Bagikan melalui


Mengonfigurasi domain kustom dengan proksi aplikasi Microsoft Entra

Saat menerbitkan aplikasi melalui proksi aplikasi Microsoft Entra, Anda membuat URL eksternal untuk pengguna Anda. URL ini mendapatkan domain yourtenant.msappproxy.netdefault . Misalnya, jika Anda memublikasikan aplikasi bernama Pengeluaran di penyewa bernama Contoso, URL eksternalnya adalah https:\//expenses-contoso.msappproxy.net. Jika Anda ingin menggunakan nama domain Anda sendiri alih-alih msappproxy.net, Anda dapat mengonfigurasi domain kustom untuk aplikasi Anda.

Manfaat domain kustom

Sebaiknya siapkan domain kustom untuk aplikasi Anda jika memungkinkan. Beberapa alasan untuk menggunakan domain kustom meliputi:

  • Tautan antar aplikasi berfungsi bahkan di luar jaringan perusahaan. Tanpa domain kustom, jika aplikasi Anda melakukan hard-coding tautan internal ke target di luar proksi aplikasi, dan tautan tidak dapat diselesaikan secara eksternal, tautan tersebut akan rusak. Ketika URL internal dan eksternal Anda sama, Anda menghindari masalah ini. Jika Anda tidak dapat menggunakan domain kustom, lihat Mengalihkan tautan yang dikodekan secara permanen untuk aplikasi yang diterbitkan dengan proksi aplikasi Microsoft Entra untuk cara lain mengatasi masalah ini.

  • Pengguna Anda memiliki pengalaman yang lebih mudah, karena mereka masuk ke aplikasi dengan URL yang sama dari dalam atau di luar jaringan Anda. Tidak perlu mempelajari URL internal dan eksternal yang berbeda, atau melacak lokasinya saat ini.

  • Anda dapat mengontrol branding dan membuat URL yang Anda inginkan. Domain kustom dapat membantu membangun kepercayaan diri pengguna Anda, karena pengguna melihat dan menggunakan nama yang sudah dikenal alih-alih msappproxy.net.

  • Beberapa konfigurasi hanya berfungsi dengan domain kustom. Misalnya, Anda memerlukan domain kustom untuk aplikasi yang menggunakan Security Assertion Markup Language (SAML). SAML digunakan saat Anda menggunakan Layanan Federasi Direktori Aktif (AD FS) tetapi tidak dapat menggunakan WS-Federation. Untuk informasi selengkapnya, lihat Bekerja dengan aplikasi yang sadar klaim di proksi aplikasi.

Jika Anda tidak dapat membuat URL internal dan eksternal cocok, tidak sepenting menggunakan domain kustom. Tetapi Anda masih dapat memanfaatkan manfaat lainnya.

Opsi konfigurasi DNS

Ada beberapa opsi untuk menyiapkan konfigurasi DNS Anda, bergantung pada kebutuhan Anda:

URL internal dan eksternal yang sama, perilaku internal dan eksternal yang berbeda

Jika Anda tidak ingin pengguna internal Anda diarahkan melalui proksi aplikasi, Anda dapat menyiapkan DNS split-brain. Infrastruktur DNS terpisah mengarahkan resolusi nama berdasarkan lokasi host. Host internal diarahkan ke server nama domain internal, dan host eksternal ke server nama domain eksternal.

DNS split-brain

URL internal dan eksternal yang berbeda

Ketika URL internal dan eksternal berbeda, jangan mengonfigurasi perilaku split-brain. Perutean pengguna ditentukan menggunakan URL. Dalam hal ini, Anda hanya mengubah DNS eksternal, dan merutekan URL eksternal ke titik akhir proksi aplikasi.

Saat Anda memilih domain kustom untuk URL eksternal, bilah informasi memperlihatkan entri CNAME yang perlu Anda tambahkan ke penyedia DNS eksternal. Anda selalu dapat melihat informasi ini dengan membuka halaman Proksi aplikasi milik aplikasi.

Menyiapkan dan menggunakan domain kustom

Untuk mengonfigurasi aplikasi lokal untuk menggunakan domain kustom, Anda memerlukan domain kustom Microsoft Entra terverifikasi, sertifikat PFX untuk domain kustom, dan aplikasi lokal untuk dikonfigurasi.

Penting

Anda bertanggung jawab untuk mempertahankan catatan DNS yang mengalihkan domain kustom Anda ke msappproxy.net domain. Jika Anda memilih untuk menghapus aplikasi atau penyewa Anda nanti, pastikan juga menghapus catatan DNS terkait untuk proksi aplikasi untuk mencegah penyalahgunaan rekaman DNS yang menggantung.

Membuat dan memverifikasi domain kustom

Untuk membuat dan memverifikasi domain kustom:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi.
  2. Telusuri ke Nama domain Pengaturan>Identitas.>
  3. Pilih Tambahkan domain kustom.
  4. Masukkan nama domain kustom Anda dan pilih Tambahkan Domain.
  5. Di halaman domain, salin informasi rekaman TXT untuk domain Anda.
  6. Buka pencatat domain Anda dan buat catatan TXT baru untuk domain Anda, berdasarkan informasi DNS Anda yang disalin.
  7. Setelah Anda mendaftarkan domain, pada halaman domain di ID Microsoft Entra, pilih Verifikasi. Setelah status domain Diverifikasi, Anda dapat menggunakan domain di semua konfigurasi Microsoft Entra Anda, termasuk proksi aplikasi.

Untuk instruksi selengkapnya, lihat Menambahkan nama domain kustom Anda menggunakan pusat admin Microsoft Entra.

Mengonfigurasi aplikasi untuk menggunakan domain kustom

Untuk menerbitkan aplikasi Anda melalui proksi aplikasi dengan domain kustom:

  1. Untuk aplikasi baru, di pusat admin Microsoft Entra, telusuri proksi Aplikasi>Perusahaan Aplikasi Identity>Applications.>

  2. Pilih Aplikasi baru. Di bagian Aplikasi lokal, pilih Tambahkan aplikasi lokal.

    Untuk aplikasi yang sudah ada di Aplikasi perusahaan, pilih dari daftar, lalu pilih Proksi aplikasi di navigasi kiri.

  3. Pada halaman pengaturan proksi aplikasi, masukkan Nama jika Anda menambahkan aplikasi lokal Anda sendiri.

  4. Di kolom Url Internal, masukkan URL internal untuk aplikasi Anda.

  5. Di bidang Url Eksternal, daftar tarik-turun dan pilih domain kustom yang ingin Anda gunakan.

  6. Pilih Tambahkan.

    Memilih domain kustom

  7. Jika domain sudah memiliki sertifikat, bidang Sertifikat menampilkan informasi sertifikat. Jika tidak, pilih bidang Sertifikat.

    Klik untuk mengunggah sertifikat

  8. Pada halaman Sertifikat SSL, telusuri dan pilih file sertifikat PFX Anda. Masukkan kata sandi untuk sertifikat, dan pilih Unggah Sertifikat. Untuk informasi selengkapnya tentang sertifikat, lihat bagian Sertifikat untuk domain kustom. Jika sertifikat tidak valid, atau ada masalah dengan kata sandi, Anda akan melihat pesan kesalahan. FAQ proksi aplikasi berisi beberapa langkah pemecahan masalah yang dapat Anda coba.

    Mengunggah Sertifikat

    Tip

    Domain kustom hanya memerlukan sertifikatnya yang diunggah sekali. Setelah itu, sertifikat yang diunggah diterapkan secara otomatis saat Anda menggunakan domain kustom untuk aplikasi lain.

  9. Jika Anda menambahkan sertifikat, pada halaman Proksi aplikasi, pilih Simpan.

  10. Di bilah informasi pada halaman Proksi aplikasi, perhatikan entri CNAME yang perlu Anda tambahkan ke zona DNS Anda.

    Menambahkan entri DNS CNAME

  11. Ikuti instruksi di Mengelola rekaman DNS dan kumpulan catatan dengan menggunakan pusat admin Microsoft Entra untuk menambahkan catatan DNS yang mengalihkan URL eksternal baru ke msappproxy.net domain di Azure DNS. Jika penyedia DNS yang berbeda digunakan, hubungi vendor untuk mendapatkan instruksi.

    Penting

    Pastikan Anda menggunakan data CNAME dengan benar yang menunjuk ke msappproxy.net domain. Jangan mengarahkan rekaman ke alamat IP atau nama DNS server karena hal ini tidak bersifat statik dan dapat memengaruhi ketahanan layanan.

  12. Untuk memeriksa apakah catatan DNS dikonfigurasi dengan benar, gunakan perintah nslookup untuk mengonfirmasi bahwa URL eksternal Anda dapat dijangkau dan msapproxy.net domain muncul sebagai alias.

Aplikasi Anda sekarang disiapkan untuk menggunakan domain kustom. Pastikan untuk menetapkan pengguna ke aplikasi Anda sebelum Anda menguji atau merilisnya.

Untuk mengubah domain aplikasi, pilih domain yang berbeda dari daftar tarik-turun di URL Eksternal pada halaman Proksi aplikasi milik aplikasi. Unggah sertifikat untuk domain yang diperbarui, jika perlu, dan perbarui rekaman DNS. Jika Anda tidak melihat domain kustom yang Anda inginkan dalam daftar tarik-turun di URL Eksternal , domain kustom tersebut mungkin belum diverifikasi.

Untuk instruksi selengkapnya tentang proksi aplikasi, lihat Tutorial: Menambahkan aplikasi lokal untuk akses jarak jauh melalui proksi aplikasi di ID Microsoft Entra.

Sertifikat untuk domain kustom

Sertifikat membuat koneksi TLS aman untuk domain kustom Anda.

Format sertifikat

Anda harus menggunakan sertifikat PFX, untuk memastikan semua sertifikat menengah yang diperlukan disertakan. Sertifikat harus menyertakan kunci privat.

Sebagian besar metode tanda tangan sertifikat umum didukung seperti Subject Alternative Name (SAN).

Anda dapat menggunakan sertifikat wildcard selama wildcard cocok dengan URL eksternal. Anda harus menggunakan sertifikat wildcard untuk aplikasi wildcard. Jika ingin menggunakan sertifikat untuk juga mengakses subdomain, Anda harus menambahkan karakter pengganti subdomain sebagai nama alternatif subjek dalam sertifikat yang sama. Misalnya, sertifikat untuk *.adventure-works.com gagal untuk *.apps.adventure-works.com kecuali Anda menambahkan *.apps.adventure-works.com sebagai nama alternatif subjek.

Anda dapat menggunakan sertifikat yang dikeluarkan oleh infrastruktur kunci umum (PKI) Anda sendiri jika rantai sertifikat dipasang pada perangkat klien. Microsoft Intune dapat menyebarkan sertifikat ini ke perangkat terkelola. Untuk perangkat yang tidak dikelola, Anda harus menginstal sertifikat ini secara manual.

Kami tidak merekomendasikan penggunaan Otoritas Sertifikat (CA) akar privat karena CA akar privat juga perlu didorong ke komputer klien, yang dapat menimbulkan banyak tantangan.

Manajemen sertifikat

Semua manajemen sertifikat adalah melalui halaman aplikasi individual. Buka halaman Proksi aplikasi milik aplikasi untuk mengakses bidang Sertifikat.

Jika Anda mengunggah sertifikat, maka aplikasi baru menggunakannya. Selama dikonfigurasi untuk menggunakannya. Namun, Anda perlu mengunggah sertifikat lagi untuk aplikasi yang sudah ada saat Mengunggahnya.

Saat sertifikat kedaluwarsa, Anda akan mendapatkan peringatan yang memberitahu Anda untuk mengunggah sertifikat lain. Jika sertifikat dicabut, pengguna Anda mungkin melihat peringatan keamanan saat mengakses aplikasi. Untuk memperbarui sertifikat aplikasi, navigasikan ke halaman Proksi aplikasi untuk aplikasi tersebut, pilih Sertifikat, dan unggah sertifikat baru. Sertifikat lama yang tidak digunakan oleh aplikasi lain akan dihapus secara otomatis.

Langkah berikutnya