Microsofts Entra Application Proxy, oder umgangssprachlich App Proxy, stellt browserbasierte Anwendungen aus der lokalen Umgebung sicher zur Verfügung. Die Veröffentlichung von Diensten im öffentlichen Netzwerk birgt immer Risiken, weshalb die Bereitstellung von Diensten über ein Virtual Private Network (VPN) eine etablierte Praxis ist. Wussten Sie, dass moderne Methoden es dennoch ermöglichen, Anwendungen ohne VPN-Verbindung zu veröffentlichen? Microsofts Entra Application Proxy ermöglicht die Veröffentlichung HTTP-basierter Anwendungen für Endbenutzer ohne VPN-Verbindungen oder eingehende offene Ports. Worum geht es dabei genau?
Funktionsweise
Das Funktionsprinzip von App Proxy ist einfach:
- Der Benutzer meldet sich bei Entra ID an
- Mit der Entra ID-Authentifizierung wird eine Anwendungsanfrage an den Cloud-Dienst von App Proxy gesendet
- Der Cloud-Dienst von App Proxy leitet die Anwendungsanfrage an den auf dem Windows Server installierten App Proxy Connector weiter
- Der App Proxy Connector leitet die Anwendungsanfrage an den Anwendungsserver weiter
- Der Anwendungsserver verarbeitet die Anfrage und sendet die Antwort an den App Proxy Connector
- Der App Proxy Connector leitet die empfangene Antwort an den Cloud-Dienst von App Proxy weiter, der sie dem Benutzer zustellt
App Proxy ermöglicht es uns somit, HTTP-basierte Anwendungen für Benutzer bereitzustellen, ohne offene Verbindungen vom öffentlichen Netzwerk zum Server zu öffnen, wobei der Benutzer bei Entra ID authentifiziert sein muss, damit die Verbindung zum Anwendungsserver hergestellt wird. Nicht authentifizierte Benutzer sehen also keinerlei Inhalte, die vom Anwendungsserver bereitgestellt werden, bevor sie sich erfolgreich authentifiziert haben.
Benutzererfahrung und Zugriffsverwaltung
Wie sieht App Proxy aus der Sicht des Benutzers aus? Die Benutzererfahrung zwischen nativer Anwendung und App Proxy ist nahezu identisch. Der Unterschied bei App Proxy besteht darin, dass es den Benutzer zwingt, sich mit Entra ID anzumelden, und die Anwendung eine andere URL hat. Die von App Proxy generierte öffentliche Adresse kann durch eine selbst gewählte Adresse mittels eines CNAME-Eintrags ersetzt werden.
App Proxy-Anwendungen werden zu Enterprise Apps für Entra ID, was bedeutet, dass die Zugriffsverwaltung über Entra ID-Gruppen und -Benutzer erfolgt. App Proxy-Anwendungen unterstützen auch Conditional Access-Regeln, d.h. der Zugriff auf die Anwendung kann beispielsweise auf Geräte beschränkt werden, die mit Microsoft Intune verbunden sind, oder nur von einer bestimmten IP-Adresse aus zugelassen werden.
Anwendungsschutz implementieren?
Entra Application Proxy ist in einer bemerkenswert breiten Palette von Microsoft 365-Lizenzen enthalten. App Proxy benötigt eine Entra ID P1-Lizenz, d.h. beispielsweise Business Premium, M365 E3, M365 F1 und M365 F3 berechtigen zur Nutzung der App Proxy-Funktion, ohne zusätzliche Lizenzen erwerben zu müssen.
Die App Proxy-Technologie beschränkt sich jedoch nicht nur auf die Veröffentlichung HTTP-basierter Anwendungen. Dieselbe zugrunde liegende Technologie ist Teil der Microsoft Global Secure Access-Lösung, insbesondere im Entra Private Access-Dienst. Entra Private Access erweitert den von App Proxy bereitgestellten sicheren, identitätsbasierten Zugriff auch auf Anwendungen, die sich nicht hinter einer HTTP-Schnittstelle befinden.
Im Gegensatz zum traditionellen App Proxy, der speziell für die Veröffentlichung von Webanwendungen konzipiert ist, ermöglicht Entra Private Access den Zugriff auf alle im internen Netzwerk betriebenen Anwendungen, die TCP- oder UDP-Protokolle nutzen. Dies bedeutet, dass beispielsweise auch SMB-, RDP-, SSH- und Datenbankverbindungen ohne VPN-Lösungen oder das Öffnen von Firewall-Ports zum öffentlichen Netzwerk geschützt und veröffentlicht werden können.
Manchmal ist der einfachste Weg zur Umsetzung kostengünstiger, als Sie vielleicht denken. Technische Lösungen lassen sich möglicherweise durch eine effizientere Nutzung bereits vorhandener Lizenzen realisieren. Wenn Sie Ihren eigenen „Consigliere“ hätten, wären diese Dinge für Sie vielleicht klarer und schneller erreichbar. Unser Microsoft Solution Partner-Status in der Kategorie Sicherheit ist ein Zeichen dafür, dass wir der richtige Partner sind, wenn Sie echte Expertise zur Unterstützung Ihrer IT-Verwaltung suchen!