Använda Microsoft Entra-programproxy för att publicera lokala appar för fjärranvändare

Microsoft Entra-programproxy ger säker fjärråtkomst till lokala webbprogram. Efter en enkel inloggning till Microsoft Entra-ID kan användarna komma åt både molnbaserade och lokala program via en extern URL eller en intern programportal. Programproxy kan till exempel ge fjärråtkomst och enkel inloggning till program för fjärrskrivbord, SharePoint, Teams, Tableau, Qlik och verksamhetsspecifika program (LOB).

Microsoft Entra-programproxy är:

  • Enkelt att använda. Användare kan komma åt dina lokala program på samma sätt som de får åtkomst till Microsoft 365 och andra SaaS-appar som är integrerade med Microsoft Entra-ID. Du behöver inte ändra eller uppdatera dina program så att de fungerar med programproxyn.

  • Skydda. Lokala program kan använda Azures auktoriseringskontroller och säkerhetsanalys. Lokala program kan till exempel använda villkorsstyrd åtkomst och tvåstegsverifiering. Programproxy kräver inte att du öppnar inkommande anslutningar via brandväggen.

  • Kostnadseffektivt. Lokala lösningar kräver vanligtvis att du konfigurerar och underhåller demilitariserade zoner (DMZ), gränsservrar eller andra komplexa infrastrukturer. Programproxy körs i molnet, vilket gör det enkelt att använda. Om du vill använda programproxy behöver du inte ändra nätverksinfrastrukturen eller installera fler installationer i din lokala miljö.

Dricks

Om du redan har Microsoft Entra-ID kan du använda det som ett kontrollplan för att ge sömlös och säker åtkomst till dina lokala program.

Även om listan nedan inte är omfattande visar den exempel på användning av programproxy i ett hybridexistensscenario:

  • Publicera lokala webbappar externt på ett förenklat sätt utan DMZ
  • Stöd för enkel inloggning (SSO) mellan enheter, resurser och appar i molnet och lokalt
  • Stöd för multifaktorautentisering för appar i molnet och lokalt
  • Utnyttja snabbt molnfunktioner med säkerheten i Microsoft Cloud
  • Centralisera hantering av användarkonton
  • Centralisera kontrollen av identitet och säkerhet
  • Lägg automatiskt till eller ta bort användaråtkomst till program baserat på gruppmedlemskap

Den här artikeln förklarar hur Microsoft Entra-ID och programproxy ger fjärranvändare en enkel inloggning (SSO). Användare ansluter säkert till lokala appar utan VPN eller servrar med dubbla hem och brandväggsregler. Den här artikeln hjälper dig att förstå hur programproxy ger molnets funktioner och säkerhetsfördelar till dina lokala webbprogram. Den beskriver också den arkitektur och de topologier som är möjliga.

Dricks

Programproxy innehåller både programproxytjänsten, som körs i molnet, och den privata nätverksanslutningen, som körs på en lokal server. Microsoft Entra-ID, programproxytjänsten och den privata nätverksanslutningen fungerar tillsammans för att på ett säkert sätt skicka användarens inloggningstoken från Microsoft Entra-ID:t till webbprogrammet.

Programproxy fungerar med:

  • Webbprogram som använder integrerad Windows-autentisering för autentisering
  • Webbprogram som använder formulärbaserad eller rubrikbaserad åtkomst
  • Webb-API:er som du vill exponera för omfattande program på olika enheter
  • Program som finns bakom en fjärrskrivbordsgateway
  • Omfattande klientappar som är integrerade med Microsoft Authentication Library (MSAL)

Programproxy stöder enkel inloggning. Mer information om metoder som stöds finns i Välja en enkel inloggningsmetod.

