Microsoft Entra Private Access: veilige toegang tot interne applicaties zonder traditionele VPN
Steeds meer organisaties werken hybride en remote, terwijl interne applicaties vaak nog afhankelijk zijn van het eigen netwerk. Traditionele VPN-oplossingen sluiten daar steeds minder goed op aan. Ze geven brede netwerktoegang en zorgen voor extra beheer en risico’s. Microsoft Entra Private Access biedt een gerichte en veilige manier om interne applicaties beschikbaar te maken, zonder dat gebruikers anders hoeven te werken.
In deze blog legt onze collega Stefan Peters uit hoe Microsoft Entra Private Access werkt en wat dit betekent voor gebruikers, beheer en security.
Wat is Microsoft Entra Private Access?
Microsoft Entra Private Access is een dienst van Microsoft. Het is een VPN, maar dan opnieuw uitgevonden. Deze VPN wordt niet afgehandeld door je firewall, maar door de Microsoft cloud dienst Entra Private Access.
De dienst geeft gebruikers veilige, applicatiespecifieke toegang tot interne servers en specifieke UDP- en TCP-poorten. Het is dus geen all‑or‑nothing VPN, zoals bij traditionele VPN-oplossingen vaak het geval is.
Met de Global Secure Access Client op je laptop maak je direct gebruik van deze dienst.
Van traditionele werkplekken naar gerichte toegang
Steeds meer gebruikers werken remote. Tegelijkertijd zie je dat bij veel opdrachtgevers Citrix‑ of Omnissa‑omgevingen worden opgeruimd of afgeschaald. Hoewel Citrix en Omnissa op een andere manier werken, blijft de behoefte in sommige situaties bestaan.
Denk aan een enkele legacy applicatie die lokaal op de laptop draait en verbinding moet maken met een on‑premise applicatieserver. Traditioneel werd hiervoor een Citrix‑ of Omnissa‑omgeving ingezet, of een klassieke VPN‑oplossing. Voor dit scenario kun je nu Microsoft Entra Private Access gebruiken.
Toegevoegde waarde voor gebruikers en beheer
Gebruikers starten hun applicatie op de laptop alsof ze verbonden zijn met het interne netwerk, terwijl ze zich buiten het kantoornetwerk bevinden. Dat betekent dat werken vanaf elke locatie mogelijk blijft, zonder in te leveren op veiligheid.
Voor beheer en security levert dit een duidelijke verbetering op. Waar een traditionele VPN vaak toegang geeft tot het volledige on‑premise netwerk, werkt Microsoft Entra Private Access veel gerichter. Per gebruiker wordt alleen toegang verleend tot een specifieke server en de bijbehorende poort. Heb je geen rechten, dan krijg je ook geen toegang. Toegang wordt geregeld via Microsoft Entra groepen. Dit zorgt voor controle en overzicht.
De oplossing is geschikt voor alle applicaties die een TCP‑ of UDP‑verbinding nodig hebben met interne servers. Ook webapplicaties kun je ermee ontsluiten, al is Entra App Proxy daar in de meeste gevallen een betere keuze voor. Naast bedrijfsspecifieke applicaties kun je Entra Private Access ook gebruiken voor toegang tot een fileserver, inclusief authenticatie via Active Directory.
Hoe werkt Microsoft Entra Private Access?
Entra Private Access maakt gebruik van dezelfde private network connectors als Entra App Proxy. Deze installeer je op een server die zich dicht bij de applicatieserver bevindt. De Global Secure Access client op de laptop maakt via het Microsoft netwerk verbinding met de private network connector binnen het eigen netwerk.
Met Entra ID wordt gecontroleerd of de gebruiker rechten heeft op de applicatie. Zodra deze controle is goedgekeurd, krijgt de gebruiker toegang tot de vooraf gespecificeerde servers en poorten.
Het belangrijkste verschil met een traditionele VPN is de fijnmazige toegangscontrole. Per gebruiker bepaal je exact welke servers en bijbehorende poorten zijn toegestaan. Andere gebruikers kunnen daar simpelweg niet bij. Daarnaast maakt de client geen directe verbinding met de eigen firewall. Het verkeer loopt via de private network connectors, dezelfde componenten die ook worden gebruikt voor Entra App Proxy. Je kunt deze connectors dus hergebruiken en hoeft geen aparte servers in te richten.
