Dela via

Publicera lokala appar för fjärranvändare med Microsoft Entra-programproxy

Microsoft Entra-programproxy ger säker fjärråtkomst till lokala webbprogram. Efter en enkel inloggning till Microsoft Entra-ID kan användarna komma åt både molnbaserade och lokala program via en extern URL eller en intern programportal. Programproxy kan till exempel ge fjärråtkomst och enkel inloggning till program för fjärrskrivbord, SharePoint, Teams, Tableau, Qlik och verksamhetsspecifika program (LOB).

Microsoft Entra-programproxy är:

  • Enkelt att använda. Användare kan komma åt dina lokala program på samma sätt som de får åtkomst till Microsoft 365 och andra SaaS-appar som är integrerade med Microsoft Entra-ID. Du behöver inte ändra eller uppdatera dina program så att de fungerar med programproxyn.

  • Skydda. Lokala program kan använda Azures auktoriseringskontroller och säkerhetsanalys. Lokala program kan till exempel använda villkorsstyrd åtkomst och tvåstegsverifiering. Programproxy kräver inte att du öppnar inkommande anslutningar via brandväggen.

  • Kostnadseffektivt. Lokala lösningar kräver vanligtvis att du konfigurerar och underhåller demilitariserade zoner (DMZ), gränsservrar eller andra komplexa infrastrukturer. Programproxy körs i molnet, vilket gör det enkelt att använda. Om du vill använda programproxy behöver du inte ändra nätverksinfrastrukturen eller installera fler installationer i din lokala miljö.

Tips

Om du redan har Microsoft Entra-ID kan du använda det som ett kontrollplan för att ge sömlös och säker åtkomst till dina lokala program.

Även om listan inte är omfattande visar den exempel på användning av programproxy i ett hybridexistensscenario:

  • Publicera lokala webbappar externt på ett förenklat sätt utan DMZ
  • Stöd för enkel inloggning (SSO) mellan enheter, resurser och appar i molnet och lokalt
  • Stöd för multifaktorautentisering för appar i molnet och lokalt
  • Använd snabbt molnfunktioner med säkerheten i Microsoft Cloud
  • Centralisera hantering av användarkonton
  • Centralisera kontrollen av identitet och säkerhet
  • Lägg automatiskt till eller ta bort användaråtkomst till program baserat på gruppmedlemskap

Den här artikeln förklarar hur Microsoft Entra-ID och programproxy ger fjärranvändare en enkel inloggning (SSO). Användare ansluter säkert till lokala appar utan VPN eller dubbla hemservrar eller brandväggsregler. Den här artikeln hjälper dig att förstå hur programproxy ger dina lokala webbprogram molnets funktioner och säkerhetsfördelar. Den beskriver också den arkitektur och de topologier som är möjliga.

Tips

Programproxy innehåller både programproxytjänsten, som körs i molnet, och den privata nätverksanslutningen, som körs på en lokal server. Microsoft Entra-ID, programproxytjänsten och den privata nätverksanslutningen fungerar tillsammans för att på ett säkert sätt skicka användarens inloggningstoken från Microsoft Entra-ID:t till webbprogrammet.

Programproxy fungerar med:

  • Webbprogram som använder integrerad Windows-autentisering för autentisering
  • Webbprogram som använder formulärbaserad eller rubrikbaserad åtkomst
  • Webb-API:er som du vill exponera för omfattande program på olika enheter
  • Program som finns bakom en fjärrskrivbordsgateway
  • Omfattande klientappar som är integrerade med Microsoft Authentication Library (MSAL)

Programproxy stöder enkel inloggning. Mer information om metoder som stöds finns i Välja en enkel inloggningsmetod.

