Agregar una aplicación local para el acceso remoto a través del proxy de aplicación en Microsoft Entra ID

Microsoft Entra ID tiene un servicio de proxy de aplicación que permite a los usuarios tener acceso a aplicaciones locales mediante el inicio de sesión con su cuenta de Microsoft Entra. Para más información sobre el proxy de aplicación, consulte ¿Qué es el proxy de aplicación?. En este tutorial se prepara el entorno para su uso con el proxy de aplicación. Una vez que el entorno esté preparado, use el centro de administración de Microsoft Entra para agregar una aplicación local a su inquilino.

Application proxy Overview Diagram

Los conectores son una parte fundamental del proxy de aplicación. Para obtener más información sobre los conectores, consulte Descripción de los conectores del proxy de aplicación de Microsoft Entra.

En este tutorial ha:

  • Abra los puertos para el tráfico saliente y permita el acceso a direcciones URL específicas.
  • Instale el conector en el servidor de Windows y regístrelo con el proxy de aplicación.
  • Compruebe si el conector se ha instalado y registrado correctamente.
  • Agregue una aplicación local al inquilino de Microsoft Entra.
  • Compruebe que un usuario de prueba puede iniciar sesión en la aplicación mediante una cuenta de Microsoft Entra.

Requisitos previos

Para agregar una aplicación local a Microsoft Entra ID, necesita lo siguiente:

  • Una suscripción a Microsoft Entra ID P1 o P2.
  • Una cuenta de administrador de aplicaciones.
  • Un conjunto sincronizado de identidades de usuario con un directorio local. También las puede crear directamente en los inquilinos de Microsoft Entra. El servicio Sincronización de identidades permite que Microsoft Entra ID autentique previamente a los usuarios antes de concederles acceso a las aplicaciones publicadas del proxy de aplicación. También proporciona la información de identificador de usuario necesaria para realizar el inicio de sesión único (SSO).
  • Para comprender la administración de aplicaciones en Microsoft Entra, consulte Ver aplicaciones empresariales en Microsoft Entra.
  • Para comprender el inicio de sesión único (SSO), consulte Descripción del inicio de sesión único.

Windows Server

El proxy de aplicación requiere Windows Server 2012 R2 o versiones posteriores. Instalará el conector de proxy de aplicación en el servidor. El servidor del conector se comunica con los servicios proxy de aplicación en Microsoft Entra ID y con las aplicaciones locales que planea publicar.

Use más de un servidor de Windows para lograr una alta disponibilidad en el entorno de producción. Un servidor de Windows es suficiente para realizar pruebas.

Importante

.NET Framework

Debe tener la versión 4.7.1 o posterior de .NET para instalar, o actualizar, la versión 1.5.3437.0 o posterior del proxy de aplicación. Windows Server 2012 R2 y Windows Server 2016 no tienen esta versión de forma predeterminada.

Consulte Cómo: Determinar qué versiones de .NET Framework están instaladas para obtener más información.

HTTP 2.0

Si va a instalar el conector en Windows Server 2019 o posterior, debe deshabilitar la compatibilidad con el protocolo HTTP2 en el componente WinHttp para la delegación restringida de Kerberos para que funcione correctamente. Esta opción está deshabilitada de forma predeterminada en versiones anteriores de los sistemas operativos compatibles. Al agregar la siguiente clave del registro y reiniciar el servidor, se deshabilita en Windows Server 2019. Tenga en cuenta que se trata de una clave del registro para toda la máquina.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

La clave se puede establecer mediante PowerShell con el siguiente comando:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Recomendaciones para el servidor de conector

  • Optimice el rendimiento entre el conector y la aplicación. Ubique físicamente el servidor del conector cerca de los servidores de aplicaciones. Para obtener más información, consulte Optimizar el flujo de tráfico con el proxy de aplicaciones Microsoft Entra.
  • Asegúrese de que el servidor del conector y los servidores de aplicaciones web estén en el mismo dominio de Active Directory o que abarquen dominios de confianza. Tener los servidores en el mismo dominio o en dominios de confianza es un requisito para usar el inicio de sesión único (SSO) con la autenticación integrada de Windows (IWA) y la delegación restringida de Kerberos (KCD). Si el servidor de conector y los servidores de aplicaciones web están en diferentes dominios de Active Directory, use la delegación basada en recursos para el inicio de sesión único. Para más información, consulte la KCD para el inicio de sesión único con el proxy de aplicación.