Fjärråtkomst tidigare

Tidigare fanns ditt kontrollplan för att skydda interna resurser från angripare samtidigt som fjärranvändare underlättade åtkomsten i DMZ- eller perimeternätverket. Men DE VPN- och omvända proxylösningar som distribueras i DMZ som används av externa klienter för att komma åt företagsresurser passar inte för molnvärlden. De drabbas vanligtvis av följande nackdelar:

  • Maskinvarukostnader
  • Upprätthålla säkerhet (korrigering, övervakning av portar och så vidare)
  • Autentisera användare vid gränsen
  • Autentisera användare till webbservrar i perimeternätverket
  • Underhåll av VPN-åtkomst för fjärranvändare med distribution och konfiguration av VPN-klientprogramvara. Dessutom kan du underhålla domänanslutna servrar i DMZ, som kan vara sårbara för attacker utifrån.

I dagens molnbaserade värld passar Microsoft Entra-ID bäst för att styra vem och vad som kommer in i nätverket. Microsoft Entra-programproxy integreras med modern autentisering och molnbaserad teknik, till exempel SaaS-program och identitetsprovidrar. Den här integreringen gör det möjligt för användare att komma åt appar var de än befinner sig. Programproxy passar inte bara bättre för dagens digitala arbetsplats, det är säkrare än VPN- och omvända proxylösningar och enklare att implementera. Fjärranvändare kan komma åt dina lokala program på samma sätt som de får åtkomst till Microsoft och andra SaaS-appar som är integrerade med Microsoft Entra-ID. Du behöver inte ändra eller uppdatera dina program så att de fungerar med programproxyn. Dessutom kräver programproxy inte att du öppnar inkommande anslutningar via brandväggen. Med programproxyn ställer du helt enkelt in den och glömmer den.

Framtiden för fjärråtkomst

På dagens digitala arbetsplats arbetar användarna var som helst med flera enheter och appar. Den enda konstanten är användaridentitet. Därför är det första steget i ett säkert nätverk i dag att använda Microsoft Entra-identitetshanteringsfunktioner som säkerhetskontrollplan. En modell som använder identitet som kontrollplan består vanligtvis av följande komponenter:

  • En identitetsprovider för att hålla reda på användare och användarrelaterad information.
  • Enhetskatalog för att underhålla en lista över enheter som har åtkomst till företagsresurser. Den här katalogen innehåller motsvarande enhetsinformation (till exempel typ av enhet, integritet och så vidare).
  • Principutvärderingstjänst för att avgöra om en användare och enhet överensstämmer med den princip som angetts av säkerhetsadministratörer.
  • Möjligheten att bevilja eller neka åtkomst till organisationsresurser.

Med programproxy håller Microsoft Entra ID reda på användare som behöver komma åt webbappar som publiceras lokalt och i molnet. Den tillhandahåller en central hanteringsplats för dessa appar. Även om det inte krävs rekommenderar vi att du även aktiverar villkorsstyrd åtkomst för Microsoft Entra. Genom att definiera villkor för hur användare autentiserar och får åtkomst ser du ytterligare till att rätt personer får åtkomst till dina program.

Not

Det är viktigt att förstå att Microsoft Entra-programproxy är avsedd som vpn- eller omvänd proxyersättning för roaminganvändare (eller fjärranvändare) som behöver åtkomst till interna resurser. Den är inte avsedd för interna användare i företagsnätverket. Interna användare som i onödan använder programproxy kan introducera oväntade och oönskade prestandaproblem.

Microsoft Entra-ID och alla dina appar

Översikt över hur programproxy fungerar

Diagrammet visar hur Microsoft Entra-ID och programproxy fungerar tillsammans för att tillhandahålla enkel inloggning till lokala program.

Diagram över Microsoft Entra-programproxy.

  1. En användare dirigeras till Microsoft Entra-inloggningssidan efter att ha fått åtkomst till programmet via en slutpunkt.
  2. Microsoft Entra-ID skickar en token till användarens klientenhet efter en lyckad inloggning.
  3. Klienten skickar token till programproxytjänsten. Tjänsten hämtar användarens huvudnamn (UPN) och säkerhetshuvudnamn (SPN) från token. Programproxy skickar sedan begäran till anslutningsappen.
  4. Anslutningsappen utför autentisering med enkel inloggning (SSO) som krävs för användarens räkning.
  5. Anslutningsappen skickar begäran till det lokala programmet.
  6. Svaret skickas via anslutningstjänsten och programproxytjänsten till användaren.

Not

Precis som de flesta Microsoft Entra-hybridagenter kräver den privata nätverksanslutningen inte att du öppnar inkommande anslutningar via brandväggen. Användartrafiken i steg 3 avslutas vid programproxytjänsten. Den privata nätverksanslutningen, som finns i ditt privata nätverk, ansvarar för resten av kommunikationen.

Komponent Beskrivning
Slutpunkt Slutpunkten är en URL eller en slutanvändarportal. Användare kan nå program utanför nätverket genom att komma åt en extern URL. Användare i nätverket kan komma åt programmet via en URL eller en slutanvändarportal. När användarna går till en av dessa slutpunkter autentiseras de i Microsoft Entra-ID och dirigeras sedan via anslutningsappen till det lokala programmet.
Microsoft Entra-ID Microsoft Entra ID utför autentiseringen med hjälp av klientkatalogen som lagras i molnet.
Programproxytjänst Den här programproxytjänsten körs i molnet som en del av Microsoft Entra-ID. Den skickar inloggningstoken från användaren till den privata nätverksanslutningen. Programproxy vidarebefordrar alla tillgängliga huvuden på begäran och anger rubrikerna enligt protokollet till klientens IP-adress. Om den inkommande begäran till proxyn redan har det huvudet läggs klientens IP-adress till i slutet av kommaavgränsad lista som är värdet för huvudet.
Privat nätverksanslutning Anslutningsappen är en lätt agent som körs på en Windows Server i nätverket. Anslutningsappen hanterar kommunikationen mellan programproxytjänsten i molnet och det lokala programmet. Anslutningsappen använder endast utgående anslutningar, så du behöver inte öppna inkommande portar i internetanslutna nätverk. Anslutningsapparna är tillståndslösa och hämtar information från molnet efter behov. Mer information om anslutningsappar, t.ex. hur de belastningsutjämnas och autentiseras, finns i Förstå privata Anslutningsappar för Microsoft Entra.
Active Directory (AD) Active Directory körs lokalt för att utföra autentisering för domänkonton. När enkel inloggning har konfigurerats kommunicerar anslutningsappen med AD för att utföra eventuell extra autentisering som krävs.
Lokalt program Slutligen kan användaren komma åt ett lokalt program.

Programproxy är en Microsoft Entra-tjänst som du konfigurerar i administrationscentret för Microsoft Entra. Det gör att du kan publicera en extern offentlig HTTP/HTTPS URL-slutpunkt i Azure Cloud, som ansluter till en intern programserver-URL i din organisation. Dessa lokala webbappar kan integreras med Microsoft Entra-ID för enkel inloggning. Användarna kan sedan komma åt lokala webbappar på samma sätt som de får åtkomst till Microsoft 365 och andra SaaS-appar.

Komponenterna i den här funktionen inkluderar programproxytjänsten, som körs i molnet, den privata nätverksanslutningen, som är en enkel agent som körs på en lokal server, och Microsoft Entra-ID, som är identitetsprovidern. Alla tre komponenterna fungerar tillsammans för att ge användaren en enkel inloggningsupplevelse för att få åtkomst till lokala webbprogram.

När en användare har autentiserats kan externa användare komma åt lokala webbprogram med hjälp av en visnings-URL eller Mina appar från skrivbordet eller iOS/MAC-enheter. Till exempel kan programproxy ge fjärråtkomst och enkel inloggning till Fjärrskrivbord, SharePoint-webbplatser, Tableau, Qlik, Outlook på webben och verksamhetsspecifika program (LOB).

Microsoft Entra-programproxyarkitektur

Autentisering

Det finns flera sätt att konfigurera ett program för enkel inloggning och vilken metod du väljer beror på vilken autentisering programmet använder. Programproxy stöder följande typer av program:

  • Webbprogram
  • Webb-API:er som du vill exponera för omfattande program på olika enheter
  • Program som finns bakom en fjärrskrivbordsgateway
  • Omfattande klientappar som är integrerade med Microsoft Authentication Library (MSAL)

Programproxy fungerar med appar som använder följande interna autentiseringsprotokoll:

  • Integrerad Windows-autentisering (IWA). För IWA använder de privata nätverksanslutningarna Kerberos-begränsad delegering (KCD) för att autentisera användare till Kerberos-programmet.

Programproxy stöder också följande autentiseringsprotokoll med tredjepartsintegrering eller i specifika konfigurationsscenarier:

  • Rubrikbaserad autentisering. Den här inloggningsmetoden använder en autentiseringstjänst från tredje part som heter PingAccess och används när programmet använder rubriker för autentisering. I det här scenariot hanteras autentiseringen av PingAccess.
  • Formulär- eller lösenordsbaserad autentisering. Med den här autentiseringsmetoden loggar användarna in på programmet med ett användarnamn och lösenord första gången de kommer åt det. Efter den första inloggningen tillhandahåller Microsoft Entra-ID användarnamnet och lösenordet till programmet. I det här scenariot hanteras autentiseringen av Microsoft Entra-ID.
  • SAML-autentisering. SAML-baserad enkel inloggning stöds för program som använder SAML 2.0- eller WS-Federation-protokoll. Med enkel inloggning med SAML autentiserar Microsoft Entra till programmet med hjälp av användarens Microsoft Entra-konto.

Mer information om metoder som stöds finns i Välja en enkel inloggningsmetod.

Säkerhetsfördelar

Fjärråtkomstlösningen som erbjuds av programproxyn och Microsoft Entra stöder flera säkerhetsfördelar som kunder kan dra nytta av, inklusive:

  • Autentiserad åtkomst. Programproxy passar bäst för att publicera program med förautentisering för att säkerställa att endast autentiserade anslutningar når nätverket. Ingen trafik tillåts passera genom programproxytjänsten till din lokala miljö utan en giltig token för program som publicerats med förautentisering. Förautentisering blockerar till sin natur ett stort antal riktade attacker, eftersom endast autentiserade identiteter kan komma åt serverdelsprogrammet.

  • Villkorlig åtkomst. Du kan använda mer omfattande principkontroller innan anslutningar till nätverket upprättas. Med villkorsstyrd åtkomst kan du definiera begränsningar för den trafik som du tillåter för att träffa ditt serverdelsprogram. Du skapar principer som begränsar inloggningar baserat på plats, styrkan i autentiseringen och användarriskprofilen. Allt eftersom villkorlig åtkomst utvecklas läggs fler kontroller till för att ge ytterligare säkerhet, till exempel integrering med Microsoft Defender för molnet-appar. Defender för molnet Apps-integrering kan du konfigurera ett lokalt program för realtidsövervakning genom att använda villkorlig åtkomst för att övervaka och kontrollera sessioner i realtid baserat på principer för villkorsstyrd åtkomst.

  • Trafikavslut. All trafik till serverdelsprogrammet avslutas vid programproxytjänsten i molnet medan sessionen återupprättas med serverdelsservern. Den här anslutningsstrategin innebär att dina serverdelsservrar inte exponeras för direkt HTTP-trafik. De är bättre skyddade mot riktade DoS-attacker (denial-of-service) eftersom brandväggen inte är under attack.

  • All åtkomst är utgående. De privata nätverksanslutningarna använder endast utgående anslutningar till programproxytjänsten i molnet via portarna 80 och 443. Utan inkommande anslutningar behöver du inte öppna brandväggsportar för inkommande anslutningar eller komponenter i DMZ. Alla anslutningar är utgående och över en säker kanal.

  • Security Analytics- och Machine Learning-baserad intelligens (ML). Eftersom det är en del av Microsoft Entra-ID kan programproxy utnyttja Microsoft Entra ID Protection (kräver Premium P2-licensiering). Microsoft Entra ID Protection kombinerar maskininlärningssäkerhetsinformation med dataflöden från Microsofts enhet för digitala brott och Microsoft Security Response Center för att proaktivt identifiera komprometterade konton. Microsoft Entra ID Protection erbjuder realtidsskydd mot högriskinloggningar. Det tar hänsyn till faktorer som åtkomst från infekterade enheter, anonymisering av nätverk eller från atypiska och osannolika platser för att öka riskprofilen för en session. Den här riskprofilen används för realtidsskydd. Många av dessa rapporter och händelser är redan tillgängliga via ett API för integrering med dina SIEM-system.

  • Fjärråtkomst som en tjänst. Du behöver inte bekymra dig om att underhålla och korrigera lokala servrar för att aktivera fjärråtkomst. Programproxy är en internetskalningstjänst som Microsoft äger, så du får alltid de senaste säkerhetskorrigeringarna och uppgraderingarna. Oskickad programvara står fortfarande för ett stort antal attacker. Enligt Department of Homeland Security kan så många som 85 procent av riktade attacker förhindras. Med den här tjänstmodellen behöver du inte längre bära den tunga bördan att hantera dina gränsservrar och förvränga för att korrigera dem efter behov.

  • Intune-integrering. Med Intune dirigeras företagstrafik separat från personlig trafik. Programproxy säkerställer att företagstrafiken autentiseras. Programproxy och intune Managed Browser-funktionen kan också användas tillsammans för att fjärranvändare ska kunna få säker åtkomst till interna webbplatser från iOS- och Android-enheter.

Översikt över molnet

En annan viktig fördel med att implementera programproxy är att utöka Microsoft Entra-ID till din lokala miljö. I själva verket är implementering av programproxy ett viktigt steg för att flytta din organisation och dina appar till molnet. Genom att flytta till molnet och bort från lokal autentisering minskar du ditt lokala fotavtryck och använder Microsoft Entra-identitetshanteringsfunktioner som kontrollplan. Med minimala eller inga uppdateringar av befintliga program har du åtkomst till molnfunktioner som enkel inloggning, multifaktorautentisering och central hantering. Att installera nödvändiga komponenter i programproxyn är en enkel process för att upprätta ett ramverk för fjärråtkomst. Och genom att flytta till molnet har du åtkomst till de senaste Funktionerna i Microsoft Entra, uppdateringar och funktioner, till exempel hög tillgänglighet och haveriberedskap.

Mer information om hur du migrerar dina appar till Microsoft Entra-ID finns i Migrera dina program till Microsoft Entra-ID.

Arkitektur

Diagrammet illustrerar i allmänhet hur Microsoft Entra-autentiseringstjänster och programproxy fungerar tillsammans för att tillhandahålla enkel inloggning till lokala program till användare.

Autentiseringsflöde för Microsoft Entra-programproxy

  1. När användaren har använt programmet via en slutpunkt omdirigeras användaren till inloggningssidan för Microsoft Entra. Om du har konfigurerat principer för villkorsstyrd åtkomst kontrolleras specifika villkor just nu för att säkerställa att du uppfyller organisationens säkerhetskrav.
  2. Efter en lyckad inloggning skickar Microsoft Entra-ID en token till användarens klientenhet.
  3. Klienten skickar token till programproxytjänsten, som hämtar användarens huvudnamn (UPN) och säkerhetshuvudnamn (SPN) från token.
  4. Programproxy vidarebefordrar begäran, som hämtas av den privata nätverksanslutningen.
  5. Anslutningsappen utför ytterligare autentisering som krävs för användarens räkning (valfritt beroende på autentiseringsmetod), begär programserverns interna slutpunkt och skickar begäran till det lokala programmet.
  6. Svaret från programservern skickas via anslutningsappen till programproxytjänsten.
  7. Svaret skickas från programproxytjänsten till användaren.

Microsoft Entra-programproxy består av den molnbaserade programproxytjänsten och en lokal anslutningsapp. Anslutningsappen lyssnar efter begäranden från programproxytjänsten och hanterar anslutningar till de interna programmen. Observera att all kommunikation sker via TLS och alltid kommer från anslutningstjänsten till programproxytjänsten. Kommunikationen är alltså endast utgående. Anslutningsappen använder ett klientcertifikat för att autentisera till programproxytjänsten för alla anrop. Det enda undantaget för anslutningssäkerheten är det första installationssteget där klientcertifikatet upprättas. Mer information finns i programproxyn under huven .

Anslutningsprogram för privata Microsoft Entra-nätverk

Programproxy använder den privata Nätverksanslutningen för Microsoft Entra. Samma anslutningsapp används av Microsoft Entra privatåtkomst. Mer information om anslutningsappar finns i Privat nätverksanslutning för Microsoft Entra.

Andra användningsfall

Fram tills nu har vi fokuserat på att använda programproxy för att publicera lokala appar externt samtidigt som du aktiverar enkel inloggning till alla dina molnappar och lokala appar. Det finns dock andra användningsfall för programproxy som är värda att nämna. De omfattar:

  • Publicera REST-API:er på ett säkert sätt. När du har affärslogik eller API:er som körs lokalt eller finns på virtuella datorer i molnet, tillhandahåller programproxy en offentlig slutpunkt för API-åtkomst. Med API-slutpunktsåtkomst kan du styra autentisering och auktorisering utan att kräva inkommande portar. Det ger ytterligare säkerhet via Microsoft Entra ID P1- eller P2-funktioner, till exempel multifaktorautentisering och enhetsbaserad villkorlig åtkomst för stationära datorer, iOS-, MAC- och Android-enheter med Intune. Mer information finns i Så här aktiverar du interna klientprogram för att interagera med proxyprogram och Skydda ett API med hjälp av OAuth 2.0 med Microsoft Entra ID och API Management.
  • Fjärrskrivbordstjänster (RDS). Standard-RDS-distributioner kräver öppna inkommande anslutningar. RDS-distributionen med programproxyn har dock en permanent utgående anslutning från servern som kör anslutningstjänsten. På så sätt kan du erbjuda fler program till användare genom att publicera lokala program via Fjärrskrivbordstjänster. Du kan också minska attackytan för distributionen med en begränsad uppsättning tvåstegsverifiering och kontroller för villkorsstyrd åtkomst till RDS.
  • Publicera program som ansluter med WebSockets. Stöd med Qlik Sense finns i offentlig förhandsversion och kommer att utökas till andra appar i framtiden.
  • Aktivera interna klientprogram för att interagera med proxyprogram. Du kan använda Microsoft Entra-programproxy för att publicera webbappar, men det kan också användas för att publicera interna klientprogram som har konfigurerats med Microsoft Authentication Library (MSAL). Interna klientprogram skiljer sig från webbappar eftersom de är installerade på en enhet, medan webbappar nås via en webbläsare.

Slutsats

Vårt sätt att arbeta och de verktyg vi använder förändras snabbt. Med fler anställda som tar sina egna enheter till jobbet och den genomgripande användningen av SaaS-program (Software-as-a-Service) måste organisationers sätt att hantera och skydda sina data också utvecklas. Företag arbetar inte längre enbart inom sina egna väggar, skyddade av en vallgrav som omger deras gräns. Data överförs till fler platser än någonsin tidigare – i både lokala och molnbaserade miljöer. Den här utvecklingen har bidragit till att öka användarnas produktivitet och förmåga att samarbeta, men det gör det också svårare att skydda känsliga data.

Oavsett om du för närvarande använder Microsoft Entra-ID för att hantera användare i ett hybrid samexistensscenario eller är intresserad av att starta din resa till molnet, kan implementering av Microsoft Entra-programproxy hjälpa till att minska storleken på ditt lokala fotavtryck genom att tillhandahålla fjärråtkomst som en tjänst.

Organisationer bör börja dra nytta av programproxyn idag för att dra nytta av följande fördelar:

  • Publicera lokala appar externt utan att behöva använda traditionella VPN-tjänster eller andra lokala webbpubliceringslösningar och DMZ-metoder
  • Enkel inloggning till alla program, oavsett om de är Microsoft 365 eller andra SaaS-appar och inklusive lokala program
  • Säkerhet i molnskala där Microsoft Entra använder Microsoft 365-telemetri för att förhindra obehörig åtkomst
  • Intune-integrering för att säkerställa att företagstrafiken autentiseras
  • Centralisering av hantering av användarkonton
  • Automatiska uppdateringar för att säkerställa att du har de senaste säkerhetskorrigeringarna
  • Nya funktioner när de släpps; det senaste stödet för enkel inloggning med SAML och mer detaljerad hantering av programcookies

Nästa steg