Megosztás a következőn keresztül:

Egyéni tartományok konfigurálása Microsoft Entra alkalmazásproxyval

  • Cikk

Amikor egy alkalmazást a Microsoft Entra alkalmazásproxyn keresztül tesz közzé, külső URL-címet hoz létre a felhasználók számára. Ez az URL-cím lesz az alapértelmezett tartomány yourtenant.msappproxy.net. Ha például egy Kiadás nevű alkalmazást tesz közzé a Contoso nevű bérlőben, a külső URL-cím a következőhttps:\//expenses-contoso.msappproxy.net. Ha ehelyett saját tartománynevet msappproxy.netszeretne használni, konfigurálhat egy egyéni tartományt az alkalmazáshoz.

Az egyéni tartományok előnyei

Érdemes egyéni tartományokat beállítani az alkalmazásokhoz, amikor csak lehetséges. Az egyéni tartományok használatának néhány oka:

  • Az alkalmazások közötti kapcsolatok a vállalati hálózaton kívül is működnek. Egyéni tartomány nélkül, ha az alkalmazás az alkalmazásproxyn kívüli célokra nehezen kódolt belső hivatkozásokat kódolt, és a hivatkozások nem oldhatók fel külsőleg, megszakadnak. Ha a belső és a külső URL-címek megegyeznek, elkerülheti ezt a problémát. Ha nem tud egyéni tartományokat használni, a probléma megoldásának egyéb módjaiért tekintse meg a Microsoft Entra alkalmazásproxyval közzétett alkalmazások merevlemezes hivatkozásainak átirányítása című témakört.

  • A felhasználók könnyebben használhatják az alkalmazást, mert ugyanazt az URL-címet kapják meg a hálózaton belülről vagy kívülről. Nincs szükség a különböző belső és külső URL-címek megismerésére, illetve az aktuális helyük nyomon követésére.

  • Szabályozhatja a védjegyzést, és létrehozhatja a kívánt URL-címeket. Az egyéni tartományok segíthetnek a felhasználók bizalmának kialakításában, mivel a felhasználók a megszokott nevet látják és használják ahelyett msappproxy.net, hogy egy ismerős nevet használnak.

  • Egyes konfigurációk csak egyéni tartományokkal működnek. Szükség van például egyéni tartományokra a Security Assertion Markup Language (SAML) nyelvet használó alkalmazásokhoz. Az SAML Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatakor használatos, de nem tudja használni a WS-összevonást. További információ: Jogcímérzékeny alkalmazások használata az alkalmazásproxyban.

Ha nem tudja egyezni a belső és a külső URL-címekkel, nem annyira fontos egyéni tartományokat használni. De továbbra is kihasználhatja a többi előnyt.

DNS-konfigurációs beállítások

A DNS-konfiguráció beállítására a követelményektől függően számos lehetőség közül választhat:

Azonos belső és külső URL-cím, eltérő belső és külső viselkedés

Ha nem szeretné, hogy a belső felhasználók az alkalmazásproxyn keresztül legyenek irányítva, beállíthat egy osztott agyú DNS-t. A megosztott DNS-infrastruktúra a gazdahely alapján irányítja a névfeloldásokat. A belső gazdagépeket a rendszer egy belső tartománynév-kiszolgálóra, a külső gazdagépeket pedig egy külső tartománynév-kiszolgálóra irányítja.

Maszkolt DNS

Különböző belső és külső URL-címek

Ha a belső és külső URL-címek eltérőek, ne konfigurálja a felosztási agy viselkedését. A felhasználói útválasztás az URL-cím alapján van meghatározva. Ebben az esetben csak a külső DNS-t módosítja, és a külső URL-címet az alkalmazásproxy végpontjának irányítja.

Amikor egy külső URL-címhez egyéni tartományt választ ki, az információs sáv megjeleníti a külső DNS-szolgáltatóhoz hozzáadni kívánt CNAME bejegyzést. Ezeket az információkat mindig az alkalmazás alkalmazásproxy oldalára lépve tekintheti meg.

Egyéni tartományok beállítása és használata

Ha szeretne egy helyszíni alkalmazást egyéni tartomány használatához konfigurálni, egy hitelesített egyéni Microsoft Entra-tartományra, az egyéni tartományhoz egy PFX-tanúsítványra, és egy konfigurálni kívánt helyszíni alkalmazásra lesz szüksége.

Fontos

Ön felelős az egyéni tartományokat a msappproxy.net tartományra átirányító DNS-rekordok karbantartásáért. Ha úgy dönt, hogy később törli az alkalmazást vagy a bérlőt, mindenképpen törölje az alkalmazásproxy társított DNS-rekordjait is, hogy megakadályozza a dangling DNS-rekordokkal való visszaélést.

Egyéni tartomány létrehozása és ellenőrzése

Egyéni tartomány létrehozása és ellenőrzése:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásadminisztrátorként.
  2. Keresse meg az Identitásbeállítások>>tartományneveket.
  3. Válassza az Egyéni tartomány hozzáadása lehetőséget.
  4. Adja meg az egyéni tartománynevet, és válassza a Tartomány hozzáadása lehetőséget.
  5. A tartománylapon másolja a tartomány TXT rekordadatait.
  6. Lépjen a tartományregisztrálóhoz, és hozzon létre egy új TXT rekordot a tartományához a másolt DNS-adatok alapján.
  7. Miután regisztrálta a tartományt, a tartomány lapján válassza az Ellenőrzés lehetőséget a Microsoft Entra-azonosítóban. A tartomány állapotának ellenőrzése után a tartományt az összes Microsoft Entra-konfigurációban használhatja, beleértve az alkalmazásproxyt is.

Részletesebb útmutatásért lásd : Egyéni tartománynév hozzáadása a Microsoft Entra felügyeleti központ használatával.

Alkalmazás konfigurálása egyéni tartomány használatára

Az alkalmazás közzététele alkalmazásproxyn keresztül egyéni tartománnyal:

  1. Új alkalmazás esetén a Microsoft Entra Felügyeleti központban keresse meg az Identity>Applications>Enterprise alkalmazásalkalmazás-proxyt.>

  2. Válassza az Új alkalmazás lehetőséget. A Helyszíni alkalmazások szakaszban válassza a Helyszíni alkalmazás hozzáadása lehetőséget.

    Az Enterprise-alkalmazásokban már megtalálható alkalmazások esetében válassza ki a listából, majd válassza az Alkalmazásproxy lehetőséget a bal oldali navigációs sávon.

  3. Az alkalmazásproxy beállításai lapon adjon meg egy nevet , ha saját helyszíni alkalmazást ad hozzá.

  4. A Belső URL-cím mezőben adja meg az alkalmazás belső URL-címét.

  5. A Külső URL-cím mezőben adja meg a listát, és válassza ki a használni kívánt egyéni tartományt.

  6. Válassza a Hozzáadás lehetőséget.

    Egyéni tartomány kiválasztása

  7. Ha a tartomány már rendelkezik tanúsítvánnyal, a Tanúsítvány mező megjeleníti a tanúsítvány adatait. Ellenkező esetben válassza a Tanúsítvány mezőt.

    Ide kattintva feltölthet egy tanúsítványt

  8. Az SSL-tanúsítvány oldalán keresse meg és válassza ki a PFX-tanúsítványfájlt. Adja meg a tanúsítvány jelszavát, és válassza a Tanúsítvány feltöltése lehetőséget. A tanúsítványokról további információt az egyéni tartományok tanúsítványai című szakaszban talál. Ha a tanúsítvány érvénytelen, vagy probléma van a jelszóval, hibaüzenet jelenik meg. Az alkalmazásproxyval kapcsolatos gyakori kérdések néhány hibaelhárítási lépést tartalmaznak.

    Tanúsítvány feltöltése

    Tipp.

    Egy egyéni tartománynak csak egyszer kell feltöltenie a tanúsítványát. Ezt követően a rendszer automatikusan alkalmazza a feltöltött tanúsítványt, amikor az egyéni tartományt más alkalmazásokhoz használja.

  9. Ha hozzáadott egy tanúsítványt, az Alkalmazásproxy lapon válassza a Mentés lehetőséget.

  10. Az Alkalmazásproxy oldal információs sávján jegyezze fel a DNS-zónához hozzáadni kívánt CNAME bejegyzést.

    CNAME DNS-bejegyzés hozzáadása

  11. Kövesse a DNS-rekordok és -rekordkészletek kezelése című témakör utasításait a Microsoft Entra felügyeleti központban egy olyan DNS-rekord hozzáadásához, amely átirányítja az új külső URL-címet az msappproxy.net Azure DNS tartományára. Ha másik DNS-szolgáltatót használ, forduljon a szállítóhoz az utasításokért.

    Fontos

    Győződjön meg arról, hogy megfelelően használja a tartományra msappproxy.net ható CNAME rekordot. Ne mutasson rekordokat IP-címekre vagy kiszolgálói DNS-nevekre, mivel ezek nem statikusak, és hatással lehetnek a szolgáltatás rugalmasságára.

  12. Annak ellenőrzéséhez, hogy a DNS-rekord megfelelően van-e konfigurálva, az nslookup paranccsal ellenőrizze, hogy a külső URL-cím elérhető-e, és a msapproxy.net tartomány aliasként jelenik-e meg.

Az alkalmazás most már be van állítva az egyéni tartomány használatára. A tesztelés vagy a kiadás előtt mindenképpen rendeljen hozzá felhasználókat az alkalmazáshoz.

Ha módosítani szeretné egy alkalmazás tartományát, válasszon egy másik tartományt az alkalmazás alkalmazásproxylapjának Külső URL-cím legördülő listájából. Szükség esetén töltse fel a frissített tartomány tanúsítványát, és frissítse a DNS-rekordot. Ha nem látja a kívánt egyéni tartományt a külső URL-cím legördülő listájában, lehet, hogy nem ellenőrzi a rendszer.

Az alkalmazásproxyval kapcsolatos részletesebb utasításokért tekintse meg az oktatóanyagot: Helyszíni alkalmazás hozzáadása távoli hozzáféréshez alkalmazásproxyn keresztül a Microsoft Entra-azonosítóban.

Tanúsítványok egyéni tartományokhoz

Egy tanúsítvány létrehozza az egyéni tartomány biztonságos TLS-kapcsolatát.

Tanúsítványformátumok

PfX-tanúsítványt kell használnia, hogy minden szükséges köztes tanúsítvány szerepeljen benne. A tanúsítványnak tartalmaznia kell a titkos kulcsot.

A leggyakrabban használt tanúsítvány-aláírási módszerek támogatottak, például a tulajdonos alternatív neve (SAN).

Használhat helyettesítő tanúsítványokat mindaddig, amíg a helyettesítő karakter megfelel a külső URL-címnek. Helyettesítő karaktereket használó alkalmazásokhoz helyettesítő tanúsítványokat kell használnia. Ha a tanúsítvány használatával szeretné elérni az altartományokat is, az altartomány helyettesítő karaktereit tulajdonos alternatív nevekként kell hozzáadnia ugyanabban a tanúsítványban. A *.adventure-works.com tanúsítványa például a *.apps.adventure-works.com esetében meghiúsul, hacsak nem ad hozzá *.apps.adventure-works.com tulajdonos alternatív nevet.

A saját nyilvános kulcsú infrastruktúra (PKI) által kibocsátott tanúsítványokat akkor használhatja, ha a tanúsítványlánc telepítve van az ügyféleszközökön. A Microsoft Intune ezeket a tanúsítványokat a felügyelt eszközökön is üzembe helyezheti. Nem felügyelt eszközök esetén manuálisan kell telepítenie ezeket a tanúsítványokat.

Nem javasoljuk a magángyökerű hitelesítésszolgáltató (CA) használatát, mivel a privát legfelső szintű hitelesítésszolgáltatót is le kell küldeni az ügyfélgépekre, ami számos kihívást jelenthet.

Tanúsítványkezelés

Minden tanúsítványkezelés az egyes alkalmazásoldalakon keresztül történik. Lépjen az alkalmazás alkalmazásproxy lapjára a Tanúsítvány mező eléréséhez.

Ha feltölt egy tanúsítványt, akkor az új alkalmazások használják. Mindaddig, amíg konfigurálva vannak a használatára. Azonban újra fel kell töltenie a tanúsítványt azokhoz az alkalmazásokhoz, amelyek már ott voltak a feltöltéskor.

Amikor egy tanúsítvány lejár, egy figyelmeztetés figyelmezteti, hogy töltsön fel egy másik tanúsítványt. Ha a tanúsítványt visszavonják, a felhasználók biztonsági figyelmeztetést láthatnak az alkalmazás elérésekor. Az alkalmazás tanúsítványának frissítéséhez lépjen az alkalmazás alkalmazásproxy lapjára, válassza a Tanúsítvány lehetőséget, és töltsön fel egy új tanúsítványt. A más alkalmazások által nem használt régi tanúsítványok automatikusan törlődnek.

Következő lépések