Sichern des Remotezugriffs mit dem Azure AD-Anwendungsproxy

Sichern des Remotezugriffs mit dem Azure AD-Anwendungsproxy

14.03.2025

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Implementierung und Konfiguration des Azure AD-Anwendungsproxys anleiten, um den Remotezugriff auf lokale Webanwendungen zu sichern. In einer hybriden Arbeitsumgebung, in der Benutzer von überall auf interne Ressourcen zugreifen müssen, ist die Sicherheit dieses Zugriffs von grundlegender Bedeutung. Azure AD Application Proxy bietet eine sichere, vereinfachte Lösung für die Veröffentlichung lokaler Webanwendungen für Remotebenutzer, ohne dass komplexe VPNs oder DMZs erforderlich sind [1].

Einführung

Traditionell erforderte der Fernzugriff auf interne Anwendungen die Einrichtung virtueller privater Netzwerke (VPNs) oder die Bereitstellung von Anwendungen für Perimeternetzwerke (DMZs), was die Komplexität und potenzielle Angriffsvektoren erhöhte. Mit der zunehmenden Einführung von Remote- und Hybrid-Arbeitsmodellen benötigen Unternehmen eine sicherere und effizientere Möglichkeit, Zugriff auf Legacy-Anwendungen bereitzustellen, die sich noch vor Ort befinden [2].

Azure AD Application Proxy ist eine Funktion von Azure Active Directory (jetzt Microsoft Entra ID), die es Benutzern ermöglicht, von jedem Standort aus sicher auf lokale Webanwendungen zuzugreifen. Es fungiert als Reverse-Proxy und leitet den internen Anwendungsverkehr über Azure AD weiter, das die Authentifizierung und Autorisierung übernimmt. Dies bedeutet, dass auf lokale Anwendungen wie auf SaaS-Anwendungen zugegriffen werden kann, indem Azure AD-Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA) und bedingter Zugriff genutzt werden [3].

In diesem praktischen Leitfaden werden die Voraussetzungen, die Installation und Konfiguration von Anwendungsproxy-Konnektoren, die Veröffentlichung verschiedener Arten von Anwendungen (Webanwendungen, Remotedesktop-Webclient, SharePoint), die Integration mit Richtlinien für bedingten Zugriff und das Testen und Validieren des Remotezugriffs behandelt. Es werden Schritt-für-Schritt-Anleitungen, praktische Beispiele und prägnante Erklärungen bereitgestellt, damit der Leser diese Funktionen implementieren, testen und validieren kann. Darüber hinaus werden Sicherheitstipps, Compliance-Checks und Best Practices besprochen, um einen sicheren und effizienten Fernzugriff autonom, professionell und zuverlässig zu gewährleisten.

Warum ist Azure AD Application Proxy für den Remotezugriff von entscheidender Bedeutung?

  • Erhöhte Sicherheit: Zentralisiert die Authentifizierung und Autorisierung in Azure AD und ermöglicht so die Verwendung von Sicherheitsfunktionen wie MFA, bedingtem Zugriff und Identitätsschutz für lokale Anwendungen.
  • Vereinfachter Zugriff: Bietet ein Single Sign-On (SSO)-Erlebnis für lokale Anwendungen und erleichtert so den Zugriff für Benutzer.
  • Komplexitätsreduzierung: Macht VPNs oder DMZs für den Fernzugriff überflüssig, vereinfacht die Netzwerkarchitektur und reduziert die Angriffsfläche.
  • Kostengünstig: Nutzt die vorhandene Azure AD-Infrastruktur, ohne dass zusätzliche Hardware oder Software für den Fernzugriff erforderlich ist.
  • Flexible Veröffentlichung: Unterstützt die Veröffentlichung einer breiten Palette von Webanwendungen, einschließlich Header-basierter Anwendungen, SharePoint, Remotedesktop-Webclient und anderer benutzerdefinierter Webanwendungen.

Voraussetzungen

Um den Azure AD-Anwendungsproxy zu konfigurieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Ein Azure AD Premium P1- oder P2-Abonnement (oder eine Lizenz, die diese Funktionen enthält, z. B. Microsoft 365 E3/E5) [4].
  2. Administratorzugriff: Ein Konto mit der Rolle „Globaler Administrator“ oder „Anwendungsadministrator“ im Azure-Portal („https://portal.azure.com“).
  3. Windows Server für Connector: Ein Windows Server-Server (2012 R2 oder höher) in Ihrem lokalen Netzwerk, der über Konnektivität zu den Anwendungen verfügt, die Sie veröffentlichen möchten, und zu Azure AD. Dieser Server muss über ausgehenden Internetzugang verfügen (Ports 80 und 443 für Azure AD und 443 für den Azure AD Application Proxy-Dienst) [5].
  4. On-Premises-Webanwendungen: Interne Webanwendungen, die Sie remote zugänglich machen möchten.
  5. Benutzerdefinierte Domäne (optional): Eine in Azure AD verifizierte benutzerdefinierte Domäne, wenn Sie benutzerfreundliche URLs für Ihre veröffentlichten Anwendungen verwenden möchten.

Schritt für Schritt: Konfigurieren des Azure AD-Anwendungsproxys

Lassen Sie uns den Anwendungsproxy konfigurieren und eine Anwendung veröffentlichen.

1. Installation und Konfiguration des Application Proxy Connectors

Der Connector ist ein leichtgewichtiger Agent, der eine Verbindung herstelltzu Azure AD und Ihren lokalen Anwendungen.

  1. Öffnen Sie Ihren Browser und navigieren Sie zum Azure-Portal: „https://portal.azure.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Geben Sie im oberen Suchfeld „Azure Active Directory“ ein und wählen Sie es aus den Ergebnissen aus.
  4. Wählen Sie im linken Navigationsbereich unter „Verwalten“ die Option Anwendungsproxy aus.

  5. Klicken Sie auf „Connector-Dienst herunterladen“.

  6. Auf dem lokalen Windows-Server, den Sie für den Connector festgelegt haben:

    • Laden Sie das Connector-Installationsprogramm („AADApplicationProxyConnectorInstaller.exe“) herunter und führen Sie es aus.
    • Befolgen Sie die Anweisungen des Installationsassistenten. Während der Installation werden Sie aufgefordert, sich mit Ihren globalen Azure AD-Administratoranmeldeinformationen anzumelden.
    • Nach erfolgreicher Installation startet der Connector-Dienst automatisch.

  7. Überprüfen Sie im Azure-Portal auf der Seite Anwendungsproxy, ob der neu installierte Connector in der Liste „Connectors“ mit dem Status „Aktiv“ angezeigt wird.

    • Erklärung: Es wird empfohlen, mindestens zwei Connectors für hohe Verfügbarkeit und Lastausgleich zu installieren. Connectors werden automatisch aktualisiert, sodass Sie immer über die neueste Version verfügen.

2. Veröffentlichen einer lokalen Webanwendung

Lassen Sie uns eine interne Webanwendung veröffentlichen. Stellen Sie sich für dieses Beispiel vor, dass wir eine interne Webanwendung namens „MinhaAppInterna“ haben, auf die unter „http://minhaappinterna.local:8080“ zugegriffen werden kann.

  1. Wählen Sie im linken Navigationsbereich von Azure Active Directory unter „Verwalten“ Unternehmensanwendungen aus.
  2. Klicken Sie auf „+ Neue Anwendung“.
  3. Klicken Sie auf „Alle anderen Anwendungen integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie)“.
  4. Grundlagen:
    • Name: Geben Sie einen aussagekräftigen Namen ein (z. B. „MyInternal-ProxyApp“).
    • Anwendungstyp: Wählen Sie „On-Premise-Anwendung“.

  5. Klicken Sie auf „Hinzufügen“.

  6. Nach dem Erstellen der Anwendung werden Sie zur Anwendungsverwaltungsseite weitergeleitet. Wählen Sie im linken Navigationsbereich unter „Verwalten“ die Option Anwendungsproxy aus.

  7. Grundeinstellungen:

    • Interne URL: Geben Sie die interne URL Ihrer Anwendung ein (z. B. „http://minhaappinterna.local:8080“). Stellen Sie sicher, dass der Connector diese URL auflösen und darauf zugreifen kann.
    • Externe URL: Diese URL wird automatisch basierend auf Ihrer Standard-Azure AD-Domäne generiert (z. B. „myappinternal-proxy.msappproxy.net“). Sie können eine benutzerdefinierte Domäne einrichten, sofern Sie eine haben.
    • Vorauthentifizierungsmethode: Wählen Sie „Azure Active Directory“ (empfohlen für maximale Sicherheit).
    • Connector-Gruppe: Wählen Sie die Standard-Connector-Gruppe oder eine benutzerdefinierte Gruppe aus, wenn Sie über mehrere Connectors verfügen.

  8. Klicken Sie auf Speichern.

  9. Wählen Sie im linken Navigationsbereich unter „Verwalten“ Benutzer und Gruppen aus.

  10. Klicken Sie auf „+Benutzer/Gruppe hinzufügen“ und weisen Sie Azure AD-Benutzer oder -Gruppen zu, die auf diese Anwendung zugreifen dürfen.

    • Erklärung: Das Zuweisen von Benutzern und Gruppen ist entscheidend für die Kontrolle, wer auf die veröffentlichte Anwendung zugreifen kann. Azure AD Application Proxy stellt sicher, dass nur authentifizierte und autorisierte Benutzer die interne Anwendung erreichen können.

3. Konfigurieren des bedingten Zugriffs für veröffentlichte Anwendungen

Mit dem bedingten Zugriff können Sie zusätzliche Sicherheitsrichtlinien wie MFA für den Anwendungszugriff erzwingen.

  1. Wählen Sie im linken Navigationsbereich von Azure Active Directory Sicherheit > Bedingter Zugriff aus.
  2. Klicken Sie auf „+ Neue Richtlinie“.
  3. Grundlagen:
    • Name: Geben Sie einen aussagekräftigen Namen ein (z. B. „MFA_para_MinhaAppInternal“).
  4. Verantwortlichkeiten:
    • Identitätsbenutzer oder Workloads: Wählen Sie die Benutzer und Gruppen aus, die von der Richtlinie betroffen sind (z. B. „Grupo_Usuarios_MinhaAppInterna“).
    • Cloud-Anwendungen oder -Aktionen: Wählen Sie „MyAppInternal-Proxy“.
  5. Zugriffskontrollen:
    • Gewähren: Wählen Sie „Zugriff gewähren“ und „Mehrfaktorauthentifizierung erforderlich“.
  6. Richtlinie aktivieren: Wählen Sie „Aktiviert“.

  7. Klicken Sie auf Erstellen.

    • Erklärung: Diese Richtlinie stellt sicher, dass jeder Benutzer, der versucht, auf „MyInternal-ProxyApp“ zuzugreifen, aufgefordert wird, eine Multi-Faktor-Authentifizierung durchzuführen, auch wenn die lokale Anwendung MFA nicht nativ unterstützt.

4. Veröffentlichen anderer Arten von Anwendungen

Der Anwendungsproxy kann zum Veröffentlichen anderer Arten von Ressourcen verwendet werden, z. B. RemoteDesktop-Webclient und SharePoint.

4.1. Veröffentlichen des Remotedesktop-Webclients

  1. Befolgen Sie die Schritte in Abschnitt 2, um eine neue Unternehmensanwendung zu erstellen.
  2. In der Anwendungs-Proxy-Konfiguration:
    • Interne URL: Geben Sie die URL Ihres Remotedesktop-Webclient-Servers ein (z. B. „https://rdweb.contoso.com/RDWeb“).
    • Externe URL: Wird automatisch generiert.
    • Vorauthentifizierungsmethode: „Azure Active Directory“.
    • URL-Übersetzungs-Header-Typ: „Backend-URL-Header“.
  3. Benutzer/Gruppen zuweisen.

4.2. SharePoint vor Ort veröffentlichen

  1. Befolgen Sie die Schritte in Abschnitt 2, um eine neue Unternehmensanwendung zu erstellen.
  2. In der Anwendungs-Proxy-Konfiguration:
    • Interne URL: Geben Sie die URL Ihrer SharePoint-Website ein (z. B. „https://sharepoint.contoso.local“).
    • Externe URL: Wird automatisch generiert.
    • Vorauthentifizierungsmethode: „Azure Active Directory“.
    • URL-Übersetzungs-Header-Typ: „Backend-URL-Header“.
  3. Benutzer/Gruppen zuweisen.

Validierung und Tests

Es ist wichtig, den Fernzugriff zu testen, um sicherzustellen, dass Anwendungen sicher zugänglich sind.

1. Testen des Zugriffs auf die veröffentlichte Anwendung

  1. Szenario: Öffnen Sie von einem Computer außerhalb des Unternehmensnetzwerks (z. B. Ihrem Zuhause) einen Browser und navigieren Sie zur externen URL von „MinhaAppInternal-Proxy“ (z. B. „https://minhaappinterna-proxy.msappproxy.net“).
  2. Erwartete Aktion: Sie sollten zur Azure AD-Anmeldeseite weitergeleitet werden. Nachdem Sie Ihre Azure AD-Anmeldeinformationen eingegeben und, sofern konfiguriert, MFA abgeschlossen haben, sollten Sie zur lokalen MyApp weitergeleitet werden.
  3. Verifizierung:
    • Bestätigen Sie, dass die Anwendung korrekt geladen wird und Sie mit ihr interagieren können.
    • Überprüfen Sie die Azure AD-Anmeldeprotokolle, um zu bestätigen, dass der Zugriff über den Anwendungsproxy authentifiziert und MFA angewendet wurde.

2. Überprüfen der Azure AD-Anmeldeprotokolle

  1. Navigieren Sie im Azure-Portal zu Azure Active Directory > Überwachung > Eingehende Protokolle.
  2. Filtern Sie die Protokolle nach „Anwendung“ („MyAppInternal-Proxy“).
  3. Überprüfen Sie die Anmeldedaten, einschließlich des Status des bedingten Zugriffs (sollte „Erfolgreich“ anzeigen und anzeigen, dass MFA angewendet wurde).

Sicherheitstipps und Best Practices

  • Verwenden Sie immer die Azure AD-Vorauthentifizierung: Die Azure AD-Vorauthentifizierung ist die sicherste Methode, da sie sicherstellt, dass nur authentifizierte und autorisierte Benutzer Ihr internes Netzwerk erreichen. Vermeiden Sie „Pass-Through“, es sei denn, dies ist für Anwendungen, die die Vorauthentifizierung nicht verarbeiten können, unbedingt erforderlich.
  • Bedingter Zugriff: Verwenden Sie den bedingten Zugriff, um zusätzliche Sicherheitsrichtlinien wie MFA, Standortbeschränkungen, Gerätekonformität usw. für alle über den Anwendungsproxy veröffentlichten Anwendungen durchzusetzen.
  • Connector-Gruppen: Organisieren Sie Ihre Connectors in Gruppen, um Anwendungen zu isolieren oder Connectors für eine bessere Leistung näher an bestimmten Anwendungen anzuordnen.
  • Hohe Verfügbarkeit: Installieren Sie mindestens zwei Konnektoren auf separaten Servern, um hohe Verfügbarkeit und Ausfallsicherheit zu gewährleisten. Erwägen Sie gegebenenfalls die Installation in verschiedenen Regionen oder Verfügbarkeitszonen.
  • Connector-Wartung: Obwohl sich Connectors automatisch aktualisieren, überwachen Sie ihren Status im Azure-Portal, um sicherzustellen, dass sie immer aktiv und fehlerfrei sind.
  • Connector-Serversicherheit: Sichern Sie den Server, auf dem der Connector installiert ist. Halten Sie es auf dem neuesten Stand, wenden Sie das Prinzip der geringsten Rechte an und überwachen Sie es auf verdächtige Aktivitäten.
  • Leistungsoptimierung: Berücksichtigen Sie bei Anwendungen mit hohem Datenverkehr oder mit geringer Latenz die Position der Konnektoren im Verhältnis zu den Anwendungsservern und der verfügbaren Bandbreite.
  • Überwachung: Überwachen Sie Azure AD-Anmeldeprotokolle und Connector-Protokolle, um verdächtige Aktivitäten oder Zugriffsprobleme zu erkennen.

Allgemeine Fehlerbehebung

  • Zugriffsfehler (404, 500 usw.):
    • Überprüfen Sie die interne URL: Stellen Sie sicher, dass die im Anwendungsproxy konfigurierte interne URL korrekt ist und dass der Connector direkt von dem Server, auf dem er installiert ist, darauf zugreifen kann.
    • Überprüfen Sie den Connector: Stellen Sie sicher, dass der Connector im Azure-Portal „Aktiv“ ist. Starten Sie den Connector-Dienst auf dem Server neu.
    • Überprüfen Sie die Connector-Gruppe: Stellen Sie sicher, dass die der Anwendung zugewiesene Connector-Gruppe vorhanden istm mindestens einen aktiven Anschluss.
    • Lokale Firewall: Überprüfen Sie, ob die Firewall auf dem Connector-Server oder Anwendungsserver den Datenverkehr blockiert.
  • Anwendungen werden nicht korrekt geladen (Rendering-Probleme):
    • Header-Übersetzung: Für einige Anwendungen müssen Sie möglicherweise den „URL-Übersetzungs-Header-Typ“ in den Anwendungs-Proxy-Einstellungen auf „Backend-URL-Header“ oder „Frontend-URL-Header“ anpassen.
    • Verschlüsselte Links: Bei Anwendungen mit fest codierten Links zu internen URLs können Probleme auftreten. Erwägen Sie, wenn möglich, die „Link-Übersetzung“ des Anwendungsproxys zu verwenden oder die Anwendung neu zu konfigurieren.
  • SSO-Probleme:
    • SSO-Konfiguration: Überprüfen Sie die SSO-Einstellungen in der Unternehmensanwendung. Für Anwendungen, die nicht im Verbund sind, müssen Sie möglicherweise „passwortbasiertes SSO“ oder „Header-SSO“ konfigurieren.
    • Kerberos Constrained Delegation (KCD): Stellen Sie bei Anwendungen, die die integrierte Windows-Authentifizierung (IWA) verwenden, sicher, dass KCD in Active Directory für den Connector korrekt konfiguriert ist.
  • Bedingter Zugriff blockiert legitime Benutzer:
    • Lesen Sie die Richtlinien zum bedingten Zugriff sorgfältig durch. Stellen Sie sicher, dass Benutzer oder Gruppen korrekt ein- oder ausgeschlossen werden.
    • Verwenden Sie das „Was-wäre-wenn“-Tool im bedingten Zugriff, um den Zugriff zu simulieren und zu verstehen, warum eine Richtlinie erzwungen oder blockiert wird.
  • Offline-Connector:
    • Überprüfen Sie die Netzwerkkonnektivität des Connectorservers mit Azure AD (ausgehende Ports 80 und 443) und mit dem Anwendungsproxydienst (ausgehender Port 443).
    • Überprüfen Sie die Windows-Ereignisprotokolle auf dem Connector-Server auf dienstbezogene Fehler.
    • Stellen Sie sicher, dass der Dienst „Microsoft AAD Application Proxy Connector“ ausgeführt wird.

Fazit

Azure AD Application Proxy ist ein leistungsstarkes und sicheres Tool zur Erweiterung des Zugriffs auf lokale Webanwendungen auf Remotebenutzer, das den Prinzipien des Zero-Trust-Modells entspricht. Durch die Zentralisierung der Authentifizierung und Autorisierung in Azure AD und den Wegfall komplexer Fernzugriffsinfrastrukturen können Unternehmen ihre Sicherheitsarchitektur vereinfachen und gleichzeitig den Bedrohungsschutz stärken. Eine sorgfältige Implementierung, Integration mit bedingtem Zugriff und fortlaufende Überwachung sind unerlässlich, um die Sicherheitsvorteile zu maximieren und ein reibungsloses Benutzererlebnis zu gewährleisten. Mit diesem praktischen Leitfaden sind Sicherheitsexperten und IT-Administratoren bestens gerüstet, um den Azure AD-Anwendungsproxy zu konfigurieren, zu validieren und zu verwalten, den Remotezugriff auf kritische Anwendungen zu sichern und die Sicherheitslage ihres Unternehmens zu stärken.

Referenzen:

[1] Microsoft Learn. Lokale Apps mit Microsoft Entra Application Proxy veröffentlichen. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/overview-what-is-app-proxy [2] Microsoft Learn. Fügen Sie eine lokale Anwendung für den Fernzugriff über Microsoft Entra Application Proxy hinzu. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-add-on-premises-application [3] Microsoft Learn. Remotedesktop mit Microsoft Entra Application Proxy veröffentlichen. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services [4] Microsoft Learn. Microsoft Entra ID-Lizenzierung. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/licensing-azure-active-directory [5] Microsoft Learn. Microsoft Entra Application Proxy-Konnektoren. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-connectors [6] Microsoft Learn. Bedingter Zugriff auf Microsoft Enter ID. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [7] Microsoft Learn. Fehlerbehebung bei Microsoft Entra Application Proxy-Konnektoren. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-troubleshoot-connectors