Vorteile des Entra Application Proxy & Nachteile herkömmlicher Methoden
Entra Application Proxy
Sicherheit: Der Zugriff auf freigegebene Anwendungen wird durch Conditional Access und MFA geschützt. Anwendungen sind vor direkten Angriffen abgeschirmt da diese nicht im Internet direkt veröffentlicht sind.
Kein direkter Netzwerkzugriff: Die Anwendungen bleiben hinter einem Proxy geschützt und es gibt keinen direkten Zugriff von extern.
Einfache Verwaltung: Die gesamte Konfiguration erfolgt zentral im Entra ID-Portal und ist leicht zu handhaben.
Keine zusätzliche Hardware: Es ist keine dedizierte Hardware oder zusätzliche Gateways erforderlich.
Skalierbarkeit: Der Zugriff lässt sich einfach an wachsende Anforderungen und Nutzerzahlen anpassen.
Geringerer Wartungsaufwand: Mit einer Entra ID Premium P1 Lizenz (oft schon vorhanden) entfällt die Notwendigkeit für separate VPN-Software oder Inbound Firewall-Regeln mit aufwändiger DMZ-Konfiguration.
Flexibilität: Benutzer können von überall (oder je nach Conditional Access Konfiguration) sicher auf Anwendungen zugreifen, ohne zusätzliche Software.
Veraltete VPN-Lösungen und Firewall-Regeln:
Direkte Netzwerkerreichbarkeit: Anwendungen müssen oft direkt veröffentlicht werden, was sie vom Internet aus angreifbar macht.
Komplexe Verwaltung: VPNs und Inbound Firewall-Regeln können schnell durch deren Komplexität unübersichtlich werden.
Hohe Kosten und Wartung: VPN-Lösungen und Firewalls bringen zusätzliche Lizenzkosten und Wartungsaufwand mit sich.
Eingeschränkte Skalierbarkeit: Herkömmliche Lösungen stoßen bei wachsender Nutzerzahl oder geografisch verteilten Teams schnell an ihre Grenzen.
Geringere Flexibilität: Nutzer sind auf Client VPN-Verbindungen oder lokale Netzwerkkonfigurationen angewiesen, was den Zugriff erschwert.
Voraussetzungen
Um den Application Proxy einzurichten, sind folgende Voraussetzungen erforderlich:
Entra ID Premium P1 oder P2 Lizenz: Notwendig für die Nutzung von Application Proxy und Conditional Access.
Entra ID Connect (wenn ein lokales AD vorhanden ist)
Connector: Ein lokaler Server (Windows Server 2012 R2 oder höher), auf dem der App Proxy Connector installiert wird.
Zugriff auf DNS-Verwaltung: Um auf die Anwendung über die Domain des Unternehmens zuzugreifen, muss ein DNS-Record erstellt werden.
Firewall-Einstellungen: Ausgehend Port 80 (HTTP) und 443 (HTTPS) müssen vom Connector-Server aus zulässig sein.
Anleitung: Einrichtung Application Proxy
Aktivieren des App Proxies
Melden Sie sich im Entra-Portal an
Navigieren Sie zu Entra ID -> Application Proxy
Aktivieren Sie den Application Proxy
Installation des Connectors
Laden Sie den Connector im Entra ID-Portal unter Global Secure Access -> Connect -> Connectors herunter
Installieren Sie den Connector auf einem Windows Server, der Zugriff auf die lokale Anwendung hat
Connectorgruppen: Fügen Sie die Connectoren zu den Gruppen hinzu
Private Netzwerke: Aktivieren Sie den Connector für private Netzwerke
Konfiguration der lokalen Anwendung
Um die Anwendung zu konfigurieren gibt es zwei Möglichkeiten
Global Secure Access -> Configure an App
Identity > Applications -> Enterprise Applications
Navigieren Sie zum Entra ID Portal -> Enterprise Applications
Wählen Sie + New Application -> Add an On-Premises application
Geben Sie die interne URL (z. B. http://crm.domain.de:8443) und die externe URL (z. B. https://crm.domain.de) ein
Hinweis: Die interne und externe URL sollten übereinstimmen, damit es zu keinen Zertifikatsfehlern kommt.
Externe URL: Sollte auf die benutzerdefinierte Domain zeigen, alternativ kann dafür auch die Microsoft Domain ".msappproxy.net" verwendet werden
Vorauthentifizierung: Wählen Sie Microsoft Entra ID, um Conditional Access nutzen zu können
Connectorgruppe: Verwenden Sie die zuvor konfigurierte "Default"-Gruppe
Erstellen Sie einen CNAME Record in Ihrer DNS-Verwaltung damit Sie auf die Anwendung über Ihre Custom Domain zugreifen können
Hinweis: Ansonsten erfolgt der Zugriff über die Default Domain ".msappproxy.net".
Zertifikat ausstellen und konfigurieren
Hinweis: Sie können die Anwendung über die vordefinierte Microsoft Domain erreichbar machen ohne ein eigenes Zertifikat ausstellen zu müssen
In diesem Szenario wurde über "Certify The Web" ein Zertifikat ausgestellt
Installieren Sie das Zertifikat auf dem lokalen Webserver der zu veröffentlichenden Anwendung
Zuweisung von Berechtigungen und Sicherheitsrichtlinien
Weisen Sie die Anwendung spezifischen Benutzern oder Gruppen zu
Konfigurieren Sie Conditional Access, um den Zugriff abzusichern
User Experience & Test der Anwendung
Öffnen Sie die externe URL im Browser
Überprüfen Sie, ob die Entra-Authentifizierung erfolgreich ist und die lokale Anwendung ordnungsgemäß geladen wird
Zusammenfassung
Der App Proxy bietet eine moderne, sichere und unkomplizierte Möglichkeit, lokale Web-Anwendungen über das Internet bereitzustellen. Die Einrichtung ist einfach und schnell, zudem bereits mit einer Entra ID Premium P1 Lizenz nutzbar. Durch die nahtlose Integration in das Microsoft-Ökosystem profitieren Sie von leistungsstarken Security-Funktionen wie Conditional Access und Multifaktor-Authentifizierung. Gleichzeitig vermeiden Sie Sicherheitsrisiken und Komplexität, wie sie bei herkömmlichen Lösungen wie Portfreigaben oder VPNs häufig auftreten.