Halaman ini menjawab pertanyaan yang sering diajukan tentang proksi aplikasi Microsoft Entra.
Umum
Bisakah saya mengubah aplikasi proksi aplikasi dari halaman **Pendaftaran aplikasi** di pusat admin Microsoft Entra?
Tidak, item konfigurasi berikut sedang digunakan oleh proksi aplikasi dan tidak boleh diubah atau dihapus:
- Aktifkan/Nonaktifkan "Izinkan aliran klien publik".
- CWAP_AuthSecret (Rahasia klien).
- Izin API. Memodifikasi salah satu item konfigurasi di atas pada halaman Pendaftaran aplikasi akan merusak praautomatisasi untuk proksi aplikasi Microsoft Entra.
Bisakah saya menghapus aplikasi proksi aplikasi dari halaman Pendaftaran aplikasi di pusat admin Microsoft Entra?
Tidak, Anda harus menghapus aplikasi proksi aplikasi dari area Aplikasi perusahaan di pusat admin Microsoft Entra. Jika Anda menghapus aplikasi proksi aplikasi dari area Pendaftaran aplikasi pusat admin Microsoft Entra, maka Anda dapat mengalami masalah.
Lisensi apa yang diperlukan untuk menggunakan proksi aplikasi Microsoft Entra?
Untuk menggunakan proksi aplikasi Microsoft Entra, Anda harus memiliki lisensi Microsoft Entra ID P1 atau P2. Untuk informasi selengkapnya tentang lisensi, lihat Harga Microsoft Entra
Apa yang terjadi pada proksi aplikasi Microsoft Entra di penyewa saya, jika lisensi saya kedaluwarsa?
Jika lisensi Anda kedaluwarsa, proksi aplikasi akan dinonaktifkan secara otomatis. Informasi aplikasi Anda disimpan hingga satu tahun.
Mengapa tombol "Aktifkan proksi aplikasi berwarna abu-abu?
Pastikan Anda memiliki setidaknya lisensi Microsoft Entra ID P1 atau P2 dan konektor jaringan privat Microsoft Entra yang terinstal. Setelah Anda berhasil menginstal konektor pertama Anda, layanan proksi aplikasi Microsoft Entra diaktifkan secara otomatis.
Konfigurasi konektor
Apakah proksi aplikasi menggunakan konektor yang sama dengan Akses Privat Microsoft Entra?
Ya, konektor jaringan privat Microsoft Entra digunakan oleh proksi aplikasi dan Akses Privat Microsoft Entra. Untuk mempelajari selengkapnya tentang konektor, lihat Konektor jaringan privat Microsoft Entra. Untuk memecahkan masalah konfigurasi konektor, lihat memecahkan masalah konektor.
Konfigurasi aplikasi
Bisakah saya menggunakan akhiran domain '[nama penyewa].onmicrosoft.com' atau '[nama penyewa].mail.onmicrosoft.com' di URL eksternal?
Meskipun akhiran ini muncul dalam daftar akhiran, Anda tidak boleh menggunakannya. Akhiran domain ini tidak dimaksudkan untuk digunakan dengan proksi aplikasi Microsoft Entra. Jika Anda menggunakan akhiran domain ini, aplikasi proksi aplikasi Microsoft Entra yang dibuat tidak akan berfungsi.
Anda dapat menggunakan akhiran domain standar msappproxy.net atau domain kustom.
Apakah proksi aplikasi mendukung cloud berdaulat dan regional?
MICROSOFT Entra ID memiliki layanan proksi aplikasi yang memungkinkan pengguna mengakses aplikasi lokal dengan masuk dengan akun Microsoft Entra mereka. Jika Anda telah menginstal konektor di berbagai wilayah, Anda dapat mengoptimalkan lalu lintas dengan memilih wilayah layanan cloud proksi aplikasi terdekat untuk digunakan dengan setiap grup konektor, lihat Mengoptimalkan arus lalu lintas dengan proksi aplikasi Microsoft Entra.
Saya menerima kesalahan tentang sertifikat yang tidak valid atau kemungkinan kata sandi yang salah.
Setelah mengunggah sertifikat SSL, Anda menerima pesan "Sertifikat tidak valid, kemungkinan kesalahan sandi" pada portal.
Berikut beberapa tips untuk pemecahan masalah untuk kesalahan ini:
- Periksa adanya masalah pada sertifikat. Instal sertifikat di komputer lokal Anda. Jika Anda tidak mengalami masalah, maka sertifikat dalam kondisi baik.
- Pastikan kata sandi tidak berisi karakter khusus apa pun. Kata sandi hanya boleh berisi karakter 0-9, A-Z, dan a-z.
- Jika sertifikat dibuat dengan Penyedia Penyimpanan Kunci Perangkat Lunak Microsoft, algoritma RSA harus digunakan.
Berapa lama waktu habis backend default dan "panjang"? Apakah waktu habis dapat diperpanjang?
Waktu habis default adalah 85 detik. Pengaturan "panjang" adalah 180 detik. Batas waktu habis tidak dapat diperpanjang.
Bisakah perwakilan layanan mengelola proksi aplikasi menggunakan Api PowerShell atau Microsoft Graph?
Tidak, untuk sekarang, hal ini tidak dapat dilakukan.
Apa yang terjadi jika saya menghapus CWAP_AuthSecret (rahasia klien) pada pendaftaran aplikasi?
Rahasia klien, juga disebut CWAP_AuthSecret, secara otomatis ditambahkan ke objek aplikasi (pendaftaran aplikasi) saat aplikasi proksi aplikasi Microsoft Entra dibuat.
Rahasia klien berlaku selama satu tahun. Rahasia klien satu tahun baru secara otomatis dibuat sebelum rahasia klien yang valid saat ini kedaluwarsa. Tiga rahasia klien CWAP_AuthSecret selalu disimpan di objek aplikasi.
Penting
Menghapus CWAP_AuthSecret melanggar praautortikasi untuk proksi aplikasi Microsoft Entra. Jangan hapus CWAP_AuthSecret.
Saya menggunakan atau ingin menggunakan proksi aplikasi Microsoft Entra. Dapatkah saya mengganti domain fallback "onmicrosoft.com" penyewa saya di Microsoft 365 seperti yang disarankan dalam artikel "Tambahkan dan ganti domain fallback onmicrosoft.com Anda di Microsoft 365"?
Tidak, Anda harus menggunakan domain fallback asli.
Artikel yang disebutkan dalam pertanyaan: Menambahkan dan mengganti domain fallback onmicrosoft.com Anda di Microsoft 365
Bagaimana cara mengubah halaman arahan yang dimuat oleh aplikasi saya?
Dari halaman Pendaftaran Aplikasi, Anda dapat mengubah URL halaman beranda ke URL eksternal halaman landing yang diinginkan. Halaman yang ditentukan dimuat saat aplikasi diluncurkan dari Aplikasi Saya atau Portal Office 365. Untuk langkah-langkah konfigurasi, lihat Mengatur halaman beranda kustom untuk aplikasi yang diterbitkan dengan menggunakan proksi aplikasi Microsoft Entra
Mengapa saya dialihkan ke URL yang terpotong saat saya mencoba mengakses aplikasi yang diterbitkan setiap kali URL berisi karakter "#" (tagar)?
Jika praautentikasi Microsoft Entra dikonfigurasi, dan URL aplikasi berisi karakter "#" saat Anda mencoba mengakses aplikasi untuk pertama kalinya, Anda akan diarahkan ke ID Microsoft Entra (login.microsoftonline.com) untuk autentikasi. Setelah menyelesaikan autentikasi, Anda akan diarahkan ke bagian URL sebelum karakter "#" dan semua yang muncul setelah "#" tampaknya diabaikan/ dihapus. Misalnya jika URL adalah https://www.contoso.com/#/home/index.html, setelah autentikasi Microsoft Entra selesai, pengguna dialihkan ke https://www.contoso.com/.
Perilaku ini dirancang karena cara karakter "#" ditangani oleh browser.
Kemungkinan solusi/alternatif:
- Siapkan pengalihan dari
https://www.contoso.comkehttps://contoso.com/#/home/index.html. Pengguna harus mengakseshttps://www.contoso.comterlebih dahulu. - URL yang digunakan untuk upaya akses pertama harus menyertakan karakter “#” dalam bentuk yang dikodekan (%23). Server yang diterbitkan mungkin tidak menerima ini.
- Mengonfigurasi jenis pra-autentikasi passthrough (tidak disarankan).
Apakah aplikasi yang hanya berbasis IIS dapat dipublikasikan? Bagaimana dengan aplikasi web yang berjalan di server web non-Windows? Apakah konektor harus diinstal di server yang memiliki penginstalan IIS?
Tidak, tidak ada persyaratan IIS untuk aplikasi yang dipublikasikan. Anda dapat mempublikasikan aplikasi web yang berjalan pada server selain Windows Server. Namun, Anda mungkin tidak dapat menggunakan praautentikasi dengan Server non-Windows, tergantung pada apakah server web mendukung Negosiasi (autentikasi Kerberos). IIS tidak diperlukan di server tempat konektor diinstal.
Dapatkah saya mengonfigurasi proksi aplikasi untuk menambahkan header HSTS?
Proksi aplikasi tidak secara otomatis menambahkan header HTTP Strict-Transport-Security ke respons HTTPS, tetapi mempertahankan header jika berada dalam respons asli yang dikirim oleh aplikasi yang diterbitkan. Pembuktian pengaturan untuk mengaktifkan fungsi ini masih dalam perencanaan.
Bisakah saya menggunakan nomor port kustom di URL eksternal?
Tidak, jika protokol http dikonfigurasi di URL eksternal, titik akhir proksi aplikasi Microsoft Entra menerima permintaan masuk pada port TCP 80, jika protokol https kemudian pada port TCP 443.
Bisakah saya menggunakan nomor port kustom di URL internal?
Ya, beberapa contoh URL internal meliputi port: http://app.contoso.local:8888/, https://app.contoso.local:8080/, https://app.contoso.local:8081/test/.
Apa permasalahan yang muncul jika URL eksternal dan internal berbeda?
Beberapa respons yang dikirim oleh aplikasi web yang diterbitkan mungkin berisi URL yang dikodekan secara permanen. Jika demikian, ini harus dipastikan dengan menggunakan solusi terjemahan link yang selalu menggunakan URL yang benar dari klien. Solusi terjemahan link mungkin bersifat kompleks dan tidak berfungsi dalam semua skenario. Anda dapat menemukan solusi untuk terjemahan link yang terdokumentasi di sini.
Sebagai praktik terbaik, disarankan untuk menggunakan URL eksternal dan internal yang identik. URL eksternal dan internal dianggap identik, jika protocol://hostname:port/path/ di kedua URL identik.
Hal ini dapat dicapai dengan menggunakan fitur Domain Kustom.
Contoh:
Identik:
External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/
Tidak identik:
External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/
External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/
External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/
Membuat URL eksternal dan internal yang identik tidak dimungkinkan sama sekali, jika URL internal berisi port nonstandar (selain TCP 80 / 443).
Dalam beberapa skenario perubahan harus dilakukan pada konfigurasi aplikasi web.
Autentikasi Windows yang terintegrasi
Kapan saya harus menggunakan metode PrincipalsAllowedToDelegateToAccount saat mengatur Delegasi Terbatas Kerberos (KCD)?
Metode PrincipalsAllowedToDelegateToAccount digunakan saat server konektor berada di domain yang berbeda dengan akun layanan aplikasi web. Metode ini memerlukan penggunaan Delegasi Terbatas berbasis Sumber Daya. Jika server konektor dan akun layanan aplikasi web berada di domain yang sama, Anda dapat menggunakan Komputer dan Pengguna Active Directory untuk mengonfigurasi pengaturan delegasi pada setiap akun mesin konektor, memungkinkan akun tersebut untuk mendelegasikan ke SPN target.
Jika server konektor dan akun layanan aplikasi web berada di domain yang berbeda, delegasi berbasis Sumber Daya akan digunakan. Izin delegasi dikonfigurasi pada server web target dan akun layanan aplikasi web. Metode Delegasi Terbatas ini relatif baru. Metode ini diperkenalkan di Windows Server 2012, yang mendukung delegasi lintas domain dengan memungkinkan pemilik sumber daya (layanan web) mengontrol akun komputer dan layanan mana yang dapat mendelegasikannya. Tidak ada antarmuka pengguna untuk membantu konfigurasi ini, jadi Anda perlu menggunakan PowerShell. Untuk informasi selengkapnya, lihat whitepaper Memahami Delegasi yang Dibatasi Kerberos dengan proksi aplikasi.
Apakah autentikasi NTLM berfungsi dengan proksi aplikasi Microsoft Entra?
Autentikasi NTLM tidak dapat digunakan sebagai metode praautentikasi atau akses menyeluruh. Autentikasi NTLM dapat digunakan hanya saat autentikasi NTLM dapat dinegosiasikan secara langsung antara klien dan aplikasi web yang dipublikasikan. Menggunakan autentikasi NTLM biasanya menyebabkan perintah masuk muncul di browser.
Dapatkah saya menggunakan identitas masuk "Nama prinsipal pengguna lokal" atau "Nama akun SAM lokal" dalam skenario akses menyeluruh B2B IWA?
Tidak, ini tidak akan berfungsi, karena pengguna tamu di ID Microsoft Entra tidak memiliki atribut yang diperlukan oleh salah satu identitas masuk yang disebutkan di atas.
Dalam hal ini ada fallback ke "Nama prinsipal pengguna". Untuk detail selengkapnya tentang skenario B2B, silakan baca Memberikan pengguna B2B di akses ID Microsoft Entra ke aplikasi lokal Anda.
Autentikasi pass-through
Apakah saya dapat menggunakan Kebijakan Akses Bersyarat untuk aplikasi yang dipublikasikan dengan autentikasi pass-through?
Kebijakan Akses Bersyariah hanya diberlakukan untuk pengguna yang berhasil diautentikasi sebelumnya di ID Microsoft Entra. Autentikasi pass-through tidak memicu autentikasi Microsoft Entra, sehingga Kebijakan Akses Bersyar tidak dapat diberlakukan. Dengan autentikasi pass-through, kebijakan MFA harus diterapkan di server lokal, jika memungkinkan, atau dengan mengaktifkan praautentikasi dengan proksi aplikasi Microsoft Entra.
Apakah saya dapat mempublikasikan aplikasi web dengan persyaratan autentikasi sertifikat klien?
Tidak, skenario ini tidak didukung karena proksi aplikasi mengakhiri lalu lintas TLS.
Publikasi Gateway Desktop Jarak Jauh
Bagaimana cara menerbitkan Gateway Desktop Jauh melalui proksi aplikasi Microsoft Entra?
Lihat Menerbitkan Desktop Jauh dengan proksi aplikasi Microsoft Entra.
Dapatkah saya menggunakan Delegasi Yang Dibatasi Kerberos (akses menyeluruh - Autentikasi Terintegrasi Windows) dalam skenario penerbitan Gateway Desktop Jauh?
Tidak, skenario ini tidak didukung.
Pengguna saya tidak menggunakan Internet Explorer 11 dan skenario praauthentication tidak berfungsi untuk mereka. Apakah ini hal yang wajar?
Ya, hal ini wajar terjadi. Skenario pra-autentikasi memerlukan kontrol ActiveX, yang tidak didukung di browser pihak ketiga.
Apakah Klien Web Desktop Jarak Jauh (HTML5) didukung?
Ya, kini skenario ini dalam pratinjau publik. Lihat Menerbitkan Desktop Jauh dengan proksi aplikasi Microsoft Entra.
Setelah saya mengonfigurasi skenario praautentikasi, saya menyadari bahwa pengguna harus mengautentikasi dua kali: pertama pada formulir masuk Microsoft Entra, lalu pada formulir masuk RDWeb. Apakah ini hal yang wajar? Bagaimana cara mengurangi menjadi satu kali masuk saja?
Ya, hal ini wajar terjadi. Jika komputer pengguna bergabung dengan Microsoft Entra, pengguna masuk ke ID Microsoft Entra secara otomatis. Pengguna hanya perlu memberikan kredensial mereka pada formulir masuk RDWeb.
Dapatkah saya menggunakan opsi Metode Peluncuran Sumber Daya "Unduh file rdp" di bawah Pengaturan di Portal Klien Web Desktop Jauh dalam skenario praautentikasi Microsoft Entra?
Opsi ini memungkinkan pengguna untuk mengunduh file rdp dan dapat digunakan oleh klien RDP lain (di luar Klien Web Desktop Jauh). Biasanya, klien RDP lain (seperti klien Desktop Jauh Microsoft) tidak dapat menangani praauthentication secara asli. Itu sebabnya skenario tidak berfungsi.
Penerbitan SharePoint
Bagaimana cara menerbitkan SharePoint melalui proksi aplikasi Microsoft Entra?
Lihat Mengaktifkan akses jarak jauh ke SharePoint dengan proksi aplikasi Microsoft Entra.
Apakah saya dapat menggunakan aplikasi seluler SharePoint (iOS/ Android) untuk mengakses SharePoint Server yang dipublikasikan?
Publikasi Active Directory Federation Services (AD FS)
Dapatkah saya menggunakan proksi aplikasi Microsoft Entra sebagai proksi AD FS (seperti proksi aplikasi Web)?
Tidak, proksi aplikasi Microsoft Entra dirancang untuk bekerja dengan ID Microsoft Entra dan tidak memenuhi persyaratan untuk bertindak sebagai proksi AD FS.
Dapatkah saya menggunakan proksi aplikasi Microsoft Entra untuk menerbitkan titik akhir AD FS apa pun (seperti /adfs/portal/updatepassword/)?
Tidak, ini tidak didukung.
WebSocket
Apakah proksi aplikasi Microsoft Entra mendukung protokol WebSocket?
Aplikasi yang menggunakan protokol WebSocket, misalnya QlikSense dan Remote Desktop Web Client (HTML5), sekarang didukung. Berikut ini adalah batasan umum:
- Proxy aplikasi membuang cookie yang diatur pada respons server saat membuka koneksi WebSocket.
- Tidak ada SSO yang diterapkan ke permintaan WebSocket.
- Fitur (Eventlogs, PowerShell, dan Layanan Desktop Jarak Jauh) di Pusat Admin Windows (WAC) tidak berfungsi melalui proksi aplikasi Microsoft Entra.
Aplikasi WebSocket tidak memiliki persyaratan penerbitan unik, dan dapat diterbitkan dengan cara yang sama seperti semua aplikasi proksi aplikasi Anda yang lain.
Terjemahan tautan
Apakah menggunakan Terjemahan tautan mempengaruhi performa?
Ya. Terjemahan tautan mempengaruhi performa. Layanan proksi aplikasi memindai aplikasi untuk tautan yang dikodekan secara permanen dan menggantinya dengan URL eksternal yang diterbitkan masing-masing sebelum menyajikannya kepada pengguna.
Untuk performa terbaik, sebaiknya gunakan URL internal dan eksternal yang identik dengan mengonfigurasi domain kustom. Jika menggunakan domain kustom tidak memungkinkan, Anda dapat meningkatkan performa terjemahan tautan dengan menggunakan Ekstensi Masuk Aman Aplikasi Saya atau Browser Microsoft Edge di perangkat seluler. Lihat Mengalihkan tautan yang dikodekan secara permanen untuk aplikasi yang diterbitkan dengan proksi aplikasi Microsoft Entra.
Wildcard
Bagaimana cara menggunakan wildcard untuk mempublikasikan dua aplikasi dengan nama domain kustom yang sama namun dengan protokol yang berbeda, satu untuk HTTP dan satu lagi untuk HTTPS?
Skenario ini tidak didukung secara langsung. Opsi untuk skenario ini adalah:
Mempublikasikan URL HTTP dan HTTPS sebagai aplikasi terpisah dengan wildcard, tetapi beri masing-masing domain kustom yang berbeda. Konfigurasi ini berfungsi karena mereka memiliki URL eksternal yang berbeda.
Mempublikasikan URL HTTPS melalui aplikasi wildcard. Terbitkan aplikasi HTTP secara terpisah menggunakan cmdlet PowerShell proksi aplikasi ini: