Zabezpečení vzdáleného přístupu pomocí proxy aplikace Azure AD

Zabezpečení vzdáleného přístupu pomocí proxy aplikace Azure AD

14.03.2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a konfiguraci proxy aplikací Azure AD pro zabezpečení vzdáleného přístupu k místním webovým aplikacím. V hybridním pracovním prostředí, kde uživatelé potřebují přistupovat k interním zdrojům odkudkoli, je zabezpečení tohoto přístupu zásadní. Azure AD Application Proxy poskytuje zabezpečené a zjednodušené řešení pro publikování místních webových aplikací vzdáleným uživatelům bez nutnosti složitých sítí VPN nebo DMZ [1].

Úvod

Vzdálený přístup k interním aplikacím tradičně vyžadoval nastavení virtuálních privátních sítí (VPN) nebo vystavení aplikací perimetrickým sítím (DMZ), což přidávalo složitost a potenciální vektory útoku. S rostoucím zaváděním vzdálených a hybridních pracovních modelů potřebují organizace bezpečnější a efektivnější způsob poskytování přístupu ke starším aplikacím, které se stále nacházejí v místním prostředí [2].

Azure AD Application Proxy je funkce Azure Active Directory (nyní Microsoft Entra ID), která uživatelům umožňuje bezpečný přístup k místním webovým aplikacím z libovolného místa. Funguje jako reverzní proxy a směruje interní aplikační provoz přes Azure AD, která se stará o ověřování a autorizaci. To znamená, že k místním aplikacím lze přistupovat, jako by to byly aplikace SaaS, s využitím funkcí zabezpečení Azure AD, jako je vícefaktorové ověřování (MFA) a podmíněný přístup [3].

Tato praktická příručka pokryje předpoklady, instalaci a konfiguraci aplikačních proxy konektorů, publikování různých typů aplikací (webové aplikace, webový klient vzdálené plochy, SharePoint), integraci se zásadami podmíněného přístupu a jak testovat a ověřovat vzdálený přístup. Budou poskytnuty podrobné pokyny, praktické příklady a stručná vysvětlení, aby čtenář mohl tyto funkce implementovat, testovat a ověřovat. Kromě toho budou diskutovány bezpečnostní tipy, kontroly souladu a osvědčené postupy, které zajistí bezpečný a efektivní vzdálený přístup, autonomně, profesionálně a spolehlivě.

Proč je proxy aplikace Azure AD zásadní pro vzdálený přístup?

  • Vylepšené zabezpečení: Centralizuje ověřování a autorizaci v Azure AD, což umožňuje použití funkcí zabezpečení, jako je MFA, podmíněný přístup a ochrana identity pro místní aplikace.
  • Zjednodušený přístup: Poskytuje prostředí jednotného přihlášení (SSO) pro místní aplikace, což uživatelům usnadňuje přístup.
  • Snížení složitosti: Eliminuje potřebu VPN nebo DMZ pro vzdálený přístup, zjednodušuje síťovou architekturu a snižuje plochu útoku.
  • Nákladově efektivní: Využívá stávající infrastrukturu Azure AD bez potřeby dalšího hardwaru nebo softwaru pro vzdálený přístup.
  • Flexibilní publikování: Podporuje publikování široké škály webových aplikací, včetně aplikací založených na hlavičkách, SharePointu, webového klienta vzdálené plochy a dalších vlastních webových aplikací.

Předpoklady

Ke konfiguraci proxy aplikace Azure AD budete potřebovat následující položky:

  1. Licencování: Předplatné Azure AD Premium P1 nebo P2 (nebo licence, která tyto funkce zahrnuje, jako je Microsoft 365 E3/E5) [4].
  2. Administrativní přístup: Účet s rolí Globální správce nebo Administrátor aplikací na Azure Portal (https://portal.azure.com).
  3. Windows Server for Connector: Server Windows Server (2012 R2 nebo novější) v rámci vaší místní sítě, který má připojení k aplikacím, které chcete publikovat, ak Azure AD. Tento server musí mít odchozí přístup k internetu (porty 80 a 443 pro Azure AD a 443 pro službu proxy aplikací Azure AD) [5].
  4. On-premises Web Applications: Interní webové aplikace, které chcete zpřístupnit vzdáleně.
  5. Vlastní doména (volitelné): Vlastní doména ověřená v Azure AD, pokud chcete pro své publikované aplikace používat popisné adresy URL.

Krok za krokem: Konfigurace proxy aplikace Azure AD

Pojďme nakonfigurovat aplikační proxy a publikovat aplikaci.

