Partilhar via

Utilizar o Proxy de Aplicações do Microsoft Entra para publicar aplicações no local para utilizadores remotos

O proxy de aplicativo Microsoft Entra fornece acesso remoto seguro a aplicativos Web locais. Após um logon único no Microsoft Entra ID, os usuários podem acessar aplicativos na nuvem e locais por meio de uma URL externa ou de um portal de aplicativos interno. Por exemplo, o proxy de aplicação pode fornecer acesso remoto e autenticação única para aplicações de Área de Trabalho Remota, SharePoint, Teams, Tableau, Qlik e aplicações de linha de negócios (LOB).

O proxy de aplicativo Microsoft Entra é:

  • Simples de usar. Os usuários podem acessar seus aplicativos locais da mesma forma que acessam o Microsoft 365 e outros aplicativos SaaS integrados ao Microsoft Entra ID. Você não precisa alterar ou atualizar seus aplicativos para trabalhar com o proxy de aplicativo.

  • Seguro. Os aplicativos locais podem usar os controles de autorização e a análise de segurança do Azure. Por exemplo, os aplicativos locais podem usar o Acesso Condicional e a verificação em duas etapas. O proxy de aplicativo não exige que você abra conexões de entrada por meio do firewall.

  • Custo-benefício. As soluções locais normalmente exigem que você configure e mantenha zonas desmilitarizadas (DMZs), servidores de borda ou outras infraestruturas complexas. O proxy de aplicativo é executado na nuvem, o que facilita o uso. Para usar o proxy de aplicativo, não é necessário alterar a infraestrutura de rede ou instalar mais dispositivos em seu ambiente local.

Gorjeta

Se você já tiver o Microsoft Entra ID, poderá usá-lo como um plano de controle para permitir acesso contínuo e seguro aos seus aplicativos locais.

Embora não seja abrangente, a lista ilustra exemplos de uso de proxy de aplicativo em um cenário de coexistência híbrida:

  • Publique aplicativos Web locais externamente de forma simplificada sem uma DMZ
  • Ofereça suporte ao logon único (SSO) entre dispositivos, recursos e aplicativos na nuvem e no local
  • Suporte à autenticação multifator para aplicativos na nuvem e no local
  • Utilize rapidamente as funcionalidades da nuvem com a segurança do Microsoft Cloud
  • Centralize o gerenciamento de contas de usuário
  • Centralizar o controle de identidade e segurança
  • Adicionar ou remover automaticamente o acesso do usuário aos aplicativos com base na associação ao grupo

Este artigo explica como o Microsoft Entra ID e o proxy de aplicativo oferecem aos usuários remotos uma experiência de logon único (SSO). Os utilizadores ligam-se de forma segura às aplicações no local sem VPN nem servidores de alojamento duplo e regras da firewall. Este artigo ajuda-o a compreender como é que o proxy de aplicações oferece as capacidades e as vantagens em termos de segurança da cloud às aplicações Web no local. Também descreve a arquitetura e as topologias possíveis.

Gorjeta

O proxy de aplicação inclui o serviço de proxy de aplicação, que é executado na nuvem, e o conector de rede privada, que é executado num servidor no local. O Microsoft Entra ID, o serviço de proxy de aplicativo e o conector de rede privada trabalham juntos para passar com segurança o token de logon do usuário do ID do Microsoft Entra para o aplicativo Web.

O proxy de aplicativo funciona com:

  • Aplicativos Web que usam a autenticação integrada do Windows para autenticação
  • Aplicações Web que usam acesso baseado em formulários ou cabeçalhos
  • APIs da Web que você deseja expor a aplicativos avançados em dispositivos diferentes
  • Aplicações hospedadas atrás de um Remote Desktop Gateway
  • Aplicações rich client integradas com a Microsoft Authentication Library (MSAL)

O proxy de aplicativo oferece suporte ao logon único. Para obter mais informações sobre métodos suportados, consulte Escolhendo um método de logon único.

