 如需詳細資訊，請參閱 應用程式代理的幕後運作。

Microsoft Entra 私人網路連接器

應用程式 Proxy 會使用 Microsoft Entra 私人網路連接器。 Microsoft Entra 私人存取會使用相同的連接器。 若要深入瞭解連接器，請參閱 Microsoft Entra 私人網路連接器。

其他使用案例

到目前為止，我們著重於使用應用程式 Proxy 在外部發佈內部部署應用程式，併為所有雲端和內部部署應用程式啟用單一登錄。 不過，應用程式 Proxy 也支援其他使用案例，包括：

• 安全發佈 REST API。 使用應用程式 Proxy 為您的內部部署或雲端裝載 API 建立公用端點。 控制驗證和授權，而不需開啟輸入埠。 深入了解 啟用原生用戶端應用程式以與 Proxy 應用程式互動 ，並使用 OAuth 2.0 搭配 Microsoft Entra 識別碼和 API 管理來保護 API。
• 遠端桌面服務(RDS)。 標準遠端桌面服務 （RDS） 部署需要開啟的輸入連線。 不過，使用應用程式 Proxy 的 RDS 部署具有來自連接器服務執行所在伺服器的永久對外連線。 如此一來，您就可以透過遠端桌面服務發佈內部部署應用程式，藉此來提供更多應用程式給使用者。 您也可以向 RDS 提供一組有限的雙步驟驗證和條件式存取控制，來減少部署的受攻擊面。
• 發佈使用 Websocket 來連線的應用程式。 Qlik Sense 支援目前為公開預覽狀態，未來會擴展至其他應用程式。
• 讓原生用戶端應用程式與 Proxy 應用程式互動。 您可以使用 Microsoft Entra 應用程式 Proxy 來發佈 Web 應用程式，但其也可用來發佈使用 Microsoft 驗證程式庫 (MSAL) 所設定的原生用戶端應用程式。 用戶端應用程式與 Web 應用程式不同，因為這種應用程式會安裝在裝置上，而 Web 應用程式則是透過瀏覽器存取。

結論

組織適應工作和工具的快速變更。 員工會使用自己的裝置，並依賴軟體即服務 （SaaS） 應用程式。 因此，管理和保護數據會變得更加複雜。 數據現在會跨內部部署和雲端環境移動，遠遠超出傳統邊界。 此轉變可提升生產力和共同作業，但也使得保護敏感數據更加困難。

Microsoft Entra 應用程式 Proxy 藉由提供遠端訪問即服務來減少內部部署使用量。 無論您已使用 Microsoft Entra ID 來管理混合式設定中的使用者，或計劃開始您的雲端旅程，應用程式代理都能簡化遠端訪問並增強安全性。

組織應該立即開始利用應用程式 Proxy 來利用下列優勢：

• 可對外發佈內部部署應用程式，而不必為了維護傳統 VPN 或其他內部部署 Web 發佈解決方案和 DMZ 方法而衍生相關額外負荷
• 單一登入至所有應用程式，不論是 Microsoft 365 或其他 SaaS 應用程式，內部部署應用程式也包括在內
• Microsoft Entra 使用 Microsoft 365 的雲端規模安全性，以防止未經授權的存取
• Intune 整合，可確保公司流量會經過驗證
• 集中管理使用者帳戶
• 自動更新，以確保您有最新的安全性修補程式
• 當新功能發行時，最新的更新包含支援SAML單一登錄和更精細的應用程式Cookie管理。

下一步

• 教學課程：新增內部部署應用程式以便透過應用程式 Proxy 進行遠端存取