Beveilig afstandtoegang met Azure AD Application Proxy

Beveilig afstandtoegang met Azure AD Application Proxy

14/03/2025

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en konfigurasie van Azure AD Application Proxy om afstandtoegang tot plaaslike webtoepassings te beveilig. In 'n hibriede werksomgewing, waar gebruikers toegang tot interne hulpbronne van enige plek moet hê, is die sekuriteit van hierdie toegang fundamenteel. Azure AD Application Proxy bied 'n veilige, vereenvoudigde oplossing vir die publisering van webtoepassings op die perseel aan afgeleë gebruikers sonder die behoefte aan komplekse VPN's of DMZ's [1].

Inleiding

Tradisioneel het afstandtoegang tot interne toepassings vereis dat virtuele privaat netwerke (VPN'e) opgestel word of toepassings aan omtreknetwerke (DMZ's) blootgestel word, wat kompleksiteit en potensiële aanvalsvektore bygevoeg het. Met die toenemende aanvaarding van afgeleë en hibriede werkmodelle, het organisasies 'n veiliger en doeltreffender manier nodig om toegang te bied tot verouderde toepassings wat steeds op die perseel is [2].

Azure AD Application Proxy is 'n kenmerk van Azure Active Directory (nou Microsoft Entra ID) wat gebruikers in staat stel om veilige toegang tot plaaslike webtoepassings vanaf enige plek te verkry. Dit dien as 'n omgekeerde instaanbediener, wat interne toepassingsverkeer deur Azure AD stuur, wat verifikasie en magtiging hanteer. Dit beteken dat toegang tot toepassings op die perseel verkry kan word asof dit SaaS-toepassings is, deur gebruik te maak van Azure AD-sekuriteitskenmerke soos multi-faktor-verifikasie (MFA) en voorwaardelike toegang [3].

Hierdie praktiese gids sal voorvereistes dek, die installering en konfigurasie van Application Proxy-verbindings, die publisering van verskillende soorte toepassings (webtoepassings, Remote Desktop Web Client, SharePoint), integrasie met Voorwaardelike Toegang-beleide, en hoe om afstandtoegang te toets en te valideer. Stap-vir-stap instruksies, praktiese voorbeelde en bondige verduidelikings sal verskaf word sodat die leser hierdie kenmerke kan implementeer, toets en valideer. Daarbenewens sal sekuriteitswenke, nakomingskontroles en beste praktyke bespreek word om veilige en doeltreffende afstandtoegang te verseker, outonoom, professioneel en betroubaar.

Waarom is Azure AD Application Proxy noodsaaklik vir afstandtoegang?

  • Verbeterde sekuriteit: Sentraliseer verifikasie en magtiging in Azure AD, wat die gebruik van sekuriteitskenmerke soos MFA, Voorwaardelike Toegang en Identiteitsbeskerming moontlik maak vir toepassings op die perseel.
  • Vereenvoudigde toegang: Verskaf 'n enkelaanmelding (SSO)-ervaring vir toepassings op die perseel, wat toegang makliker maak vir gebruikers.
  • Vermindering van kompleksiteit: Elimineer die behoefte aan VPN's of DMZ's vir afstandtoegang, wat netwerkargitektuur vereenvoudig en die aanvaloppervlak verminder.
  • Koste-effektief: Gebruik bestaande Azure AD-infrastruktuur, sonder die behoefte aan bykomende hardeware of sagteware vir afstandtoegang.
  • Flexible Publishing: Ondersteun publisering van 'n wye reeks webtoepassings, insluitend opskrifgebaseerde toepassings, SharePoint, Remote Desktop Web Client en ander pasgemaakte webtoepassings.

Voorvereistes

Om Azure AD Application Proxy op te stel, benodig u die volgende items:

  1. Lisensiëring: 'n Azure AD Premium P1- of P2-intekening (of 'n lisensie wat hierdie kenmerke insluit, soos Microsoft 365 E3/E5) [4].
  2. Administratiewe toegang: 'n Rekening met die rol van Global Administrator of Application Administrator in die Azure-portaal (https://portal.azure.com).
  3. Windows Server for Connector: 'n Windows Server (2012 R2 of later) bediener binne jou plaaslike netwerk wat verbinding het met die toepassings wat jy wil publiseer en na Azure AD. Hierdie bediener moet uitgaande internettoegang hê (poorte 80 en 443 vir Azure AD en 443 vir die Azure AD Application Proxy-diens) [5].
  4. Web-toepassings op die perseel: Interne webtoepassings wat u op afstand toeganklik wil maak.
  5. Custom Domain (Opsioneel): 'n Pasgemaakte domein wat in Azure AD geverifieer is as jy vriendelike URL's vir jou gepubliseerde toepassings wil gebruik.