Acesso remoto no passado

Anteriormente, seu plano de controle para proteger recursos internos de invasores e, ao mesmo tempo, facilitar o acesso de usuários remotos estava todo na DMZ ou rede de perímetro. Mas as soluções de VPN e proxy reverso implantadas na DMZ usadas por clientes externos para acessar recursos corporativos não são adequadas para o mundo da nuvem. Normalmente sofrem das seguintes desvantagens:

  • Aumente os custos de hardware
  • Manter a segurança (aplicação de patches, monitoramento de portas e assim por diante)
  • Autenticar utilizadores na periferia
  • Autenticar usuários em servidores Web na rede de perímetro
  • Mantenha o acesso VPN para usuários remotos com a distribuição e configuração do software cliente VPN. Além disso, manter servidores associados ao domínio na DMZ, que podem ser vulneráveis a ataques externos.

No mundo atual que prioriza a nuvem, o Microsoft Entra ID é mais adequado para controlar quem e o que entra na sua rede. O proxy de aplicativo Microsoft Entra integra-se com autenticação moderna e tecnologias baseadas em nuvem, como aplicativos SaaS e provedores de identidade. Essa integração permite que os usuários acessem aplicativos de qualquer lugar. O proxy de aplicativos não só é mais adequado para o local de trabalho digital de hoje, como também é mais seguro do que VPN e soluções de proxy reverso e mais fácil de implementar. Os utilizadores remotos podem aceder às suas aplicações no local da mesma forma que acedem à Microsoft e a outras aplicações SaaS integradas com o Microsoft Entra ID. Você não precisa alterar ou atualizar seus aplicativos para trabalhar com o proxy de aplicativo. Além disso, o proxy de aplicativo não exige que você abra conexões de entrada através do firewall. Com o proxy do aplicativo, basta configurá-lo e esquecê-lo.

O futuro do acesso remoto

No local de trabalho digital de hoje, os usuários acessam aplicativos e trabalham de qualquer lugar usando vários dispositivos. O fator constante é a identidade do usuário. Comece a proteger sua rede usando o gerenciamento de identidades do Microsoft Entra como seu plano de controle de segurança. Este modelo baseado em identidade inclui estes componentes:

  • Um provedor de identidade para manter o controle de usuários e informações relacionadas ao usuário.
  • Diretório de dispositivos para manter uma lista de dispositivos que têm acesso a recursos corporativos. Este diretório inclui informações correspondentes do dispositivo (por exemplo, tipo de dispositivo, integridade e assim por diante).
  • O serviço de avaliação de políticas verifica se os utilizadores e dispositivos cumprem as políticas de segurança definidas pelos administradores.
  • A capacidade de conceder ou negar acesso a recursos organizacionais. O Microsoft Entra ID rastreia os usuários que acessam aplicativos Web publicados no local e na nuvem. Ele fornece um ponto central para gerenciar esses aplicativos. Para aumentar a segurança, habilite o Acesso Condicional do Microsoft Entra. Esse recurso garante que apenas as pessoas certas acessem seus aplicativos, definindo condições para autenticação e acesso.

Nota

O proxy de aplicativo Microsoft Entra substitui VPNs ou proxies reversos para usuários remotos que acessam recursos internos. Ele não foi projetado para usuários internos na rede corporativa. Quando os usuários internos usam o proxy de aplicativo desnecessariamente, isso pode causar problemas de desempenho inesperados.

Microsoft Entra ID e todas as suas aplicações

Visão geral de como o proxy de aplicativo funciona

O diagrama mostra como o Microsoft Entra ID e o proxy de aplicativo trabalham juntos para fornecer logon único para aplicativos locais.

Diagrama do proxy de aplicativo Microsoft Entra.

  1. Um utilizador é direcionado para a página de início de sessão do Microsoft Entra depois de aceder à aplicação por meio de um endpoint.
  2. O Microsoft Entra ID envia um token para o dispositivo cliente do usuário após uma entrada bem-sucedida.
  3. O cliente envia o token para o serviço de proxy de aplicativo. O serviço recupera o nome principal do utilizador (UPN) e o nome da entidade de segurança (SPN) do token. Em seguida, o proxy do aplicativo envia a solicitação para o conector.
  4. O conector executa a autenticação de logon único (SSO) necessária em nome do utilizador.
  5. O conector envia a solicitação para o aplicativo local.
  6. A resposta é enviada através do conector e do serviço de proxy de aplicativo para o usuário.

Nota

Como a maioria dos agentes híbridos do Microsoft Entra, o conector de rede privada não exige que você abra conexões de entrada através do firewall. O tráfego de usuário na etapa 3 termina no serviço de proxy de aplicativo. O conector de rede privada, que reside na sua rede privada, é responsável pelo resto da comunicação.

Componente Descrição
Ponto Final O ponto de extremidade é uma URL ou um portal do usuário final. Os usuários podem acessar aplicativos enquanto estão fora da sua rede acessando uma URL externa. Os utilizadores da sua rede podem aceder à aplicação através de um URL ou de um portal de utilizador final. Quando os utilizadores vão para um desses pontos finais, autenticam-se no Microsoft Entra ID e são então encaminhados pelo conector para a aplicação local.
Microsoft Entra ID O Microsoft Entra ID executa a autenticação usando o diretório de locatário armazenado na nuvem.
Serviço de proxy de aplicativo Este serviço de proxy de aplicativo é executado na nuvem como parte do Microsoft Entra ID. Ele passa o token de logon do usuário para o conector de rede privada. O proxy do aplicativo encaminha todos os cabeçalhos acessíveis na solicitação e define os cabeçalhos de acordo com seu protocolo para o endereço IP do cliente. Se a solicitação de entrada para o proxy já tiver esse cabeçalho, o endereço IP do cliente será adicionado ao final da lista separada por vírgulas que é o valor do cabeçalho.
Conector de rede privada O conector é um agente leve que é executado num servidor Windows dentro da sua rede. O conector gerencia a comunicação entre o serviço de proxy de aplicativo na nuvem e o aplicativo local. O conector usa apenas conexões de saída, portanto, você não precisa abrir portas de entrada em redes voltadas para a Internet. Os conectores são sem estado e obtêm informações da nuvem conforme necessário. Para obter mais informações sobre conectores, como balanceamento de carga e autenticação, consulte Compreender os conectores de rede privada do Microsoft Entra.
Ative Directory (AD) O Ative Directory é executado no local para executar a autenticação de contas de domínio. Quando o logon único é configurado, o conector se comunica com o AD para executar qualquer autenticação extra necessária.
Aplicação no local Finalmente, o usuário é capaz de acessar um aplicativo local.

O proxy de aplicativo é um serviço do Microsoft Entra que você configura no centro de administração do Microsoft Entra. Permite-lhe publicar um endpoint de URL HTTP/HTTPS público externo na Nuvem do Azure, que se conecta a uma URL do servidor de aplicações interno na sua organização. Esses aplicativos Web locais podem ser integrados ao Microsoft Entra ID para oferecer suporte ao logon único. Os usuários podem acessar aplicativos Web locais da mesma forma que acessam o Microsoft 365 e outros aplicativos SaaS.

O serviço de proxy de aplicativo é executado na nuvem, o conector de rede privada opera como um agente leve em um servidor local e o Microsoft Entra ID atua como o provedor de identidade. Juntos, esses componentes permitem que os usuários acessem aplicativos Web locais com uma experiência de logon único perfeita.

Depois que um usuário se autentica, os usuários externos podem acessar aplicativos Web locais usando uma URL de exibição ou Meus Aplicativos de sua área de trabalho ou dispositivos iOS/MAC. Por exemplo, o proxy de aplicativo pode fornecer acesso remoto e logon único para Área de Trabalho Remota, sites do SharePoint, Tableau, Qlik, Outlook na Web e aplicativos de linha de negócios (LOB).

Arquitetura de proxy de aplicativo Microsoft Entra

Autenticação

Há várias maneiras de configurar um aplicativo para logon único, e o método selecionado depende da autenticação usada pelo aplicativo. O proxy de aplicativo suporta os seguintes tipos de aplicativos:

  • Aplicações Web
  • APIs da Web que você deseja expor a aplicativos avançados em dispositivos diferentes
  • Aplicativos hospedados atrás de um gateway de área de trabalho remota
  • Aplicações cliente ricas integradas com a Microsoft Authentication Library (MSAL)

O proxy de aplicativo funciona com aplicativos que usam o seguinte protocolo de autenticação nativo:

  • Autenticação integrada do Windows (IWA). Para a Autenticação Integrada do Windows (IWA), os conectores de rede privada usam a Delegação Restrita de Kerberos (KCD) para autenticar usuários no aplicativo Kerberos.

