Bij een van onze klanten stond de vraag centraal: hoe kunnen we Exchange On-Premises benaderen met de extra beveiligingslaag van Multi Factor Authentication (MFA)? Het antwoord op deze vraag bleek te liggen in het gebruik van Azure AD Application Proxy. Via deze krachtige technologie kunnen applicaties die intern gehost zijn, toegang worden verleend via de Azure AD. Daarnaast is de toegang van de interne applicaties ook beveiligd met de security en policy vanuit de Azure AD.
In deze blog nemen we je mee in de wereld van Azure AD Application Proxy en laten we je zien hoe deze oplossing een veilige en efficiënte toegang biedt tot Exchange On-Premises.
Laten we beginnen met het verkennen van de mogelijkheden van Azure AD Application Proxy en hoe het jouw organisatie kan helpen bij het bereiken van een hoger niveau van beveiliging en toegankelijkheid. In de onderstaande afbeelding is de flow te zien van de Azure AD Application Proxy.
In de afbeelding zie je dat de gebruiker aan de linkerzijde zich authenticeert via de Azure AD (flow 1 en 2) en dat vervolgens de authenticatie loopt van de Applicatie Proxy Service naar de Applicatie Proxy Conncector/Server die intern wordt gehost (flow nummer 3). De Application Proxy Connector Server communiceert met de AD On-Premises server (flow nummer 4) om de authenticatie van de gebruiker te identificeren en de Application Proxy connector verwijst de gebruiker uiteindelijk door naar de Exchange On-Premises web server (flow nummer 5).
Benodigdheden voor succesvolle implementatie van Azure AD Application Proxy
Voor de implementatie van de Azure App Proxy zijn de volgende componenten vereist:
1) Een Azure AD P1 of P2 licentie
https://docs.microsoft.com
2) Azure on-boarding
De gebruikers dienen op de Azure AD-omgeving gesynchroniseerd zijn om te kunnen authenticeren via de Azure AD Proxy App.
3) Een Azure Application Proxy server zal moeten worden opgeleverd. Deze proxy server moet aan de volgende voorwaarden voldoen:
3.1) Server moet op Windows Server 2012 R2 of hoger draaien.
3.2) Aanwezigheid van TLS 1.2 (https://www.accuenergy.com/support/reference-directory/tls-transport-layer-security-protocol/)
3.3) Om gebruik te kunnen maken van Single Sign-on moet de server gekoppeld zijn aan het domein.
3.4) De poorten TCP 443 en 80 moeten beschikbaar zijn.
5) Tenslotte heb je admin rechten op de bovengenoemde omgevingen nodig om de configuraties te kunnen uitvoeren.
Werkzaamheden per component
1) Azure portal: Via de Azure AD voeg je een On-Premises applicatie toe. In dit geval gaat het om de Exchange On-Premises web App. Hieronder zie je een voorbeeld hiervan.
De internet URL is de URL die alleen binnen de organisatie benaderbaar is. De externe URL is vanaf buiten benaderbaar. Gebruikers moeten dan via deze externe URL authentiseren en worden na de authenticatie via de AD Proxy App server doorgelinkt naar de interne URL van de web applicatie (Exchange On-Premises)
Daarnaast als de gebruiker inlogt op het M365 platform krijgt hij/zij de aangemaakte On-premises applicatie te zien:
2) Azure AD Application Proxy server: Op deze server wordt de Azure APP Proxy Connector geïnstalleerd, zodat er een communicatie tussen de Azure App Proxy, Domain Controller en Exchange On-Premises kan worden gerealiseerd.
3) Domain Controller: Op deze server dient de authenticatie voor de Application Proxy worden geconfigureerd, zodat de geauthentiseerde gebruiker door de Exchange On-Premises wordt herkend.
4) Exchange server: Standaard staat op Exchange Forms authenticatie aan. Op deze server moet Windows Authenticatie worden geconfigureerd, zodat via de Proxy Applicatie Single Sign-on kan worden toegepast op de Exchange server.
Efficiënte toegang tot interne webapplicaties zonder VPN
We hebben via deze blog Exchange On-Premises als voorbeeld genomen met een Azure AD App Proxy toepassing. Natuurlijk geldt dit ook voor andere webapplicaties die alleen binnen de organisatie mogen worden gebruikt. Deze oplossing zorgt er uiteindelijk voor dat je geen VPN verbinding meer nodig hebt naar een virtuele werkplekomgeving om bepaalde interne webapplicaties te kunnen benaderen. Om daarmee kosten te besparen is deze oplossing zeker het overwegen waard.
Benieuwd naar de nieuwe ontwikkelingen en updates rondom beveiligde toegang? Klik dan op de onderstaande knop.
Meer weten over Azure AD Application Proxy?
Wil je meer weten over Azure AD Application Proxy of heb je een andere vraag? Neem contact op met XTRM development door het formulier onderaan de pagina in te vullen en wij helpen je graag verder.
Natuurlijk kun je ook op de hoogte blijven van alle nieuws en ontwikkelingen door je in te schrijven op onze nieuwsbrief of te volgen op LinkedIn!
Anderen bekeken ook:
Nieuwe updates van Microsoft Teams uit Microsoft Build
Tijdens het Microsoft Build event zijn er weer een hoop interessante ontwikkelingen aangekondigd. Microsoft Build is een jaarlijks ontwikkelaarsevent waar Microsoft de nieuwste ontwikkelingen en updates presenteert. In deze blog zullen we een aantal ontwikkelingen en...
Ontdek de mogelijkheden van Microsoft Fabric
Microsoft Fabric is een geïntegreerd analyseplatform die de manier waarop organisaties gegevens fundamenteel veranderd. Met Fabric kunnen organisaties eenvoudig hun gegevens beheren in een zogenaamde ‘SaaS Datalake’. Via deze technologie kunnen organisaties alle...
Hoe Azure data services helpt bij implementeren van AI-modellen
Met de komst van Artifical intelligence gaan we een nieuwe era van technologie tegemoet. Hierin zal AI een fundamentele rol gaat spelen in hoe bedrijven hun data kunnen managen, analyseren en toepassen. Steeds meer GPT (generative pre-trained transformators)...