1. Instalace a konfigurace aplikačního proxy konektoru

Konektor je lehký prostředek, který spojujedo Azure AD a vašich místních aplikací.

  1. Otevřete prohlížeč a přejděte na Azure Portal: https://portal.azure.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. Do horního vyhledávacího pole zadejte „Azure Active Directory“ a vyberte jej z výsledků.
  4. V levém navigačním panelu vyberte Application Proxy pod Manage.

  5. Klikněte na Stáhnout službu konektoru.

  6. Na místním serveru Windows, který jste určili pro konektor:

    • Stáhněte a spusťte instalační program konektoru (AADApplicationProxyConnectorInstaller.exe).
    • Postupujte podle pokynů průvodce instalací. Během instalace budete vyzváni k přihlášení pomocí přihlašovacích údajů globálního správce Azure AD.
    • Po úspěšné instalaci se služba konektoru automaticky spustí.

  7. Zpět na Azure Portal na stránce Application Proxy ověřte, že se nově nainstalovaný konektor zobrazuje v seznamu Konektory se stavem Aktivní.

    • Vysvětlení: Pro vysokou dostupnost a vyrovnávání zátěže se doporučuje nainstalovat alespoň dva konektory. Konektory se automaticky aktualizují, takže budete mít vždy nejnovější verzi.

2. Publikování místní webové aplikace

Pojďme publikovat interní webovou aplikaci. Pro tento příklad si představte, že máme interní webovou aplikaci s názvem MinhaAppInterna přístupnou na adrese http://minhaappinterna.local:8080.

  1. V levém navigačním podokně Azure Active Directory vyberte Enterprise Applications pod Manage.
  2. Klikněte na + Nová aplikace.
  3. Klikněte na Integrovat jakoukoli jinou aplikaci, kterou nenajdete v galerii (negalerie).
  4. Základy:
    • Název: Zadejte smysluplný název (např. „MyInternal-ProxyApp“).
    • Typ aplikace: Vyberte On-premises application.

  5. Klikněte na Přidat.

  6. Po vytvoření aplikace budete přesměrováni na stránku správy aplikace. V levém navigačním panelu vyberte Application Proxy pod Manage.

  7. Základní nastavení:

    • Interní URL: Zadejte interní adresu URL vaší aplikace (např.: http://minhaappinterna.local:8080). Ujistěte se, že konektor dokáže tuto adresu URL přeložit a získat k ní přístup.
    • Externí adresa URL: Tato adresa URL bude automaticky vygenerována na základě vaší výchozí domény Azure AD (např. myappinternal-proxy.msappproxy.net). Pokud máte vlastní doménu, můžete si nastavit vlastní doménu.
    • Metoda předběžného ověření: Vyberte „Azure Active Directory“ (doporučeno pro maximální zabezpečení).
    • Skupina konektorů: Vyberte výchozí skupinu konektorů nebo vlastní skupinu, pokud máte více konektorů.

  8. Klikněte na Uložit.

  9. V levém navigačním panelu vyberte Uživatelé a skupiny pod Spravovat.

  10. Klikněte na +Přidat uživatele/skupinu a přiřaďte uživatele nebo skupiny Azure AD, kterým bude povolen přístup k této aplikaci.

    • Vysvětlení: Přiřazení uživatelů a skupin je zásadní pro kontrolu toho, kdo může přistupovat k publikované aplikaci. Proxy aplikací Azure AD zajišťuje, že se k interní aplikaci mohou dostat pouze ověření a oprávnění uživatelé.

3. Konfigurace podmíněného přístupu pro publikované aplikace

Podmíněný přístup vám umožňuje vynutit další bezpečnostní zásady, jako je MFA, pro přístup aplikací.

  1. V levém navigačním podokně Azure Active Directory vyberte Zabezpečení > Podmíněný přístup.
  2. Klikněte na + Nová zásada.
  3. Základy:
    • Jméno: Zadejte smysluplný název (např.: MFA_para_MinhaAppInternal).
  4. Odpovědnosti:
    • Identita uživatelů nebo pracovní zátěže: Vyberte uživatele a skupiny, které budou ovlivněny zásadou (např. Grupo_Usuarios_MinhaAppInterna).
    • Cloudové aplikace nebo akce: Vyberte MyAppInternal-Proxy.
  5. Ovládací prvky přístupu:
    • Udělit: Vyberte „Udělit přístup“ a „Vyžadovat vícefaktorové ověření“.
  6. Povolit zásady: Vyberte možnost „Povoleno“.

