← Tillbaka till bloggen How-to

Juli 2025

Säker fjärråtkomst med Azure AD Application Proxy

Microsoft Entra Application Proxy, ofta fortfarande benämnd Azure AD Application Proxy, publicerar interna webbappar och Remote Desktop via en molntjänst utan att öppna inkommande brandväggsluckor mot ert datacenter. Användare når resurser via Entra ID autentisering och samma Conditional Access som övriga molnappar, vilket minskar beroendet av traditionell VPN för många scenarier.

Installation av anslutningsappar

Distribuera minst två anslutningsagenter på Windows servrar internt för redundans. Agenterna upprätthåller utgående anslutning till Azure och behöver inte inkommande portar från internet. Placera dem nära målapplikationen för låg latens och följ hårdningsråd från Microsoft. Efter registrering syns anslutningsgruppen i admin portalen.

Publicera applikationer

Skapa en enterprise app av typen Application Proxy, ange intern URL och extern URL som användare ska skriva. Tilldela anslutningsgrupp och testa med en pilotgrupp. För Remote Desktop Gateway scenarier finns särskild konfiguration med samma säkerhetsprincip: identitet verifieras i molnet innan trafik når nätet.

Conditional Access och enkel inloggning

Koppla appen till policyer som kräver MFA, hanterad enhet eller betrodd plats. För enkel inloggning till backend med Kerberos begränsad delegering eller SAML måste attribut och servicekonton vara korrekt konfigurerade. Testa både webbläsare och mobilklient om appen används på fält.

Felsökning

Om användare får fel, granska anslutningsagent loggar och Entra inloggningsloggar. Vanliga orsaker är fel internt DNS namn, utgående brandvägg som blockerar Microsoft slutpunkter eller Kerberos SPN som inte matchar. Verifiera att tidssynk på anslutningsservrar är korrekt eftersom token validering är känslig för klockdrift.

Application Proxy ersätter inte all VPN funktionalitet men är ofta rätt val för webbaserade affärssystem där ni vill ha central identitet och tydlig åtkomstlogg.

Säkerhet och hårdning

Håll anslutningsagent servrar patchade och begränsa vilka administratörer som kan logga in lokalt. Använd dedikerade tjänstekonton med stark autentisering för Kerberos delegering. Granska regelbundet vilka appar som publiceras externt och stäng de som inte längre behövs. Överväg WAF framför känsliga webbappar om attackytan är stor trots proxyskyddet.

Vill ni publicera appar säkert?

Vi designar proxy, SSO och policyer som passar er hybridmiljö.

Kontakta Nordvide