Op deze pagina vindt u antwoorden op veelgestelde vragen over microsoft Entra-toepassingsproxy.
Algemeen
Kan ik een toepassingsproxy-app wijzigen vanaf de pagina **App-registraties** in het Microsoft Entra-beheercentrum?
Nee, de volgende configuratie-items worden gebruikt door de app-proxy en mogen niet worden gewijzigd of verwijderd:
- Schakel 'Openbare clientsstromen toestaan' in of uit.
- CWAP_AuthSecret (clientgeheimen).
- API-machtigingen. Als u een van de bovenstaande configuratie-items op de pagina App-registratie wijzigt, wordt de verificatie vooraf uitgevoerd voor de Microsoft Entra-toepassingsproxy.
Kan ik een toepassingsproxy-app verwijderen van de pagina App-registraties in het Microsoft Entra-beheercentrum?
Nee, u moet een toepassingsproxy-app verwijderen uit het gebied Bedrijfstoepassingen van het Microsoft Entra-beheercentrum. Als u de toepassingsproxy-app verwijdert uit het App-registraties gebied van het Microsoft Entra-beheercentrum, kunt u problemen ondervinden.
Welke licentie is vereist voor het gebruik van de Microsoft Entra-toepassingsproxy?
Als u de Microsoft Entra-toepassingsproxy wilt gebruiken, moet u een Microsoft Entra ID P1- of P2-licentie hebben. Zie Prijzen voor Microsoft Entra voor meer informatie over licenties
Wat gebeurt er met de Microsoft Entra-toepassingsproxy in mijn tenant als mijn licentie verloopt?
Als uw licentie verloopt, wordt de toepassingsproxy automatisch uitgeschakeld. Uw toepassingsgegevens worden maximaal één jaar opgeslagen.
Waarom wordt de knop Toepassingsproxy inschakelen grijs weergegeven?
Zorg ervoor dat u ten minste een Microsoft Entra ID P1- of P2-licentie hebt en dat er een Microsoft Entra-privénetwerkconnector is geïnstalleerd. Nadat u uw eerste connector hebt geïnstalleerd, wordt de proxyservice van de Microsoft Entra-toepassing automatisch ingeschakeld.
Waarvoor worden TCP-poorten 10200 en 10201 gebruikt?
Met behulp van een hulpprogramma voor poortscan op openbare eindpunten van de toepassingsproxy (msappproxy.net of aangepast) kan worden aangegeven dat TCP-poorten 10200 en 10201 open zijn, naast poorten 80 en/of 443. Deze poorten worden gebruikt voor interne servicestatuscontroledoeleinden. Er zijn geen klantgegevens toegankelijk via deze poorten en de services daarachter verwerken geen informatie; ze reageren gewoon met 'OK'.
Connectorconfiguratie
Gebruikt de toepassingsproxy dezelfde connector als Microsoft Entra-privétoegang?
Ja, microsoft Entra private network connector wordt gebruikt door zowel de toepassingsproxy als Microsoft Entra-privétoegang. Zie Microsoft Entra Private Network Connector voor meer informatie over de connector. Als u problemen met de configuratie van de connector wilt oplossen, raadpleegt u connectors.
Toepassingsconfiguratie
Kan ik de domeinachtervoegsels [tenantnaam].onmicrosoft.com of [tenantnaam].mail.onmicrosoft.com gebruiken in de externe URL?
Hoewel deze achtervoegsels worden weergegeven in de lijst met achtervoegsels, moet u deze niet gebruiken. Deze domeinachtervoegsels zijn niet bedoeld om te worden gebruikt met de Microsoft Entra-toepassingsproxy. Als u deze domeinachtervoegsels gebruikt, werkt de gemaakte Microsoft Entra-toepassingsproxytoepassing niet.
U kunt het standaarddomeinachtervoegsel msappproxy.net
of een aangepast domein gebruiken.
Biedt toepassingsproxy ondersteuning voor onafhankelijke en regionale clouds?
Microsoft Entra ID heeft een toepassingsproxyservice waarmee gebruikers toegang kunnen krijgen tot on-premises toepassingen door zich aan te melden met hun Microsoft Entra-account. Als u connectors in verschillende regio's hebt geïnstalleerd, kunt u verkeer optimaliseren door de dichtstbijzijnde cloudserviceregio voor de toepassingsproxy te selecteren die u voor elke connectorgroep wilt gebruiken. Zie Verkeersstroom optimaliseren met Microsoft Entra-toepassingsproxy.
Ik krijg een foutmelding over een ongeldig certificaat of mogelijk onjuist wachtwoord.
Nadat u het SSL-certificaat hebt geüpload, ontvangt u het bericht 'Ongeldig certificaat, mogelijk onjuist wachtwoord' in de portal.
Hier volgen enkele tips voor het oplossen van deze fout:
- Controleer op problemen met het certificaat. Installeer deze op uw lokale computer. Als u geen problemen ondervindt, is het certificaat goed.
- Zorg ervoor dat het wachtwoord geen speciale tekens bevat. Het wachtwoord mag alleen de tekens 0-9, A-Z en a-z bevatten.
- Als het certificaat is gemaakt met Microsoft Software Key Storage Provider, moet het RSA-algoritme worden gebruikt.
Wat is de lengte van de standaard- en 'lange' back-endtime-out? Kan de time-out worden verlengd?
De standaardlengte is 85 seconden. De instelling 'lang' is 180 seconden. De time-outlimiet kan niet worden verlengd.
Kan een service-principal toepassingsproxy beheren met behulp van PowerShell- of Microsoft Graph-API's?
Nee, dit wordt momenteel niet ondersteund.
Wat gebeurt er als ik CWAP_AuthSecret (het clientgeheim) in de app-registratie verwijder?
Het clientgeheim, ook wel CWAP_AuthSecret genoemd, wordt automatisch toegevoegd aan het toepassingsobject (app-registratie) wanneer de Microsoft Entra-toepassingsproxy-app wordt gemaakt.
Het clientgeheim is één jaar geldig. Er wordt automatisch een nieuw clientgeheim van één jaar gemaakt voordat het huidige geldige clientgeheim verloopt. Drie CWAP_AuthSecret clientgeheimen worden altijd in het toepassingsobject bewaard.
Belangrijk
Als u CWAP_AuthSecret verwijdert, wordt de verificatie vooraf afgebroken voor de Microsoft Entra-toepassingsproxy. Verwijder CWAP_AuthSecret niet.
Ik gebruik of wil microsoft Entra-toepassingsproxy gebruiken. Kan ik het terugvaldomein 'onmicrosoft.com' van mijn tenant in Microsoft 365 vervangen zoals wordt voorgesteld in het artikel 'Uw onmicrosoft.com terugvaldomein toevoegen en vervangen in Microsoft 365'?
Nee, u moet het oorspronkelijke terugvaldomein gebruiken.
Artikel in kwestie: Uw onmicrosoft.com terugvaldomein toevoegen en vervangen in Microsoft 365
Hoe kan ik de landingspagina wijzigen die door mijn toepassing wordt geladen?
Op de pagina Toepassingsregistraties kunt u de startpagina-URL wijzigen in de gewenste externe URL van de landingspagina. De opgegeven pagina wordt geladen wanneer de toepassing wordt gestart vanuit Mijn apps of de Office 365-portal. Zie Een aangepaste startpagina instellen voor gepubliceerde apps met behulp van de Microsoft Entra-toepassingsproxy voor configuratiestappen
Waarom word ik omgeleid naar een afgekapte URL wanneer ik mijn gepubliceerde toepassing probeer te openen wanneer de URL een #-teken (hashtag) bevat?
Als Microsoft Entra-verificatie vooraf is geconfigureerd en de toepassings-URL een #-teken bevat wanneer u de toepassing voor het eerst probeert te openen, wordt u omgeleid naar De Microsoft Entra-id (login.microsoftonline.com) voor de verificatie. Nadat u de verificatie hebt voltooid, wordt u omgeleid naar het URL-onderdeel vóór het teken '#' en alles wat na het '#' komt, lijkt te worden genegeerd/verwijderd. Als de URL bijvoorbeeld is https://www.contoso.com/#/home/index.html
, zodra de Microsoft Entra-verificatie is uitgevoerd, wordt de gebruiker omgeleid naar https://www.contoso.com/
.
Dit gedrag is standaard vanwege de manier waarop het teken '#' door de browser wordt verwerkt.
Mogelijke oplossingen/alternatieven:
- Stel een omleiding in van
https://www.contoso.com
naarhttps://contoso.com/#/home/index.html
. De gebruiker moet eerst toegang hebben.https://www.contoso.com
- De URL die wordt gebruikt voor de eerste toegangspoging, moet het teken '#' bevatten in gecodeerde vorm (%23). De gepubliceerde server accepteert dit mogelijk niet.
- Configureer het type passthrough-verificatie vooraf (niet aanbevolen).
Kunnen alleen IIS-toepassingen worden gepubliceerd? Hoe zit het met webtoepassingen die worden uitgevoerd op niet-Windows-webservers? Moet de connector worden geïnstalleerd op een server waarop IIS is geïnstalleerd?
Nee, er is geen IIS-vereiste voor toepassingen die worden gepubliceerd. U kunt webtoepassingen publiceren die worden uitgevoerd op andere servers dan Windows Server. Mogelijk kunt u echter geen verificatie vooraf gebruiken met een niet-Windows-server, afhankelijk van of de webserver Negotiate (Kerberos-verificatie) ondersteunt. IIS is niet vereist op de server waarop de connector is geïnstalleerd.
Kan ik de toepassingsproxy configureren om de HSTS-header toe te voegen?
De toepassingsproxy voegt niet automatisch de HTTP Strict-Transport-Security-header toe aan HTTPS-antwoorden, maar onderhoudt de header als deze zich in het oorspronkelijke antwoord bevindt dat door de gepubliceerde toepassing wordt verzonden. Bewijzen dat een instelling voor het inschakelen van deze functionaliteit op de roadmap staat.
Kan ik een aangepast poortnummer gebruiken in de externe URL?
Nee, als het protocol http
is geconfigureerd in de externe URL, accepteert het microsoft Entra-toepassingsproxy-eindpunt binnenkomende aanvragen op poort TCP 80, als het protocol https
dan op de poort TCP 443.
Kan ik een aangepast poortnummer in de interne URL gebruiken?
Ja, enkele voorbeelden voor interne URL's, waaronder poorten, http://app.contoso.local:8888/
, https://app.contoso.local:8080/
. https://app.contoso.local:8081/test/
Wat zijn de uitdagingen als de externe en de interne URL's verschillen?
Sommige antwoorden die door de gepubliceerde webtoepassingen worden verzonden, bevatten mogelijk in code vastgelegde URL's. In dit geval moet worden gegarandeerd met behulp van een oplossing voor koppelingsvertaling dat de client altijd de juiste URL gebruikt. Koppelingsomzettingsoplossingen zijn mogelijk complex en werken mogelijk niet in alle scenario's. Hier vindt u onze gedocumenteerde oplossingen voor koppelingsomzetting.
Het wordt aanbevolen om identieke externe en interne URL's te gebruiken. Externe en interne URL's worden beschouwd als identiek, als de protocol://hostname:port/path/
url's in beide URL's identiek zijn.
Dit kan worden bereikt met behulp van de functie Aangepaste domeinen .
Voorbeelden:
Identiek:
External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/
Niet identiek:
External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/
External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/
External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/
Het is helemaal niet mogelijk om de externe en interne URL's identiek te maken, als de interne URL een niet-standaardpoort bevat (anders dan TCP 80/443).
In sommige scenario's moeten wijzigingen worden aangebracht in de configuratie van de web-app.
Geïntegreerde Windows-verificatie
Wanneer moet ik de methode PrincipalsAllowedToDelegateToAccount gebruiken bij het instellen van Kerberos Constrained Delegation (KCD)?
De methode PrincipalsAllowedToDelegateToAccount wordt gebruikt wanneer connectorservers zich in een ander domein bevinden dan het serviceaccount van de webtoepassing. Hiervoor is het gebruik van beperkte delegatie op basis van resources vereist. Als de connectorservers en het account van de webtoepassingsservice zich in hetzelfde domein bevinden, kunt u Active Directory gebruiken om de delegeringsinstellingen voor elk van de connectorcomputeraccounts te configureren, zodat ze delegeren aan de doel-SPN.
Als de connectorservers en het webtoepassingsserviceaccount zich in verschillende domeinen bevinden, wordt delegering op basis van resources gebruikt. De delegatiemachtigingen worden geconfigureerd op de doelwebserver en het serviceaccount van de webtoepassing. Deze methode van beperkte delegering is relatief nieuw. De methode is geïntroduceerd in Windows Server 2012, die ondersteuning biedt voor overdracht tussen domeinen door de eigenaar van de resource (webservice) te laten bepalen welke computer- en serviceaccounts hieraan kunnen delegeren. Er is geen gebruikersinterface voor hulp bij deze configuratie, dus u moet PowerShell gebruiken. Zie het technisch document Over beperkte Kerberos-delegering met toepassingsproxy voor meer informatie.
Werkt NTLM-verificatie met de Microsoft Entra-toepassingsproxy?
NTLM-verificatie kan niet worden gebruikt als een methode voor verificatie vooraf of eenmalige aanmelding. NTLM-verificatie kan alleen worden gebruikt wanneer deze rechtstreeks tussen de client en de gepubliceerde webtoepassing kan worden onderhandeld. Als u NTLM-verificatie gebruikt, wordt meestal een aanmeldingsprompt weergegeven in de browser.
Kan ik de aanmeldingsidentiteit 'On-premises user principal name' of 'On-premises SAM-accountnaam' gebruiken in een B2B IWA-scenario voor eenmalige aanmelding?
Nee, dit werkt niet, omdat een gastgebruiker in Microsoft Entra ID niet beschikt over het kenmerk dat is vereist voor een van de hierboven genoemde aanmeldingsidentiteiten.
In dit geval is er een terugval naar 'User principal name'. Lees B2B-gebruikers verlenen in Microsoft Entra ID-toegang tot uw on-premises toepassingen voor meer informatie over het B2B-scenario.
Passthrough-verificatie vooraf
Kan ik beleid voor voorwaardelijke toegang gebruiken voor toepassingen die zijn gepubliceerd met passthrough-verificatie vooraf?
Beleid voor voorwaardelijke toegang wordt alleen afgedwongen voor vooraf geverifieerde gebruikers in Microsoft Entra-id. Passthrough-verificatie vooraf activeert geen Microsoft Entra-verificatie, zodat beleid voor voorwaardelijke toegang niet kan worden afgedwongen. Met passthrough-verificatie vooraf moet MFA-beleid worden geïmplementeerd op de on-premises server, indien mogelijk, of door preauthentication van Microsoft Entra-id in te schakelen met de Microsoft Entra-toepassingsproxy.
Kan ik een webtoepassing publiceren met verificatievereiste voor clientcertificaten?
Nee, dit scenario wordt niet ondersteund omdat de toepassingsproxy TLS-verkeer beëindigt.
Extern bureaublad-gateway publiceren
Hoe kan ik Extern bureaublad-gateway publiceren via microsoft Entra-toepassingsproxy?
Kan ik Beperkte Kerberos-delegering (eenmalige aanmelding - Geïntegreerde Windows-verificatie) gebruiken in het publicatiescenario voor Extern bureaublad-gateway?
Nee, dit scenario wordt niet ondersteund.
Mijn gebruikers gebruiken Internet Explorer 11 niet en het scenario voor verificatie vooraf werkt niet voor hen. Is dit verwacht?
Ja, het wordt verwacht. Voor het scenario voor verificatie vooraf is een ActiveX-besturingselement vereist. Dit wordt niet ondersteund in browsers van derden.
Wordt de Extern bureaublad-webclient (HTML5) ondersteund?
Ja, dit scenario is momenteel beschikbaar als openbare preview. Raadpleeg Extern bureaublad publiceren met microsoft Entra-toepassingsproxy.
Nadat ik het scenario voor verificatie vooraf heb geconfigureerd, realiseerde ik me dat de gebruiker twee keer moet verifiëren: eerst op het aanmeldingsformulier van Microsoft Entra en vervolgens op het rdWeb-aanmeldingsformulier. Is dit verwacht? Hoe kan ik dit beperken tot één aanmelding?
