Externe toegang beveiligen met Azure AD-toepassingsproxy

Externe toegang beveiligen met Azure AD-toepassingsproxy

14/03/2025

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren en configureren van Azure AD Application Proxy om externe toegang tot on-premises webtoepassingen te beveiligen. In een hybride werkomgeving, waar gebruikers overal toegang moeten hebben tot interne bronnen, is de beveiliging van deze toegang van fundamenteel belang. Azure AD Application Proxy biedt een veilige, vereenvoudigde oplossing voor het publiceren van on-premises webapplicaties naar externe gebruikers zonder de noodzaak van complexe VPN's of DMZ's [1].

Introductie

Traditioneel vereiste toegang op afstand tot interne applicaties het opzetten van virtuele privénetwerken (VPN's) of het blootstellen van applicaties aan perimeternetwerken (DMZ's), wat de complexiteit en potentiële aanvalsvectoren toevoegde. Met de toenemende acceptatie van modellen voor werken op afstand en hybride hebben organisaties behoefte aan een veiligere en efficiëntere manier om toegang te bieden tot oudere applicaties die zich nog steeds op locatie bevinden [2].

Azure AD Application Proxy is een functie van Azure Active Directory (nu Microsoft Entra ID) waarmee gebruikers vanaf elke locatie veilig toegang kunnen krijgen tot on-premises webapplicaties. Het fungeert als een omgekeerde proxy en stuurt intern applicatieverkeer door Azure AD, dat de authenticatie en autorisatie afhandelt. Dit betekent dat on-premise applicaties toegankelijk zijn alsof het SaaS-applicaties zijn, waarbij gebruik wordt gemaakt van Azure AD-beveiligingsfuncties zoals multi-factor authenticatie (MFA) en voorwaardelijke toegang [3].

Deze praktische gids behandelt de vereisten, het installeren en configureren van Application Proxy-connectors, het publiceren van verschillende soorten applicaties (webapps, Remote Desktop Web Client, SharePoint), integratie met beleid voor voorwaardelijke toegang, en hoe u externe toegang kunt testen en valideren. Er worden stapsgewijze instructies, praktische voorbeelden en beknopte uitleg gegeven, zodat de lezer deze functies kan implementeren, testen en valideren. Daarnaast worden beveiligingstips, compliance-checks en best practices besproken om veilige en efficiënte toegang op afstand te garanderen, autonoom, professioneel en betrouwbaar.

Waarom is Azure AD-toepassingsproxy cruciaal voor externe toegang?

  • Verbeterde beveiliging: Centraliseert authenticatie en autorisatie in Azure AD, waardoor het gebruik van beveiligingsfuncties zoals MFA, voorwaardelijke toegang en identiteitsbescherming voor on-premises toepassingen mogelijk wordt.
  • Vereenvoudigde toegang: biedt een eenmalige aanmelding (SSO) voor on-premises applicaties, waardoor de toegang eenvoudiger wordt voor gebruikers.
  • Complexiteitsreductie: Elimineert de noodzaak van VPN's of DMZ's voor externe toegang, vereenvoudigt de netwerkarchitectuur en verkleint het aanvalsoppervlak.
  • Kosteneffectief: maakt gebruik van de bestaande Azure AD-infrastructuur, zonder dat er extra hardware of software nodig is voor externe toegang.
  • Flexibel publiceren: Ondersteunt het publiceren van een breed scala aan webapplicaties, waaronder op headers gebaseerde applicaties, SharePoint, Remote Desktop Web Client en andere aangepaste webapplicaties.

Vereisten

Om Azure AD-toepassingsproxy te configureren, hebt u de volgende items nodig:

  1. Licenties: een Azure AD Premium P1- of P2-abonnement (of een licentie die deze functies bevat, zoals Microsoft 365 E3/E5) [4].
  2. Beheerderstoegang: een account met de rol van 'Global Administrator' of 'Application Administrator' in de Azure-portal ('https://portal.azure.com').
  3. Windows Server for Connector: een Windows Server-server (2012 R2 of hoger) binnen uw on-premises netwerk die connectiviteit heeft met de toepassingen die u wilt publiceren en met Azure AD. Deze server moet uitgaande internettoegang hebben (poorten 80 en 443 voor Azure AD en 443 voor de Azure AD Application Proxy-service) [5].
  4. On-premises webapplicaties: interne webapplicaties die u op afstand toegankelijk wilt maken.
  5. Aangepast domein (optioneel): een aangepast domein dat is geverifieerd in Azure AD als u gebruiksvriendelijke URL's wilt gebruiken voor uw gepubliceerde toepassingen.

Stap voor stap: Azure AD-toepassingsproxy configureren

Laten we de toepassingsproxy configureren en een toepassing publiceren.