Advertencia

Si ha implementado el proxy de Protección con contraseña de Microsoft Entra, no instale el proxy de aplicación de Microsoft Entra ni el proxy de Protección con contraseña de Microsoft Entra juntos en el mismo equipo. El proxy de aplicación de Microsoft Entra y el proxy de Protección con contraseña de Microsoft Entra instalan diferentes versiones del servicio de Microsoft Entra Connect Agent Updater. Estas versiones diferentes son incompatibles cuando se instalan juntas en la misma máquina.

Requisitos de Seguridad de la capa de transporte (TLS)

El servidor del conector de Windows debe tener TLS 1.2 habilitado antes de instalar el conector del proxy de aplicación.

Para habilitar TLS 1.2, siga estos pasos:

  1. Establezca las claves del Registro.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Reinicie el servidor.

Nota:

Microsoft está actualizando los servicios de Azure para que usen los certificados TLS de un conjunto diferente de entidades de certificación (CA) raíz. Este cambio se realiza porque los certificados de entidad de certificación actuales no cumplen uno de los requisitos de la base de referencia del foro CA/Browser. Para obtener más información, consulte Cambios en los certificados TLS de Azure.

Preparación del entorno local

Habilite la comunicación con los centros de datos de Microsoft para preparar el entorno para el proxy de aplicación de Microsoft Entra. El conector debe realizar solicitudes HTTPS (TCP) al proxy de aplicación. Se produce un problema común cuando un firewall bloquea el tráfico de red.

Importante

Si va a instalar el conector para la nube de Azure Government, siga los requisitos previos y los pasos de instalación. La nube de Azure Government requiere acceso a un conjunto diferente de direcciones URL y a un parámetro adicional para ejecutar la instalación.

Abrir puertos

Abra los siguientes puertos al tráfico saliente.

Número de puerto Usar
80 Descarga de listas de revocación de certificados (CRL) al validar el certificado TLS/SSL
443 Toda la comunicación saliente con el servicio del proxy de aplicación.

Si el firewall fuerza el tráfico según los usuarios de origen, abra también los puertos 80 y 443 para el tráfico de los servicios de Windows que se ejecutan como un servicio de red.

Nota:

Los errores se producen cuando hay un problema de red. Compruebe si los puertos necesarios están abiertos. Para más información sobre cómo solucionar problemas relacionados con los errores del conector, consulte Solución de problemas y mensajes de error del proxy de aplicación.

Permiso de acceso a direcciones URL

Permita el acceso a las siguientes direcciones URL:

URL Port Uso
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Comunicación entre el conector y el servicio en la nube del proxy de aplicación.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP El conector utiliza estas direcciones URL para comprobar los certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS El conector utiliza estas direcciones URL durante el proceso de registro.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP El conector utiliza estas direcciones URL durante el proceso de registro.

Permita conexiones a *.msappproxy.net, *.servicebus.windows.net y otras direcciones URL si el firewall o proxy le permite configurar reglas de acceso basadas en sufijos de dominio. O bien, permita el acceso a los Intervalos IP de Azure y etiquetas de servicio: nube pública. Los intervalos IP se actualizan cada semana.

Importante

Evite todas las formas de inspección y terminación insertadas en las comunicaciones de TLS salientes entre los conectores del proxy de aplicación de Microsoft Entra y los servicios del proxy de aplicación de Microsoft Entra.

Sistema de nombres de dominio (DNS) para puntos de conexión de proxy de aplicación de Microsoft Entra

Los registros DNS públicos para los puntos de conexión de proxy de aplicación de Microsoft Entra son registros CNAME encadenados que apuntan a un registro A. La configuración de los registros de esta forma garantiza la tolerancia a errores y la flexibilidad. El conector del proxy de aplicación de Microsoft Entra siempre tiene acceso a los nombres de host con los sufijos de dominio *.msappproxy.net o *.servicebus.windows.net. No obstante, durante la resolución de nombres, los registros CNAME pueden contener registros DNS con distintos nombres de host y sufijos. Debido a esta diferencia, debe asegurarse de que el dispositivo (según la configuración del servidor del conector, el firewall y el proxy de salida) pueda resolver todos los registros de la cadena y permitir la conexión a las direcciones IP resueltas. Dado que los registros DNS de la cadena pueden cambiar de vez en cuando, no podemos proporcionarle registros DNS de lista.

Instalación y registro de un conector

Para usar el proxy de aplicación, instale un conector en cada servidor de Windows que use con el servicio del proxy de aplicación. El conector es un agente que administra la conexión saliente desde los servidores de aplicaciones locales al proxy de aplicación en Microsoft Entra ID. El conector puede instalarse en servidores con agentes de autenticación como Microsoft Entra Connect.

Para instalar el conector:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

  2. En la esquina superior derecha, seleccione su nombre de usuario. Compruebe que ha iniciado sesión en el directorio que usa el proxy de aplicación. Si necesita cambiar de directorio, seleccione Cambiar de directorio y elija un directorio que use el proxy de aplicación.

  3. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Aplicación proxy.

  4. Seleccione Descargar servicio de conector.

  5. Lea los términos del servicio. Cuando esté listo, seleccione Aceptar las condiciones y descargar.

  6. En la parte inferior de la ventana, seleccione Ejecutar para instalar el conector. Se abre un asistente para la instalación.

  7. Instale el servicio siguiendo las instrucciones del asistente. Cuando se le pida que registre el conector en el proxy de aplicación para el inquilino de Microsoft Entra, proporcione las credenciales del administrador de la aplicación.

    • En Internet Explorer (IE), si la opción Configuración de seguridad mejorada de IE está establecida en Activado, puede que no aparezca la pantalla de registro. Para acceder, siga las instrucciones del mensaje de error. Asegúrese de que la configuración de seguridad mejorada de Internet Explorer está desactivada.

Observaciones generales

Si anteriormente ha instalado un conector, vuelva a instalarlo para obtener la última versión. Para ver información sobre las versiones publicadas anteriormente y qué cambios incluyen, consulte Proxy de aplicación: historial de versiones.

Si elige tener más de un servidor Windows Server para las aplicaciones locales, debe instalar y registrar el conector en cada servidor. Puede organizar los conectores en grupos. Para más información, vea Grupos de conectores.

Si instala conectores en regiones diferentes, debe optimizar el tráfico seleccionando la región del servicio en la nube del proxy de aplicación más cercana con cada grupo de conectores. Para más información, consulte Optimización del flujo de tráfico con el proxy de aplicación de Microsoft Entra.

Si su organización usa servidores proxy para conectarse a Internet, debe configurarlos para el proxy de aplicación. Para obtener más información, consulte Trabajo con servidores proxy locales existentes.

Para obtener información sobre los conectores, el planeamiento de capacidad y cómo actualizarlos, consulte Descripción de los conectores del proxy de aplicación de Microsoft Entra.

Verificar si el conector se ha instalado y registrado correctamente

Puede usar el centro de administración de Microsoft Entra o Windows Server para confirmar que el nuevo conector se ha instalado correctamente. Para obtener información sobre cómo solucionar problemas de proxy de aplicación, consulte Problemas de depuración de aplicaciones de proxy de aplicación.

Comprobación de la instalación mediante el centro de administración de Microsoft Entra

Para confirmar que el conector se ha instalado y registrado correctamente:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

  2. En la esquina superior derecha, seleccione su nombre de usuario. Compruebe que ha iniciado sesión en el directorio que usa el proxy de aplicación. Si necesita cambiar de directorio, seleccione Cambiar de directorio y elija un directorio que use el proxy de aplicación.

  3. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Aplicación proxy.

  4. Compruebe los detalles del conector. Los conectores deben estar ampliados de forma predeterminada. Una etiqueta activa verde indica que el conector puede conectarse al servicio. Sin embargo, aun cuando la etiqueta es verde, un problema de red podría impedir que el conector reciba mensajes.

    Microsoft Entra application proxy connectors

Para obtener más ayuda con la instalación de un conector, consulte Problema al instalar el conector del proxy de aplicación.

Comprobación de la instalación mediante el servidor de Windows

Para confirmar que el conector se ha instalado y registrado correctamente:

  1. Abra el Administrador de servicios de Windows; para ello, haga clic en la tecla del logotipo de Windows y escriba services.msc.

  2. Compruebe si el estado de los dos servicios siguientes es En ejecución.

    • El Conector del proxy de aplicación de Microsoft Entra habilita la conectividad.
    • El Actualizador del conector del proxy de aplicación de Microsoft Entra es un servicio de actualización automática. El actualizador busca nuevas versiones del conector y lo actualiza según sea necesario.
  3. Si el estado de los servicios no es En ejecución, haga clic con el botón derecho en cada servicio y elija Iniciar.

Agregación de una aplicación local a Microsoft Entra ID

Agregue una aplicación local a Microsoft Entra ID.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.

  3. Seleccione Nueva aplicación.

  4. Seleccione el botón Incorporación de una aplicación local que aparece hacia la mitad de la página de la sección Aplicaciones locales. Como alternativa, puede seleccionar Cree su propia aplicación en la parte superior de la página y, luego, Configurar Application Proxy para el acceso remoto seguro a una aplicación local.

  5. En la sección Agregar aplicación local propia, proporcione la siguiente información sobre la aplicación:

    Campo Descripción
    Nombre Nombre de la aplicación que aparece en Aplicaciones y en el centro de administración de Microsoft Entra.
    Modo de mantenimiento Seleccione si quiere habilitar el modo de mantenimiento y deshabilitar temporalmente el acceso para todos los usuarios en la aplicación.
    Dirección URL interna La dirección URL para acceder a la aplicación desde la red privada. Puede especificar una ruta de acceso específica en el servidor back-end para publicar, mientras que el resto del servidor no se publica. De esta forma, puede publicar sitios diferentes en el mismo servidor como aplicaciones diferentes y dar a cada uno un nombre y unas reglas de acceso propios.

    Si publica una ruta de acceso, asegúrese de que incluye todas las imágenes, los scripts y las hojas de estilos necesarias para la aplicación. Por ejemplo, si la aplicación se encuentra en https://yourapp/app y usa las imágenes que se encuentran en https://yourapp/media, debe publicar https://yourapp/ como la ruta de acceso. Esta dirección URL interna no tiene que ser la página de inicio que verán los usuarios. Para más información, consulte Establecimiento de una página principal personalizada para aplicaciones publicadas mediante el proxy de aplicación de Azure AD.
    Dirección URL externa La dirección para que los usuarios accedan a la aplicación desde fuera de la red. Si no desea usar el dominio del proxy de aplicación predeterminado, lea sobre los dominios personalizados en el proxy de aplicación de Microsoft Entra.
    Autenticación previa La forma en que el proxy de aplicación verifica los usuarios antes de concederles acceso a la aplicación.

    Microsoft Entra ID: el proxy de aplicación redirige a los usuarios para que inicien sesión en Microsoft Entra ID, que autentica sus permisos para el directorio y la aplicación. Se recomienda mantener esta opción como predeterminada, para que pueda aprovechar las características de seguridad de Microsoft Entra como el acceso condicional y la autenticación multifactor. Microsoft Entra ID es necesario para supervisar la aplicación con Microsoft Defender for Cloud Apps.

    Acceso directo: los usuarios no tienen que autenticarse en Microsoft Entra ID para tener acceso a la aplicación. Esto no impide que pueda configurar los requisitos de autenticación en el back-end.
    Grupo de conectores Los conectores procesan el acceso remoto a la aplicación, y los grupos de conectores le ayudan a organizar los conectores y las aplicaciones por región, red o finalidad. Si no tiene ningún grupo de conectores creado todavía, la aplicación se asigna al predeterminado.

    Si la aplicación usa WebSockets para conectarse, todos los conectores del grupo deben tener la versión 1.5.612.0 o posterior.
  6. Si es necesario, realice otras configuraciones en Configuración adicional. En la mayoría de las aplicaciones, debe mantener esta configuración en su estado predeterminado.

    Campo Descripción
    Tiempo de espera de las aplicaciones de back-end Establezca este valor en Largo solo si la aplicación es lenta en autenticarse y conectarse. De forma predeterminada, el tiempo de espera de la aplicación back-end tiene una longitud de 85 segundos. Cuando se establece un valor demasiado largo, el tiempo de espera de back-end se incrementa en 180 segundos.
    Usar cookie solo HTTP Seleccione que las cookies del proxy de aplicación incluyan la marca HTTPOnly en el encabezado de respuesta HTTP. Si usa servicios de Escritorio remoto, deje esta opción sin seleccionar.
    Usar cookies persistentes Deje la opción sin seleccionar. Esta configuración solo debe usarse para las aplicaciones que no pueden compartir cookies entre procesos. Para obtener más información sobre la configuración de las cookies, consulte Configuración de las cookies para el acceso a aplicaciones locales en Microsoft Entra ID.
    Traducir URL en encabezados Mantenga la opción seleccionada, a menos que la aplicación requiera el encabezado host original en la solicitud de autenticación.
    Traducir direcciones URL en el cuerpo de la aplicación Deje la opción sin seleccionar, a menos que tenga vínculos HTML codificados a otras aplicaciones locales y no use dominios personalizados. Para más información, consulte Traducción de vínculos con el proxy de aplicación.

    Seleccione si tiene previsto supervisar esta aplicación con Microsoft Defender for Cloud Apps. Para más información, consulte Configuración de la supervisión del acceso a las aplicaciones en tiempo real con Microsoft Defender para aplicaciones en la nube y Microsoft Entra ID.
    Validación del certificado TLS/SSL de back-end Seleccione esta opción para habilitar la validación del certificado TLS/SSL de back-end para la aplicación.
  7. Seleccione Agregar.

Prueba de la aplicación

Está listo para probar que la aplicación se agregó correctamente. En los pasos siguientes, se agrega una cuenta de usuario a la aplicación y se intenta iniciar sesión.

Adición de un usuario de prueba

Antes de agregar un usuario a la aplicación, compruebe que la cuenta de usuario ya tiene permisos para acceder a la aplicación desde dentro de la red corporativa.

Para agregar un usuario de prueba:

  1. Seleccione Aplicaciones empresariales y, después, seleccione la aplicación que desea probar.
  2. Seleccione Introducción y, a continuación, seleccione Assign a user for testing (Asignar un usuario de prueba).
  3. En Usuarios y grupos, seleccione Agregar usuario.
  4. En Agregar asignación, seleccione Usuarios y grupos. Aparece la sección Usuario y grupos.
  5. Elija la cuenta que desea agregar.
  6. Elija Seleccionar y, a continuación, seleccione Asignar.

Probar el inicio de sesión

Para probar la autenticación en la aplicación:

  1. En la aplicación que quiere probar, seleccione Proxy de aplicación.
  2. En la parte superior de la página, seleccione Aplicación de prueba para ejecutar una prueba en la aplicación y comprobar posibles problemas de configuración.
  3. Asegúrese de iniciar primero la aplicación para probar el inicio de sesión en la aplicación y, luego, descargue el informe de diagnóstico para revisar la guía de resolución de los problemas detectados.

Para solucionar problemas, consulte Solución de problemas y mensajes de error del proxy de aplicación.

Limpieza de recursos

No olvide eliminar cualquiera de los recursos que haya creado en este tutorial cuando termine.

Solución de problemas

Obtenga información sobre los problemas comunes y sus soluciones.

Creación de la aplicación y establecimiento de las direcciones URL

Compruebe los detalles del error para obtener información y sugerencias sobre cómo corregir la aplicación. La mayoría de los mensajes de error incluyen una sugerencia de corrección. Para evitar errores habituales, compruebe que:

  • Es un administrador con permiso para crear una aplicación de proxy de aplicación.
  • La dirección URL interna sea única;
  • La dirección URL externa sea única;
  • Las direcciones URL empiecen por http o https y terminen en "/";
  • La dirección URL debe ser un nombre de dominio y no una dirección IP.

El mensaje de error debería aparecer en la esquina superior derecha cuando cree la aplicación. También puede seleccionar el icono de notificación para ver los mensajes de error.

Configuración de conectores y grupos de conectores

Si tiene dificultades para configurar la aplicación debido a la advertencia sobre los conectores y grupos de conectores, consulte las instrucciones para habilitar el proxy de aplicación, donde se ofrecen más detalles sobre cómo descargar conectores. Si desea más información acerca de los conectores, consulte la documentación sobre los conectores.

Si los conectores están inactivos, no pueden acceder al servicio. Con frecuencia, se debe a que no están abiertos todos los puertos necesarios. Para ver una lista de los puertos necesarios, consulte la sección de requisitos previos de la documentación sobre la habilitación del proxy de aplicación.

Carga de certificados para dominios personalizados

Los dominios personalizados le permiten especificar el dominio de las direcciones URL externas. Para usar dominios personalizados, debe cargar el certificado para ese dominio. Para información sobre cómo usar certificados y dominios personalizados, consulte Uso de dominios personalizados en el proxy de la aplicación de Microsoft Entra.

Si se están produciendo problemas al cargar el certificado, busque los mensajes de error en el portal para información adicional sobre el problema con el certificado. Algunos problemas habituales con los certificados son:

  • Certificado expirado
  • Certificado autofirmado
  • Certificado que carece de clave privada

El mensaje de error se muestra en la esquina superior derecha cuando se intenta cargar el certificado. También puede seleccionar el icono de notificación para ver los mensajes de error.

Pasos siguientes