Fjärråtkomst tidigare

Tidigare var ditt kontrollplan för att skydda interna resurser från angripare och samtidigt underlätta fjärranvändares åtkomst helt placerat i DMZ- eller perimeternätverket. Men de VPN- och omvända proxylösningar som implementeras i DMZ och används av externa klienter för att komma åt företagsresurser passar inte för molnmiljön. De drabbas vanligtvis av följande nackdelar:

  • Öka maskinvarukostnaderna
  • Underhåll av säkerhet (korrigering, övervakning av portar och så vidare)
  • Autentisera användare vid gränsen
  • Autentisera användare till webbservrar i perimeternätverket
  • Underhålla VPN-åtkomst för fjärranvändare med distribution och konfiguration av VPN-klientprogramvara. Dessutom kan du underhålla domänanslutna servrar i DMZ, som kan vara sårbara för attacker utifrån.

I dagens molnbaserade värld passar Microsoft Entra-ID bäst för att styra vem och vad som kommer in i nätverket. Microsoft Entra-programproxy integreras med modern autentisering och molnbaserad teknik, till exempel SaaS-program och identitetsprovidrar. Den här integreringen gör det möjligt för användare att komma åt appar var de än befinner sig. Programproxy passar inte bara bättre för dagens digitala arbetsplats, det är säkrare än VPN- och omvända proxylösningar och enklare att implementera. Fjärranvändare kan komma åt dina lokala program på samma sätt som de får åtkomst till Microsoft och andra SaaS-appar som är integrerade med Microsoft Entra-ID. Du behöver inte ändra eller uppdatera dina program så att de fungerar med programproxyn. Dessutom kräver programproxy inte att du öppnar inkommande anslutningar via brandväggen. Med programproxyn ställer du helt enkelt in den och glömmer den.

Framtiden för fjärråtkomst

På dagens digitala arbetsplats får användarna åtkomst till appar och arbetar var de än använder flera enheter. Den konstanta faktorn är användaridentitet. Börja skydda nätverket med hjälp av Microsoft Entra-identitetshantering som säkerhetskontrollplan. Den här identitetsbaserade modellen innehåller följande komponenter:

  • En identitetsprovider för att hålla reda på användare och användarrelaterad information.
  • Enhetskatalog för att underhålla en lista över enheter som har åtkomst till företagsresurser. Den här katalogen innehåller motsvarande enhetsinformation (till exempel typ av enhet, integritet och så vidare).
  • Principutvärderingstjänsten kontrollerar om användare och enheter uppfyller de säkerhetsprinciper som angetts av administratörer.
  • Möjligheten att bevilja eller neka åtkomst till organisationsresurser. Microsoft Entra-ID spårar användare som har åtkomst till webbappar som publiceras lokalt och i molnet. Det är en central punkt för att hantera dessa appar. För att förbättra säkerheten aktiverar du villkorsstyrd åtkomst i Microsoft Entra. Den här funktionen säkerställer att endast rätt personer får åtkomst till dina program genom att ange villkor för autentisering och åtkomst.

Anteckning

Microsoft Entra-programproxy ersätter VPN eller omvända proxyservrar för fjärranvändare som har åtkomst till interna resurser. Den är inte utformad för interna användare i företagsnätverket. När interna användare använder programproxy i onödan kan det orsaka oväntade prestandaproblem.

Microsoft Entra-ID och alla dina appar

Översikt över hur programproxy fungerar

Diagrammet visar hur Microsoft Entra-ID och programproxy fungerar tillsammans för att tillhandahålla enkel inloggning till lokala program.

Diagram över Microsoft Entra-programproxy.

  1. En användare dirigeras till Microsoft Entra-inloggningssidan efter att ha fått åtkomst till programmet via en slutpunkt.
  2. Microsoft Entra-ID skickar en token till användarens klientenhet efter en lyckad inloggning.
  3. Klienten skickar token till programproxytjänsten. Tjänsten hämtar användarens huvudnamn (UPN) och säkerhetshuvudnamn (SPN) från token. Programproxy skickar sedan begäran till anslutningsappen.
  4. Anslutningen kommer att genomföra Single Sign-On-autentisering (SSO) som krävs på användarens vägnar.
  5. Anslutningsappen skickar begäran till det lokala programmet.
  6. Svaret skickas via anslutningstjänsten och programproxytjänsten till användaren.