1. Installatie en configuratie van de applicatieproxyconnector

De connector is een lichtgewicht middel dat verbinding maaktnaar Azure AD en uw on-premises toepassingen.

  1. Open uw browser en navigeer naar de Azure-portal: https://portal.azure.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Typ 'Azure Active Directory' in het bovenste zoekveld en selecteer dit uit de resultaten.
  4. Selecteer in het linkernavigatievenster Applicatieproxy onder Beheren.

  5. Klik op 'Connectorservice downloaden'.

  6. Op de lokale Windows-server die u hebt aangewezen voor de connector:

    • Download het connectorinstallatieprogramma (AADApplicationProxyConnectorInstaller.exe) en voer het uit.
    • Volg de instructies van de installatiewizard. Tijdens de installatie wordt u gevraagd u aan te melden met uw globale beheerdersreferenties voor Azure AD.
    • Na een succesvolle installatie start de connectorservice automatisch.

  7. Controleer in de Azure-portal op de pagina Applicatieproxy of de nieuw geïnstalleerde connector wordt weergegeven in de lijst 'Connectors' met de status 'Actief'.

    • Uitleg: Het wordt aanbevolen om minimaal twee connectoren te installeren voor hoge beschikbaarheid en taakverdeling. Connectors worden automatisch bijgewerkt, zodat u altijd over de nieuwste versie beschikt.

2. Een lokale webapplicatie publiceren

Laten we een interne webapplicatie publiceren. Stel je voor dit voorbeeld voor dat we een interne webapplicatie hebben genaamd MinhaAppInterna, toegankelijk op http://minhaappinterna.local:8080.

  1. Selecteer in het linkernavigatievenster van Azure Active Directory Enterprise-applicaties onder Beheren.
  2. Klik op + Nieuwe aanvraag.
  3. Klik op 'Integreer een andere applicatie die u niet in de galerij vindt (niet-galerij)'.
  4. Basisprincipes:
    • Naam: geef een betekenisvolle naam (bijvoorbeeld MyInternal-ProxyApp).
    • Applicatietype: Selecteer 'On-premises applicatie'.

  5. Klik op Toevoegen.

  6. Nadat u de applicatie heeft aangemaakt, wordt u doorgestuurd naar de applicatiebeheerpagina. Selecteer in het linkernavigatievenster Applicatieproxy onder Beheren.

  7. Basisinstellingen:

    • Interne URL: Voer de interne URL van uw applicatie in (bijvoorbeeld: http://minhaappinterna.local:8080). Zorg ervoor dat de connector deze URL kan omzetten en er toegang toe heeft.
    • Externe URL: deze URL wordt automatisch gegenereerd op basis van uw standaard Azure AD-domein (bijvoorbeeld myappinternal-proxy.msappproxy.net). U kunt een aangepast domein instellen als u er een heeft.
    • Pre-authenticatiemethode: Selecteer Azure Active Directory (aanbevolen voor maximale beveiliging).
    • Connectorgroep: Selecteer de standaard connectorgroep of een aangepaste groep als u meerdere connectoren heeft.

  8. Klik op Opslaan.

  9. Selecteer in het linkernavigatievenster Gebruikers en groepen onder Beheren.

  10. Klik op '+Gebruiker/groep toevoegen' en wijs Azure AD-gebruikers of -groepen toe die toegang krijgen tot deze applicatie.

    • Uitleg: Het toewijzen van gebruikers en groepen is cruciaal om te bepalen wie toegang heeft tot de gepubliceerde applicatie. Azure AD Application Proxy zorgt ervoor dat alleen geverifieerde en geautoriseerde gebruikers de interne applicatie kunnen bereiken.

3. Voorwaardelijke toegang configureren voor gepubliceerde applicaties

Met voorwaardelijke toegang kunt u aanvullend beveiligingsbeleid, zoals MFA, afdwingen voor toegang tot toepassingen.

  1. Selecteer in het linkernavigatievenster van Azure Active Directory Beveiliging > Voorwaardelijke toegang.
  2. Klik op + Nieuw beleid.
  3. Basisprincipes:
    • Naam: geef een betekenisvolle naam (bijvoorbeeld: MFA_para_MinhaAppInternal).
  4. Verantwoordelijkheden:
    • Identiteitsgebruikers of werklasten: Selecteer de gebruikers en groepen waarop het beleid van toepassing is (bijvoorbeeld: Grupo_Usuarios_MinhaAppInterna).
    • Cloudapplicaties of acties: Selecteer MyAppInternal-Proxy.
  5. Toegangscontroles:
    • Verlenen: Selecteer 'Toegang verlenen' en 'Meervoudige authenticatie vereisen'.
  6. Beleid inschakelen: Selecteer Ingeschakeld.

