我在谷歌上搜索了一下，发现了“Azure AD应用程序代理”，它非常酷，因为它可以做普通身份验证代理所能做的事情，甚至更多（使内部部署应用程序可以通过bastion/vpn访问）。“在单点登录Azure AD后，用户可以通过外部URL或内部应用程序门户访问云和内部部署应用程序。”
https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy
这显示了未经身份验证用户的UI交互：
https://youtu.be/Y-uTz7aXGd0?t=306
这显示了经过身份验证的用户的UI交互：
https://youtu.be/_2kWq5H4NhY?t=195

仅供参考，随着Bastion服务和Azure CLI的最新发展，这一功能现在已经可用。对我来说，它在用户体验方面可以作为GCP IAP隧道的替代品（但每月AFAICT的费用至少为170英镑）。
我在Ubuntu主机上运行这些命令。

> uname -v
#64~20.04.1-Ubuntu SMP Fri Jan 6 16:42:31 UTC 2023

例如

> az network bastion tunnel \
  --name <bastion-name> \
  --resource-group <rg-name> \
  --target-resource-id /subscriptions/.../resourceGroups/dev/providers/Microsoft.Compute/virtualMachines/<vm-with-no-public-ip> \
  --resource-port 22 --port 2222

Opening tunnel on port: 2222
Tunnel is ready, connect on port 2222
Ctrl + C to close

将使我能够针对没有通过堡垒的私有IP地址的Azure VM设置VSCode远程。
此外，还有一个方便的命令可以通过SSH连接到机器（它有一个AD auth选项）

akhil@host > az network bastion ssh \
  --name <bastion-name> \
  --resource-group <rg-name> \
  --target-resource-id /subscriptions/.../resourceGroups/<rg-name>/providers/Microsoft.Compute/virtualMachines/<vm-with-no-public-ip> \
  --auth-type ssh-key \
  --username akhil \
  --ssh-key ~/.ssh/id_rsa

Command group 'az network' is in preview and under development. Reference and support levels: https://aka.ms/CLI_refstatus
Welcome to Ubuntu 20.04.5 LTS (GNU/Linux 5.15.0-1033-azure x86_64)

<login message>

akhil@<vm-with-no-public-ip>:~$

az-cli版本

> az version
{
  "azure-cli": "2.45.0",
  "azure-cli-core": "2.45.0",
  "azure-cli-telemetry": "1.0.8",
  "extensions": {
    "azure-devops": "0.18.0",
    "bastion": "0.2.1",
    "ssh": "1.1.3"
  }
}

我相信这和GCP的IAP不太一样。
GCP的IAP允许您登录虚拟机-无需SSH / RDP。Azure应用程序代理主要用于应用程序级别的身份验证，对吗？不能替代虚拟机上的SSH/RDP。