Sdílet prostřednictvím


Konfigurace vlastních domén s využitím proxy aplikací Microsoft Entra ID

Když publikujete aplikaci prostřednictvím proxy aplikace Microsoft Entra, vytvoříte externí adresu URL pro své uživatele. Tato adresa URL získá výchozí doménu yourtenant.msappproxy.net. Pokud například publikujete aplikaci s názvem Expenses ve vašem tenantovi Contoso, bude externí adresa URL https:\//expenses-contoso.msappproxy.net. Pokud chcete místo názvu msappproxy.netvlastní domény použít vlastní doménu, můžete pro svou aplikaci nakonfigurovat vlastní doménu.

Výhody vlastních domén

Kdykoli je to možné, je vhodné pro své aplikace nastavit vlastní domény. Mezi důvody použití vlastních domén patří:

  • Propojení mezi aplikacemi fungují i mimo podnikovou síť. Bez vlastní domény platí, že pokud vaše aplikace pevně zakóduje interní odkazy na cíle mimo proxy aplikace a odkazy se nedají externě přeložit, přeruší se. Pokud jsou interní a externí adresy URL stejné, vyhnete se tomuto problému. Pokud nemůžete používat vlastní domény, přečtěte si téma Přesměrování pevně zakódovaných odkazů pro aplikace publikované pomocí proxy aplikací Microsoft Entra, kde najdete další způsoby, jak tento problém vyřešit.

  • Uživatelé mají jednodušší prostředí, protože se dostanou k aplikaci se stejnou adresou URL z vaší sítě nebo mimo vaši síť. Nemusíte se učit různé interní a externí adresy URL ani sledovat jejich aktuální umístění.

  • Můžete řídit branding a vytvářet požadované adresy URL. Vlastní doména může pomoct vytvořit důvěru uživatelů, protože uživatelé vidí a používají známý název místo msappproxy.net.

  • Některé konfigurace fungují jenom s vlastními doménami. Například potřebujete vlastní domény pro aplikace, které používají JAZYK SAML (Security Assertion Markup Language). SAML se používá při použití Active Directory Federation Services (AD FS) (AD FS), ale nemůžete použít WS-Federation. Další informace najdete v tématu Práce s aplikacemi pracujícími s deklaracemi v proxy aplikacích.

Pokud nemůžete vytvořit shodu interních a externích adres URL, není tak důležité používat vlastní domény. Ale i tak můžete využít další výhody.

Možnosti konfigurace DNS

V závislosti na vašich požadavcích existuje několik možností nastavení konfigurace DNS:

Stejné interní a externí adresy URL, jiné interní a externí chování

Pokud nechcete, aby vaši interní uživatelé směrovali přes proxy aplikace, můžete nastavit rozdělený DNS mozku. Rozdělení infrastruktury DNS směruje překlad názvů na základě umístění hostitele. Interní hostitelé se směrují na interní názvový server domény a externí hostitelé na externí názvový server domény.

„Schizofrenní“ DNS

Různé interní a externí adresy URL

Pokud se interní a externí adresy URL liší, nekonfigurujte chování rozděleného mozku. Směrování uživatelů se určuje pomocí adresy URL. V tomto případě změníte pouze externí DNS a přesměrujete externí adresu URL do koncového bodu proxy aplikace.

Když pro externí adresu URL vyberete vlastní doménu, zobrazí se na informačním panelu položka CNAME, kterou potřebujete přidat k externímu poskytovateli DNS. Tyto informace můžete kdykoli zobrazit na stránce proxy aplikací aplikace.

Nastavení a používání vlastních domén

Pokud chcete nakonfigurovat místní aplikaci tak, aby používala vlastní doménu, budete potřebovat ověřenou vlastní doménu Microsoft Entra, certifikát PFX pro vlastní doménu a konfigurovanou místní aplikaci.

Důležité

Zodpovídáte za údržbu záznamů DNS, které přesměrují vaše vlastní domény do msappproxy.net domény. Pokud se rozhodnete později odstranit aplikaci nebo tenanta, nezapomeňte také odstranit přidružené záznamy DNS pro proxy aplikací, aby se zabránilo zneužití záznamů DNS.

Vytvoření a ověření vlastní domény

Vytvoření a ověření vlastní domény:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce aplikací.
  2. Přejděte na názvy domén nastavení>identity>.
  3. Vyberte Přidat vlastní doménu.
  4. Zadejte vlastní název domény a vyberte Přidat doménu.
  5. Na stránce domény zkopírujte informace o záznamu TXT pro vaši doménu.
  6. Přejděte ke svému doménovému registrátorovi a vytvořte nový záznam TXT pro vaši doménu na základě zkopírovaných informací DNS.
  7. Po registraci domény na stránce domény v Microsoft Entra ID vyberte Ověřit. Jakmile je stav domény ověřený, můžete doménu použít ve všech konfiguracích Microsoft Entra, včetně proxy aplikací.

Podrobnější pokyny najdete v tématu Přidání vlastního názvu domény pomocí Centra pro správu Microsoft Entra.

Konfigurace aplikace pro použití vlastní domény

Publikování aplikace prostřednictvím proxy aplikací s vlastní doménou:

  1. Pro novou aplikaci přejděte v Centru pro správu Microsoft Entra na proxy aplikace Podnikové aplikace identit.>>>

  2. Vyberte Nová aplikace. V části Místní aplikace vyberte Přidat místní aplikaci.

    Pro aplikaci, která už je v podnikových aplikacích, ji vyberte ze seznamu a pak v levém navigačním panelu vyberte Proxy aplikací.

  3. Na stránce nastavení proxy aplikací zadejte název , pokud přidáváte vlastní místní aplikaci.

  4. Do pole Interní adresa URL zadejte interní adresu URL vaší aplikace.

  5. V poli Externí adresa URL rozevírací seznam a vyberte vlastní doménu, kterou chcete použít.

  6. Vyberte Přidat.

    Výběr vlastní domény

  7. Pokud už doména certifikát obsahuje, zobrazí se v poli Certifikát informace o certifikátu. V opačném případě vyberte pole Certifikát .

    Kliknutím nahrajete certifikát.

  8. Na stránce certifikátu SSL přejděte a vyberte soubor certifikátu PFX. Zadejte heslo certifikátu a vyberte Nahrát certifikát. Další informace o certifikátech najdete v části Certifikáty pro vlastní domény . Pokud certifikát není platný nebo došlo k problému s heslem, zobrazí se chybová zpráva. Nejčastější dotazy k proxy aplikací obsahují některé kroky pro řešení potíží, které můžete vyzkoušet.

    Nahrát certifikát

    Tip

    Vlastní doména potřebuje jenom jeden certifikát nahraný. Potom se nahraný certifikát použije automaticky, když použijete vlastní doménu pro jiné aplikace.

  9. Pokud jste přidali certifikát, na stránce proxy aplikace vyberte Uložit.

  10. Na informačním panelu na stránce proxy aplikace si poznamenejte položku CNAME, kterou musíte přidat do zóny DNS.

    Přidání položky DNS CNAME

  11. Postupujte podle pokynů v tématu Správa záznamů a sad záznamů DNS pomocí Centra pro správu Microsoft Entra a přidejte záznam DNS, který přesměruje novou externí adresu URL na msappproxy.net doménu v Azure DNS. Pokud se použije jiný poskytovatel DNS, požádejte o pokyny dodavatele.

    Důležité

    Ujistěte se, že správně používáte záznam CNAME, který odkazuje na msappproxy.net doménu. Neukazujte záznamy na IP adresy nebo názvy DNS serveru, protože nejsou statické a můžou mít vliv na odolnost služby.

  12. Pokud chcete zkontrolovat, jestli je záznam DNS správně nakonfigurovaný, pomocí příkazu nslookup ověřte, že je vaše externí adresa URL dostupná a msapproxy.net že se doména zobrazuje jako alias.

Vaše aplikace je teď nastavená tak, aby používala vlastní doménu. Než aplikaci otestujete nebo uvolníte, nezapomeňte k aplikaci přiřadit uživatele.

Pokud chcete změnit doménu aplikace, vyberte jinou doménu z rozevíracího seznamu v externí adrese URL na stránce proxy aplikace aplikace. V případě potřeby nahrajte certifikát pro aktualizovanou doménu a aktualizujte záznam DNS. Pokud v rozevíracím seznamu v externí adrese URL nevidíte vlastní doménu, kterou chcete, nemusí být ověřená.

Podrobnější pokyny pro proxy aplikací najdete v tématu Kurz: Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID.

Certifikáty pro vlastní domény

Certifikát vytvoří zabezpečené připojení TLS pro vaši vlastní doménu.

Formáty certifikátů

Abyste zajistili, že jsou zahrnuté všechny požadované zprostředkující certifikáty, musíte použít certifikát PFX. Certifikát musí obsahovat privátní klíč.

Nejběžnější metody podpisu certifikátu jsou podporované, například alternativní název subjektu (SAN).

Pokud zástupný znak odpovídá externí adrese URL, můžete použít certifikáty se zástupnými znaky. Pro aplikace se zástupnými výjimkou je nutné použít certifikáty se zástupnými cardy. Pokud chcete certifikát použít také pro přístup k subdoménám, musíte přidat zástupné názvy subdomény jako alternativní názvy subjektu ve stejném certifikátu. Například certifikát pro *.adventure-works.com selže pro *.apps.adventure-works.com , pokud ho nepřidáte *.apps.adventure-works.com jako alternativní název subjektu.

Certifikáty vydané vlastní infrastrukturou veřejných klíčů (PKI) můžete použít, pokud je na klientských zařízeních nainstalovaný řetěz certifikátů. Microsoft Intune může tyto certifikáty nasadit na spravovaná zařízení. Pro nespravovaná zařízení musíte tyto certifikáty nainstalovat ručně.

Nedoporučujeme používat privátní kořenovou certifikační autoritu (CA), protože privátní kořenová certifikační autorita by se také potřebovala odeslat do klientských počítačů, což může představovat mnoho problémů.

Správa certifikátů

Veškerá správa certifikátů probíhá prostřednictvím jednotlivých stránek aplikace. Přejděte na stránku proxy aplikace a získejte přístup k poli Certifikát.

Pokud certifikát nahrajete, budou ho používat nové aplikace. Pokud jsou nakonfigurované tak, aby je používaly. Musíte ale certifikát nahrát znovu pro aplikace, které už tam byly, když jste ho nahráli.

Když vyprší platnost certifikátu, zobrazí se upozornění s upozorněním, že chcete nahrát jiný certifikát. Pokud je certifikát odvolán, můžou se uživatelům při přístupu k aplikaci zobrazit upozornění zabezpečení. Pokud chcete aktualizovat certifikát aplikace, přejděte na stránku proxy aplikace, vyberte Certifikát a nahrajte nový certifikát. Staré certifikáty, které nepoužívají jiné aplikace, se automaticky odstraní.

Další kroky