  7. Klik op Maken.

    • Uitleg: Dit beleid zorgt ervoor dat elke gebruiker die probeert toegang te krijgen tot 'MyInternal-ProxyApp' wordt gevraagd om multi-factor authenticatie uit te voeren, zelfs als de on-premises applicatie MFA niet standaard ondersteunt.

4. Andere soorten applicaties publiceren

Toepassingsproxy kan worden gebruikt om andere typen bronnen te publiceren, zoals externDesktopwebclient en SharePoint.

4.1. Publicatie van extern bureaublad-webclient

  1. Volg de stappen in Hoofdstuk 2 om een nieuwe bedrijfsapplicatie te maken.
  2. In de configuratie van de toepassingsproxy:
    • Interne URL: voer de URL in van uw Remote Desktop Web Client-server (bijvoorbeeld: https://rdweb.contoso.com/RDWeb).
    • Externe URL: wordt automatisch gegenereerd.
    • Pre-authenticatiemethode: Azure Active Directory.
    • URL-vertaalkoptype: Backend-URL-headers.
  3. Wijs gebruikers/groepen toe.

4.2. SharePoint on-premises publiceren

  1. Volg de stappen in Hoofdstuk 2 om een nieuwe bedrijfsapplicatie te maken.
  2. In de configuratie van de toepassingsproxy:
    • Interne URL: voer de URL van uw SharePoint-site in (bijvoorbeeld: https://sharepoint.contoso.local).
    • Externe URL: wordt automatisch gegenereerd.
    • Pre-authenticatiemethode: Azure Active Directory.
    • URL-vertaalkoptype: Backend-URL-headers.
  3. Wijs gebruikers/groepen toe.

Validatie en testen

Het is van cruciaal belang om externe toegang te testen om ervoor te zorgen dat applicaties veilig toegankelijk zijn.

1. Toegang tot de gepubliceerde applicatie testen

  1. Scenario: Open vanaf een computer buiten het bedrijfsnetwerk (bijvoorbeeld uw huis) een browser en navigeer naar de externe URL van MinhaAppInternal-Proxy (bijv. https://minhaappinterna-proxy.msappproxy.net).
  2. Verwachte actie: u wordt doorgestuurd naar de aanmeldingspagina van Azure AD. Nadat u uw Azure AD-referenties hebt ingevoerd en, indien geconfigureerd, MFA hebt voltooid, wordt u doorgestuurd naar de on-premises MyApp.
  3. Verificatie:
    • Bevestig dat de applicatie correct wordt geladen en dat u ermee kunt communiceren.
    • Controleer de aanmeldingslogboeken van Azure AD om te bevestigen dat de toegang is geverifieerd via de toepassingsproxy en dat MFA is toegepast.

2. Azure AD-aanmeldingslogboeken controleren

  1. Navigeer in de Azure-portal naar Azure Active Directory > Monitoring > Inkomende logboeken.
  2. Filter de logboeken op Application (MyAppInternal-Proxy).
  3. Controleer de inloggegevens, inclusief 'Conditional Access Status' (zou 'Succes' moeten weergeven en aangeven dat MFA is toegepast).

Beveiligingstips en best practices

  • Gebruik altijd pre-authenticatie van Azure AD: Azure AD pre-authenticatie is de veiligste methode omdat het ervoor zorgt dat alleen geverifieerde en geautoriseerde gebruikers uw interne netwerk bereiken. Vermijd 'Pass-through' tenzij dit strikt noodzakelijk is voor applicaties die pre-authenticatie niet aankunnen.
  • Voorwaardelijke toegang: gebruik voorwaardelijke toegang om aanvullend beveiligingsbeleid af te dwingen, zoals MFA, locatiebeperkingen, apparaatcompliance, enz. voor alle applicaties die via Application Proxy worden gepubliceerd.
  • Connectorgroepen: Organiseer uw connectoren in groepen om applicaties te isoleren of om connectoren dichter bij specifieke applicaties te hebben voor betere prestaties.
  • Hoge beschikbaarheid: installeer ten minste twee connectoren op afzonderlijke servers om hoge beschikbaarheid en veerkracht te garanderen. Overweeg installatie in verschillende regio's of beschikbaarheidszones, indien van toepassing.
  • Connectoronderhoud: Hoewel connectoren zichzelf automatisch bijwerken, controleert u hun status in de Azure Portal om ervoor te zorgen dat ze altijd actief en in goede staat zijn.
  • Connector Server-beveiliging: Beveilig de server waarop de connector is geïnstalleerd. Houd het up-to-date, pas het principe van de minste privileges toe en controleer het op verdachte activiteiten.
  • Prestatieoptimalisatie: Voor applicaties met veel verkeer of die een lage latentie vereisen, moet u rekening houden met de locatie van de connectoren in relatie tot de applicatieservers en de beschikbare bandbreedte.
  • Bewaking: bewaak de aanmeldingslogboeken en connectorlogboeken van Azure AD om verdachte activiteiten of toegangsproblemen te detecteren.

Algemene probleemoplossing

  • Toegangsfout (404, 500, enz.):
    • Controleer de interne URL: Zorg ervoor dat de interne URL die is geconfigureerd in de toepassingsproxy correct is en dat de connector er rechtstreeks toegang toe heeft vanaf de server waarop deze is geïnstalleerd.
    • Controleer de connector: Bevestig dat de connector 'Actief' is in de Azure-portal. Start de connectorservice opnieuw op de server.
    • Controleer de connectorgroep: Zorg ervoor dat de connectorgroep die aan de applicatie is toegewezen, deze heeftm ten minste één actieve connector.
    • Lokale firewall: Controleer of de firewall op de connectorserver of applicatieserver verkeer blokkeert.
  • Toepassingen worden niet correct geladen (weergaveproblemen):
    • Headervertaling: voor sommige applicaties moet u mogelijk het URL Translation Header Type in de Application Proxy-instellingen aanpassen naar Backend URL Headers of Frontend URL Headers.
    • Gecodeerde links: Applicaties met hardgecodeerde links naar interne URL's kunnen problemen ondervinden. Overweeg het gebruik van 'Link Translation' van Application Proxy of configureer de applicatie indien mogelijk opnieuw.
  • SSO-problemen:
    • SSO-configuratie: Controleer de SSO-instellingen in de bedrijfsapplicatie. Voor applicaties die niet federatief zijn, moet u mogelijk 'op wachtwoord gebaseerde SSO' of 'header SSO' configureren.
    • Kerberos Constrained Delegation (KCD): voor toepassingen die gebruikmaken van Integrated Windows Authentication (IWA), controleert u of KCD correct is geconfigureerd in Active Directory voor de connector.
  • Voorwaardelijke toegang blokkeert legitieme gebruikers:
    • Controleer het beleid voor voorwaardelijke toegang zorgvuldig. Controleer of gebruikers of groepen correct zijn opgenomen of uitgesloten.
    • Gebruik de 'What If'-tool in voorwaardelijke toegang om de toegang te simuleren en te begrijpen waarom een ​​beleid wordt afgedwongen of geblokkeerd.
  • Offline-connector:
    • Controleer de netwerkconnectiviteit van de connectorserver met Azure AD (uitgaande poorten 80 en 443) en met de Application Proxy-service (uitgaande poort 443).
    • Controleer de Windows-gebeurtenislogboeken op de connectorserver op servicegerelateerde fouten.
    • Zorg ervoor dat de service 'Microsoft AAD Application Proxy Connector' actief is.

Conclusie

Azure AD Application Proxy is een krachtige en veilige tool om de toegang tot on-premises webapplicaties uit te breiden naar externe gebruikers, in lijn met de principes van het Zero Trust-model. Door authenticatie en autorisatie in Azure AD te centraliseren en de noodzaak van complexe infrastructuren voor externe toegang te elimineren, kunnen organisaties hun beveiligingsarchitectuur vereenvoudigen en tegelijkertijd de bescherming tegen bedreigingen versterken. Zorgvuldige implementatie, integratie met voorwaardelijke toegang en voortdurende monitoring zijn essentieel om de beveiligingsvoordelen te maximaliseren en een vloeiende gebruikerservaring te garanderen. Met deze praktische gids zijn beveiligingsprofessionals en IT-beheerders goed toegerust om Azure AD Application Proxy te configureren, valideren en beheren, waardoor externe toegang tot kritieke applicaties wordt beveiligd en de beveiligingspositie van hun organisatie wordt versterkt.

Referenties:

[1] Microsoft Leer. Publiceer lokale apps met Microsoft Entra Application Proxy. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/overview-what-is-app-proxy [2] Microsoft Leer. Voeg een lokale applicatie toe voor externe toegang via Microsoft Entra Application Proxy. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-add-on-premises-application [3] Microsoft Leer. Publiceer Extern bureaublad met Microsoft Entra Application Proxy. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services [4] Microsoft Leer. Microsoft Entra ID-licentie. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/licensing-azure-active-directory [5] Microsoft Leer. Microsoft Entra Application Proxy-connectoren. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-connectors [6] Microsoft Leer. Voorwaardelijke toegang via Microsoft Enter ID. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [7] Microsoft Leer. Problemen met Microsoft Entra Application Proxy-connectors oplossen. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-troubleshoot-connectors