A Microsoft Entra alkalmazásproxyval kapcsolatos gyakori kérdések

Nem, az alkalmazásproxy a következő konfigurációelemeket használja, és nem szabad módosítani vagy törölni:

• Engedélyezze/tiltsa le a "Nyilvános ügyfélfolyamatok engedélyezése" lehetőséget.
• CWAP_AuthSecret (titkos ügyfélkódok).
• API-engedélyek. A fenti konfigurációelemek módosítása az alkalmazásregisztrációs oldalon megszakítja a Microsoft Entra alkalmazásproxy előzetes hitelesítését.

Szám Törölnie kell egy alkalmazásproxy-alkalmazást a Microsoft Entra felügyeleti központ Nagyvállalati alkalmazások területéről. Ha törli az alkalmazásproxy-alkalmazást a Microsoft Entra felügyeleti központ Alkalmazásregisztrációk területéről, problémákat tapasztalhat.

A Microsoft Entra alkalmazásproxy használatához P1 vagy P2 Microsoft Entra-azonosítójú licenccel kell rendelkeznie. A licenceléssel kapcsolatos további információkért tekintse meg a Microsoft Entra díjszabását

Ha a licenc lejár, az alkalmazásproxy automatikusan le lesz tiltva. Az alkalmazás adatai legfeljebb egy évig lesznek mentve.

Győződjön meg arról, hogy legalább egy P1 vagy P2 Azonosítójú Microsoft Entra-licenccel és egy Microsoft Entra magánhálózati összekötővel rendelkezik. Az első összekötő sikeres telepítése után a Microsoft Entra alkalmazásproxy szolgáltatás automatikusan engedélyezve lesz.

Ennek oka lehet, hogy a frissítő szolgáltatás nem működik megfelelően, vagy ha a szolgáltatás nem tud új frissítéseket telepíteni.

A frissítő szolgáltatás kifogástalan állapotú, ha fut, és az eseménynaplóban nem szerepelnek hibák (Alkalmazások és szolgáltatások naplói –> Microsoft –> Microsoft Entra privát hálózat –> Frissítő –> Rendszergazda).

Összekötő manuális frissítése:

• Töltse le az összekötő legújabb verzióját. (Az alkalmazásproxyban található a Microsoft Entra felügyeleti központban. A Hivatkozás a Microsoft Entra alkalmazásproxyban is megtalálható: Verziókiadási előzmények.
• A telepítő újraindítja a Microsoft Entra magánhálózati összekötő szolgáltatásait. Bizonyos esetekben szükség lehet a kiszolgáló újraindítására, ha a telepítő nem tudja lecserélni az összes fájlt. Ezért javasoljuk, hogy a frissítés megkezdése előtt zárja be az összes alkalmazást (például Eseménynapló).
• Indítsa el a telepítőt. A frissítési folyamat gyors, és nem igényel hitelesítő adatokat, és az összekötő nincs újra regisztrálva.

Nem, ez a forgatókönyv nem támogatott. Az alapértelmezett beállítások a következők:

• Microsoft Entra privát hálózati összekötő – WAPCSvc – Hálózati szolgáltatás
• Microsoft Entra privát hálózati összekötő updater - WAPCUpdaterSvc - NT Authority\System

Nem, ez jelenleg nem lehetséges. A regisztrációs kísérlet mindig a felhasználó otthoni bérlőjén történik.

A javaslatokért tekintse meg a magánhálózati összekötők és -alkalmazások magas rendelkezésre állását és terheléselosztását.

A privát hálózati összekötő tanúsítványalapú hitelesítést végez az Azure-ban. A TLS-leállítás (TLS/HTTPS-vizsgálat vagy gyorsítás) megszakítja ezt a hitelesítési módszert, és nem támogatott. Az összekötőből az Azure-ba irányuló forgalomnak meg kell kerülnie a TLS-leállítást végző összes eszközt.

