Partager via


Résoudre les problèmes et erreurs liés au proxy d’application

Cet article décrit les étapes à suivre pour résoudre les problèmes et les messages d’erreur dans le proxy d’application Microsoft Entra.

Avant de commencer

La première chose à vérifier est le connecteur. Pour savoir comment déboguer un connecteur de réseau privé, consultez Déboguer les problèmes de connecteur de réseau privé. Si vous rencontrez toujours des problèmes de connexion à votre application, revenez à cet article pour résoudre les problèmes de l’application.

Si un utilisateur rencontre une erreur lors de l’accès ou de la publication d’une application, procédez comme suit pour vérifier que le proxy d’application Microsoft Entra fonctionne correctement :

  • Ouvrez la console Services Windows. Vérifiez que le service de connecteur de réseau privé Microsoft Entra est activé et en cours d’exécution. Examinez la page des propriétés du service proxy d’application.

    Capture d’écran montrant l’état du connecteur de réseau privé Microsoft Entra comme Fonctionnel.

  • Ouvrez l'observateur d'événements. Accédez aux journaux des applications et des services>Microsoft>réseau privé Entra>connecteur>Admin et recherchez les événements de connecteur de réseau privé.

  • Passez en revue les journaux détaillés. Découvrez comment activer les journaux de session de connecteur de réseau privé.

Erreurs de configuration d’application

Passez en revue les sections suivantes pour connaître les problèmes de configuration courants et les résolutions suggérées.

L’application ne s’affiche pas correctement

Vous rencontrez des problèmes avec le rendu de votre application ou elle fonctionne incorrectement, mais aucun message d’erreur spécifique n’apparaît.

Ce problème se produit si une application nécessite du contenu qui existe en dehors du chemin d’accès que vous avez utilisé pour publier l’application.

Par exemple, si vous publiez le chemin d’accès https://yourapp/app, mais que l’application fait référence à des images situées dans https://yourapp/media, les images n’apparaissent pas dans l’application.

Veillez à publier l’application à l’aide du chemin d’accès de niveau supérieur dont vous avez besoin pour inclure tous les fichiers et contenus référencés. Dans l’exemple, ce niveau est http://yourapp/.

Vérifiez que les ressources manquantes ont provoqué le problème :

  1. Ouvrez votre suivi réseau, par exemple à l’aide de Fiddler ou des outils de développement de navigateur (sélectionnez F12 dans Internet Explorer ou Microsoft Edge).
  2. Chargez la page.
  3. Recherchez les erreurs avec le code d'erreur 404.

Une erreur 404 indique que les pages ne sont pas trouvées et que vous devez les publier.

L’application prend trop de temps pour charger

Les applications peuvent être fonctionnelles, mais ont une longue latence.

Vous pouvez apporter des modifications à votre topologie de réseau pour améliorer la vitesse de l’application. Consultez les considérations réseau.

Problème de publication en tant qu’application unique

Si vous ne pouvez pas publier toutes les ressources dans la même application, publiez plusieurs applications et configurez des liens entre eux. Pour ce scénario, nous vous recommandons d’utiliser des domaines personnalisés. Toutefois, cette solution nécessite que vous possédiez le certificat de votre domaine et que vos applications utilisent des noms de domaine complets (FQDN). Pour d’autres options, résolvez les problèmes liés aux liens rompus.

Problème de configuration de la connectivité pour une application

Pour connaître les raisons et les résolutions suggérées, consultez Ports à ouvrir pour une application de proxy.

Problème lors de la configuration du proxy d’application Microsoft Entra dans le portail d’administration

Pour connaître les causes et les résolutions suggérées, consultez l’authentification unique dans une application proxy.

Problème lors de la définition de l’authentification principale sur l’application

Pour connaître les causes et les résolutions suggérées, consultez les articles suivants :

Impossible de se connecter à l’application

Si vous voyez l’erreur This corporate app can’t be accessed et que vous ne pouvez pas vous connecter à votre application, une erreur de configuration s’est produite. Pour obtenir des résolutions suggérées, consultez Résoudre les erreurs de délai d’attente de passerelle incorrectes.