Stap vir stap: konfigureer Azure AD Application Proxy

Kom ons stel Application Proxy op en publiseer 'n toepassing.

1. Installasie en konfigurasie van die Application Proxy Connector

Die koppelaar is 'n liggewig agent wat verbindna Azure AD en jou toepassings op die perseel.

  1. Maak jou blaaier oop en navigeer na die Azure-portaal: https://portal.azure.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. In die boonste soekveld, tik Azure Active Directory en kies dit uit die resultate.
  4. In die linkernavigasiepaneel, kies Application Proxy onder Bestuur.

  5. Klik Laai verbindingsdiens af.

  6. Op die plaaslike Windows-bediener wat jy vir die koppelaar aangewys het:

    • Laai die koppelinstalleerder af en laat loop (AADApplicationProxyConnectorInstaller.exe).
    • Volg die installasie towenaar instruksies. Tydens installasie sal jy gevra word om aan te meld met jou Azure AD globale administrateur geloofsbriewe.
    • Na suksesvolle installasie sal die verbindingsdiens outomaties begin.

  7. Terug in die Azure-portaal, op die Application Proxy-bladsy, verifieer dat die nuut-geïnstalleerde verbinding in die Connectors-lys met status Active verskyn.

    • Verduideliking: Dit word aanbeveel om ten minste twee verbindings te installeer vir hoë beskikbaarheid en lasbalansering. Connectors werk outomaties op, wat verseker dat jy altyd die nuutste weergawe het.

2. Publisering van 'n Webtoepassing op die perseel

Kom ons publiseer 'n interne webtoepassing. Verbeel jou vir hierdie voorbeeld dat ons 'n interne webtoepassing genaamd MinhaAppInterna het wat toeganklik is by http://minhaappinterna.local:8080.

  1. In die linkernavigasiepaneel van Azure Active Directory, kies Enterprise Applications onder Manage.
  2. Klik + Nuwe toepassing.
  3. Klik op Integreer enige ander toepassing wat jy nie in die gallery kry nie (Nie-galery).
  4. Basies:
    • Naam: Gee 'n betekenisvolle naam (bv. MyInternal-ProxyApp).
    • Toepassingtipe: Kies Toepassing op die perseel.

  5. Klik Voeg by.

  6. Nadat u die toepassing geskep het, sal u na die toepassingbestuurbladsy herlei word. In die linkernavigasievenster, kies Application Proxy onder Bestuur.

  7. Basiese instellings:

    • Interne URL: Voer die interne URL van jou aansoek in (bv: http://minhaappinterna.local:8080). Maak seker die koppelaar kan hierdie URL oplos en toegang verkry.
    • Eksterne URL: Hierdie URL sal outomaties gegenereer word op grond van jou verstek Azure AD-domein (bv. myappinternal-proxy.msappproxy.net). U kan 'n pasgemaakte domein opstel as u een het.
    • Voorafverifikasiemetode: Kies Azure Active Directory (aanbeveel vir maksimum sekuriteit).
    • Konnektorgroep: Kies die verstekverbindingsgroep of 'n pasgemaakte groep as jy veelvuldige verbindings het.

  8. Klik Stoor.

  9. In die linkernavigasiepaneel, kies Gebruikers en groepe onder Bestuur.

  10. Klik +Voeg gebruiker/groep by en wys Azure AD-gebruikers of -groepe toe wat toegelaat sal word om toegang tot hierdie toepassing te kry.

    • Verduideliking: Die toewysing van gebruikers en groepe is noodsaaklik om te beheer wie toegang tot die gepubliseerde toepassing kan verkry. Azure AD Application Proxy verseker dat slegs geverifieerde en gemagtigde gebruikers die interne toepassing kan bereik.

3. Opstel van voorwaardelike toegang vir gepubliseerde toepassings

Voorwaardelike toegang laat jou toe om bykomende sekuriteitsbeleide, soos MFA, af te dwing vir toepassingstoegang.

  1. In die linkernavigasiepaneel van Azure Active Directory, kies Sekuriteit > Voorwaardelike Toegang.
  2. Klik + Nuwe beleid.
  3. Basies:
    • Naam: Gee 'n betekenisvolle naam (byvoorbeeld: MFA_para_MinhaAppInternal).
  4. Verantwoordelikhede:
    • Identiteitsgebruikers of werkladings: Kies die gebruikers en groepe wat deur die beleid geraak sal word (byvoorbeeld: Grupo_Usuarios_MinhaAppInterna).
    • Wolktoepassings of -aksies: Kies MyAppInternal-Proxy.
  5. Toegangskontroles:
    • Toeken: Kies Gee toegang en Vereis multifaktor-stawing.
  6. Aktiveer beleid: Kies Aktiveer.

