Zum Inhalt springen
SecureCloud Experts SecureCloud Experts
Azure AD Application Proxy.
| Von Valentin Keiling

Microsoft Entra Application Proxy

Vorteile des Entra Application Proxy & Nachteile herkömmlicher Methoden

Entra Application Proxy

  • Sicherheit: Der Zugriff auf freigegebene Anwendungen wird durch Conditional Access und MFA geschützt. Anwendungen sind vor direkten Angriffen abgeschirmt da diese nicht im Internet direkt veröffentlicht sind.

  • Kein direkter Netzwerkzugriff: Die Anwendungen bleiben hinter einem Proxy geschützt und es gibt keinen direkten Zugriff von extern.

  • Einfache Verwaltung: Die gesamte Konfiguration erfolgt zentral im Entra ID-Portal und ist leicht zu handhaben.

  • Keine zusätzliche Hardware: Es ist keine dedizierte Hardware oder zusätzliche Gateways erforderlich.

  • Skalierbarkeit: Der Zugriff lässt sich einfach an wachsende Anforderungen und Nutzerzahlen anpassen.

  • Geringerer Wartungsaufwand: Mit einer Entra ID Premium P1 Lizenz (oft schon vorhanden) entfällt die Notwendigkeit für separate VPN-Software oder Inbound Firewall-Regeln mit aufwändiger DMZ-Konfiguration.

  • Flexibilität: Benutzer können von überall (oder je nach Conditional Access Konfiguration) sicher auf Anwendungen zugreifen, ohne zusätzliche Software.

Veraltete VPN-Lösungen und Firewall-Regeln:

  • Direkte Netzwerkerreichbarkeit: Anwendungen müssen oft direkt veröffentlicht werden, was sie vom Internet aus angreifbar macht.

  • Komplexe Verwaltung: VPNs und Inbound Firewall-Regeln können schnell durch deren Komplexität unübersichtlich werden.

  • Hohe Kosten und Wartung: VPN-Lösungen und Firewalls bringen zusätzliche Lizenzkosten und Wartungsaufwand mit sich.

  • Eingeschränkte Skalierbarkeit: Herkömmliche Lösungen stoßen bei wachsender Nutzerzahl oder geografisch verteilten Teams schnell an ihre Grenzen.

  • Geringere Flexibilität: Nutzer sind auf Client VPN-Verbindungen oder lokale Netzwerkkonfigurationen angewiesen, was den Zugriff erschwert.

Voraussetzungen

Um den Application Proxy einzurichten, sind folgende Voraussetzungen erforderlich:

  • Entra ID Premium P1 oder P2 Lizenz: Notwendig für die Nutzung von Application Proxy und Conditional Access.

  • Entra ID Connect (wenn ein lokales AD vorhanden ist)

  • Connector: Ein lokaler Server (Windows Server 2012 R2 oder höher), auf dem der App Proxy Connector installiert wird.

  • Zugriff auf DNS-Verwaltung: Um auf die Anwendung über die Domain des Unternehmens zuzugreifen, muss ein DNS-Record erstellt werden.

  • Firewall-Einstellungen: Ausgehend Port 80 (HTTP) und 443 (HTTPS) müssen vom Connector-Server aus zulässig sein.

Anleitung: Einrichtung Application Proxy

Aktivieren des App Proxies

  • Melden Sie sich im Entra-Portal an

  • Navigieren Sie zu Entra ID -> Application Proxy

  • Aktivieren Sie den Application Proxy

Installation des Connectors

  • Laden Sie den Connector im Entra ID-Portal unter Global Secure Access -> Connect -> Connectors herunter

  • Installieren Sie den Connector auf einem Windows Server, der Zugriff auf die lokale Anwendung hat

  • Connectorgruppen: Fügen Sie die Connectoren zu den Gruppen hinzu

  • Private Netzwerke: Aktivieren Sie den Connector für private Netzwerke

Donwload Connector.
Microsoft Entra Admin center.

Konfiguration der lokalen Anwendung

Um die Anwendung zu konfigurieren gibt es zwei Möglichkeiten

  1. Global Secure Access -> Configure an App

  2. Identity > Applications -> Enterprise Applications

  • Navigieren Sie zum Entra ID Portal -> Enterprise Applications

  • Wählen Sie + New Application -> Add an On-Premises application

  • Geben Sie die interne URL (z. B. http://crm.domain.de:8443) und die externe URL (z. B. https://crm.domain.de) ein

    Hinweis: Die interne und externe URL sollten übereinstimmen, damit es zu keinen Zertifikatsfehlern kommt.

  • Externe URL: Sollte auf die benutzerdefinierte Domain zeigen, alternativ kann dafür auch die Microsoft Domain ".msappproxy.net" verwendet werden

  • Vorauthentifizierung: Wählen Sie Microsoft Entra ID, um Conditional Access nutzen zu können

  • Connectorgruppe: Verwenden Sie die zuvor konfigurierte "Default"-Gruppe

  • Erstellen Sie einen CNAME Record in Ihrer DNS-Verwaltung damit Sie auf die Anwendung über Ihre Custom Domain zugreifen können

    Hinweis: Ansonsten erfolgt der Zugriff über die Default Domain ".msappproxy.net".

Application proxy Config.
Private Network connectors.

Zertifikat ausstellen und konfigurieren

Hinweis: Sie können die Anwendung über die vordefinierte Microsoft Domain erreichbar machen ohne ein eigenes Zertifikat ausstellen zu müssen

  • In diesem Szenario wurde über "Certify The Web" ein Zertifikat ausgestellt

  • Installieren Sie das Zertifikat auf dem lokalen Webserver der zu veröffentlichenden Anwendung

Zuweisung von Berechtigungen und Sicherheitsrichtlinien

  • Weisen Sie die Anwendung spezifischen Benutzern oder Gruppen zu

  • Konfigurieren Sie Conditional Access, um den Zugriff abzusichern

User Experience & Test der Anwendung

  • Öffnen Sie die externe URL im Browser

  • Überprüfen Sie, ob die Entra-Authentifizierung erfolgreich ist und die lokale Anwendung ordnungsgemäß geladen wird

Zeiterfassung M365.

Zusammenfassung

Der App Proxy bietet eine moderne, sichere und unkomplizierte Möglichkeit, lokale Web-Anwendungen über das Internet bereitzustellen. Die Einrichtung ist einfach und schnell, zudem bereits mit einer Entra ID Premium P1 Lizenz nutzbar. Durch die nahtlose Integration in das Microsoft-Ökosystem profitieren Sie von leistungsstarken Security-Funktionen wie Conditional Access und Multifaktor-Authentifizierung. Gleichzeitig vermeiden Sie Sicherheitsrisiken und Komplexität, wie sie bei herkömmlichen Lösungen wie Portfreigaben oder VPNs häufig auftreten.