Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite application proxy in Microsoft Entra ID

  • Articolo

Microsoft Entra ID dispone di un servizio Application Proxy che consente agli utenti di accedere alle applicazioni locali accedendo con il proprio account Microsoft Entra. Per altre informazioni sul proxy di applicazione, vedere Che cos'è il proxy dell'app?. Questa esercitazione consente di preparare l'ambiente per l'uso con il proxy di applicazione. Quando l'ambiente è pronto, usare l'interfaccia di amministrazione di Microsoft Entra per aggiungere un'applicazione locale al tenant.

Application Proxy Overview Diagram

Prima di iniziare, assicurarsi di avere familiarità con la gestione delle app e i concetti relativi all'accesso Single Sign-On (SSO). Fai riferimento ai seguenti collegamenti:

I connettori sono una parte essenziale di Application Proxy. Per altre informazioni sui connettori, vedere Informazioni sui connettori proxy dell'applicazione Microsoft Entra.

Questa esercitazione:

  • Apre le porte per il traffico in uscita e consente l'accesso a URL specifici
  • Installa il connettore nel server Windows e lo registra con il proxy di applicazione
  • Verifica che il connettore sia stato installato e registrato correttamente
  • Aggiunge un'applicazione locale al tenant di Microsoft Entra
  • Verifica che un utente di test possa accedere all'applicazione usando un account Microsoft Entra

Prerequisiti

Per aggiungere un'applicazione locale a Microsoft Entra ID, è necessario:

  • Sottoscrizione di Microsoft Entra ID P1 o P2
  • Un account amministratore dell'applicazione
  • Le identità utente devono essere sincronizzate da una directory locale o create direttamente nei tenant di Microsoft Entra. La sincronizzazione delle identità consente a Microsoft Entra ID di preautenticare gli utenti prima di concedere loro l'accesso alle applicazioni pubblicate del proxy di app e di avere le informazioni necessarie sull'identificatore utente per eseguire l'accesso Single Sign-On (SSO).

Server Windows

Per usare il proxy di applicazione, è necessario un server Windows che esegue Windows Server 2012 R2 o versione successiva. Installare il connettore application proxy nel server. Questo server del connettore deve connettersi ai servizi proxy di applicazione in Azure e alle applicazioni locali che si intende pubblicare.

Per la disponibilità elevata nell'ambiente di produzione è consigliabile avere più server Windows. Per questa esercitazione è sufficiente un unico server Windows.

Importante

.NET Framework

È necessario disporre di .NET versione 4.7.1 o successiva per installare o aggiornare il proxy di applicazione versione 1.5.3437.0 o successiva. Windows Server 2012 R2 e Windows Server 2016 potrebbero non averlo per impostazione predefinita.

Per altre informazioni, vedere Procedura: Determinare le versioni di .NET Framework installate .

HTTP 2.0

Se si installa il connettore in Windows Server 2019 o versione successiva, è necessario disabilitare il supporto del protocollo HTTP2 nel componente WinHttp per il corretto funzionamento della delega vincolata Kerberos. Questo supporto è disabilitato per impostazione predefinita nelle versioni precedenti dei sistemi operativi supportati. Aggiungere la chiave del Registro di sistema seguente e riavviare il server per disabilitarlo in Windows Server 2019. Tenere presente che si tratta di una chiave del Registro di sistema a livello di computer.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

La chiave può essere impostata tramite PowerShell con il comando seguente:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Raccomandazioni per il server del connettore

  1. Individuare fisicamente il server del connettore vicino ai server applicazioni per ottimizzare le prestazioni tra il connettore e l'applicazione. Per altre informazioni, vedere Ottimizzare il flusso di traffico con il proxy dell'applicazione Microsoft Entra.
  2. Il server del connettore e i server applicazioni Web devono appartenere allo stesso dominio di Active Directory o essere suddivisi tra domini trusting. Avere i server nello stesso dominio o domini attendibili è un requisito per l'uso dell'accesso Single Sign-On (SSO) con autenticazione di Windows integrato (IWA) e delega vincolata Kerberos (KCD). Se il server del connettore e i server applicazioni Web risiedono in domini di Active Directory diversi, è necessario usare la delega basata su risorse per l'accesso Single Sign-On. Per altre informazioni, vedere KCD for single sign-on with Application Proxy (KDC per l'Accesso Single Sign-On con il proxy di applicazione).

Avviso

Se è stato distribuito Microsoft Entra Password Protection Proxy, non installare microsoft Entra application proxy e Microsoft Entra Password Protection Proxy insieme nello stesso computer. Microsoft Entra application proxy e Microsoft Entra Password Protection Proxy installano versioni diverse del servizio Microsoft Entra Connessione Agent Updater. Queste diverse versioni sono incompatibili se installate insieme nello stesso computer.

Requisiti TLS

È necessario abilitare TLS 1.2 per il server del connettore Windows prima di installare il connettore proxy di applicazione.

Per abilitare TLS 1.2:

  1. Impostare le chiavi del Registro di sistema seguenti:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Riavviare il server.

Nota

Microsoft sta aggiornando i servizi di Azure per l'uso di certificati TLS emessi da un set diverso di autorità di certificazione (CA) radice. Questa modifica viene apportata perché i certificati della CA corrente non sono conformi a uno dei requisiti correnti di CA/Browser Forum Baseline. Per altre informazioni, vedere Modifiche al certificato TLS di Azure.

Preparare l'ambiente locale

Per iniziare, abilitare la comunicazione con i data center di Azure per preparare l'ambiente per il proxy dell'applicazione Microsoft Entra. Se nel percorso è presente un firewall, assicurarsi che sia aperto. Un firewall aperto consente al connettore di eseguire richieste HTTPS (TCP) al proxy di applicazione.

Importante

Se si installa il connettore per Azure per enti pubblici cloud, seguire i prerequisiti e ipassaggi di installazione. In questo caso, saranno necessari l'abilitazione dell'accesso a un set diverso di URL e un parametro aggiuntivo per eseguire l'installazione.

Aprire le porte

Aprire le porte seguenti al traffico in uscita.

Numero di porta Uso
80 Download degli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL
443 Tutte le comunicazioni in uscita con il servizio proxy di applicazione

Se il firewall regola il traffico in base agli utenti di origine, aprire anche le porte 80 e 443 per il traffico proveniente da servizi di Windows in esecuzione come servizio di rete.

Consentire l'accesso agli URL

Consentire l'accesso agli URL seguenti:

URL Porta Uso
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Comunicazione tra il connettore e il servizio cloud proxy di applicazione
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Il connettore usa questi URL per verificare i certificati.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Il connettore usa questi URL durante il processo di registrazione.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP Il connettore usa questi URL durante il processo di registrazione.

È possibile consentire le connessioni a , *.servicebus.windows.nete altri URL se il firewall o il proxy consente di configurare le regole di accesso in base ai *.msappproxy.netsuffissi di dominio. In caso contrario, è necessario consentire l'accesso agli intervalli di indirizzi IP e ai tag di servizio di Azure - Cloud pubblico. Gli intervalli di indirizzi IP vengono aggiornati ogni settimana.

Importante

Evitare tutte le forme di ispezione e terminazione inline sulle comunicazioni TLS in uscita tra i connettori proxy dell'applicazione Microsoft Entra e i servizi cloud del proxy di applicazione Microsoft Entra.

Risoluzione dei nomi DNS per gli endpoint proxy dell'applicazione Microsoft Entra

I record DNS pubblici per gli endpoint proxy dell'applicazione Microsoft Entra sono record CNAME concatenati che puntano a un record A. La configurazione dei record in questo modo garantisce la tolleranza di errore e la flessibilità. È garantito che il proxy dell'applicazione Microsoft Entra Connessione or accesa sempre ai nomi host con i suffissi *.msappproxy.net di dominio o *.servicebus.windows.net. Tuttavia, durante la risoluzione dei nomi i record CNAME potrebbero contenere record DNS con nomi host e suffissi diversi. A causa della differenza, è necessario assicurarsi che il dispositivo (a seconda dell'installazione, del server connettore, del firewall, del proxy in uscita) possa risolvere tutti i record nella catena e consentire la connessione agli indirizzi IP risolti. Poiché i record DNS nella catena potrebbero essere modificati di tanto in tanto, non è possibile fornire alcun elenco di record DNS.

Installare e registrare un connettore

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per usare il proxy di applicazione, installare un connettore in ogni server Windows usato con il servizio proxy di applicazione. Il connettore è un agente che gestisce la connessione in uscita dai server applicazioni locali al proxy di applicazione in Microsoft Entra ID. È possibile installare un connettore nei server in cui sono installati anche altri agenti di autenticazione, ad esempio Microsoft Entra Connessione.

Per installare il connettore:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

  2. Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa il proxy di applicazione. Se è necessario cambiare directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.

  3. Passare a Identity>Applications Enterprise Applications>Application Proxy (Proxy applicazione applicazioni>aziendali).

  4. Selezionare Scarica servizio connettore.

    Download connector service to see the Terms of Service

  5. Leggere le condizioni d'uso. Quando si è pronti, selezionare Accetta termini & Download.

  6. Nella parte inferiore della finestra selezionare Esegui per installare il connettore. Viene visualizzata l'installazione guidata.

  7. Seguire le istruzioni della procedura guidata per installare il servizio. Quando viene richiesto di registrare il connettore con il proxy di applicazione per il tenant di Microsoft Entra, specificare le credenziali di amministratore dell'applicazione.

    • Per Internet Explorer (IE), se l'opzione Configurazione sicurezza avanzata IE è impostata su , è possibile che la schermata di registrazione non venga visualizzata. Per ottenere l'accesso, seguire le istruzioni contenute nel messaggio di errore. Verificare che Sicurezza avanzata di Internet Explorer sia impostato su No.

Osservazioni generali

Se in precedenza è stato installato un connettore, reinstallarlo per ottenere la versione più recente. Per visualizzare informazioni sulle versioni rilasciate in precedenza e sulle modifiche che includono, vedere Application Proxy: Version Release History.

Se si sceglie di disporre di più server Windows per le applicazioni locali, è necessario installare e registrare il connettore in ogni server. È possibile organizzare i connettori in gruppi di connettori. Per altre informazioni, vedere Gruppi di connettori.

Se sono stati installati connettori in aree diverse, è possibile ottimizzare il traffico selezionando l'area del servizio cloud proxy di applicazione più vicina da usare con ogni gruppo di connettori, vedere Ottimizzare il flusso di traffico con il proxy dell'applicazione Microsoft Entra

Se l'organizzazione usa server proxy per connettersi a internet, è necessario configurarli per il proxy di applicazione. Per altre informazioni, vedere Uso di server proxy locali esistenti.

Per informazioni sui connettori, sulla pianificazione della capacità e su come rimangono aggiornati, vedere Informazioni sui connettori proxy dell'applicazione Microsoft Entra.

Verificare che il connettore sia stato installato e registrato correttamente

È possibile usare l'interfaccia di amministrazione di Microsoft Entra o il server Windows per verificare che un nuovo connettore sia installato correttamente.

Verificare l'installazione tramite l'interfaccia di amministrazione di Microsoft Entra

Per verificare che il connettore sia stato installato e registrato correttamente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

  2. Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa il proxy di applicazione. Se è necessario cambiare directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.

  3. Passare a Identity>Applications Enterprise Applications>Application Proxy (Proxy applicazione applicazioni>aziendali).

  4. Visualizzare un connettore per verificarne i dettagli. I connettori devono essere espansi per impostazione predefinita. Se il connettore che si vuole visualizzare non lo è, espandere il connettore per visualizzare i dettagli. Un'etichetta verde (Attivo) indica che il connettore può connettersi al servizio. Tuttavia, anche se l'etichetta è verde, un problema di rete potrebbe comunque impedire al connettore di ricevere messaggi.

    Microsoft Entra application proxy Connectors

Per ulteriore assistenza con l'installazione di un connettore, vedere Problemi di installazione del connettore dell'agente proxy dell'applicazione.

Verificare l'installazione tramite il server di Windows

Per verificare che il connettore sia stato installato e registrato correttamente:

  1. Aprire Gestore servizi Windows facendo clic sul tasto Windows e immettendo services.msc.

  2. Verificare se lo stato per i due servizi seguenti sia In esecuzione.

    • Microsoft Entra application proxy Connessione or abilita la connettività.

    • Microsoft Entra application proxy Connessione or Updater è un servizio di aggiornamento automatico. Lo strumento di aggiornamento controlla la presenza di nuove versioni del connettore e aggiorna il connettore in base alle esigenze.

      App Proxy Connector services - screenshot

  3. Se lo stato dei servizi non è In esecuzione, fare clic con il pulsante destro del mouse su ogni servizio e scegliere Avvia.

Aggiungere un'app locale a Microsoft Entra ID

Dopo aver preparato l'ambiente e installato un connettore, è possibile aggiungere applicazioni locali all'ID Microsoft Entra.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali.

  3. Selezionare Nuova applicazione.

  4. Selezionare Aggiungi un'applicazione locale, visualizzata a metà pagina nella sezione Applicazioni locali. In alternativa, è possibile selezionare Crea un'applicazione personalizzata nella parte superiore della pagina e quindi selezionare Configura proxy di applicazione per l'accesso remoto sicuro a un'applicazione locale.

  5. Nella sezione Aggiungi applicazione locale personalizzata fornire le informazioni seguenti sull'applicazione:

    Campo Descrizione
    Nome Nome dell'applicazione visualizzata in App personali e nell'interfaccia di amministrazione di Microsoft Entra.
    Modalità manutenzione Selezionare se si vuole abilitare la modalità di manutenzione e disabilitare temporaneamente l'accesso per tutti gli utenti all'applicazione.
    URL interno URL per accedere all'applicazione dall'interno della rete privata. È possibile indicare un percorso specifico nel server back-end per la pubblicazione, mentre il resto del server non è pubblicato. In questo modo, si possono pubblicare siti diversi nello stesso server come app differenti, assegnando a ognuno un nome e regole di accesso specifici.

    Se si pubblica un percorso, verificare che includa tutte le immagini, gli script e i fogli di stile necessari per l'applicazione. Se ad esempio l'app si trova in https://yourapp/app e usa le immagini che si trovano in https://yourapp/media, come percorso si dovrà pubblicare https://yourapp/. Questo URL interno non deve necessariamente corrispondere alla pagina di destinazione visualizzata dagli utenti. Per altre informazioni, vedere Impostare una home page personalizzata per le app pubblicate tramite il proxy applicazione di Azure AD.
    URL esterno: L'indirizzo per gli utenti per accedere all'app dall'esterno della rete. Se non si vuole usare il dominio proxy di applicazione predefinito, leggere informazioni sui domini personalizzati nel proxy dell'applicazione Microsoft Entra.
    Preautenticazione Come il proxy di applicazione verifica gli utenti prima di concedere loro l'accesso all'applicazione.

    Microsoft Entra ID - Application Proxy reindirizza gli utenti ad accedere con Microsoft Entra ID, che autentica le relative autorizzazioni per la directory e l'applicazione. È consigliabile mantenere questa opzione come predefinita in modo da poter sfruttare le funzionalità di sicurezza di Microsoft Entra, ad esempio l'accesso condizionale e Multi-Factor Authentication. Microsoft Entra ID è necessario per il monitoraggio dell'applicazione con Microsoft Defender per il cloud Apps.

    Pass-through : gli utenti non devono eseguire l'autenticazione con Microsoft Entra ID per accedere all'applicazione. È comunque possibile configurare i requisiti di autenticazione sul back-end.
    Gruppo di connettori I connettori elaborano l'accesso remoto all'applicazione, mentre i gruppi di connettori aiutano a organizzare connettori e app in base all'area geografica, alla rete o allo scopo. Se ancora non si dispone di tutti i gruppi connettore creati, l'app viene assegnata a Impostazione predefinita.

    Se l'applicazione usa WebSocket per la connessione, la versione di tutti i connettori nel gruppo deve essere 1.5.612.0 o versione successiva.

  6. Se necessario, configurare le impostazioni aggiuntive. Per la maggior parte delle applicazioni, è consigliabile mantenere queste impostazioni nei rispettivi stati predefiniti.

    Campo Descrizione
    Timeout applicazione back-end Impostare questo valore su Lungo solo se l'applicazione è lenta nell'autenticazione e nella connessione. Per impostazione predefinita, il timeout dell'applicazione back-end ha una durata di 85 secondi. Se impostato su un valore troppo lungo, il timeout back-end viene aumentato a 180 secondi.
    Usa cookie solo HTTP Selezionare questa opzione per fare in modo che i cookie del proxy di applicazione includano il flag HTTPOnly nell'intestazione della risposta HTTP. Se si usano Servizi Desktop remoto, mantenere deselezionata l'opzione .
    Usa cookie persistente Mantenere deselezionata l'opzione. Usare questa impostazione solo per le applicazioni che non possono condividere cookie tra processi. Per altre informazioni sulle impostazioni dei cookie, vedere Impostazioni dei cookie per l'accesso alle applicazioni locali in Microsoft Entra ID.
    Convertire l'URL nelle intestazioni Mantenere selezionata l'opzione a meno che l'applicazione non richieda l'intestazione host originale nella richiesta di autenticazione.
    Convertire gli URL nel corpo dell'applicazione Mantenere deselezionata l'opzione, a meno che non siano presenti collegamenti HTML hardcoded ad altre applicazioni locali e non si usino domini personalizzati. Per altre informazioni, vedere Reindirizzare i collegamenti hardcoded per le app pubblicate con il proxy di app di Azure AD.

    Selezionare se si prevede di monitorare questa applicazione con Microsoft Defender per il cloud App. Per altre informazioni, vedere Configurare il monitoraggio dell'accesso alle applicazioni in tempo reale con app Microsoft Defender per il cloud e Microsoft Entra ID.
    Convalidare il certificato SSL back-end Selezionare questa opzione per abilitare la convalida del certificato SSL back-end per l'applicazione.

  7. Seleziona Aggiungi.

Testare l'applicazione

È ora possibile testare se l'applicazione è stata aggiunta correttamente. Nei passaggi seguenti si aggiunge un account utente all'applicazione e si prova ad accedere.

Aggiungere utente per il test

Prima di aggiungere un utente all'applicazione, verificare che l'account utente abbia già le autorizzazioni per accedere all'applicazione dall'interno della rete aziendale.

Per aggiungere un utente di test:

  1. Selezionare Applicazioni aziendali e quindi selezionare l'applicazione da testare.
  2. Selezionare Attività iniziali e quindi selezionare Assegna utente per il test.
  3. In Utenti e gruppi selezionare Aggiungi utente.
  4. In Aggiungi assegnazione selezionare Utenti e gruppi. Viene visualizzata la sezione Utenti e gruppi.
  5. Scegliere l'account da aggiungere.
  6. Scegliere Seleziona e quindi selezionare Assegna.

Testare l'accesso

Per testare l'accesso all'applicazione:

  1. Nell'applicazione da testare selezionare Proxy dell'applicazione.
  2. Nella parte superiore della pagina selezionare Test dell'applicazione per eseguire un test dell'applicazione e verificare la presenza di eventuali problemi di configurazione.
  3. Assicurarsi di avviare prima l'applicazione per testare l'accesso alla stessa, quindi scaricare il report di diagnostica per esaminare le istruzioni per la risoluzione di eventuali problemi rilevati.

Per la risoluzione dei problemi, vedere Risolvere i problemi e i messaggi di errore del proxy dell'applicazione.

Pulire le risorse

Non dimenticare di eliminare tutte le risorse create in questa esercitazione al termine.

Passaggi successivi

In questa esercitazione si è preparato l'ambiente locale per l'uso del proxy di applicazione e quindi si è installato e registrato il connettore del proxy di applicazione. Successivamente, è stata aggiunta un'applicazione al tenant di Microsoft Entra. È stato verificato che un utente può accedere all'applicazione usando un account Microsoft Entra.

Sono state eseguite queste operazioni:

  • Sono state aperte le porte per il traffico in uscita ed è stato consentito l'accesso a URL specifici
  • È stato installato il connettore nel server Windows ed è stato registrato il connettore con il proxy di applicazione
  • Si è verificato che il connettore sia stato installato e registrato correttamente
  • Aggiunta di un'applicazione locale al tenant di Microsoft Entra
  • Un utente di test verificato può accedere all'applicazione usando un account Microsoft Entra

È ora possibile configurare l'applicazione per l'accesso Single Sign-On. Usare il collegamento seguente per scegliere un metodo di accesso Single Sign-On e per trovare esercitazioni su Single Sign-On.

Configurare Single Sign-On