De toegang wordt beheerd vanuit Global Secure Access in het Entra admin center. Daar voeg je applicaties toe met servernamen, IP adressen en poorten. Vervolgens koppel je hier een Entra ID groep aan. Alleen gebruikers in die groep krijgen de verbinding toegewezen.
Voorwaarden
Om gebruik te maken van Entra Private Access heb je een bestaande Microsoft 365 tenant nodig met minimaal Entra ID Plan 1. Daarnaast heb je per gebruiker een licentie nodig voor Entra Private Access.
De private network connectors installeer je op een geschikte Windows Server die via het netwerk toegang heeft tot de applicatie die je wilt ontsluiten. Maak je al gebruik van Entra App Proxy, dan kun je deze stap mogelijk overslaan en bestaande connectors hergebruiken.
Net als bij elke nieuwe oplossing is het belangrijk om goed te testen op betrouwbaarheid, performance en stabiliteit voordat je deze in productie neemt. Wordt de applicatie momenteel al op een andere manier gebruikt, dan kun je Entra Private Access vaak parallel laten draaien. Dat maakt het mogelijk om de oplossing zorgvuldig te testen zonder het bestaande gebruik direct te verstoren.
Implementatie van Entra Private Access en tips
Voor een succesvolle implementatie maken we eerst een overzicht van de applicaties die je via deze methode beschikbaar wilt stellen. Denk aan servernamen, IP nummers en poortnummers. Op basis daarvan bepalen we samen waar de private network connectors het beste geplaatst kunnen worden en richten we deze ook voor je in.
We hebben ruime ervaring met het implementeren van Entra Private Access in verschillende omgevingen. Die ervaring nemen we mee in het ontwerp en de inrichting. Daarbij kijken we niet alleen naar de technische inrichting, maar ook naar beheer, security en het dagelijkse gebruik.
Vooraf werken we een ontwerp uit waarin staat waar de private network connectors draaien en welke applicaties voor welke gebruikers beschikbaar zijn. In deze fase bepalen we ook of aanvullende Conditional Access policies nodig zijn.
Praktische tips:
- Deze oplossing is goed te starten als proof of concept. In veel gevallen kun je bij Microsoft een trial aanvragen voor de licenties om te testen of deze techniek geschikt is voor jullie applicaties.
- Ga je naar productie, voer de private network connectors dan minimaal dubbel uit. Dat verkleint de kans op verstoringen tijdens onderhoud of bij eventuele serveruitval.
Effect op werkplek en beheer
Deze oplossing is bij meerdere opdrachtgevers in gebruik. Ze maakt gebruik van de standaard Microsoft infrastructuur en dezelfde private network connectors als Entra App Proxy. Voor gebruikers verandert de manier van werken niet. Intern en extern werken zij op dezelfde manier, terwijl al het netwerkverkeer naar applicaties veilig via Entra Private Access wordt ontsloten.
Bij een van onze opdrachtgevers wordt bijvoorbeeld een fileshare verbonden en wordt vanaf die fileshare een applicatie gestart. Voor deze organisatie betekende dit dat een remote desktop oplossing zoals Citrix of Omnissa niet langer nodig was. Ook hoefde er geen nieuwe Azure Virtual Desktop implementatie te worden ingericht. Dat zorgde voor minder complexiteit in beheer en een eenvoudiger werkplek voor de gebruiker.
Interne applicaties veilig overal beschikbaar
Gebruik je nog interne applicaties en wil je deze ook buiten het kantoornetwerk beschikbaar maken, zonder een traditionele VPN? Met Entra Private Access krijgen gebruikers alleen toegang tot wat nodig is, zonder dat onnodig veel poorten openstaan.
We helpen bij het inrichten van een proof of concept voor Entra Private Access. Daarmee wordt snel duidelijk of deze oplossing past bij jullie applicaties en manier van werken. Bevalt de dienst na een trial, dan verzorgen wij desgewenst ook de levering van de benodigde licenties en begeleiden we de verdere inrichting.
Neem contact met ons op om de mogelijkheden te bespreken.
Maak kennis met de mogelijkheden van Microsoft Copilot en zet jouw organisatie met AI op voorsprong.
Maak kennis met de managed services van Advantive voor de Microsoft omgeving van jouw organisatie.
De moderne werkplek faciliteert prettig en veilig (samen)werken vanuit huis, op kantoor en onderweg.