  7. Klik Skep.

    • Verduideliking: Hierdie beleid sal verseker dat enige gebruiker wat probeer om toegang tot MyInternal-ProxyApp te verkry, gevra sal word om multi-faktor-verifikasie uit te voer, selfs al ondersteun die plaaslike toepassing nie MFA inheems nie.

4. Publisering van ander tipes toepassings

Application Proxy kan gebruik word om ander soorte hulpbronne, soos Remote, te publiseerDesktop Web Client en SharePoint.

4.1. Publiseer Remote Desktop Web Client

  1. Volg die stappe in Afdeling 2 om 'n nuwe onderneming-toepassing te skep.
  2. In die Application Proxy-opstelling:
    • Interne URL: Voer die URL van jou Remote Desktop Web Client-bediener in (bv: https://rdweb.contoso.com/RDWeb).
    • Eksterne URL: Sal outomaties gegenereer word.
    • Voorafverifikasiemetode: Azure Active Directory.
    • URL-vertalingskoptipe: Backend URL Headers.
  3. Wys gebruikers/groepe toe.

4.2. Publiseer SharePoint op die perseel

  1. Volg die stappe in Afdeling 2 om 'n nuwe onderneming-toepassing te skep.
  2. In die Application Proxy-opstelling:
    • Interne URL: Voer die URL van jou SharePoint-werf in (byvoorbeeld: https://sharepoint.contoso.local).
    • Eksterne URL: Sal outomaties gegenereer word.
    • Voorafverifikasiemetode: Azure Active Directory.
    • URL-vertalingskoptipe: Backend URL Headers.
  3. Wys gebruikers/groepe toe.

Bekragtiging en toetsing

Dit is noodsaaklik om afstandtoegang te toets om te verseker dat toepassings veilig toeganklik is.

1. Toets toegang tot die gepubliseerde toepassing

  1. Scenario: Vanaf 'n rekenaar buite die korporatiewe netwerk (bv. jou huis), maak 'n blaaier oop en navigeer na die eksterne URL van MinhaAppInternal-Proxy (bv. https://minhaappinterna-proxy.msappproxy.net).
  2. Verwagte aksie: Jy moet na die Azure AD-aanmeldbladsy herlei word. Nadat u u Azure AD-eiebewyse ingevoer het en, indien gekonfigureer, MFA voltooi het, moet u na die MyApp op die perseel herlei word.
  3. Verifikasie:
    • Bevestig dat die toepassing korrek laai en dat jy daarmee kan kommunikeer.
    • Gaan Azure AD login logs na om te bevestig dat toegang deur Application Proxy geverifieer is en dat MFA toegepas is.

2. Gaan Azure AD-aanmeldinglogboeke na

  1. In die Azure-portaal, navigeer na Azure Active Directory > Monitoring > Inkomende logs.
  2. Filtreer die logs volgens Application (MyAppInternal-Proxy).
  3. Gaan aanmeldbesonderhede na, insluitend Voorwaardelike Toegang Status (moet Sukses wys en aandui dat MFA toegepas is).

Sekuriteitswenke en beste praktyke

  • Gebruik altyd Azure AD-voorafverifikasie: Azure AD-voorafverifikasie is die veiligste metode aangesien dit verseker dat slegs geverifieerde en gemagtigde gebruikers jou interne netwerk bereik. Vermy deurlaat, tensy dit streng nodig is vir toepassings wat nie vooraf-verifikasie kan hanteer nie.
  • Voorwaardelike Toegang: Gebruik Voorwaardelike Toegang om bykomende sekuriteitsbeleide soos MFA, liggingbeperkings, toestelnakoming, ens. af te dwing vir alle toepassings wat via Aansoek-volmag gepubliseer word.
  • Koppelgroepe: Organiseer jou verbindings in groepe om toepassings te isoleer of om verbindings nader aan spesifieke toepassings te hê vir beter werkverrigting.
  • Hoë beskikbaarheid: Installeer ten minste twee verbindings op aparte bedieners om hoë beskikbaarheid en veerkragtigheid te verseker. Oorweeg dit om in verskillende streke of beskikbaarheidsones te installeer, indien van toepassing.
  • Koppelinstandhouding: Alhoewel verbindings hulself outomaties opdateer, monitor hul status in die Azure-portaal om te verseker dat hulle altyd aktief en gesond is.
  • Konnektorbedienersekuriteit: Beveilig die bediener waar die koppelaar geïnstalleer is. Hou dit bygewerk, pas die beginsel van minste voorreg toe en monitor dit vir verdagte aktiwiteite.
  • Prestasie-optimalisering: Vir toepassings met hoë verkeer of wat lae latensie benodig, oorweeg die ligging van die verbindings in verhouding tot die toepassingbedieners en die beskikbare bandwydte.
  • Monitering: Monitor Azure AD-aanmeldlogboeke en verbindingslogboeke om verdagte aktiwiteit of toegangskwessies op te spoor.

