Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra Application Proxy в Microsoft Entra ID P1 для образовательных учреждений обеспечивает безопасный удаленный доступ к локальным веб-приложениям без использования VPN. Это полезно для образовательных учреждений, которые поддерживают устаревшие системы (например, информационные системы учащихся или внутренние порталы) за брандмауэрами, но хотят сделать их доступными для студентов, преподавателей или сотрудников из любого места.
Application Proxy — это функция Microsoft Entra ID P1, которая позволяет:
- Безопасная публикация локальных веб-приложений для внешних пользователей.
- Используйте Microsoft Entra ID для предварительной проверки подлинности и единого входа.
- Избегайте предоставления внутренних сетей напрямую Интернету.
Как это работает в образовании:
- Установка соединителя: Упрощенный соединитель устанавливается на Windows Server внутри сети учебного заведения. Этот соединитель безопасно ретранслирует трафик между Microsoft Entra и внутренним приложением.
- Публикация приложений: Администраторы публикуют внутреннее приложение через Центр администрирования Microsoft Entra, указывая внутренние и внешние URL-адреса, параметры проверки подлинности и политики доступа.
- Доступ пользователей: Учащиеся или сотрудники входят, используя свои Microsoft Entra учетные данные. В зависимости от политик условного доступа им предоставляется или запрещается доступ. Единый вход можно настроить для простого входа.
- Принудительное применение безопасности: Политики условного доступа на основе рисков, MFA и соответствия устройств могут быть наложены на слои для защиты конфиденциальных образовательных данных.
Основные преимущества для образования:
- Удаленный доступ к устаревшим системам. Обеспечивает безопасный доступ к таким приложениям, как SIS, порталы отдела кадров или исследовательские базы данных без VPN.
- Упрощенное ит-управление. Снижается потребность в сложных правилах брандмауэра или сторонних средствах удаленного доступа.
- Расширенная безопасность. Интегрируется с Microsoft Entra условным доступом, защитой идентификации и ведением журнала для аудита и соответствия требованиям.
- Экономичность: входит в состав Microsoft Entra ID P1, который является частью Microsoft 365 A5 для образования.
Рекомендации и ограничения:
- Предварительная проверка подлинности предназначена для интерактивных сеансов пользователей. Для сценариев между службами (например, ботов или API) маркеры носителя JWT могут не поддерживаться, если не выполнены определенные конфигурации.
- Поддержка HTTP/2 ограничена; некоторые клиенты сообщают о резерве в HTTP/1.1.
- Автоматизация развертывания соединителя и регистрации приложений (например, с помощью Terraform) возможна, но может потребовать обходных решений из-за текущих ограничений в поддержке субъекта-службы.
Список компонентов:
- Безопасный удаленный доступ. Позволяет пользователям получать доступ к локальным веб-приложениям из любого места без необходимости использования VPN.
- Единый вход(SSO): интегрируется с Microsoft Entra ID, чтобы обеспечить простой единый вход для пользователей, обращаюющихся к локальным приложениям.
- Предварительная проверка подлинности. Гарантирует, что пользователи проходят проверку подлинности с помощью Microsoft Entra ID, прежде чем они смогут получить доступ к локальному приложению, повышая безопасность.
- Условный доступ. Поддерживает политики условного доступа, позволяя администраторам применять требования к безопасности, такие как многофакторная проверка подлинности и соответствие устройств.
- Простая интеграция. Работает с различными локальными приложениями, включая те, которые используют встроенную проверку подлинности Windows (IWA) и проверку подлинности на основе заголовков.
- Масштабируемость. Можно развернуть с помощью существующей инфраструктуры и масштабируемых модулей для поддержки большого количества пользователей и приложений.
- Мониторинг и создание отчетов. Предоставляет подробные журналы и отчеты о доступе пользователей и использовании приложений, помогая администраторам отслеживать доступ и управлять ими.
Подробнее: