Ajouter une application en local pour l’accès à distance via le proxy d’application dans Microsoft Entra ID

  • Article

Microsoft Entra ID dispose d’un service Proxy d’application qui permet aux utilisateurs d’accéder à des applications locales en se connectant avec leur compte Microsoft Entra. Pour en savoir plus sur le proxy d’application, consultez Qu’est-ce qu’un proxy d’application ?. Ce tutoriel prépare votre environnement pour utiliser Proxy d’application. Une fois que votre environnement est prêt, utilisez le centre d’administration Microsoft Entra pour ajouter une application locale à votre locataire.

Diagramme de vue d’ensemble du proxy d’application

Dans ce tutoriel, vous allez :

  • Installez et vérifiez le connecteur sur votre serveur Windows, et inscrivez-le au proxy d’application.
  • Ajoutez une application locale à votre locataire Microsoft Entra.
  • Vérifiez qu’un utilisateur de test peut se connecter à l’application avec un compte Microsoft Entra.

Prérequis

Pour ajouter une application locale à Microsoft Entra ID, il vous faut :

  • Un abonnement Microsoft Entra ID P1 ou P2.
  • Un compte d’administrateur d’application.
  • Un ensemble synchronisé d’identités utilisateur avec un annuaire local. Ou créez-le directement dans vos tenants Microsoft Entra. La synchronisation des identités permet à Microsoft Entra ID de pré-authentifier des utilisateurs avant de leur accorder l’accès aux applications publiées via Proxy d’application. La synchronisation fournit également les informations d’identifiant utilisateur nécessaires pour effectuer une authentification unique (SSO).
  • Pour une meilleure compréhension de la gestion des applications dans Microsoft Entra, consultez Afficher les applications d’entreprise dans Microsoft Entra.
  • Pour une meilleure compréhension de l’authentification unique (SSO), consultez Comprendre l’authentification unique.

Installer et vérifier le connecteur de réseau privé Microsoft Entra

Le proxy d’application utilise le même connecteur que l’Accès privé Microsoft Entra. Le connecteur est appelé connecteur de réseau privé Microsoft Entra. Pour savoir comment installer et vérifier un connecteur, consultez Comment configurer les connecteurs.

Remarques générales

Les enregistrements DNS publics pour les points de terminaison du proxy d'application Microsoft Entra sont des enregistrements CNAME chaînés pointant vers un enregistrement A. Configurer les enregistrements de cette façon garantit la tolérance de panne et la flexibilité. Le connecteur de réseau privé Microsoft Entra accède toujours aux noms d’hôtes portant les suffixes de domaine *.msappproxy.net ou *.servicebus.windows.net. Cependant, pendant la résolution de noms, les enregistrements CNAME peuvent contenir des enregistrements DNS avec des noms d’hôtes et des suffixes différents. En raison de cette différence, vous devez vérifier que l’appareil (selon votre installation : serveur de connecteurs, pare-feu, proxy sortant) peut résoudre tous les enregistrements de la chaîne et permettre la connexion aux adresses IP résolues. Sachant que les enregistrements DNS de la chaîne peuvent être modifiés de temps en temps, nous ne pouvons pas vous fournir de liste d’enregistrements DNS.

Si vous installez des connecteurs dans diverses régions, vous devez optimiser le trafic en sélectionnant la région de service cloud de Proxy d’application la plus proche avec chaque groupe de connecteurs. Pour découvrir plus d’informations, voir Optimiser le flux de trafic avec le Proxy d’application Microsoft Entra.

Si votre organisation utilise des serveurs proxy pour se connecter à Internet, vous devez les configurer pour Proxy d’application. Pour plus d’informations, consultez Utiliser des serveurs proxy locaux existants.

Ajouter une application locale à Microsoft Entra ID

Ajoutez des applications locales à Microsoft Entra ID.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’applications au moins.

  2. Accédez à Identité>Applications>Applications d’entreprise.

  3. Sélectionnez Nouvelle application.

  4. Sélectionnez le bouton Ajouter une application locale qui s’affiche à mi-chemin dans la page dans la section Applications locales. Vous pouvez également sélectionner Créer votre propre application en haut de la page, puis Configurer le proxy d’application pour un accès à distance sécurisé à une application locale.

  5. Dans la section Ajouter votre propre application locale, fournissez les informations suivantes relatives à votre application :

    Champ Description
    Nom Nom de l’application qui apparaît sur Mes applications et dans le Centre d’administration Microsoft Entra.
    Mode de maintenance Sélectionnez cette option si vous souhaitez activer le mode maintenance et désactiver temporairement l’accès à l’application pour tous les utilisateurs.
    URL interne URL permettant d'accéder à l'application depuis votre réseau privé. Vous pouvez spécifier un chemin spécifique sur le serveur principal à publier, alors que le reste du serveur n’est pas publié. De cette façon, vous pouvez publier des sites différents sur le même serveur en tant qu’applications distinctes et donner à chacun d’eux son propre nom et ses propres règles d’accès.

    Si vous publiez un chemin d’accès, vérifiez qu’il inclut l’ensemble des images, des scripts et des feuilles de style nécessaires pour votre application. Par exemple, si votre application se trouve à l’adresse https://yourapp/app et utilise des images situées à l’adresse https://yourapp/media, vous devrez publier l’adresse https://yourapp/ comme chemin d’accès. Cette URL interne n’est pas nécessairement la page d’accueil que vos utilisateurs voient. Pour plus d’informations, consultez Définir une page d’accueil personnalisée pour les applications publiées.
    URL externe Adresse permettant aux utilisateurs d'accéder à l'application de l'extérieur de votre réseau. Si vous ne souhaitez pas utiliser le domaine Proxy d’application par défaut, lisez l’article relatif aux domaines personnalisés dans le proxy d’application Microsoft Entra.
    Pré-authentification Façon dont le service Proxy d’application vérifie des utilisateurs avant de leur donner accès à votre application.

    Microsoft Entra ID : Proxy d’application redirige les utilisateurs pour se connecter à Microsoft Entra ID, ce qui authentifie leurs autorisations pour le répertoire et l’application. Nous vous recommandons de conserver cette option par défaut qui vous permet d’utiliser les fonctionnalités de sécurité de Microsoft Entra, comme l’accès conditionnel et l’authentification multifacteur. Microsoft Entra ID est nécessaire pour la supervision de l’application avec les Applications Microsoft Defender pour le cloud.

    Direct : les utilisateurs n’ont pas besoin de s’authentifier auprès de Microsoft Entra pour accéder à l’application. Vous pouvez toujours configurer les exigences d’authentification sur le serveur principal.
    Groupe de connecteurs Les connecteurs gèrent l'accès à distance à votre application et les groupes de connecteurs vous aident à organiser des connecteurs et des applications par région, réseau ou objectif. Si aucun groupe de connecteurs n’est encore créé, votre application est assignée au groupe Par défaut.

    Si votre application utilise des WebSockets pour se connecter, tous les connecteurs du groupe doivent être de la version 1.5.612.0 ou ultérieure.

  6. Si nécessaire, configurez des paramètres supplémentaires. Pour la plupart des applications, vous devez conserver ces paramètres dans leur état par défaut.

    Champ Description
    Expiration de l'application principale Définissez cette valeur sur Long uniquement si l'authentification et la connexion de votre application sont lentes. Par défaut, le délai d’expiration de l’application principale est de 85 secondes. Si la durée configurée est trop longue, le délai d’expiration de l’application principale passe à 180 secondes.
    Utiliser un cookie HTTP-only Sélectionnez cette option pour que les cookies du Proxy d’application incluent un indicateur HTTPOnly dans l’en-tête de réponse HTTP. Si vous utilisez les services Bureau à distance, laissez cette option non sélectionnée.
    Utiliser un cookie persistant Conservez l’option non sélectionnée. Utilisez ce paramètre uniquement pour les applications qui ne peuvent pas partager de cookies entre les processus. Pour plus d’informations sur les paramètres de cookies, consultez Paramètres de cookies pour l’accès aux applications locales dans Microsoft Entra ID.
    Traduire l'URL dans les en-têtes Laissez cette option sélectionnée sauf si votre application a demandé l’en-tête d’hôte d’origine dans la requête d’authentification.
    Traduire les URL dans le corps de l'application Laissez cette option non sélectionnée sauf si des liens HTML sont codés en dur vers d’autres applications locales et que vous n’utilisez aucun domaine personnalisé. Pour obtenir plus d’informations, consultez Rediriger les liens codés en dur pour des applications publiées avec le proxy d’application Microsoft Entra.

    Sélectionnez cette option si vous envisagez de surveiller cette application avec Microsoft Defender for Cloud Apps. Pour plus d’informations, consultez Configurer le monitoring de l’accès aux applications en temps réel avec les applications Microsoft Defender pour le cloud et Microsoft Entra ID.
    Valider le certificat TLS/SSL back-end Sélectionnez cette option afin d’activer la validation du certificat TLS/SSL back-end pour l’application.

  7. Sélectionnez Ajouter.

Test de l’application

Vous êtes prêt à tester que l’application a été correctement ajoutée. Dans les étapes suivantes, vous ajoutez un compte d’utilisateur à l’application et essayer de vous connecter.

Ajouter un utilisateur de test

Avant d'ajouter un utilisateur à l'application, vérifiez que le compte d'utilisateur dispose déjà des autorisations d'accès à l'application depuis le réseau de l'entreprise.

Pour ajouter un utilisateur de test :

  1. Sélectionnez Applications d’entreprise, puis sélectionnez l’application à tester.
  2. Sélectionnez Mise en route, puis Assigner un utilisateur à des fins de test.
  3. Sous Utilisateurs et groupes, sélectionnez Ajouter un utilisateur.
  4. Sous Ajouter une attribution, sélectionnez Utilisateurs et groupes. La section Utilisateurs et groupes apparaît.
  5. Choisissez le compte que vous souhaitez ajouter.
  6. Choisissez Sélectionner, puis sélectionnez Attribuer.

Tester l'authentification

Pour tester l’authentification auprès de l’application :

  1. À partir de l’application que vous souhaitez tester, sélectionnez Proxy d’application.
  2. En haut de la page, sélectionnez Tester l’application pour exécuter un test sur l’application et vérifier les éventuels problèmes de configuration.
  3. Veillez à lancer d’abord l’application pour tester la connexion à l’application, puis téléchargez le rapport de diagnostic pour consulter les conseils de dépannage en fonction des problèmes détectés.

Pour obtenir des informations sur la résolution des problèmes, consultez Résoudre les problèmes de proxy d’application et les messages d’erreur.

Nettoyer les ressources

N’oubliez pas de supprimer les ressources que vous avez créées dans ce tutoriel lorsque vous avez terminé.

Dépannage

Découvrez plus d’informations sur les problèmes courants et sur la façon de les résoudre.

Créer l’application/Définir les URL

Consultez les détails de l’erreur pour obtenir des informations et de suggestions sur la façon de corriger l’application. La plupart des messages d’erreur incluent la suggestion d’un correctif. Pour éviter les erreurs courantes, vérifiez les points suivants :

  • Vous êtes un administrateur autorisé à créer une application de Proxy d’application
  • L’URL interne est unique
  • L’URL externe est unique
  • Les URL commencent par http ou https et se terminent par un signe « / »
  • L’URL doit être un nom de domaine, et non une adresse IP

Le message d’erreur s’affiche en haut à droite lorsque vous créez l’application. Vous pouvez également sélectionner l’icône de notification pour afficher les messages d’erreur.

Charger des certificats pour des domaines personnalisés

Les domaines personnalisés vous permettent de spécifier le domaine de vos URL externes. Pour utiliser des domaines personnalisés, vous devez charger le certificat relatif à ce domaine. Si vous souhaitez obtenir plus d’informations sur l’utilisation des domaines et des certificats personnalisés, consultez Utilisation des domaines personnalisés dans le proxy d’application Microsoft Entra.

Si vous rencontrez des problèmes de chargement de votre certificat, recherchez les messages d’erreur dans le portail pour obtenir plus d’information sur le problème du certificat. Voici les problèmes courants liés aux certificats :

  • Expiration du certificat
  • Certificat auto-signé
  • Clé privée manquante pour le certificat

Le message d’erreur s’affiche en haut à droite lorsque vous tentez de charger le certificat. Vous pouvez également sélectionner l’icône de notification pour afficher les messages d’erreur.

Étapes suivantes