O proxy de aplicativo também oferece suporte a protocolos de autenticação com parceiros que não são da Microsoft em cenários de configuração específicos:

  • Autenticação baseada em cabeçalho. Esse método usa o PingAccess, um serviço de parceiro que não é da Microsoft, para manipular a autenticação de aplicativos que dependem de cabeçalhos.
  • Autenticação baseada em formulários ou senha. Com esse método de autenticação, os usuários fazem logon no aplicativo com um nome de usuário e senha na primeira vez que o acessam. Após o primeiro início de sessão, o Microsoft Entra ID fornece o nome de utilizador e a palavra-passe à aplicação. Nesse cenário, o Microsoft Entra ID manipula a autenticação.
  • Autenticação SAML. O logon único baseado em SAML é suportado para aplicativos que usam protocolos SAML (Security Assertion Markup Language) 2.0 ou WS-Federation. Com a autenticação única do SAML, a Microsoft Entra autentica-se na aplicação usando a conta do utilizador.

Para obter mais informações sobre métodos suportados, consulte Escolhendo um método de logon único.

Benefícios de segurança

A solução de acesso remoto oferecida pelo proxy de aplicativo e pelo Microsoft Entra oferece suporte a vários benefícios de segurança que os clientes podem aproveitar, incluindo:

  • Acesso autenticado. O proxy de aplicativo usa a pré-autenticação para garantir que apenas as conexões autenticadas cheguem à sua rede. Ele bloqueia todo o tráfego sem um token válido para aplicativos configurados com pré-autenticação. Essa abordagem reduz significativamente os ataques direcionados, permitindo que apenas identidades verificadas acessem aplicativos de back-end.

  • Acesso condicional. Controles de política mais avançados podem ser aplicados antes que as conexões com sua rede sejam estabelecidas. Com o Acesso Condicional, você pode definir restrições sobre o tráfego que você permite que atinja seu aplicativo de back-end. Você cria políticas que restringem as entradas com base na localização, na força da autenticação e no perfil de risco do usuário. À medida que o Acesso Condicional evolui, mais controles estão sendo adicionados para fornecer mais segurança, como a integração com o Microsoft Defender for Cloud Apps. A integração do Defender for Cloud Apps permite configurar um aplicativo local para monitoramento em tempo real usando o Acesso Condicional para monitorar e controlar sessões em tempo real com base em políticas de Acesso Condicional.

  • Terminação de tráfego. Todo o tráfego para o aplicativo de back-end é encerrado no serviço de proxy de aplicativo na nuvem enquanto a sessão é restabelecida com o servidor de back-end. Essa estratégia de conexão significa que seus servidores back-end não estão expostos ao tráfego HTTP direto. Eles estão mais bem protegidos contra ataques DoS (negação de serviço) direcionados porque seu firewall não está sob ataque.

  • Todo o acesso é de saída. Os conectores de rede privada usam apenas conexões de saída para o serviço de proxy de aplicativo na nuvem pelas portas 80 e 443. Sem conexões de entrada, não é necessário abrir portas de firewall para conexões de entrada ou componentes na DMZ. Todas as conexões são de saída e através de um canal seguro.

  • Análises de Segurança e inteligência baseada em aprendizagem automática (ML). Como faz parte do Microsoft Entra ID, o proxy de aplicativo pode usar o Microsoft Entra ID Protection (requer licenciamento Premium P2). O Microsoft Entra ID Protection combina inteligência de segurança de aprendizado de máquina com feeds de dados da Unidade de Crimes Digitais da Microsoft e do Centro de Resposta de Segurança da Microsoft para identificar proativamente contas comprometidas. O Microsoft Entra ID Protection oferece proteção em tempo real contra entradas de alto risco. Ele leva em consideração fatores como acessos de dispositivos infetados, através de redes de anonimização, ou de locais atípicos e improváveis para aumentar o perfil de risco de uma sessão. Este perfil de risco é utilizado para proteção em tempo real. Muitos desses relatórios e eventos já estão disponíveis por meio de uma API para integração com seus sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM).

