Azure AD-Anwendungsproxy und Microsoft Tunnel für Intune

Microsoft 365 jetzt mit integriertem Zugriff auf lokale Dienste von jedem Ort

Autor: Thomas WelslauCompetence Lead Security–Auf LinkedIn vernetzen

Für den Zugriff auf lokale Dienste gibt es je nach Anwendung und Anwendungsfall unterschiedliche Anbindungsmöglichkeiten. Im Folgenden stellen wir zwei neue Funktionen vor, die jetzt in Microsoft 365 integriert sind und für sicheren Zugriff auf lokale Dienste von jedem Ort aus sorgen: Erfahren Sie mehr über den Azure AD-Anwendungsproxy und Microsoft Tunnel für Intune.

Azure AD-Anwendungsproxy

Sollen beispielsweise lokale Webdienste von überall erreichbar sein, bietet sich der Einsatz vom Azure AD-Anwendungsproxy an. Anders als bei Veröffentlichungen über Reverse Proxies ist es hierbei nicht erforderlich, den Webdienst von extern zur Verfügung zu stellen.

Remotezugriff auf lokale Apps mit dem Azure AD-Anwendungsproxy

Quelle: Microsoft

Das bedeutet, dass eingehende Veröffentlichungen an der Firewall oder das Installieren von öffentlichen Zertifikaten wegfallen können. Die Konfiguration und Anbindung erfolgt über Anwendungen im Azure AD. Hier können z. B. Einstellungen zur Authentifizierung vorgenommen werden. So sind beispielsweise Konfigurationen zum Single-Sign-On und zur Pre-Authentifizierung im Azure AD möglich. Die Kommunikation zwischen dem lokalen Webdienst und der Anwendung im Azure wird von einem lokal installierten Connector übernommen.

Microsoft Tunnel für Intune

Wird Intune als Mobile Device Management Lösung eingesetzt, kann für iOS- und Android-Geräte eine weitere Lösung zum Einsatz kommen. Microsoft Tunnel stellt für verwaltete Endgeräte eine VPN-Verbindung zur Verfügung. Die Konfiguration wird dabei über Intune angelegt und an die Endgeräte verteilt. Als lokaler Endpunkt im Firmennetzwerk läuft die Microsoft Tunnel Komponente in einem Docker Container und stellt Verbindungen zu internen Diensten her.

Verwendung der VPN-Lösung Microsoft Tunnel für Microsoft Intune

Quelle: Microsoft

Vorteile der neuen Funktionen

Der größte Mehrwert von beiden Funktionen ist, dass die Lösungen voll in Conditional Access integrierbar sind und damit auch z. B. Multi Faktor Authentication-Richtlinien greifen. Des Weiteren kann so sichergestellt werden, dass auch bei Zugriffen auf lokale Dienste die Compliance der Endgeräte überprüft wird. So ist eine Einschränkung der Verbindungen nur auf verwaltete Firmengeräte umsetzbar und es können beispielsweise die folgenden Aspekte des Gerätes für den Zugriff bewertet werden:

Ist das Betriebssystem auf einem aktuellen Stand?
Ist der Speicher verschlüsselt?
Wird für den Zugang zum Gerät eine PIN oder biometrische Merkmale abgefragt?

Microsoft Identity Workshop

In unserem dreitägigen Microsoft Identity Workshop erhalten Sie von Microsoft-Experten einen Strategieplan für die Weiterentwicklung Ihrer Infrastruktur durch die Sicherung von Identitäten und Geräten.

Jetzt informieren!