Microsoft Entra Application Proxy: Sicherer Remote-Zugriff auf lokale Anwendungen für Berliner Unternehmen
Microsoft Entra Application Proxy: Sicherer Remote-Zugriff auf lokale Anwendungen für Berliner Unternehmen
Viele kleine Berliner Unternehmen betreiben noch On-Premises-Anwendungen — interne Webportale, HR-Systeme, Legacy-ERP oder interne Dokumentenverwaltungen — die für Remote-Mitarbeiter zugänglich sein müssen. Microsoft Entra Application Proxy löst dieses Problem ohne VPN: Nutzer greifen über eine verschlüsselte HTTPS-Verbindung auf interne Apps zu, während das Netzwerk geschlossen bleibt. Dieser Leitfaden erklärt Architektur, Konfiguration und Sicherheitsanforderungen.
Architektur: Wie Application Proxy funktioniert
Das Grundprinzip von Entra Application Proxy basiert auf ausgehenden Verbindungen statt eingehenden Firewall-Öffnungen:
- Ein leichtgewichtiger Application Proxy Connector wird auf einem Windows Server im internen Netzwerk installiert
- Der Connector baut eine ausgehende HTTPS-Verbindung zum Microsoft-Cloud-Dienst auf (Port 443, kein eingehender Traffic nötig)
- Benutzer navigieren zu einer externen URL (z.B.
https://intranet.meinunternehmen.com), die auf den Entra Application Proxy-Dienst zeigt - Entra ID authentifiziert den Benutzer und prüft Conditional-Access-Richtlinien
- Bei Berechtigung wird der Datenverkehr über den Connector an die interne Anwendung weitergeleitet
Das Ergebnis: Die interne Anwendung ist niemals direkt aus dem Internet erreichbar. Kein VPN, keine öffentliche IP für interne Server, keine Firewall-Regeln für eingehenden Traffic.
Voraussetzungen
Application Proxy erfordert:
- Lizenz: Microsoft Entra ID P1 oder höher (in Microsoft 365 Business Premium enthalten)
- Connector-Server: Windows Server 2016 oder neuer, domainbeitritt empfohlen aber nicht zwingend, ausgehender Internetzugriff auf Port 443
- Anwendung: Muss HTTP/HTTPS-basiert sein; funktioniert nicht für reine TCP/UDP-Anwendungen
- Globaler Administrator oder Application Administrator-Rolle in Entra ID für die Konfiguration
Installation und Konfiguration
Schritt 1: Application Proxy Connector installieren
- Im Entra-Admin-Center navigieren zu Applications → Enterprise applications → Application proxy
- Download connector service herunterladen und auf dem Connector-Server ausführen
- Während der Installation mit einem Entra-ID-Administratorkonto authentifizieren
- Nach erfolgreicher Installation erscheint der Connector im Portal unter Connectors mit Status “Active”
Schritt 2: Anwendung hinzufügen
- New application → On-premises application wählen
- Internal URL: Die interne Adresse der Anwendung (z.B.
http://intranet.local) - External URL: Die Unterdomäne, über die externe Nutzer zugreifen (z.B.
https://intranet-msappproxy.netoder eigene Domäne) - Pre-authentication: Azure Active Directory (empfohlen) oder Passthrough
Passthrough-Modus leitet Anfragen direkt weiter, ohne Entra-ID-Authentifizierung. Das sollte nur für Anwendungen verwendet werden, die eine eigene Authentifizierung implementieren. Für die meisten Szenarien gewährt nur der AAD-Modus den vollständigen Schutz durch Conditional Access und MFA.
Schritt 3: Benutzer zuweisen
Die Anwendung in Entra ID muss Benutzern oder Gruppen zugewiesen werden. Nur zugewiesene Benutzer können nach erfolgreicher Authentifizierung auf die Anwendung zugreifen.
Schritt 4: Conditional-Access-Richtlinie konfigurieren
Eine dedizierte Conditional-Access-Richtlinie für die Application-Proxy-App erzwingt MFA für alle Zugriffe von außerhalb des Unternehmensnetzwerks. Das ist die empfohlene Mindestkonfiguration.
Single Sign-On (SSO) Optionen
Application Proxy unterstützt mehrere SSO-Mechanismen für die Weiterleitung an die interne Anwendung:
- Kerberos Constrained Delegation (KCD): Für Windows-Integrated-Authentication-Apps (IIS, SharePoint On-Premises, interne Webportale). Ermöglicht nahtloses SSO ohne Passwort-Eingabe an der App.