Anteckning

Precis som de flesta Microsoft Entra-hybridagenter kräver den privata nätverksanslutningen inte att du öppnar inkommande anslutningar via brandväggen. Användartrafiken i steg 3 avslutas vid programproxytjänsten. Den privata nätverksanslutningen, som finns i ditt privata nätverk, ansvarar för resten av kommunikationen.

Komponent beskrivning
Slutpunkt Slutpunkten är en URL eller en slutanvändarportal. Användare kan nå program utanför nätverket genom att komma åt en extern URL. Användare i nätverket kan komma åt programmet via en URL eller en slutanvändarportal. När användarna går till en av dessa slutpunkter autentiseras de i Microsoft Entra-ID och dirigeras sedan via anslutningsappen till det lokala programmet.
Microsoft Entra-ID Microsoft Entra ID utför autentiseringen med hjälp av klientkatalogen som lagras i molnet.
Programproxytjänst Den här programproxytjänsten körs i molnet som en del av Microsoft Entra-ID. Den skickar inloggningstoken från användaren till den privata nätverksanslutningen. Applikationsproxy vidarebefordrar de tillgängliga rubrikerna i begäran och ställer in dem enligt sitt protokoll, för att skicka dem till klientens IP-adress. Om den inkommande begäran till proxyn redan har den rubriken läggs klientens IP-adress till i slutet av den kommaavgränsade listan som är rubrikens värde.
Privat nätverksanslutning Anslutningen är en lättviktsagent som körs på en Windows Server i ditt nätverk. Anslutningsappen hanterar kommunikationen mellan programproxytjänsten i molnet och det lokala programmet. Anslutningsappen använder endast utgående anslutningar, så du behöver inte öppna inkommande portar i internetanslutna nätverk. Kontakterna är tillståndslösa och hämtar information från molnet efter behov. För mer information om anslutningar, såsom hur de belastningsutjämnar och autentiserar, se Förstå privata nätverksanslutningar för Microsoft Entra.
Active Directory (AD) Active Directory körs lokalt för att utföra autentisering för domänkonton. När enkel inloggning har konfigurerats kommunicerar anslutningsappen med AD för att utföra eventuell extra autentisering som krävs.
På-plats-applikation Slutligen kan användaren komma åt ett lokalt program.

Programproxy är en Microsoft Entra-tjänst som du konfigurerar i administrationscentret för Microsoft Entra. Det gör att du kan publicera en extern offentlig HTTP/HTTPS URL-slutpunkt i Azure Cloud, som ansluter till en intern programserver-URL i din organisation. Dessa lokala webbappar kan integreras med Microsoft Entra-ID för enkel inloggning. Användarna kan sedan komma åt lokala webbappar på samma sätt som de får åtkomst till Microsoft 365 och andra SaaS-appar.

Programproxytjänsten körs i molnet, den privata nätverksanslutningen fungerar som en enkel agent på en lokal server och Microsoft Entra-ID fungerar som identitetsprovider. Tillsammans gör dessa komponenter det möjligt för användare att komma åt lokala webbprogram med en sömlös enkel inloggning.

När en användare har autentiserats kan externa användare komma åt lokala webbprogram med hjälp av en visnings-URL eller Mina appar från skrivbordet eller iOS/MAC-enheter. Till exempel kan programproxy ge fjärråtkomst och enkel inloggning till Fjärrskrivbord, SharePoint-webbplatser, Tableau, Qlik, Outlook på webben och verksamhetsspecifika program (LOB).