Erreurs de connecteur de réseau privé

Pour connaître les causes et les résolutions suggérées, consultez Installer le connecteur de réseau privé.

Erreurs Kerberos

Le tableau suivant décrit les erreurs les plus courantes et leur résolution dans l’installation et la configuration Kerberos :

Erreur Explication et étapes à suivre
Failed to retrieve the current execution policy for running PowerShell scripts. Si l’installation du connecteur échoue, vérifiez que la stratégie d’exécution de PowerShell n’est pas désactivée.

1. Ouvrez l’Éditeur de stratégie de groupe.
2. Accédez à Configuration de l'ordinateur>Modèles d'administration>Composants Windows>Windows PowerShell, puis double-cliquez sur Activer l'exécution de scripts.
3. Cette stratégie d’exécution peut être définie sur Non configuré ou Activé. Si la stratégie est activée, vérifiez que, sous Options, la stratégie d’exécution est définie sur Autoriser les scripts locaux et les scripts signés distants ou Autoriser tous les scripts.
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Cette erreur indique une configuration incorrecte entre l’ID Microsoft Entra et le serveur d’applications back-end, ou il existe un problème avec la configuration de l’heure et de la date sur les deux ordinateurs. Le serveur principal a refusé le ticket Kerberos créé par Microsoft Entra ID.

Vérifiez que l’ID Microsoft Entra et le serveur d’applications back-end sont configurés correctement. Vérifiez que la configuration de l’heure et de la date sur l’ID Microsoft Entra et le serveur d’applications back-end sont synchronisées.
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Il existe un problème avec la configuration du service de jeton de sécurité (STS). Corrigez la configuration de la revendication nom d’utilisateur principal (UPN) dans le STS.
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Cet événement indique une configuration incorrecte entre l’ID Microsoft Entra et le serveur du contrôleur de domaine, ou un problème dans la configuration de l’heure et de la date sur les deux ordinateurs. Le contrôleur de domaine a refusé le ticket Kerberos créé par Microsoft Entra ID.

Vérifiez que l’ID Microsoft Entra et le serveur d’applications back-end sont configurés correctement, en particulier la configuration du nom de principal de service (SPN). Assurez-vous que le contrôleur de domaine établit une relation de confiance avec Microsoft Entra ID. Les deux doivent utiliser le même domaine. Vérifiez que la configuration de l’heure et de la date sur l’ID Microsoft Entra et le contrôleur de domaine sont synchronisées.
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. Cet événement indique une configuration incorrecte entre l’ID Microsoft Entra et le serveur du contrôleur de domaine, ou un problème dans la configuration de l’heure et de la date sur les deux ordinateurs. Le contrôleur de domaine a refusé le ticket Kerberos créé par Microsoft Entra ID.

Vérifiez que l’ID Microsoft Entra et le serveur d’applications back-end sont configurés correctement, en particulier la configuration spN. Assurez-vous que le contrôleur de domaine établit une relation de confiance avec Microsoft Entra ID. Les deux doivent utiliser le même domaine. Assurez-vous que les configurations de la date/heure sur Microsoft Entra ID et sur le contrôleur de domaine sont synchronisées.
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. Cet événement indique une configuration incorrecte entre l’ID Microsoft Entra et le serveur d’applications back-end, ou un problème de configuration d’heure et de date sur les deux ordinateurs. Le serveur principal a refusé le ticket Kerberos créé par l’ID Microsoft Entra.

Vérifiez que l’ID Microsoft Entra et le serveur d’applications back-end sont configurés correctement. Vérifiez que la configuration de l’heure et de la date sur l’ID Microsoft Entra et le serveur d’applications back-end sont synchronisées.

Pour plus d’informations, consultez Résoudre les problèmes des configurations de délégation Kerberos restreintes pour le proxy d’application.