- Password-based SSO: Application Proxy speichert Anmeldedaten und füllt das Login-Formular automatisch aus. Für Legacy-Apps ohne SAML/OIDC-Unterstützung.
- Header-based SSO: Für Anwendungen, die Benutzeridentität über HTTP-Header empfangen.
- SAML SSO: Für Anwendungen, die SAML 2.0 unterstützen.
Connector-Gruppen für Multi-Site-Deployments
Wenn ein Unternehmen mehrere Standorte betreibt, können Connector-Gruppen konfiguriert werden: Connector A am Berliner Hauptsitz, Connector B im Hamburger Büro. Anwendungen werden dann der entsprechenden Connector-Gruppe zugewiesen — der Datenverkehr für die Hamburger App wird über den Hamburger Connector geleitet, was Latenz reduziert.
Für Hochverfügbarkeit empfiehlt sich mindestens 2 Connectors pro Gruppe. Application Proxy verteilt Lasten automatisch und erkennt Connector-Ausfälle.
Sicherheitsaspekte
Application Proxy eliminiert mehrere typische Angriffsoberflächen:
- Keine VPN-Zugangsdaten: VPN-Konten sind ein häufiges Ziel von Credential-Stuffing-Angriffen
- Kein DirectAccess oder SSTP: Beide erfordern komplexe PKI-Konfiguration und haben eine größere Angriffsoberfläche
- Pre-authentication vor Appzugriff: Die Anwendung sieht nur Anfragen authentifizierter, MFA-verifizierter Benutzer
- Conditional Access greift: Gerätekonformität, Standort, Risikobewertung können Zugriff einschränken
Grenzen und Alternativen
Application Proxy eignet sich nicht für alle Szenarien:
- Reine TCP/UDP-Protokolle (RDP, SSH direkt) werden nicht unterstützt — hier ist Azure Bastion oder Global Secure Access (Private Access) die Alternative
- Anwendungen mit Client-Side-Zertifikat-Anforderungen erfordern zusätzliche Konfiguration
- Sehr hohe Bandbreitennutzung (z.B. Video-Streaming über interne Apps) kann die Connector-Kapazität belasten
Für umfassendere Zero-Trust-Netzwerkzugriffs-Szenarien — einschließlich nicht-HTTP-Protokollen — bietet Microsoft Entra Private Access (Teil von Global Secure Access) eine erweiterte Lösung auf Basis des ZTNA-Modells.
Kosten
Application Proxy ist in Microsoft Entra ID P1 enthalten, das wiederum Bestandteil von Microsoft 365 Business Premium ist. Für kleine Unternehmen, die bereits Business Premium nutzen, entstehen keine zusätzlichen Lizenzkosten — lediglich der Windows-Server für den Connector muss bereitgestellt werden.
Fazit: VPN-freier Zugriff mit Enterprise-Sicherheitsniveau
Microsoft Entra Application Proxy ist für kleine Berliner Unternehmen mit On-Premises-Anwendungen eine kostengünstige, sicherheitsstarke Alternative zu VPN. Die Kombination aus ausgehender Verbindungsarchitektur, Entra-ID-Pre-Authentication und Conditional-Access-Integration liefert ein Sicherheitsniveau, das klassische VPN-Lösungen nicht erreichen — bei deutlich geringerem operativem Aufwand.
Weiterführende Artikel
- Azure Conditional Access: Conditional-Access-Richtlinien für Application-Proxy-Apps erzwingen MFA und Gerätekonformität vor dem Zugriff auf interne Anwendungen — der Application Proxy leitet nur Anfragen weiter, die Conditional Access genehmigt hat
- Microsoft Entra MFA: MFA ist die wichtigste Sicherheitsmaßnahme für Application-Proxy-Anwendungen — ohne MFA genügen gestohlene Anmeldedaten, um über Application Proxy auf interne Systeme zuzugreifen
- Microsoft Entra PIM: Für administrative Anwendungen, die über Application Proxy erreichbar sind, kann PIM Just-in-Time-Zuweisung erfordern — privilegierter Zugriff auf interne Verwaltungsanwendungen wird nur auf Anfrage und zeitlich begrenzt gewährt
- Microsoft Entra Global Secure Access: Application Proxy eignet sich für HTTP/HTTPS-Anwendungen, während Entra Private Access (Teil von Global Secure Access) auch nicht-HTTP-Protokolle über einen Zero-Trust-Netzwerkzugriffsansatz absichert