Microsoft Entra 애플리케이션 프록시 질문과 대답

아니요, 앱 프록시에서 다음 구성 항목을 사용하고 있으며 변경하거나 삭제해서는 안 됩니다.

• "공용 클라이언트 흐름 허용"을 사용/사용하지 않도록 설정합니다.
• CWAP_AuthSecret(클라이언트 암호).
• API 권한. 앱 등록 페이지에서 위의 구성 항목을 수정하면 Microsoft Entra 애플리케이션 프록시에 대한 사전 인증이 중단됩니다.

아니요, Microsoft Entra 관리 센터의 엔터프라이즈 애플리케이션 영역에서 애플리케이션 프록시 앱을 삭제해야 합니다. Microsoft Entra 관리 센터의 앱 등록 영역에서 애플리케이션 프록시 앱을 삭제하면 문제가 발생할 수 있습니다.

Microsoft Entra 애플리케이션 프록시를 사용하려면 Microsoft Entra ID P1 또는 P2 라이선스가 있어야 합니다. 라이선스에 대한 자세한 내용은 Microsoft Entra 가격 책정을 참조하세요.

라이선스가 만료되면 애플리케이션 프록시가 자동으로 비활성화됩니다. 사용자의 애플리케이션 정보는 최대 1년 동안 저장됩니다.

Microsoft Entra ID P1 또는 P2 라이선스와 Microsoft Entra 프라이빗 네트워크 커넥터가 설치되어 있는지 확인합니다. 첫 번째 커넥터를 성공적으로 설치하면 Microsoft Entra 애플리케이션 프록시 서비스가 자동으로 사용하도록 설정됩니다.

예, Microsoft Entra 프라이빗 네트워크 커넥터는 애플리케이션 프록시와 Microsoft Entra 개인 액세스 모두 사용됩니다. 커넥터에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터를 참조하세요. 커넥터 구성 문제를 해결하려면 커넥터 문제 해결을 참조 하세요.

이러한 접미사는 접미사 목록에 표시되지만 사용하지 않아야 합니다. 이러한 작업기본 접미사는 Microsoft Entra 애플리케이션 프록시와 함께 사용할 수 없습니다. 이러한 도메인 접미사를 사용하면 만들어진 Microsoft Entra 애플리케이션 프록시 애플리케이션이 작동하지 않습니다. 표준 도메인 접미사 msappproxy.net 또는 사용자 지정 도메인을 사용할 수 있습니다.

Microsoft Entra ID에는 사용자가 Microsoft Entra 계정으로 로그인하여 온-프레미스 애플리케이션에 액세스할 수 있는 애플리케이션 프록시 서비스가 있습니다. 다른 지역에 커넥터를 설치한 경우 각 커넥터 그룹에 사용할 가장 가까운 애플리케이션 프록시 클라우드 서비스 지역을 선택하여 트래픽을 최적화할 수 있습니다. Microsoft Entra 애플리케이션 프록시를 사용하여 트래픽 흐름 최적화를 참조하세요.

SSL 인증서를 업로드한 후에는 Portal에서 "잘못된 인증서, 잘못된 암호" 라는 메시지가 표시됩니다.

이 오류를 해결하기 위한 몇 가지 팁은 다음과 같습니다.

• 인증서의 문제를 확인합니다. 로컬 컴퓨터에 설치합니다. 문제가 발생하지 않으면 인증서에 문제가 없는 것입니다.
• 암호에 특수 문자가 포함되어 있지 않은지 확인합니다. 암호는 0-9, A-Z 및 a-z 문자만 포함해야 합니다.
• Microsoft 소프트웨어 키 스토리지 공급자를 사용하여 인증서를 만든 경우 RSA 알고리즘을 사용해야 합니다.

기본 길이는 85초입니다. "장기" 설정은 180초입니다. 시간 제한은 연장할 수 없습니다.

아니요. 현재는 지원되지 않습니다.

CWAP_AuthSecret이라고도 하는 클라이언트 암호는 Microsoft Entra 애플리케이션 프록시 앱이 만들어질 때 애플리케이션 개체(앱 등록)에 자동으로 추가됩니다.

클라이언트 암호는 1년 동안 유효합니다. 현재 유효한 클라이언트 암호가 만료되기 전에 1년 기간의 새 클라이언트 암호가 자동으로 생성됩니다. 세 CWAP_AuthSecret 클라이언트 비밀은 항상 애플리케이션 개체에 유지됩니다.

아니요, 원래 대체 작업을 사용해야 합니다기본.

문제에 언급된 문서: Microsoft 365에서 onmicrosoft.com 대체 도메인 추가 및 바꾸기

애플리케이션 등록 페이지에서 홈페이지 URL을 방문 페이지의 원하는 외부 URL로 변경할 수 있습니다. 내 앱 또는 Office 365 포털에서 애플리케이션이 시작되면 지정된 페이지가 로드됩니다. 구성 단계는 Microsoft Entra 애플리케이션 프록시를 사용하여 게시된 앱에 대한 사용자 지정 홈페이지 설정을 참조하세요.

Microsoft Entra 사전 인증이 구성되어 있고 처음으로 애플리케이션에 접속하려고 할 때 애플리케이션 URL에 "#" 문자가 포함된 경우 인증을 위해 Microsoft Entra ID(login.microsoftonline.com)로 리디렉션됩니다. 인증을 완료하면 "#" 문자 이전의 URL 부분으로 리디렉션되고 "#" 이후에 오는 모든 항목이 무시/제거된 것 같습니다. 예를 들어, URL이 https://www.contoso.com/#/home/index.html인 경우 Microsoft Entra 인증이 완료되면 사용자는 https://www.contoso.com/으로 리디렉션됩니다. 이 동작은 브라우저에서 "#" 문자를 처리하는 방식으로 인해 의도적으로 설계된 것입니다.

가능한 솔루션/대안:

• 리디렉션을 https://www.contoso.comhttps://contoso.com/#/home/index.html설정합니다. 사용자는 먼저 https://www.contoso.com에 액세스해야 합니다.
• 첫 번째 액세스 시도에 사용되는 URL에는 인코딩된 형식(%23)의 "#" 문자가 포함되어야 합니다. 게시된 서버에서 이를 허용하지 않을 수 있습니다.
• 통과 사전 인증 유형을 구성합니다(권장되지 않음).

아니요, 게시된 애플리케이션에 대한 IIS 요구 사항은 없습니다. Windows Server가 아닌 서버에서 실행되는 웹 애플리케이션을 게시할 수 있습니다. 그러나 웹 서버에서 협상(Kerberos 인증)를 지원하는지 여부에 따라 비 Windows 서버에서 사전 인증을 사용하지 못할 수도 있습니다. 커넥터가 설치된 서버에는 IIS가 필요하지 않습니다.

애플리케이션 프록시는 HTTP Strict-Transport-Security 헤더를 HTTPS 응답에 자동으로 추가하지 않지만 게시된 애플리케이션에서 보낸 원래 응답에 있는 경우 헤더를 기본. 이 기능을 사용하도록 설정하는 방식은 로드맵에 나와 있습니다.

아니요, 프로토콜 http가 외부 URL에 구성된 경우 Microsoft Entra 애플리케이션 프록시 엔드포인트는 포트 TCP 80에서 들어오는 요청을 수락하고, 프로토콜 https인 경우 포트 TCP 443에서 수락합니다.

예, http://app.contoso.local:8888/, https://app.contoso.local:8080/, https://app.contoso.local:8081/test/ 포트를 포함한 내부 URL에 대한 몇 가지 예제가 있습니다.

게시된 웹 애플리케이션에서 보낸 일부 응답에는 하드 코딩된 URL이 포함될 수 있습니다. 이 경우 클라이언트가 항상 올바른 URL을 사용하도록 링크 변환 솔루션을 사용하여 확인해야 합니다. 링크 변환 솔루션은 복잡할 수 있으며 모든 시나리오에서 작동하지 않을 수 있습니다. 링크 번역에 대한 문서화된 솔루션은 여기에서 찾을 수 있습니다.

모범 사례로 동일한 외부 및 내부 URL을 사용하는 것이 좋습니다. 두 URL의 protocol://hostname:port/path/가 동일한 경우 외부 및 내부 URL은 동일한 것으로 간주됩니다.

사용자 지정 도메인 기능을 사용하여 이 작업을 수행할 수 있습니다.

예:

동일함:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

동일하지 않음:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

내부 URL에 비표준 포트(TCP 80/443 이외)가 포함된 경우 외부 및 내부 URL을 동일하게 만드는 것은 전혀 불가능합니다.

일부 시나리오에서는 웹앱 구성에서 변경해야 합니다.

PrincipalsAllowedToDelegateToAccount 메서드는 커넥터 서버가 웹 애플리케이션 서비스 계정과는 다른 도메인에 있을 때 사용됩니다. 리소스 기반 제한 위임을 사용해야 합니다. 커넥터 서버와 웹 애플리케이션 서비스 계정이 동일한 도메인에 있는 경우 Active Directory 사용자 및 컴퓨터를 사용하여 각 커넥터 머신 계정에 대한 위임 설정을 구성하여 대상 SPN에 위임할 수 있습니다.

커넥터 서버와 웹 애플리케이션 서비스 계정이 서로 다른 도메인에 있는 경우 리소스 기반 위임이 사용됩니다. 위임 권한은 대상 웹 서버 및 웹 애플리케이션 서비스 계정에서 구성됩니다. 이 제한된 위임 방법은 비교적 새로운 방법입니다. 이 메서드는 Windows Server 2012에 도입되었으며 리소스(웹 서비스) 소유자가 위임할 수 있는 머신 및 서비스 계정을 제어하도록 허용하여 도메인 간 위임을 지원합니다. 이 구성에 도움이 되는 UI가 없으므로 PowerShell을 사용해야 합니다. 자세한 내용은 애플리케이션 프록시를 사용하여 Kerberos 제한 위임 이해 백서를 참조하세요.

NTLM 인증은 사전 인증 또는 Single Sign-On 방법으로 사용할 수 없습니다. NTLM 인증은 클라이언트와 게시된 웹 애플리케이션 간에 직접 협상할 수 있는 경우에만 사용할 수 있습니다. NTLM 인증을 사용하면 일반적으로 브라우저에 로그인 프롬프트가 표시됩니다.

아니요, Microsoft Entra ID의 게스트 사용자에게 위에 멘션 로그인 ID에 필요한 특성이 없기 때문에 작동하지 않습니다.

이 경우 "사용자 계정 이름"으로 대체됩니다. B2B 시나리오에 대한 자세한 내용은 온-프레미스 애플리케이션에 대한 Microsoft Entra ID 액세스 권한 부여 B2B 사용자를 참조하세요.

조건부 액세스 정책은 Microsoft Entra ID에서 성공적으로 사전 인증된 사용자에 대해서만 적용됩니다. 통과 인증은 Microsoft Entra 인증을 트리거하지 않으므로 조건부 액세스 정책을 적용할 수 없습니다. 통과 인증을 사용하면 가능한 경우 온-프레미스 서버에서 MFA 정책을 구현하거나 Microsoft Entra 애플리케이션 프록시를 사용하여 사전 인증을 사용하도록 설정해야 합니다.

아니요, 애플리케이션 프록시가 TLS 트래픽을 종료하기 때문에 이 시나리오는 지원되지 않습니다.

Microsoft Entra 애플리케이션 프록시를 사용하여 원격 데스크톱 게시를 참조하세요.

아니요. 이 시나리오는 지원되지 않습니다.

예, 예상된 것입니다. 사전 인증 시나리오에는 타사 브라우저에서 지원되지 않는 ActiveX 컨트롤이 필요합니다.

예, 이 시나리오는 현재 퍼블릭 미리 보기로 제공됩니다. Microsoft Entra 애플리케이션 프록시를 사용하여 원격 데스크톱 게시를 참조하세요.

예, 예상된 것입니다. 사용자의 컴퓨터가 Microsoft Entra에 조인되어 있는 경우 사용자는 자동으로 Microsoft Entra ID에 로그인됩니다. 사용자는 RDWeb 로그인 양식에만 자격 증명을 제공하면 됩니다.

이 옵션을 사용하면 사용자가 rdp 파일을 다운로드하여 다른 RDP 클라이언트(원격 데스크톱 웹 클라이언트 외부)에서 사용할 수 있습니다. 일반적으로 다른 RDP 클라이언트(예: Microsoft 원격 데스크톱 클라이언트)는 사전 인증을 기본적으로 처리할 수 없습니다. 그렇기 때문에 시나리오가 작동하지 않습니다.

Microsoft Entra 애플리케이션 프록시를 사용하여 SharePoint에 대한 원격 액세스 사용을 참조하세요.

SharePoint 모바일 앱은 현재 Microsoft Entra 사전 인증을 지원하지 않습니다.

아니요, Microsoft Entra 애플리케이션 프록시는 Microsoft Entra ID로 작동하도록 설계되었으며 AD FS 프록시 역할을 하기 위한 요구 사항을 충족하지 않습니다.

아니요, 지원되지 않습니다.

WebSocket 프로토콜(예: QlikSense 및 HTML5(원격 데스크톱 웹 클라이언트))을 사용하는 애플리케이션이 이제 지원됩니다. 알려진 제한 사항은 다음과 같습니다.

• 애플리케이션 프록시는 WebSocket 연결을 여는 동안 서버 응답에 설정된 쿠키를 삭제합니다.
• WebSocket 요청에 SSO가 적용되지 않습니다.
• Windows 관리 센터(WAC)의 기능(Eventlogs, PowerShell 및 원격 데스크톱 서비스)은 Microsoft Entra 애플리케이션 프록시를 통해 작동하지 않습니다.

WebSocket 애플리케이션에는 고유한 게시 요구 사항이 없으며 다른 모든 애플리케이션 프록시 애플리케이션과 동일한 방식으로 게시할 수 있습니다.

예. 링크 변환은 성능에 영향을 줍니다. 애플리케이션 프록시 서비스는 애플리케이션에서 하드 코딩된 링크를 검색하고 사용자에게 표시하기 전에 게시된 각각의 외부 URL로 바꿉니다.

최상의 성능을 위해 사용자 지정 도메인을 구성하여 동일한 내부 및 외부 URL을 사용하는 것이 좋습니다. 사용자 지정 도메인을 사용하는 것이 불가능한 경우에는 모바일에서 내 앱 보안 로그인 확장 또는 Microsoft Edge 브라우저를 사용하여 링크 변환 성능을 향상시킬 수 있습니다. Microsoft Entra 애플리케이션 프록시로 게시된 앱에 대해 하드코딩된 링크 리디렉션을 참조하세요.

이 시나리오는 직접 지원되지 않습니다. 이 시나리오에 대한 옵션은 다음과 같습니다.

1. 와일드카드를 사용하여 HTTP 및 HTTPS URL 둘 다를 별도의 애플리케이션으로 게시하되 각 애플리케이션에 서로 다른 사용자 지정 도메인을 제공합니다. 이 구성은 외부 URL이 다르기 때문에 작동합니다.

2. 와일드카드 애플리케이션을 통해 HTTPS URL을 게시합니다. 다음 애플리케이션 프록시 PowerShell cmdlet을 사용하여 별도로 HTTP 애플리케이션을 게시합니다.

   • 애플리케이션 프록시 애플리케이션 관리
   • 프라이빗 네트워크 커넥터 관리