  • Acesso remoto como um serviço. Você não precisa se preocupar com a manutenção e aplicação de patches em servidores locais para habilitar o acesso remoto. O proxy de aplicativo é um serviço de escala da Internet que a Microsoft possui, para que você sempre obtenha os patches e atualizações de segurança mais recentes. O software sem patches ainda é responsável por um grande número de ataques. De acordo com o Departamento de Segurança Interna, até 85% dos ataques direcionados são evitáveis. Com esse modelo de serviço, você não precisa mais carregar o pesado fardo de gerenciar seus servidores de borda e se esforçar para corrigi-los conforme necessário.

  • Integração com o Intune. Com o Intune, o tráfego corporativo é roteado separadamente do tráfego pessoal. O proxy de aplicativo garante que o tráfego corporativo seja autenticado. O proxy de aplicativo e o recurso Intune Managed Browser também podem ser usados juntos para permitir que usuários remotos acessem sites internos com segurança a partir de dispositivos iOS e Android.

Roteiro para a nuvem

Outro grande benefício da implementação do proxy de aplicativo é estender o Microsoft Entra ID para seu ambiente local. Na verdade, implementar o proxy de aplicativo é uma etapa fundamental para mover sua organização e aplicativos para a nuvem. Ao migrar para a nuvem e se afastar da autenticação local, você reduz sua pegada local e usa os recursos de gerenciamento de identidade do Microsoft Entra como seu plano de controle. Com poucas ou nenhuma atualização para aplicativos existentes, você tem acesso a recursos de nuvem, como logon único, autenticação multifator e gerenciamento central. Instalar os componentes necessários no proxy do aplicativo é um processo simples para estabelecer uma estrutura de acesso remoto. E ao migrar para a nuvem, você tem acesso aos recursos, atualizações e funcionalidades mais recentes do Microsoft Entra, como alta disponibilidade e recuperação de desastres.

Para saber mais sobre como migrar seus aplicativos para o Microsoft Entra ID, consulte Migrando seus aplicativos para o Microsoft Entra ID.

Arquitetura

O diagrama ilustra em geral como os serviços de autenticação do Microsoft Entra e o proxy de aplicativo trabalham juntos para fornecer logon único para aplicativos locais aos usuários.

Fluxo de autenticação de proxy de aplicativo Microsoft Entra

  1. O utilizador acede à aplicação através de um endpoint e é redirecionado para a página de entrada do Microsoft Entra. As políticas de Acesso Condicional verificam condições específicas para garantir a conformidade com os requisitos de segurança da sua organização.
  2. O Microsoft Entra ID envia um token para o dispositivo cliente do usuário.
  3. O cliente envia o token para o serviço de proxy de aplicativo, que extrai o nome principal do usuário (UPN) e o nome principal de segurança (SPN) do token.
  4. O proxy do aplicativo encaminha a solicitação para o conector de rede privada.
  5. O conector lida com qualquer outra autenticação necessária (opcional com base no método de autenticação), recupera o ponto de extremidade interno do servidor de aplicativos e envia a solicitação para o aplicativo local.
  6. O servidor de aplicativos responde e o conector envia a resposta de volta para o serviço de proxy de aplicativo.
  7. O serviço de proxy de aplicativo fornece a resposta ao usuário.

O proxy de aplicativo Microsoft Entra consiste no serviço de proxy de aplicativo baseado em nuvem e em um conector local. O conector escuta solicitações do serviço de proxy de aplicação e estabelece ligações com as aplicações internas. É importante observar que todas as comunicações ocorrem por TLS (Transport Layer Security) e sempre se originam no conector do serviço de proxy do aplicativo. Ou seja, as comunicações são apenas de saída. O conector usa um certificado de cliente para autenticar no serviço de proxy de aplicativo para todas as chamadas. A única exceção à segurança da conexão é a etapa de configuração inicial onde o certificado do cliente é estabelecido. Para obter mais informações, consulte Proxy de aplicação por trás dos bastidores.