Igen. Annak érdekében, hogy a legjobb osztályon belüli titkosítást biztosíthassuk ügyfeleinknek, az alkalmazásproxy szolgáltatás csak a TLS 1.2 protokollok elérését korlátozza. Ezeket a módosításokat 2019. augusztus 31-től fokozatosan bevezették és hatályba léptették. Győződjön meg arról, hogy az összes ügyfél-kiszolgáló és böngésző-kiszolgáló kombináció frissítve van a TLS 1.2 használatával az alkalmazásproxy szolgáltatáshoz való kapcsolat fenntartásához. Ezek közé tartoznak azok az ügyfelek, amelyeket a felhasználók az alkalmazásproxyn keresztül közzétett alkalmazások eléréséhez használnak. Hasznos hivatkozásokat és erőforrásokat a TLS 1.2 előkészítése az Office 365-ben című témakörben talál.

Igen, ez a forgatókönyv az összekötő 1.5.1526.0-s verziójától kezdve támogatott. Lásd: Meglévő helyszíni proxykiszolgálók használata.

Nincs rá ok. Minden globális Rendszergazda istrator- vagy alkalmazásadminisztrátori fiók működik. A telepítés során megadott hitelesítő adatokat a rendszer nem használja a regisztrációs folyamat után. Ehelyett egy tanúsítványt adnak ki az összekötőnek, amelyet ettől a ponttól kezdve a hitelesítéshez használnak.

Az összekötővel együtt települnek teljesítményfigyelési számlálók. A megtekintéshez:

1. Válassza a Start lehetőséget, írja be a "Perfmon" kifejezést, és nyomja le az ENTER billentyűt.
2. Válassza a Teljesítményfigyelő lehetőséget, és kattintson a zöld + ikonra.
3. Adja hozzá a monitorozni kívánt Microsoft Entra magánhálózati összekötőszámlálókat .

Az összekötőnek nem kell ugyanazon az alhálózaton lennie. Szüksége van azonban névfeloldásra (DNS, gazdagépfájl) az erőforráshoz és a szükséges hálózati kapcsolatra (az erőforráshoz való útválasztásra, az erőforráson megnyitott portokra stb.). Javaslatokért tekintse meg a Microsoft Entra-alkalmazásproxy használatakor a hálózati topológia szempontjait.

Az alkalmazásproxyhoz Windows Server 2012 R2 vagy újabb verzió szükséges. A Windows Server 2019 HTTP2-jén jelenleg korlátozás van érvényben. Az összekötő Windows Server 2019 rendszeren való sikeres használatához hozzá kell adnia a beállításkulcsot, és újra kell indítania a kiszolgálót:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\EnableDefaultHttp2 (DWORD) Value: 0 

Amikor egy összekötő fut, aktív marad, miközben csatlakozik a szolgáltatáshoz. Az eltávolított/nem használt összekötők inaktívként vannak megjelölve, és 10 nap inaktivitás után törlődnek a portálról. Az inaktív összekötőt nem lehet manuálisan eltávolítani a Microsoft Entra felügyeleti központból.

Bár ezek az utótagok megjelennek az utótaglistában, ne használja őket. Ezek a tartomány-utótagok nem használhatók a Microsoft Entra alkalmazásproxyval. Ha ezeket a tartományi utótagokat használja, a létrehozott Microsoft Entra alkalmazásproxy-alkalmazás nem fog működni. Használhatja a standard tartomány utótagját msappproxy.net vagy egy egyéni tartományt.

A Microsoft Entra ID egy alkalmazásproxy szolgáltatással rendelkezik, amely lehetővé teszi a felhasználók számára a helyszíni alkalmazások elérését a Microsoft Entra-fiókjukkal való bejelentkezéssel. Ha különböző régiókban telepített összekötőket, úgy optimalizálhatja a forgalmat, ha kiválasztja a legközelebbi alkalmazásproxy felhőszolgáltatás-régiót, amelyet az egyes összekötőcsoportokhoz használni szeretne. Lásd: Forgalom optimalizálása a Microsoft Entra alkalmazásproxyval.

Miután feltöltötte az SSL-tanúsítványt, a portálon megjelenik az "Érvénytelen tanúsítvány, lehetséges helytelen jelszó" üzenet.

Néhány tipp a hiba elhárításához:

• Ellenőrizze, hogy nincs-e probléma a tanúsítvánnyal. Telepítse a helyi számítógépre. Ha nem tapasztal problémát, a tanúsítvány rendben van.
• Győződjön meg arról, hogy a jelszó nem tartalmaz speciális karaktereket. A jelszónak csak a 0-9, az A-Z és az a-z karaktereket kell tartalmaznia.
• Ha a tanúsítványt a Microsoft szoftverkulcstároló-szolgáltatójával hozta létre, az RSA-algoritmust kell használnia.

Az alapértelmezett hossz 85 másodperc. A "hosszú" beállítás 180 másodperc. Az időtúllépési korlát nem hosszabbítható meg.

Nem, ez jelenleg nem támogatott.

A Microsoft Entra alkalmazásproxy-alkalmazás létrehozásakor a rendszer automatikusan hozzáadja az CWAP_AuthSecret nevű ügyfélkulcsot az alkalmazásobjektumhoz (alkalmazásregisztrációhoz).

Az ügyfélkód egy évig érvényes. A rendszer automatikusan létrehoz egy új egyéves ügyfélkulcsot, mielőtt az aktuális érvényes ügyfélkód lejár. Az alkalmazásobjektumban mindig három CWAP_AuthSecret titkos ügyfélkulcs található.

Szám Az eredeti tartalék tartományt kell használnia.

A szóban forgó cikk: Onmicrosoft.com tartalék tartomány hozzáadása és cseréje a Microsoft 365-ben

Az Alkalmazásregisztrációk lapon módosíthatja a kezdőlap URL-címét a kezdőlap kívánt külső URL-címére. A megadott lap betöltődik, amikor az alkalmazás Saját alkalmazások vagy az Office 365 Portálról indul. A konfigurációs lépésekért lásd: Egyéni kezdőlap beállítása közzétett alkalmazásokhoz a Microsoft Entra alkalmazásproxyval

Ha a Microsoft Entra előzetes hitelesítése konfigurálva van, és az alkalmazás URL-címe egy "#" karaktert tartalmaz, amikor először próbál hozzáférni az alkalmazáshoz, a rendszer átirányítja a hitelesítéshez a Microsoft Entra-azonosítóra (login.microsoftonline.com). Miután elvégezte a hitelesítést, a rendszer átirányítja az URL-részre a "#" karakter előtt, és úgy tűnik, hogy minden, ami a "#" után következik, figyelmen kívül lesz hagyva/ eltávolítva. Ha például az URL-cím az https://www.contoso.com/#/home/index.html, a Microsoft Entra-hitelesítés befejezése után a rendszer átirányítja a felhasználót https://www.contoso.com/. Ezt a viselkedést a böngésző a "#" karakter kezelésének köszönhetően tervezheti.

Lehetséges megoldások/ alternatívák:

• Átirányítás beállítása a célról https://www.contoso.com a következőre https://contoso.com/#/home/index.html: . A felhasználónak először hozzá kell férnie https://www.contoso.com.
• Az első hozzáférési kísérlethez használt URL-címnek tartalmaznia kell a "#" karaktert kódolt formában (%23). Előfordulhat, hogy a közzétett kiszolgáló nem fogadja el ezt.
• A passthrough preauthentication típus konfigurálása (nem ajánlott).

Nem, a közzétett alkalmazásokhoz nincs IIS-követelmény. A Windows Serveren kívüli kiszolgálókon futó webalkalmazásokat közzéteheti. Előfordulhat azonban, hogy nem windowsos kiszolgálóval nem tud előhitelesítést használni attól függően, hogy a webkiszolgáló támogatja-e az egyeztetést (Kerberos-hitelesítés). Nincs szükség IIS-ra azon a kiszolgálón, amelyen az összekötő telepítve van.

Az alkalmazásproxy nem adja hozzá automatikusan a HTTP Strict-Transport-Security fejlécet a HTTPS-válaszokhoz, de fenntartja a fejlécet, ha a közzétett alkalmazás által küldött eredeti válaszban szerepel. A funkció engedélyezésére vonatkozó beállítás igazolása az ütemtervben található.

Nem, ha a protokoll http a külső URL-címben van konfigurálva, akkor a Microsoft Entra alkalmazásproxy-végpontja fogadja a bejövő kéréseket a TCP 80 porton, ha a protokoll https , majd a TCP 443 porton.

