Microsoft Entra Application Proxy, o familiarmente App Proxy, publica de forma segura aplicaciones basadas en navegador desde el entorno local. La publicación de servicios en la red pública siempre conlleva riesgos, por lo que la publicación de servicios a través de una Red Privada Virtual (VPN) se ha convertido en una práctica establecida. ¿Sabía que con los métodos modernos puede publicar aplicaciones para que funcionen sin una conexión VPN?
Principio de funcionamiento
El principio de funcionamiento de App Proxy es simple:
- El usuario se autentica contra Entra ID
- Con la autenticación de Entra ID, se envía una solicitud de aplicación al servicio en la nube de App Proxy
- El servicio en la nube de App Proxy transmite la solicitud de aplicación al App Proxy Connector instalado en Windows Server
- App Proxy Connector transmite la solicitud de aplicación al servidor de aplicaciones
- El servidor de aplicaciones procesa la solicitud y envía una respuesta al App Proxy Connector
- App Proxy Connector transmite la respuesta recibida al servicio en la nube de App Proxy, que la entrega al usuario
Por lo tanto, App Proxy permite publicar aplicaciones basadas en HTTP para los usuarios sin abrir conexiones abiertas al servidor desde la red pública, de modo que el usuario debe estar autenticado en Entra ID para que se abra la conexión al servidor de aplicaciones. Los usuarios no autenticados no pueden ver el contenido producido por el servidor de aplicaciones en absoluto hasta que el usuario se haya autenticado con éxito.
Experiencia de usuario y gestión del uso
¿Cómo se ve App Proxy desde la perspectiva del usuario? La experiencia de usuario entre la nativa y App Proxy es casi idéntica. La diferencia con App Proxy es que obliga al usuario a iniciar sesión con Entra ID y la aplicación tiene una dirección URL diferente. La dirección pública generada por App Proxy se puede reemplazar utilizando una dirección de su elección mediante un registro CNAME.
Las aplicaciones de App Proxy se convierten en Enterprise Apps para Entra ID, lo que significa que tienen gestión de derechos de acceso a través de grupos y usuarios de Entra ID. Las aplicaciones de App Proxy también admiten reglas de Acceso Condicional, lo que significa que el inicio de sesión en la aplicación se puede restringir, por ejemplo, solo a dispositivos unidos a Microsoft Intune o permitir el inicio de sesión solo desde una dirección IP específica.
¿Implementar la protección de aplicaciones?
Entra Application Proxy está incluido en una amplia gama de licencias de Microsoft 365. App Proxy requiere una licencia Entra ID P1, por lo que, por ejemplo, Business Premium, M365 E3, M365 F1 y M365 F3 permiten usar la función App Proxy sin adquirir licencias adicionales.
Sin embargo, la tecnología App Proxy no se limita solo a la publicación de aplicaciones basadas en HTTP. La misma tecnología subyacente funciona como parte de la solución Microsoft Global Secure Access, especialmente en el servicio Entra Private Access. Entra Private Access amplía el acceso seguro basado en identidad ofrecido por App Proxy a aplicaciones que no están detrás de una interfaz HTTP.
A diferencia del App Proxy tradicional, que está diseñado específicamente para publicar aplicaciones web, Entra Private Access permite el acceso a todas las aplicaciones de la red interna que utilizan protocolos TCP o UDP. Esto significa que incluso las conexiones SMB, RDP, SSH y de base de datos se pueden proteger y publicar sin soluciones VPN o abrir puertos de firewall a la red pública.
A veces, la forma más fácil de implementar puede ser más económica de lo que cree. Las soluciones técnicas pueden implementarse utilizando las licencias existentes de manera más eficiente. Si tuviera su propio ‘consigliere’, estos asuntos podrían ser claros para usted y alcanzables más rápidamente. ¡Nuestro estatus de Microsoft Solution Partner en la categoría de Seguridad es una señal de que somos el socio adecuado cuando busca experiencia real para apoyar su administración de TI!