Conector de rede privada Microsoft Entra

O proxy de aplicativo usa o conector de rede privada Microsoft Entra. O mesmo conector é usado pelo Microsoft Entra Private Access. Para saber mais sobre conectores, consulte Conector de rede privada Microsoft Entra.

Outros casos de uso

Até agora, nos concentramos em usar o proxy de aplicativo para publicar aplicativos locais externamente e habilitar o logon único para todos os aplicativos locais e na nuvem. No entanto, o proxy de aplicativo também oferece suporte a outros casos de uso, incluindo:

  • Publique APIs REST com segurança. Use o proxy de aplicativo para criar um ponto de extremidade público para suas APIs locais ou hospedadas na nuvem. Controle a autenticação e a autorização sem abrir portas de entrada. Saiba mais em Habilitar aplicativos cliente nativos para interagir com aplicativos proxy e Proteger uma API usando OAuth 2.0 com ID e Gerenciamento de API do Microsoft Entra.
  • Serviços de Área de Trabalho Remota(RDS). As implantações padrão de Serviços de Área de Trabalho Remota (RDS) exigem conexões de entrada abertas. No entanto, a implementação do RDS com proxy de aplicação tem uma ligação permanente de saída do servidor que executa o serviço de ligação. Dessa forma, você pode oferecer mais aplicativos aos usuários publicando aplicativos locais por meio dos Serviços de Área de Trabalho Remota. Você também pode reduzir a superfície de ataque da implantação com um conjunto limitado de verificação em duas etapas e controles de Acesso Condicional ao RDS.
  • Publique aplicativos que se conectam usando WebSockets. O suporte com o Qlik Sense está em visualização pública e será expandido para outros aplicativos no futuro.
  • Permita que aplicativos cliente nativos interajam com aplicativos proxy. Você pode usar o proxy de aplicativo Microsoft Entra para publicar aplicativos Web, mas também pode ser usado para publicar aplicativos cliente nativos configurados com a Biblioteca de Autenticação da Microsoft (MSAL). Os aplicativos cliente diferem dos aplicativos Web porque são instalados em um dispositivo, enquanto os aplicativos Web são acessados por meio de um navegador.

Conclusão

As organizações adaptam-se às rápidas mudanças no trabalho e nas ferramentas. Os funcionários usam seus próprios dispositivos e dependem de aplicativos de Software como Serviço (SaaS). Como resultado, gerenciar e proteger dados torna-se mais complexo. Os dados agora se movem em ambientes locais e em nuvem, muito além das fronteiras tradicionais. Essa mudança aumenta a produtividade e a colaboração, mas também dificulta a proteção de dados confidenciais.

O proxy de aplicativo Microsoft Entra reduz sua pegada local oferecendo acesso remoto como um serviço. Se você já usa o Microsoft Entra ID para gerenciar usuários em uma configuração híbrida ou planeja iniciar sua jornada na nuvem, o proxy de aplicativo simplifica o acesso remoto e aumenta a segurança.

As organizações devem começar a aproveitar o proxy de aplicativo hoje mesmo para aproveitar os seguintes benefícios:

  • Publique aplicativos locais externamente sem a sobrecarga associada à manutenção de VPN tradicional ou outras soluções de publicação na Web locais e abordagem DMZ
  • Logon único para todos os aplicativos, sejam eles Microsoft 365 ou outros aplicativos SaaS e incluindo aplicativos locais
  • Segurança em escala de nuvem onde o Microsoft Entra usa o Microsoft 365 para impedir o acesso não autorizado
  • Integração do Intune para garantir que o tráfego corporativo seja autenticado
  • Centralização da gestão de contas de utilizador
  • Atualizações automáticas para garantir que você tenha os patches de segurança mais recentes
  • Novos recursos à medida que são lançados; sendo o mais recente o suporte para logon único SAML e gerenciamento mais granular de cookies de aplicativos

Próximos passos

  • Last updated on