Algemene probleemoplossing

  • Toegangsfout (404, 500, ens.):
    • Gaan die interne URL na: Maak seker dat die interne URL wat in die Toepassingsvolmag opgestel is, korrek is en dat die koppelaar dit direk vanaf die bediener kan verkry waar dit geïnstalleer is.
    • Gaan die koppelstuk na: Bevestig dat die koppelstuk 'Aktief' is in die Azure-portaal. Herbegin die verbindingsdiens op die bediener.
    • Gaan die koppelgroep na: Maak seker dat die koppelgroep wat aan die toepassing toegewys is, hetm ten minste een aktiewe verbinding.
    • Plaaslike firewall: Kontroleer of die firewall op die koppelbediener of toepassingbediener verkeer blokkeer.
  • Toepassings laai nie korrek nie (weergawe probleme):
    • Header Translation: Vir sommige toepassings sal jy dalk die URL Translation Header Type in die Application Proxy-instellings moet aanpas na Backend URL Headers of Frontend URL Headers.
    • Gekodeerde skakels: Toepassings met hardgekodeerde skakels na interne URL's kan probleme ondervind. Oorweeg dit om Application Proxy se Link Translation te gebruik of om die toepassing te herkonfigureer indien moontlik. SSO-kwessies:
    • SSO-konfigurasie: Gaan die SSO-instellings in die ondernemingsprogram na. Vir toepassings wat nie gefedereer is nie, moet jy dalk wagwoord-gebaseerde SSO of header SSO opstel.
    • Kerberos Constrained Delegation (KCD): Vir toepassings wat Geïntegreerde Windows-verifikasie (IWA) gebruik, verifieer dat KCD korrek in Active Directory vir die koppelaar opgestel is.
  • Voorwaardelike toegang wat wettige gebruikers blokkeer:
    • Hersien die voorwaardestoegangsbeleide noukeurig. Verifieer dat gebruikers of groepe korrek ingesluit of uitgesluit is.
    • Gebruik die 'Wat as'-nutsding in Voorwaardelike Toegang om toegang te simuleer en te verstaan ​​waarom 'n beleid afgedwing of geblokkeer word. Offline Connector:
    • Verifieer die verbindingsbediener se netwerkverbinding met Azure AD (uitgaande poorte 80 en 443) en na die Application Proxy-diens (uitgaande poort 443).
    • Gaan die Windows-gebeurtenislogboeke op die koppelbediener na vir diensverwante foute.
    • Maak seker dat die Microsoft AAD Application Proxy Connector-diens loop.

Gevolgtrekking

Azure AD Application Proxy is 'n kragtige en veilige hulpmiddel vir die uitbreiding van toegang tot plaaslike webtoepassings na afgeleë gebruikers, wat ooreenstem met die beginsels van die Zero Trust-model. Deur verifikasie en magtiging in Azure AD te sentraliseer en die behoefte aan komplekse afstandtoegang-infrastruktuur uit te skakel, kan organisasies hul sekuriteitsargitektuur vereenvoudig terwyl hulle bedreigingsbeskerming versterk. Versigtige implementering, integrasie met voorwaardelike toegang en deurlopende monitering is noodsaaklik om sekuriteitsvoordele te maksimeer en 'n vloeiende gebruikerservaring te verseker. Met hierdie praktiese gids sal sekuriteitspersoneel en IT-administrateurs goed toegerus wees om Azure AD Application Proxy op te stel, te bekragtig en te bestuur, om afstandtoegang tot kritieke toepassings te verseker en hul organisasies se sekuriteitsposisie te versterk.

Verwysings:

[1] Microsoft Learn. Publiseer plaaslike toepassings met Microsoft Entra Application Proxy. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/overview-what-is-app-proxy [2] Microsoft Learn. Voeg 'n plaaslike toepassing by vir afstandtoegang deur Microsoft Entra Application Proxy. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-add-on-premises-application [3] Microsoft Learn. Publiseer Remote Desktop met Microsoft Entra Application Proxy. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services [4] Microsoft Learn. Microsoft Entra ID-lisensiëring. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/licensing-azure-active-directory [5] Microsoft Learn. Microsoft Entra Application Proxy-verbindings. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-connectors [6] Microsoft Learn. Voorwaardelike toegang op Microsoft Enter ID. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [7] Microsoft Learn. Foutspoor Microsoft Entra Application Proxy-verbindings. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-troubleshoot-connectors