  7. Klikněte na Vytvořit.

    • Vysvětlení: Tato zásada zajistí, že každý uživatel pokoušející se o přístup k aplikaci „MyInternal-ProxyApp“ bude vyzván k provedení vícefaktorové autentizace, a to i v případě, že místní aplikace nativně nepodporuje MFA.

4. Publikování jiných typů aplikací

Aplikační proxy lze použít k publikování jiných typů zdrojů, jako je RemoteDesktopový webový klient a SharePoint.

4.1. Publikování webového klienta vzdálené plochy

  1. Podle kroků v části 2 vytvořte novou podnikovou aplikaci.
  2. V konfiguraci proxy aplikace:
    • Interní adresa URL: Zadejte adresu URL serveru webového klienta vzdálené plochy (např.: https://rdweb.contoso.com/RDWeb).
    • Externí URL: Bude vygenerováno automaticky.
    • Metoda předběžného ověření: Azure Active Directory.
    • Typ záhlaví překladu adresy URL: Záhlaví adresy URL.
  3. Přiřaďte uživatele/skupiny.

4.2. Publikování SharePointu na místě

  1. Podle kroků v části 2 vytvořte novou podnikovou aplikaci.
  2. V konfiguraci proxy aplikace:
    • Interní URL: Zadejte adresu URL svého webu SharePoint (např.: „https://sharepoint.contoso.local“).
    • Externí URL: Bude vygenerováno automaticky.
    • Metoda předběžného ověření: Azure Active Directory.
    • Typ záhlaví překladu adresy URL: Záhlaví adresy URL.
  3. Přiřaďte uživatele/skupiny.

Validace a testování

Je důležité otestovat vzdálený přístup, abyste zajistili bezpečný přístup k aplikacím.

1. Testování přístupu ke zveřejněné aplikaci

  1. Scénář: Z počítače mimo podnikovou síť (např. váš domov) otevřete prohlížeč a přejděte na externí adresu URL MinhaAppInternal-Proxy (např. https://minhaappinterna-proxy.msappproxy.net).
  2. Očekávaná akce: Měli byste být přesměrováni na přihlašovací stránku Azure AD. Po zadání přihlašovacích údajů Azure AD, a pokud jsou nakonfigurovány, po dokončení MFA byste měli být přesměrováni na místní aplikaci MyApp.
  3. Ověření:
    • Potvrďte, že se aplikace načte správně a že s ní můžete pracovat.
    • Zkontrolujte protokoly přihlášení Azure AD a ověřte, že byl přístup ověřen prostřednictvím proxy aplikace a že byla použita MFA.

2. Kontrola protokolů přihlášení Azure AD

  1. V Azure Portal přejděte na Azure Active Directory > Monitorování > Příchozí protokoly.
  2. Filtrujte protokoly podle Aplikace (MyAppInternal-Proxy).
  3. Zkontrolujte přihlašovací údaje včetně „Stav podmíněného přístupu“ (mělo by ukazovat „Úspěch“ a uvádět, že byla použita MFA).

Bezpečnostní tipy a doporučené postupy

  • Vždy používat předběžné ověření Azure AD: Předběžné ověření Azure AD je nejbezpečnější metodou, protože zajišťuje, že se do vaší interní sítě dostanou pouze ověření a oprávnění uživatelé. Vyhněte se Pass-through, pokud to není nezbytně nutné pro aplikace, které nezvládají předběžnou autentizaci.
  • Podmíněný přístup: Použijte podmíněný přístup k vynucení dalších bezpečnostních zásad, jako jsou MFA, omezení umístění, soulad zařízení atd. pro všechny aplikace publikované prostřednictvím aplikačního proxy.
  • Skupiny konektorů: Uspořádejte konektory do skupin, abyste izolovali aplikace nebo měli konektory blíže ke konkrétním aplikacím pro lepší výkon.
  • Vysoká dostupnost: Nainstalujte alespoň dva konektory na samostatné servery, abyste zajistili vysokou dostupnost a odolnost. Zvažte instalaci v různých oblastech nebo zónách dostupnosti, pokud je to možné.
  • Údržba konektoru: Přestože se konektory aktualizují samy automaticky, sledujte jejich stav v Azure Portal, abyste zajistili, že jsou vždy aktivní a v pořádku.
  • Zabezpečení serveru konektoru: Zabezpečte server, kde je konektor nainstalován. Udržujte jej aktualizovaný, uplatňujte zásadu nejmenšího oprávnění a sledujte, zda nedochází k podezřelé aktivitě.
  • Optimalizace výkonu: U aplikací s vysokým provozem nebo aplikací, které vyžadují nízkou latenci, zvažte umístění konektorů ve vztahu k aplikačním serverům a dostupné šířce pásma.
  • Monitorování: Monitorujte protokoly přihlášení Azure AD a protokoly konektorů, abyste zjistili podezřelou aktivitu nebo problémy s přístupem.

Běžné odstraňování problémů

  • Chyba přístupu (404, 500 atd.):
    • Zkontrolujte interní adresu URL: Ujistěte se, že interní adresa URL nakonfigurovaná v aplikačním proxy je správná a že k ní má konektor přístup přímo ze serveru, kde je nainstalován.
    • Zkontrolujte konektor: Potvrďte, že je konektor v Azure Portal „Aktivní“. Restartujte službu konektoru na serveru.
    • Zkontrolujte skupinu konektorů: Ujistěte se, že skupina konektorů přiřazená k aplikaci mám alespoň jeden aktivní konektor.
    • Místní firewall: Zkontrolujte, zda firewall na konektorovém serveru nebo aplikačním serveru neblokuje provoz.
  • Aplikace se nenačítají správně (problémy s vykreslováním):
    • Překlad záhlaví: U některých aplikací může být nutné upravit Typ záhlaví překladu URL v nastavení proxy aplikace na Záhlaví adres URL nebo Záhlaví adres URL.
    • Zakódované odkazy: Aplikace s pevně zakódovanými odkazy na interní adresy URL mohou mít problémy. Zvažte použití Application Proxy Překlad odkazů nebo překonfigurování aplikace, je-li to možné.
  • Problémy s SSO:
    • Konfigurace jednotného přihlášení: Zkontrolujte nastavení jednotného přihlášení v podnikové aplikaci. U aplikací, které nejsou federované, budete možná muset nakonfigurovat „jednotné přihlašování založené na hesle“ nebo „jednotné přihlášení v záhlaví“.
    • Kerberos Constrained Delegation (KCD): U aplikací, které používají integrované ověřování systému Windows (IWA), ověřte, zda je KCD správně nakonfigurován ve službě Active Directory pro konektor.
  • Podmíněný přístup blokující legitimní uživatele:
    • Pečlivě si přečtěte zásady podmíněného přístupu. Ověřte, zda jsou uživatelé nebo skupiny správně zahrnuti nebo vyloučeni.
    • Použijte nástroj „Co když“ v podmíněném přístupu k simulaci přístupu a pochopení, proč je určitá zásada vynucována nebo blokována. ** Offline konektor**:
    • Ověřte síťové připojení konektorového serveru k Azure AD (odchozí porty 80 a 443) a ke službě Application Proxy (odchozí port 443).
    • Zkontrolujte protokoly událostí systému Windows na konektorovém serveru, zda neobsahují chyby související se službou.
    • Ujistěte se, že je spuštěna služba Microsoft AAD Application Proxy Connector.

Závěr

Azure AD Application Proxy je výkonný a bezpečný nástroj pro rozšíření přístupu k místním webovým aplikacím na vzdálené uživatele, který je v souladu s principy modelu Zero Trust. Centralizací ověřování a autorizace v Azure AD a eliminací potřeby složitých infrastruktur vzdáleného přístupu mohou organizace zjednodušit svou architekturu zabezpečení a zároveň posílit ochranu před hrozbami. Pečlivá implementace, integrace s podmíněným přístupem a průběžné monitorování jsou zásadní pro maximalizaci výhod zabezpečení a zajištění plynulého uživatelského zážitku. Díky této praktické příručce budou odborníci na zabezpečení a správci IT dobře vybaveni ke konfiguraci, ověřování a správě proxy aplikací Azure AD, zabezpečení vzdáleného přístupu ke kritickým aplikacím a posílení pozice zabezpečení jejich organizací.

Reference:

[1] Microsoft Learn. Publikujte místní aplikace pomocí Microsoft Entra Application Proxy. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/overview-what-is-app-proxy [2] Microsoft Learn. Přidejte místní aplikaci pro vzdálený přístup prostřednictvím Microsoft Entra Application Proxy. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-add-on-premises-application [3] Microsoft Learn. Publikování vzdálené plochy pomocí proxy aplikace Microsoft Entra. Dostupné na: [https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services](https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-integrate-with-serviceremote-desktop- [4] Microsoft Learn. Licencování Microsoft Entra ID. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/licensing-azure-active-directory [5] Microsoft Learn. Konektory proxy aplikací Microsoft Entra. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-connectors [6] Microsoft Learn. Podmíněný přístup na Microsoft Enter ID. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [7] Microsoft Learn. Odstraňování problémů s konektory proxy aplikací Microsoft Entra. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-troubleshoot-connectors