Ja, het wordt verwacht. Als de computer van de gebruiker lid is van Microsoft Entra, meldt de gebruiker zich automatisch aan bij Microsoft Entra ID. De gebruiker moet alleen hun referenties opgeven op het aanmeldingsformulier RDWeb.
Kan ik de optie 'Rdp-bestand downloaden' gebruiken onder Instellingen in de extern bureaublad-webclientportal in het preauthenticatiescenario van Microsoft Entra?
Met deze optie kan de gebruiker het RDP-bestand downloaden en gebruiken door een andere RDP-client (buiten de Extern bureaublad-webclient). Normaal gesproken kunnen andere RDP-clients (zoals de Microsoft Extern bureaublad-client) de verificatie vooraf niet zelf verwerken. Daarom werkt het scenario niet.
SharePoint-publicatie
Hoe kan ik SharePoint publiceren via microsoft Entra-toepassingsproxy?
Kan ik de mobiele SharePoint-app (iOS/Android) gebruiken voor toegang tot een gepubliceerde SharePoint Server?
De mobiele SharePoint-app biedt momenteel geen ondersteuning voor Microsoft Entra-verificatie.
Active Directory Federation Services (AD FS) publiceren
Kan ik Microsoft Entra-toepassingsproxy gebruiken als AD FS-proxy (zoals webtoepassingsproxy)?
Nee, Microsoft Entra-toepassingsproxy is ontworpen om te werken met Microsoft Entra-id en voldoet niet aan de vereisten om te fungeren als een AD FS-proxy.
Kan ik microsoft Entra-toepassingsproxy gebruiken om een AD FS-eindpunt te publiceren (zoals /adfs/portal/updatepassword/)?
Nee, dit wordt niet ondersteund.
WebSocket
Ondersteunt de Microsoft Entra-toepassingsproxy het WebSocket-protocol?
Toepassingen die gebruikmaken van het WebSocket-protocol, zoals QlikSense en Remote Desktop Web Client (HTML5), worden nu ondersteund. Hier volgen bekende beperkingen:
- De toepassingsproxy negeert de cookie die is ingesteld op het serverantwoord tijdens het openen van de WebSocket-verbinding.
- Er is geen eenmalige aanmelding toegepast op de WebSocket-aanvraag.
- Functies (Eventlogs, PowerShell en Extern bureaublad-services) in het Windows-beheercentrum (WAC) werken niet via de Microsoft Entra-toepassingsproxy.
De WebSocket-toepassing heeft geen unieke publicatievereisten en kan op dezelfde manier worden gepubliceerd als al uw andere toepassingsproxytoepassingen.
Koppelingsomzetting
Heeft het gebruik van koppelingsvertaling invloed op de prestaties?
Ja. Koppelingsomzetting is van invloed op de prestaties. De toepassingsproxyservice scant de toepassing op in code vastgelegde koppelingen en vervangt deze door hun respectieve, gepubliceerde externe URL's voordat ze aan de gebruiker worden weergegeven.
Voor de beste prestaties raden we u aan identieke interne en externe URL's te gebruiken door aangepaste domeinen te configureren. Als het gebruik van aangepaste domeinen niet mogelijk is, kunt u de prestaties van koppelingsvertaling verbeteren met behulp van de Mijn apps Secure Sign in Extension of Microsoft Edge Browser op mobiele apparaten. Zie In code vastgelegde koppelingen omleiden voor apps die zijn gepubliceerd met de Microsoft Entra-toepassingsproxy.
Jokertekens
Hoe kan ik jokertekens gebruiken om twee toepassingen met dezelfde aangepaste domeinnaam te publiceren, maar met verschillende protocollen, één voor HTTP en één voor HTTPS?
Dit scenario wordt niet rechtstreeks ondersteund. Uw opties voor dit scenario zijn:
Publiceer zowel de HTTP- als HTTPS-URL's als afzonderlijke toepassingen met een jokerteken, maar geef ze elk een ander aangepast domein. Deze configuratie werkt omdat ze verschillende externe URL's hebben.
Publiceer de HTTPS-URL via een jokertekentoepassing. Publiceer de HTTP-toepassingen afzonderlijk met behulp van deze PowerShell-cmdlets voor de toepassingsproxy: