Condividi tramite

Aggiungere un'applicazione locale per l'accesso remoto tramite Application Proxy in Microsoft Entra ID

  • Articolo

Microsoft Entra ID contiene un servizio proxy di applicazione che consente agli utenti di accedere alle applicazioni locali effettuando l'accesso con il proprio account Microsoft Entra. Per altre informazioni sul proxy dell’applicazione, vedere Cos’è il proxy dell’applicazione?. Questa esercitazione consente di preparare l'ambiente per l'uso con il proxy di applicazione. Quando l’ambiente è pronto, utilizzare l'interfaccia di amministrazione di Microsoft Entra per aggiungere un'applicazione locale al tenant.

Diagramma panoramica del proxy dell'applicazione

In questa esercitazione:

  • Installare e verificare il connettore nel server Windows e registrarlo con il proxy di applicazione.
  • Aggiungere un'applicazione locale al tenant di Microsoft Entra.
  • Verificare che un utente di test possa accedere all'applicazione con un account Microsoft Entra.

Prerequisiti

Per aggiungere un'applicazione locale al tenant di Microsoft Entra sono necessari:

  • Una sottoscrizione di Microsoft Entra ID P1 o P2.
  • Un account amministratore dell'applicazione.
  • Un set sincronizzato di identità utente con una directory locale. Oppure crearli direttamente nei tenant di Microsoft Entra. La sincronizzazione delle identità consente a Microsoft Entra ID di preautenticare gli utenti prima di concedere loro l'accesso alle applicazioni pubblicate dal proxy di applicazione. La sincronizzazione fornisce inoltre le informazioni necessarie sull'identificatore utente per eseguire l'accesso Single Sign-On (SSO).
  • Informazioni sulla gestione delle applicazioni in Microsoft Entra, vedere Visualizzare le applicazioni aziendali in Microsoft Entra.
  • Per informazioni sull'accesso Single Sign-On (SSO), vedere Informazioni sul Single Sign-On.

Installare e verificare il connettore di rete privata di Microsoft Entra

Il proxy dell'applicazione usa lo stesso connettore di Accesso privato Microsoft Entra. Il connettore è denominato “Connettore di rete privata di Microsoft Entra”. Per informazioni su come installare e verificare un connettore, vedere Come configurare i connettori.

Osservazioni generali

I record DNS pubblici per gli endpoint Application Proxy di Microsoft Entra sono record CNAME concatenati che puntano a un record A. La configurazione dei record in questo modo garantisce la tolleranza di errore e la flessibilità. Il connettore di rete privata di Microsoft Entra acceda sempre ai nomi host con i suffissi di dominio *.msappproxy.net o *.servicebus.windows.net. Tuttavia, durante la risoluzione dei nomi, i record CNAME potrebbero contenere record DNS con nomi host e suffissi diversi. A causa della differenza, è necessario assicurarsi che il dispositivo (a seconda dell'installazione, del server connettore, del firewall, del proxy in uscita) possa risolvere tutti i record nella catena e consentire la connessione agli indirizzi IP risolti. Poiché i record DNS nella catena potrebbero essere cambiati di tanto in tanto, non è possibile fornire alcun elenco di tali record.

Se si installano connettori in aree diverse, è consigliabile ottimizzare il traffico selezionando l'area del servizio cloud proxy applicazione più vicina con ogni gruppo di connettori. Per maggiori informazioni, vedere Ottimizzare il flusso di traffico con il proxy di applicazione Microsoft Entra.

Se l'organizzazione usa server proxy per connettersi a internet, è necessario configurarli per il proxy di applicazione. Per altre informazioni, vedere Uso di server proxy locali esistenti.

Aggiungere un'app locale a Microsoft Entra ID

Aggiungere un'app locale a Microsoft Entra ID.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali.

  3. Selezionare Nuova applicazione.

  4. Selezionare il pulsante Aggiungi un'applicazione locale visualizzato nella parte inferiore della pagina nella sezione Applicazioni locali. In alternativa, è possibile selezionare Crea un'applicazione personalizzata nella parte superiore della pagina e quindi selezionare Configurare il proxy applicazione per l'accesso remoto sicuro a un'applicazione locale.

  5. Nella sezione Aggiungi applicazione locale personalizzata fornire le informazioni seguenti sull'applicazione:

    Campo Descrizione
    Nome Nome dell'applicazione visualizzata in App personali e nell'interfaccia di amministrazione di Microsoft Entra.
    Modalità di manutenzione Selezionare se si vuole abilitare la modalità di manutenzione e disabilitare temporaneamente l'accesso per tutti gli utenti all'applicazione.
    URL interno URL per accedere all'applicazione dall'interno della rete privata. È possibile indicare un percorso specifico nel server back-end per la pubblicazione, mentre il resto del server non è pubblicato. In questo modo, si possono pubblicare siti diversi nello stesso server come app differenti, assegnando a ognuno un nome e regole di accesso specifici.

    Se si pubblica un percorso, verificare che includa tutte le immagini, gli script e i fogli di stile necessari per l'applicazione. Se ad esempio l'app si trova in https://yourapp/app e usa le immagini che si trovano in https://yourapp/media, come percorso si dovrà pubblicare https://yourapp/. Questo URL interno non deve necessariamente corrispondere alla pagina di destinazione visualizzata dagli utenti. Per altre informazioni, vedere Impostare una home page personalizzata per le app pubblicate tramite il proxy applicazione di Azure AD.
    URL esterno: L'indirizzo per gli utenti per accedere all'app dall'esterno della rete. Se non si desidera usare il dominio del proxy di applicazione predefinito, trovare informazioni sui domini personalizzati nel proxy dell'applicazione di Microsoft Entra.
    Preautenticazione Come il proxy di applicazione verifica gli utenti prima di concedere loro l'accesso all'applicazione.

    Microsoft Entra ID: il proxy di applicazione reindirizza gli utenti in modo che eseguano l'accesso con Microsoft Entra ID, che ne autentica le autorizzazioni per la directory e l'applicazione. È consigliabile lasciare questa opzione come impostazione predefinita, in modo da poter usufruire delle funzionalità di sicurezza di Microsoft Entra come Accesso condizionale e multi-factor authentication. È necessario disporre di Microsoft Entra ID per monitorare l'applicazione con Microsoft Defender for Cloud Apps.

    Passthrough: gli utenti non devono eseguire l'autenticazione a Microsoft Entra ID per accedere all'applicazione. È comunque possibile configurare i requisiti di autenticazione sul back-end.
    Gruppo di connettori I connettori elaborano l'accesso remoto all'applicazione, mentre i gruppi di connettori aiutano a organizzare connettori e app in base all'area geografica, alla rete o allo scopo. Se ancora non si dispone di tutti i gruppi connettore creati, l'app viene assegnata a Impostazione predefinita.

    Se l'applicazione usa WebSocket per la connessione, la versione di tutti i connettori nel gruppo deve essere 1.5.612.0 o versione successiva.

  6. Se necessario, configurare le impostazioni aggiuntive. Per la maggior parte delle applicazioni, è consigliabile mantenere queste impostazioni nei rispettivi stati predefiniti.

    Campo Descrizione
    Timeout applicazione back-end Impostare questo valore su Lungo solo se l'applicazione è lenta nell'autenticazione e nella connessione. Per impostazione predefinita, il timeout dell'applicazione back-end ha una durata di 85 secondi. Se eccessivamente lungo, il timeout del back-end viene aumentato a 180 secondi.
    Usa cookie solo HTTP Selezionare per includere nei cookie del proxy di applicazione il flag HTTPOnly nell'intestazione della risposta HTTP. Se si usano Servizi Desktop remoto, mantenere deselezionata l'opzione.
    Usa cookie persistente Lasciare l’opzione deselezionata. Usare questa impostazione solo per le applicazioni che non possono condividere cookie tra processi. Per altre informazioni sulle impostazioni dei cookie, vedere Impostazioni dei cookie per l'accesso alle applicazioni locali in Microsoft Entra ID.
    Convertire l'URL nelle intestazioni Mantenere questa opzione selezionata a meno che l'applicazione non richieda l'intestazione host originale nella richiesta di autenticazione.
    Convertire gli URL nel corpo dell'applicazione Mantenere questa opzione selezionata a meno i collegamenti HTML non siano hardcoded ad altre applicazioni locali e non si usino domini personalizzati. Per altre informazioni, vedere Traduzione link con proxy dell’applicazione.

    Selezionare questa opzione se si intende monitorare questa applicazione con Microsoft defender for Cloud Apps. Per ulteriori informazioni, vedere Configurare il monitoraggio in tempo reale degli accessi alle applicazioni con Microsoft Defender for Cloud Apps e Microsoft Entra ID.
    Convalidare certificato TLS/SSL back-end Selezionare questa opzione per abilitare la convalida del certificato TLS/SSL back-end per l'applicazione.

  7. Selezionare Aggiungi.

Testare l'applicazione

È ora possibile testare se l'applicazione è stata aggiunta correttamente. Nei passaggi successivi si aggiungerà un account utente all'applicazione e si proverà a eseguire l'accesso.

Aggiungere utente per il test

Prima di aggiungere un utente all'applicazione, verificare che l'account utente abbia già le autorizzazioni per accedere all'applicazione dall'interno della rete aziendale.

Per aggiungere un utente di test:

  1. Selezionare Applicazioni aziendali e quindi selezionare l'applicazione da testare.
  2. Selezionare Attività iniziali e quindi selezionare Assegna utente per il test.
  3. In Utenti e gruppi selezionare Aggiungi utente.
  4. In Aggiungi assegnazione selezionare Utenti e gruppi. Viene visualizzata la sezione Utenti e gruppi.
  5. Scegliere l'account da aggiungere.
  6. Scegliere Seleziona e quindi selezionare Assegna.

Testare l'accesso

Per testare l'autenticazione all'applicazione:

  1. Nell'applicazione da testare selezionare proxy dell'applicazione.
  2. Nella parte superiore della pagina selezionare Test dell'applicazione per eseguire un test dell'applicazione e verificare la presenza di eventuali problemi di configurazione.
  3. Assicurarsi di avviare prima l'applicazione per testare l'accesso alla stessa, quindi scaricare il report di diagnostica per esaminare le istruzioni per la risoluzione di eventuali problemi rilevati.

Per la risoluzione dei problemi, vedere Risolvere i problemi e i messaggi di errore del proxy dell'applicazione.

Pulire le risorse

Non dimenticare di eliminare tutte le risorse create in questa esercitazione al termine.

Risoluzione dei problemi

Informazioni sui problemi comuni e su come risolverli.

Creare l'applicazione/impostazione degli URL

Controllare i dettagli dell'errore per informazioni e suggerimenti su come correggere l'applicazione. La maggior parte dei messaggi di errore include una correzione suggerita. Per evitare errori comuni, verificare quanto segue:

  • Si dispone del ruolo di amministratore con l'autorizzazione a creare un'applicazione proxy dell'applicazione
  • L'URL interno è univoco
  • L'URL esterno è univoco
  • Gli URL iniziano con http o https e terminano con un carattere "/"
  • L'URL deve essere un nome di dominio e non un indirizzo IP

Quando si crea l'applicazione, il messaggio di errore dovrebbe essere visualizzato in alto a destra. È anche possibile selezionare l'icona di notifica per visualizzare i messaggi di errore.

Caricare certificati per domini personalizzati

I domini personalizzati consentono di specificare il dominio degli URL esterni. Per usare un dominio personalizzato, è necessario caricare il certificato per tale dominio. Per informazioni sull'uso di certificati e domini personalizzati, vedere Utilizzo di domini personalizzati nel proxy dell'applicazione di Microsoft Entra.

Se si verificano problemi durante il caricamento del certificato, cercare i messaggi di errore nel portale per altre informazioni sul problema con il certificato. Problemi comuni relativi ai certificati:

  • Certificato scaduto
  • Certificato autofirmato
  • Certificato privo di chiave privata

Quando si tenta di caricare il certificato, il messaggio di errore viene visualizzato nell'angolo superiore destro. È anche possibile selezionare l'icona di notifica per visualizzare i messaggi di errore.

Passaggi successivi