Freigeben über

Platzhalteranwendungen im Microsoft Entra-Anwendungsproxy

In Microsoft Entra ID kann die Konfiguration einer großen Anzahl von lokalen Anwendungen schnell unüberschaubar werden. Die Folge sind unnötige Risiken aufgrund von Konfigurationsfehlern, wenn viele der Anwendungen die gleichen Einstellungen erfordern. Mit Microsoft Entra-Anwendungsproxy können Sie dieses Problem mithilfe einer Platzhalteranwendung umgehen, mit der Sie viele Anwendungen gleichzeitig veröffentlichen und verwalten können. Die Lösung bietet Folgendes:

  • Vereinfachter Verwaltungsaufwand
  • Reduzierte Anzahl potenzieller Konfigurationsfehler
  • Sicherer Zugriff auf weitere Ressourcen

In diesem Artikel erhalten Sie alle erforderlichen Informationen über die Konfiguration für die Veröffentlichung von Platzhalteranwendungen in Ihrer Umgebung.

Erstellen einer Platzhalteranwendung

Sie können eine Platzhalteranwendung (*) erstellen, wenn Sie über eine Gruppe von Anwendungen mit der gleichen Konfiguration verfügen. Potenzielle Kandidaten für eine Platzhalteranwendung sind Anwendungen, die die folgenden Einstellungen gemeinsam haben:

  • Die Gruppe von Benutzern, die darauf Zugriff haben
  • Die SSO-Methode (Single Sign-On)
  • Das Zugriffsprotokoll (HTTP, HTTPS)

Sie können Anwendungen mit Platzhaltern veröffentlichen, wenn sowohl interne als auch externe URLs im folgenden Format vorliegen:

http(s)://*.<Domäne>

Beispiel: http(s)://*.adventure-works.com.

Obwohl die internen und externen URLs unterschiedliche Domänen verwenden können, hat es sich bewährt, wenn diese identisch sind. Beim Veröffentlichen der Anwendung wird ein Fehler angezeigt, wenn eine der URLs keinen Platzhalter aufweist.

Die Erstellung einer Platzhalteranwendung basiert auf demselben Ablauf für die Anwendungsveröffentlichung, der auch für alle anderen Anwendungen gilt. Der einzige Unterschied besteht darin, dass Sie einen Platzhalter in den URLs und ggf. in der SSO-Konfiguration verwenden.

Voraussetzungen

Stellen Sie zunächst sicher, dass die Anforderungen erfüllt sind.

Benutzerdefinierte Domänen

Während benutzerdefinierte Domänen für alle anderen Anwendungen optional sind, sind sie eine Voraussetzung für Wildcardanwendungen. Zum Erstellen benutzerdefinierter Domänen müssen Sie die folgenden Schritte ausführen:

  1. Erstellen Sie eine überprüfte Domäne in Azure.
  2. Laden Sie ein TLS-Zertifikat (Transport Layer Security) im PFX-Format (Personal Information Exchange) in Ihren Anwendungsproxy hoch.

Erwägen Sie die Verwendung eines Platzhalterzertifikats für die Anwendung, die Sie erstellen möchten.

Aus Sicherheitsgründen werden Wildcards nur für Anwendungen unterstützt, die eine benutzerdefinierte Domäne für die externe URL verwenden.

Aktualisierungen des DNS (Domain Name System)

Wenn Sie benutzerdefinierte Domänen verwenden, müssen Sie einen DNS-Eintrag mit einem CNAME-Eintrag für die externe URL (z. b. *.adventure-works.com) erstellen, der auf die externe URL des Endpunktes der Anwendungsproxy zeigt. Bei Wildcard-Anwendungen muss der CNAME-Eintrag auf die entsprechende externe URL zeigen:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Überprüfen Sie, ob Sie Ihren CNAME richtig konfiguriert haben. Sie können nslookup auf einem der Zielendpunkte verwenden, zum Beispiel expenses.adventure-works.com. Die Antwort sollte den bereits erwähnten Alias (<yourAADTenantId>.tenant.runtime.msappproxy.net) enthalten.

Verwenden von Connectorgruppen, die einer anderen Region für den Anwendungsproxy-Clouddienst als die Standardregion zugewiesen sind

Wenn Connectors in Regionen installiert sind, die sich von Ihrer Standardmandantenregion unterscheiden, empfiehlt es sich, die Region zu ändern, für die Ihre Connectorgruppe optimiert ist, um den Zugriff auf diese Anwendungen zu verbessern. Weitere Informationen finden Sie unter Optimieren von Connectorgruppen für die Verwendung des nächstgelegenen Anwendungsproxy-Clouddiensts.

Wenn die der Wildcardanwendung zugewiesene Connectorgruppe eine andere Region als Ihre Standardregion verwendet, müssen Sie den CNAME-Eintrag so aktualisieren, dass er auf eine regionale externe URL verweist. Verwenden Sie die folgende Tabelle, um die entsprechende URL zu ermitteln:

Der Connector zugewiesene Region Externe URL
Asien <yourAADTenantId>.asia.tenant.runtime.msappproxy.net
Australien <yourAADTenantId>.aus.tenant.runtime.msappproxy.net
Europa <yourAADTenantId>.eur.tenant.runtime.msappproxy.net
Nordamerika <yourAADTenantId>.nam.tenant.runtime.msappproxy.net

Überlegungen

Die folgenden Überlegungen sollten Sie im Hinblick auf Platzhalteranwendungen berücksichtigen.

Zulässige Formate

Bei Platzhalteranwendungen muss die interne URL das Format http(s)://*.<domain> aufweisen.

Verwenden Sie für interne URLs das folgende Format: http(s)://*.<Domäne>

Beim Konfigurieren einer externen URL müssen Sie folgendes Format verwenden: https://*.<custom domain>

Verwenden Sie für externe URLs das folgende Format: https://*.<benutzerdefinierte Domäne>

Andere Positionen des Wildcards, mehrerer Wildcards oder anderer regex-Zeichenfolgen werden nicht unterstützt und verursachen Fehler.

Ausschließen von Anwendungen aus dem Platzhalter

Sie können eine Anwendung aus der Platzhalteranwendung wie folgt ausschließen:

  • Veröffentlichen der Ausnahmeanwendung als normale Anwendung
  • Aktivieren das Platzhalters nur für bestimmte Anwendungen über die DNS-Einstellungen

Das Veröffentlichen einer Anwendung als normale Anwendung ist die bevorzugte Methode, um eine Anwendung aus einem Platzhalter auszuschließen. Veröffentlichen Sie die ausgeschlossenen Anwendungen vor den Platzhalteranwendungen, um sicherzustellen, dass Ihre Ausnahmen von Anfang an erzwungen werden. Die spezifischste Anwendung hat immer Vorrang – eine als budgets.finance.adventure-works.com veröffentlichte Anwendung hat Vorrang vor der Anwendung *.finance.adventure-works.com, was wiederum Vorrang vor der Anwendung *.adventure-works.com hat.

Außerdem können Sie den Platzhalter über Ihre DNS-Verwaltung so einschränken, dass dieser nur für bestimmte Anwendungen funktioniert. Als bewährte Methode sollten Sie einen CNAME-Eintrag erstellen, der einen Wildcard enthält und dem Format der von Ihnen konfigurierten externen URL entspricht. Stattdessen können Sie auch bestimmte Anwendungs-URLs auf die Platzhalter verweisen lassen. Beispiel: Anstelle von *.adventure-works.com Punkt hr.adventure-works.com, expenses.adventure-works.com und travel.adventure-works.com individually auf 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net.

Wenn Sie diese Option verwenden, benötigen Sie ggf. einen weiteren CNAME-Eintrag für den Wert AppId.domain, z.B. 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com, der auch auf das gleiche Ziel verweist. Sie finden die AppId auf der Seite mit den Anwendungseigenschaften der Platzhalteranwendung.

Festlegen der Homepage-URL für das MyApps-Panel

Die Platzhalteranwendung wird im MyApps-Panel mit nur einer Kachel dargestellt. Diese Kachel ist standardmäßig ausgeblendet. So blenden Sie die Kachel ein und weisen Benutzern eine bestimmte Zielseite zu:

  1. Befolgen Sie die Richtlinien zum Festlegen einer Homepage-URL.
  2. Setzen Sie Anwendung anzeigen auf der Eigenschaftenseite für die Anwendung auf true.

Eingeschränkte Kerberos-Delegierung

Für Anwendungen, die kerberos-eingeschränkte Delegierung (KCD) als SSO-Methode verwenden, benötigt der für die SSO-Methode aufgeführte Dienstprinzipalname (Service Principal Name, SPN) eine Wildcard. Der SPN kann z.B. wie folgt aussehen: HTTP/*.adventure-works.com. Zudem müssen die einzelnen SPNs auf Ihren Back-End-Servern konfiguriert sein (z.B. HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

Szenario 1: Allgemeine Platzhalteranwendung

In diesem Szenario gibt es drei verschiedene Anwendungen, die Sie veröffentlichen möchten:

  • expenses.adventure-works.com
  • hr.adventure-works.com
  • travel.adventure-works.com

Für alle drei Anwendungen gilt Folgendes:

  • Sie werden von allen Benutzern verwendet.
  • Sie verwenden die integrierte Windows-Authentifizierung.
  • Sie haben die gleichen Eigenschaften.

Die zum Veröffentlichen der Platzhalteranwendung erforderlichen Schritte finden Sie unter Veröffentlichen von Anwendungen mit Microsoft Entra-Anwendungsproxy. Annahmen für dieses Szenario:

  • Ein Mandant mit der folgenden ID: aaaabbbb-0000-cccc-1111-dddd2222eeee
  • Ein geprüfter Domain namens adventure-works.com.
  • Ein CNAME-Eintrag, der zu *.adventure-works.com00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net zeigt.

Erstellen Sie entsprechend der dokumentierten Schritte eine neue Anwendungsproxyanwendung in Ihrem Mandanten. In diesem Beispiel ist der Platzhalter in den folgenden Feldern enthalten:

  • Interne URL:

    Beispiel: Platzhalter in interner URL

  • Externe URL:

    Beispiel: Platzhalter in externer URL

  • Interner Anwendungs-SPN:

    Beispiel: Platzhalter in der SPN-Konfiguration

Durch die Veröffentlichung der Wildcardanwendung können Sie jetzt auf Ihre drei Anwendungen zugreifen, indem Sie zu den URLs navigieren, die Sie gewohnt sind (z. B. travel.adventure-works.com).

Bei der Konfiguration wird die folgende Struktur implementiert:

Zeigt die Struktur, die von der Beispielkonfiguration implementiert wird

Farbe BESCHREIBUNG
Blau Anwendungen, die explizit im Microsoft Entra Admin Center veröffentlicht wurden und dort sichtbar sind.
Grau Anwendungen, auf die Sie über die übergeordnete Anwendung zugreifen können.

Szenario 2: Allgemeine Platzhalteranwendung mit Ausnahme

Zusätzlich zu den drei allgemeinen Anwendungen gibt es eine weitere Anwendung, finance.adventure-works.comdie nur von der Finanzabteilung zugänglich sein sollte. Mit der aktuellen Anwendungsstruktur ist der Zugriff auf die Finanzanwendung über die Platzhalteranwendung und durch alle Mitarbeiter möglich. Um die Änderung vorzunehmen, schließen Sie Ihre Anwendung von Ihrem Wildcard aus, indem Sie Finance als separate Anwendung mit restriktiveren Berechtigungen konfigurieren.

Stellen Sie sicher, dass ein CNAME-Eintrag vorhanden ist, der finance.adventure-works.com an den anwendungsspezifischen Endpunkt verweist, der auf der Seite „Anwendungsproxy“ für die Anwendung angegeben ist. Im Szenario zeigt finance.adventure-works.com auf https://finance-awcycles.msappproxy.net/.

Im Anschluss an die dokumentierten Schritte erfordert das Szenario die folgenden Einstellungen:

  • Legen Sie im Feld Interne URL die Finanzabteilung finance anstelle eines Platzhalters fest.

    Beispiel: Im Feld „Interne URL“ „finance“ anstelle eines Platzhalters festlegen

  • Legen Sie im Feld Externe URL die Finanzabteilung finance anstelle eines Platzhalters fest.

    Beispiel: Im Feld „Externe URL“ „finance“ anstelle eines Platzhalters festlegen

  • Legen Sie für den internen Anwendungs-SPN die Finanzabteilung finance anstelle eines Platzhalters fest.

    Beispiel: Für die SPN-Konfiguration „finance“ anstelle eines Platzhalters festlegen

Bei dieser Konfiguration wird das folgende Szenario implementiert:

Zeigt die vom Beispielszenario implementierte Konfiguration

Die URL finance.adventure-works.com ist spezifisch. Die URL *.adventure-works.com ist nicht spezifisch. Die spezifischere URL hat Vorrang. Benutzern, die zu finance.adventure-works.com navigieren, werden die in der Finanzressourcenanwendung festgelegten Optionen angezeigt. Nur Finanzmitarbeiter können darauf zugreifen finance.adventure-works.com.

Wenn Sie für die Finanzabteilung mehrere Anwendungen veröffentlicht haben und finance.adventure-works.com als überprüfte Domäne vorhanden ist, könnten Sie eine weitere Platzhalteranwendung *.finance.adventure-works.com veröffentlichen. Da die Domäne spezifischer ist als die generische *.adventure-works.com, hat sie Vorrang, wenn ein Benutzer auf eine Anwendung in der Finanzdomäne zugreift.

Nächste Schritte