Igen, néhány példa a belső URL-címekre, beleértve a portokat: http://app.contoso.local:8888/, https://app.contoso.local:8080/, https://app.contoso.local:8081/test/.

A közzétett webalkalmazások által küldött válaszok némelyike tartalmazhat szigorúan kódolt URL-címeket. Ebben az esetben egy hivatkozásfordítási megoldással kell biztosítani, hogy az ügyfél mindig a megfelelő URL-címet használja. A hivatkozásfordítási megoldások összetettek lehetnek, és előfordulhat, hogy nem minden forgatókönyvben működnek. A hivatkozásfordítás dokumentált megoldásait itt találja.

Ajánlott eljárásként ajánlott azonos külső és belső URL-címeket használni. A külső és belső URL-címek azonosnak minősülnek, ha mindkét protocol://hostname:port/path/ URL-cím azonos.

Ez az Egyéni tartományok funkcióval érhető el.

Példák:

Azonos:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

Nem azonos:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

A külső és belső URL-címek azonossá tétele egyáltalán nem lehetséges, ha a belső URL-cím nem szabványos portot tartalmaz (a TCP 80/443-at kivéve).

Bizonyos esetekben módosításokat kell végrehajtani a webalkalmazás konfigurációjában.

A PrincipalsAllowedToDelegateToAccount metódust akkor használja a rendszer, ha az összekötő-kiszolgálók más tartományban vannak, mint a webalkalmazás-szolgáltatásfiók. Erőforrás-alapú korlátozott delegálást igényel. Ha az összekötő-kiszolgálók és a webalkalmazás-szolgáltatásfiók ugyanabban a tartományban vannak, a Active Directory - felhasználók és számítógépek használatával konfigurálhatja a delegálási beállításokat az egyes összekötőgép-fiókokon, lehetővé téve számukra, hogy delegálják őket a cél egyszerű szolgáltatásnévre.

Ha az összekötő-kiszolgálók és a webalkalmazás-szolgáltatásfiók különböző tartományokban vannak, a rendszer erőforrás-alapú delegálást használ. A delegálási engedélyek a cél webkiszolgálón és a webalkalmazás-szolgáltatásfiókon vannak konfigurálva. Ez a korlátozott delegálási módszer viszonylag új. A metódus a Windows Server 2012-ben lett bevezetve, amely támogatja a tartományok közötti delegálást azáltal, hogy lehetővé teszi az erőforrás (webszolgáltatás) tulajdonosának, hogy szabályozza, mely gép- és szolgáltatásfiókok delegálhatók hozzá. Ehhez a konfigurációhoz nincs felhasználói felület, ezért a PowerShellt kell használnia. További információ: A Kerberos korlátozott delegálásának ismertetése alkalmazásproxyval.

Az NTLM-hitelesítés nem használható előhitelesítésként vagy egyszeri bejelentkezési módszerként. Az NTLM-hitelesítés csak akkor használható, ha közvetlenül az ügyfél és a közzétett webalkalmazás között lehet tárgyalni. Az NTLM-hitelesítés használata általában azt eredményezi, hogy megjelenik egy bejelentkezési kérés a böngészőben.

Nem, ez nem fog működni, mert a Microsoft Entra-azonosítóban lévő vendégfelhasználók nem rendelkeznek a fent említett bejelentkezési identitások egyikéhez szükséges attribútummal sem.

Ebben az esetben a "Felhasználónév" névre való visszalépés történik. A B2B-forgatókönyv további részleteiért olvassa el A B2B-felhasználók hozzáférésének biztosítása a Microsoft Entra-azonosítóban a helyszíni alkalmazásokhoz.

A feltételes hozzáférési szabályzatok csak a Microsoft Entra ID-ban sikeresen, előre hitelesített felhasználók számára lesznek kikényszerítve. Az átmenő hitelesítés nem aktiválja a Microsoft Entra-hitelesítést, így a feltételes hozzáférési szabályzatok nem kényszeríthetők ki. Az átmenő hitelesítéssel az MFA-szabályzatokat a helyszíni kiszolgálón kell megvalósítani, ha lehetséges, vagy a Microsoft Entra alkalmazásproxyval történő előhitelesítés engedélyezésével.

Nem, ez a forgatókönyv nem támogatott, mert az alkalmazásproxy leállítja a TLS-forgalmat.

Tekintse meg a Távoli asztal közzététele a Microsoft Entra alkalmazásproxyval című témakört.

Nem, ez a forgatókönyv nem támogatott.

Igen, ez várható. Az előhitelesítési forgatókönyvhez ActiveX-vezérlő szükséges, amely külső böngészőkben nem támogatott.

Igen, ez a forgatókönyv jelenleg nyilvános előzetes verzióban érhető el. Tekintse meg a Távoli asztal közzététele a Microsoft Entra alkalmazásproxyval című témakört.

Igen, ez várható. Ha a felhasználó számítógépe csatlakozik a Microsoft Entra-hoz, a felhasználó automatikusan bejelentkezik a Microsoft Entra-azonosítóba. A felhasználónak csak az RDWeb bejelentkezési űrlapon kell megadnia a hitelesítő adatait.

Ez a beállítás lehetővé teszi, hogy a felhasználó letöltse az rdp-fájlt, és egy másik RDP-ügyfél használja (a távoli asztali webügyfélen kívül). Egy másik RDP-ügyfél (például a Microsoft Távoli asztal ügyfél) általában nem tudja natív módon kezelni az előhitelesítést. Ezért nem működik a forgatókönyv.

Tekintse meg a SharePoint távoli elérésének engedélyezése a Microsoft Entra alkalmazásproxyval című témakört.

A SharePoint mobilalkalmazás jelenleg nem támogatja a Microsoft Entra előhitelesítését.

Szám A Microsoft Entra alkalmazásproxy úgy lett kialakítva, hogy a Microsoft Entra-azonosítóval működjön, és nem felel meg az AD FS-proxyként való működésre vonatkozó követelményeknek.

Nem, ez nem lehetséges.

A WebSocket protokollt használó alkalmazások, például a QlikSense és a Távoli asztali webügyfél (HTML5) mostantól támogatottak. Az alábbiak ismert korlátozások:

• Az alkalmazásproxy elveti a kiszolgáló válaszán a WebSocket-kapcsolat megnyitásakor beállított cookie-t.
• A WebSocket-kérelemre nincs SSO alkalmazva.
• A Windows Rendszergazda Center (WAC) szolgáltatásai (Eventlogs, PowerShell és Távoli asztali szolgáltatások) nem működnek a Microsoft Entra alkalmazásproxyn keresztül.

A WebSocket-alkalmazás nem rendelkezik egyedi közzétételi követelményekkel, és ugyanúgy közzétehető, mint a többi alkalmazásproxy-alkalmazás.

Igen. A hivatkozásfordítás hatással van a teljesítményre. Az alkalmazásproxy szolgáltatás megvizsgálja az alkalmazást, és lecseréli azokat a megfelelő, közzétett külső URL-címekre, mielőtt a felhasználó elé tárja őket.

A legjobb teljesítmény érdekében javasoljuk, hogy egyéni tartományok konfigurálásával azonos belső és külső URL-címeket használjunk. Ha egyéni tartományok használata nem lehetséges, a Saját alkalmazások Biztonságos bejelentkezés bővítmény vagy a Microsoft Edge Böngésző mobileszközökön történő használatával javíthatja a hivatkozásfordítás teljesítményét. Lásd: A Microsoft Entra alkalmazásproxyval közzétett alkalmazásokra vonatkozó, szigorúan kódolt átirányítási hivatkozások.

Ez a forgatókönyv nem támogatott közvetlenül. Ebben a forgatókönyvben a következő lehetőségek közül választhat:

1. A HTTP- és HTTPS-URL-címeket külön alkalmazásként is közzéteheti helyettesítő karakterrel, de mindegyiknek adjon egy másik egyéni tartományt. Ez a konfiguráció működik, mivel eltérő külső URL-címekkel rendelkeznek.

2. A HTTPS URL-cím közzététele helyettesítő alkalmazáson keresztül. Tegye közzé a HTTP-alkalmazásokat külön az alkalmazásproxy PowerShell-parancsmagjaival:

   • Alkalmazásproxy-alkalmazáskezelés
   • privát hálózati összekötő kezelése