Erreurs de l’utilisateur de l’application

Le tableau suivant décrit les erreurs qu’un utilisateur d’application peut rencontrer lorsqu’il tente d’accéder à une application proxy d’application :

Erreur Explication et étapes à suivre
The website cannot display the page. Un utilisateur voit l’erreur lorsqu’il tente d’accéder à une application d’authentification Windows intégrée (IWA) que vous avez publiée. Le SPN défini pour l’application est incorrect.

Vérifiez que le SPN de l’application est correct.
The website cannot display the page. Un utilisateur voit l’erreur lorsqu’il tente d’accéder à une application OWA (Outlook Web Application) que vous avez publiée. Le problème résulte des éléments suivants :

- Le SPN défini pour l’application est incorrect. Vérifiez que le SPN de l’application est correct.

- L’utilisateur qui a essayé d’accéder à l’application utilise un compte Microsoft au lieu de son compte d’entreprise pour se connecter, ou l’utilisateur est un utilisateur invité. Assurez-vous que l’utilisateur se connecte à l’aide d’un compte d’entreprise qui correspond au domaine de l’application publiée. Les utilisateurs et invités du compte Microsoft ne peuvent pas accéder aux applications IWA.

- L’utilisateur qui a essayé d’accéder à l’application n’est pas correctement défini pour l’application dans la configuration locale. Vérifiez que l’utilisateur dispose des autorisations locales requises pour accéder à l’application back-end.
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. Cette erreur se produit lorsqu’un utilisateur tente d’accéder à une application à l’aide d’un compte Microsoft ou en tant qu’utilisateur invité. Les utilisateurs et invités du compte Microsoft ne peuvent pas accéder aux applications IWA. Vérifiez que l’utilisateur se connecte avec un compte d’entreprise correspondant au domaine de l’application.

Pour résoudre le problème, accédez à l’onglet Application , sous Utilisateurs et Groupes, puis affectez l’utilisateur ou le groupe à l’application.
This corporate app can’t be accessed right now. Please try again later… The connector timed out. L’utilisateur qui a essayé d’accéder à l’application n’est pas correctement défini pour l’application dans la configuration locale. Vérifiez que l’utilisateur dispose des autorisations locales requises pour accéder à l’application back-end.
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. Un utilisateur voit l’erreur lorsqu’il tente d’accéder à l’application que vous avez publiée s’il n’a pas été explicitement affecté avec une licence Premium par l’administrateur de l’abonné.

Sous l’onglet Licences d’ID Microsoft Entra de l’abonné, vérifiez que l’utilisateur ou le groupe d’utilisateurs reçoit une licence Premium.
A server with the specified host name could not be found. Un utilisateur voit l’erreur lorsqu’il tente d’accéder à l’application que vous avez publiée et que le domaine personnalisé de l’application n’est pas configuré correctement.

Vérifiez le certificat du domaine et configurez l’enregistrement DNS (Domain Name System) correctement.

Pour plus d’informations, consultez Utiliser des domaines personnalisés dans le proxy d’application Microsoft Entra.
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. Le problème peut être un problème lié à l’accès aux informations d’autorisation. Pour en savoir plus, consultez (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information).

Pour résoudre l’erreur, ajoutez le compte machine du connecteur de réseau privé au groupe de domaine intégré Windows Authorization Access.
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. Le connecteur utilise un certificat client pour sécuriser les connexions sortantes aux points de terminaison de service cloud du proxy d’application Microsoft Entra. L’erreur se produit lorsque le certificat client ne parvient pas à atteindre le point de terminaison. Par exemple, il peut se produire lorsqu’un appareil réseau effectue une inspection TLS (Transport Layer Security) ou interrompt la connexion TLS.

Pour résoudre l’erreur, évitez l’inspection inline et l’arrêt des communications TLS sortantes. L’inspection et l’arrêt ne doivent pas se produire entre les connecteurs de réseau privé Microsoft Entra et les services cloud de proxy d’application Microsoft Entra.