Microsoft Entra programproxy-arkitektur

Autentisering

Det finns flera sätt att konfigurera ett program för enkel inloggning och vilken metod du väljer beror på vilken autentisering programmet använder. Programproxy stöder följande typer av program:

  • Webbapplikationer
  • Webb-API:er som du vill exponera för omfattande program på olika enheter
  • Program som finns bakom en fjärrskrivbordsgateway
  • Omfattande klientappar som är integrerade med Microsoft Authentication Library (MSAL)

Programproxy fungerar med appar som använder följande interna autentiseringsprotokoll:

  • Integrerad Windows-autentisering (IWA). För integrerad Windows-autentisering (IWA) använder de privata nätverksanslutningarna Kerberos-begränsad delegering (KCD) för att autentisera användare till Kerberos-programmet.

Programproxy stöder även autentiseringsprotokoll med icke-Microsoft-partner i specifika konfigurationsscenarier:

  • Rubrikbaserad autentisering. Den här metoden använder PingAccess, en icke-Microsoft-partnertjänst, för att hantera autentisering för program som förlitar sig på rubriker.
  • Formulär- eller lösenordsbaserad autentisering. Med den här autentiseringsmetoden loggar användarna in på programmet med ett användarnamn och lösenord första gången de kommer åt det. Efter den första inloggningen tillhandahåller Microsoft Entra-ID användarnamnet och lösenordet till programmet. I det här scenariot hanterar Microsoft Entra-ID autentisering.
  • SAML-autentisering. SAML-baserad enkel inloggning stöds för program som använder SAML (Security Assertion Markup Language) 2.0 eller WS-Federation protokoll. Med enkel inloggning med SAML autentiserar Microsoft Entra till programmet med användarens Microsoft Entra-konto.

Mer information om metoder som stöds finns i Välja en enkel inloggningsmetod.

Säkerhetsfördelar

Fjärråtkomstlösningen som erbjuds av programproxyn och Microsoft Entra stöder flera säkerhetsfördelar som kunder kan dra nytta av, inklusive:

  • Autentiserad åtkomst. Programproxy använder förautentisering för att säkerställa att endast autentiserade anslutningar når nätverket. Den blockerar all trafik utan en giltig token för program som konfigurerats med förautentisering. Den här metoden minskar avsevärt riktade attacker genom att endast verifierade identiteter får åtkomst till serverdelsprogram.

  • Villkorlig åtkomst. Du kan använda mer omfattande principkontroller innan anslutningar till nätverket upprättas. Med villkorsstyrd åtkomst kan du definiera begränsningar för den trafik som du tillåter för att träffa ditt serverdelsprogram. Du skapar principer som begränsar inloggningar baserat på plats, styrkan i autentiseringen och användarriskprofilen. Allt eftersom villkorlig åtkomst utvecklas läggs fler kontroller till för att ge mer säkerhet, till exempel integrering med Microsoft Defender för Cloud Apps. Med Defender för Cloud Apps-integrering kan du konfigurera ett lokalt program för realtidsövervakning med hjälp av villkorlig åtkomst för att övervaka och kontrollera sessioner i realtid baserat på principer för villkorsstyrd åtkomst.

  • Trafikavslut. All trafik till serverdelsprogrammet avslutas vid programproxytjänsten i molnet medan sessionen återupprättas med serverdelsservern. Den här anslutningsstrategin innebär att dina serverdelsservrar inte exponeras för direkt HTTP-trafik. De är bättre skyddade mot riktade DoS-attacker (denial-of-service) eftersom brandväggen inte är under attack.

  • All åtkomst är riktad utåt. De privata nätverksanslutningarna använder endast utgående anslutningar till programproxytjänsten i molnet via portarna 80 och 443. Utan inkommande anslutningar behöver du inte öppna brandväggsportar för inkommande anslutningar eller komponenter i DMZ. Alla anslutningar är utgående och över en säker kanal.

  • Säkerhetsanalys och maskininlärningsbaserad intelligens. Eftersom det är en del av Microsoft Entra-ID kan programproxy använda Microsoft Entra ID Protection (kräver Premium P2-licensiering). Microsoft Entra ID Protection kombinerar maskininlärningssäkerhetsinformation med dataflöden från Microsofts enhet för digitala brott och Microsoft Security Response Center för att proaktivt identifiera komprometterade konton. Microsoft Entra ID Protection erbjuder realtidsskydd mot högriskinloggningar. Det tar hänsyn till faktorer som åtkomst från infekterade enheter, anonymisering av nätverk eller från atypiska och osannolika platser för att öka riskprofilen för en session. Den här riskprofilen används för realtidsskydd. Många av dessa rapporter och händelser är redan tillgängliga via ett API för integrering med dina SIEM-system (Security Information and Event Management).

  • Fjärråtkomst som en tjänst. Du behöver inte bekymra dig om att underhålla och korrigera lokala servrar för att aktivera fjärråtkomst. Programproxy är en internetskalningstjänst som Microsoft äger, så du får alltid de senaste säkerhetskorrigeringarna och uppgraderingarna. Opatchad programvara står fortfarande för ett stort antal attacker. Enligt Department of Homeland Security kan så många som 85 procent av riktade attacker förhindras. Med den här tjänstmodellen behöver du inte längre bära den tunga bördan att hantera dina edge-servrar och hetsa för att laga dem efter behov.

  • Intune-integrering. Med Intune dirigeras företagstrafik separat från personlig trafik. Programproxy säkerställer att företagstrafiken autentiseras. Programproxy och Intune Managed Browser-funktionen kan också användas tillsammans för att fjärranvändare ska kunna få säker åtkomst till interna webbplatser från iOS- och Android-enheter.

Översikt över molnet

En annan viktig fördel med att implementera programproxy är att utöka Microsoft Entra-ID till din lokala miljö. I själva verket är implementering av programproxy ett viktigt steg för att flytta din organisation och dina appar till molnet. Genom att flytta till molnet och bort från lokal autentisering minskar du ditt lokala fotavtryck och använder Microsoft Entra-identitetshanteringsfunktioner som kontrollplan. Med minimala eller inga uppdateringar av befintliga program har du åtkomst till molnfunktioner som enkel inloggning, multifaktorautentisering och central hantering. Att installera nödvändiga komponenter i programproxyn är en enkel process för att upprätta ett ramverk för fjärråtkomst. Och genom att flytta till molnet har du åtkomst till de senaste Funktionerna i Microsoft Entra, uppdateringar och funktioner, till exempel hög tillgänglighet och haveriberedskap.

Mer information om hur du migrerar dina appar till Microsoft Entra-ID finns i Migrera dina program till Microsoft Entra-ID.

Arkitektur

Diagrammet illustrerar i allmänhet hur Microsoft Entra-autentiseringstjänster och programproxy fungerar tillsammans för att tillhandahålla enkel inloggning till lokala program till användare.

Autentiseringsflöde för Microsoft Entra-programproxy

  1. Användaren kommer åt programmet via en slutpunkt och omdirigeras till microsoft Entra-inloggningssidan. Principer för villkorsstyrd åtkomst kontrollerar specifika villkor för att säkerställa efterlevnad av organisationens säkerhetskrav.
  2. Microsoft Entra-ID skickar en token till användarens klientenhet.
  3. Klienten skickar token till programproxytjänsten, som extraherar användarens huvudnamn (UPN) och säkerhetshuvudnamn (SPN) från token.
  4. Programproxyn vidarebefordrar begäran till den privata nätverksanslutningen.
  5. Anslutningsappen hanterar all ytterligare autentisering som krävs (valfritt baserat på autentiseringsmetoden), hämtar programserverns interna slutpunkt och skickar begäran till det lokala programmet.
  6. Programservern svarar och anslutningsappen skickar tillbaka svaret till programproxytjänsten.
  7. Programproxytjänsten levererar svaret till användaren.

Microsoft Entra-applikationsproxy består av den molnbaserade applikationsproxytjänsten och en lokal anslutningskoppling. Anslutningsappen lyssnar efter begäranden från programproxytjänsten och hanterar anslutningar till de interna programmen. Observera att all kommunikation sker via TLS (Transport Layer Security) och alltid kommer från anslutningstjänsten till programproxytjänsten. Kommunikationen är alltså endast utgående. Anslutningsappen använder ett klientcertifikat för att autentisera till programproxytjänsten för alla anrop. Det enda undantaget för anslutningssäkerheten är det första installationssteget där klientcertifikatet upprättas. Mer information finns i programproxy under huven.

Microsoft Entra privat nätverksanslutning

Applikationsproxy använder Microsoft Entra privata nätverksanslutning. Samma anslutning används av Microsoft Entra privat åtkomst. Mer information om anslutningskopplingar finns i Privat nätverksanslutningskoppling för Microsoft Entra.

Andra användningsfall

Hittills fokuserar vi på att använda programproxy för att publicera lokala appar externt och aktivera enkel inloggning för alla molnappar och lokala appar. Programproxy stöder dock även andra användningsfall, inklusive:

  • Publicera REST-API:er på ett säkert sätt. Använd programproxy för att skapa en offentlig slutpunkt för dina lokala eller molnbaserade API:er. Kontrollera autentisering och auktorisering utan att öppna inkommande portar. Läs mer i Aktivera interna klientprogram för att interagera med proxyprogram och Skydda ett API med OAuth 2.0 med Microsoft Entra ID och API Management.
  • Fjärrskrivbordstjänster(RDS). Standarddistributioner av fjärrskrivbordstjänster (RDS) kräver öppna inkommande anslutningar. RDS-distributionen med programproxyn har dock en permanent utgående anslutning från servern som kör anslutningstjänsten. På så sätt kan du erbjuda fler program till användare genom att publicera lokala program via Fjärrskrivbordstjänster. Du kan också minska attackytan för distributionen med en begränsad uppsättning tvåstegsverifiering och kontroller för villkorsstyrd åtkomst till RDS.
  • Publicera program som ansluter med WebSockets. Stöd med Qlik Sense finns i offentlig förhandsversion och kommer att utökas till andra appar i framtiden.
  • Aktivera interna klientprogram för att interagera med proxyprogram. Du kan använda Microsoft Entra-programproxy för att publicera webbappar, men det kan också användas för att publicera interna klientprogram som har konfigurerats med Microsoft Authentication Library (MSAL). Klientprogram skiljer sig från webbappar eftersom de är installerade på en enhet, medan webbappar nås via en webbläsare.

Slutsats

Organisationer anpassar sig till snabba förändringar i arbete och verktyg. Anställda använder sina egna enheter och förlitar sig på SaaS-program (Software-as-a-Service). Därför blir det mer komplext att hantera och skydda data. Data flyttas nu över lokala miljöer och molnmiljöer, långt bortom traditionella gränser. Det här skiftet ökar produktiviteten och samarbetet, men gör det också svårare att skydda känsliga data.

Microsoft Entra-programproxy minskar ditt lokala fotavtryck genom att erbjuda fjärråtkomst som en tjänst. Oavsett om du redan använder Microsoft Entra-ID för att hantera användare i en hybridkonfiguration eller planerar att starta molnresan, förenklar programproxy fjärråtkomst och förbättrar säkerheten.

Organisationer bör börja dra nytta av programproxyn idag för att dra nytta av följande fördelar:

  • Publicera lokala appar externt utan att behöva använda traditionella VPN-tjänster eller andra lokala webbpubliceringslösningar och DMZ-metoder
  • Enkel inloggning till alla program, oavsett om de är Microsoft 365 eller andra SaaS-appar och inklusive lokala program
  • Säkerhet i molnskala där Microsoft Entra använder Microsoft 365 för att förhindra obehörig åtkomst
  • Intune-integrering för att säkerställa att företagstrafiken autentiseras
  • Centralisering av hantering av användarkonton
  • Automatiska uppdateringar för att säkerställa att du har de senaste säkerhetskorrigeringarna
  • Nya funktioner när de släpps; det senaste stödet för enkel inloggning med SAML och mer detaljerad hantering av programcookies

Nästa steg