Aangepaste domeinen configureren met Microsoft Entra-toepassingsproxy

Wanneer u een toepassing publiceert via de Microsoft Entra-toepassingsproxy, maakt u een externe URL voor uw gebruikers. Deze URL haalt het standaarddomein yourtenant.msappproxy.netop. Als u bijvoorbeeld een app publiceert met de naam Onkosten in uw tenant met de naam Contoso, is https:\//expenses-contoso.msappproxy.netde externe URL. Als u uw eigen domeinnaam wilt gebruiken in plaats van msappproxy.net, kunt u een aangepast domein configureren voor uw toepassing.

Voordelen van aangepaste domeinen

Het is een goed idee om waar mogelijk aangepaste domeinen in te stellen voor uw apps. Enkele redenen voor het gebruik van aangepaste domeinen zijn:

• Koppelingen tussen apps werken zelfs buiten het bedrijfsnetwerk. Als uw app zonder een aangepast domein interne koppelingen naar doelen buiten de toepassingsproxy hard codeert en de koppelingen niet extern kunnen worden omgezet, worden deze verbroken. Wanneer uw interne en externe URL's hetzelfde zijn, voorkomt u dit probleem. Als u geen aangepaste domeinen kunt gebruiken, raadpleegt u In code vastgelegde koppelingen omleiden voor apps die zijn gepubliceerd met de Microsoft Entra-toepassingsproxy voor andere manieren om dit probleem op te lossen.

• Uw gebruikers hebben een eenvoudigere ervaring, omdat ze toegang hebben tot de app met dezelfde URL van binnen of buiten uw netwerk. U hoeft geen verschillende interne en externe URL's te leren of hun huidige locatie bij te houden.

• U kunt uw huisstijl beheren en de gewenste URL's maken. Een aangepast domein kan u helpen het vertrouwen van uw gebruikers te vergroten, omdat gebruikers een vertrouwde naam zien en gebruiken in plaats van msappproxy.net.

• Sommige configuraties werken alleen met aangepaste domeinen. U hebt bijvoorbeeld aangepaste domeinen nodig voor apps die gebruikmaken van Security Assertion Markup Language (SAML). SAML wordt gebruikt wanneer u Active Directory Federation Services (AD FS) gebruikt, maar geen WS-Federation kunt gebruiken. Zie Werken met claimbewuste apps in de toepassingsproxy voor meer informatie.

Als u de interne en externe URL's niet kunt vergelijken, is het niet zo belangrijk om aangepaste domeinen te gebruiken. Maar u kunt nog steeds profiteren van de andere voordelen.

DNS-configuratieopties

Er zijn verschillende opties voor het instellen van uw DNS-configuratie, afhankelijk van uw vereisten:

Dezelfde interne en externe URL, verschillend intern en extern gedrag

Als u niet wilt dat uw interne gebruikers worden omgeleid via de toepassingsproxy, kunt u een split-brain DNS instellen. Een gesplitste DNS-infrastructuur leidt naamomzetting op basis van hostlocatie. Interne hosts worden omgeleid naar een interne domeinnaamserver en externe hosts naar een externe domeinnaamserver.

Verschillende interne en externe URL's

Wanneer interne en externe URL's verschillen, moet u geen split-brain-gedrag configureren. Gebruikersroutering wordt bepaald met behulp van de URL. In dit geval wijzigt u alleen de externe DNS en routet u de externe URL naar het eindpunt van de toepassingsproxy.

Wanneer u een aangepast domein voor een externe URL selecteert, wordt op een informatiebalk de CNAME-vermelding weergegeven die u moet toevoegen aan de externe DNS-provider. U kunt deze informatie altijd zien door naar de toepassingsproxypagina van de app te gaan.

Aangepaste domeinen instellen en gebruiken

Als u een on-premises app wilt configureren met een aangepast domein, hebt u een geverifieerd aangepast domein van Microsoft Entra, een PFX-certificaat voor het aangepaste domein en een on-premises app nodig om te configureren.

Belangrijk

U bent verantwoordelijk voor het onderhouden van DNS-records die uw aangepaste domeinen omleiden naar het msappproxy.net domein. Als u ervoor kiest om uw toepassing of tenant later te verwijderen, moet u ook de bijbehorende DNS-records voor de toepassingsproxy verwijderen om misbruik van zwevende DNS-records te voorkomen.

Een aangepast domein maken en verifiëren

Een aangepast domein maken en verifiëren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassings-Beheer istrator.
2. Blader naar identiteitsnamen> Instellingen> Domeinnamen.
3. Selecteer Aangepast domein toevoegen.
4. Voer uw aangepaste domeinnaam in en selecteer Domein toevoegen.
5. Kopieer op de domeinpagina de TXT-recordgegevens voor uw domein.
6. Ga naar uw domeinregistrar en maak een nieuwe TXT-record voor uw domein op basis van uw gekopieerde DNS-gegevens.
7. Nadat u het domein hebt geregistreerd, selecteert u Verifiëren op de pagina van het domein in Microsoft Entra-id. Zodra de domeinstatus geverifieerd is, kunt u het domein gebruiken voor al uw Microsoft Entra-configuraties, inclusief toepassingsproxy.

Zie Uw aangepaste domeinnaam toevoegen met behulp van het Microsoft Entra-beheercentrum voor meer gedetailleerde instructies.

Een app configureren voor het gebruik van een aangepast domein

Uw app publiceren via een toepassingsproxy met een aangepast domein:

1. Voor een nieuwe app bladert u in het Microsoft Entra-beheercentrum naar de toepassingsproxy voor bedrijfstoepassingen voor identiteitstoepassingen>>>.

2. Selecteer Nieuwe toepassing. Selecteer in de sectie On-premises toepassingen de optie Een on-premises toepassing toevoegen.

   Voor een app die al in Bedrijfstoepassingen staat, selecteert u deze in de lijst en selecteert u de toepassingsproxy in de linkernavigatiebalk.

3. Voer op de pagina instellingen voor de toepassingsproxy een naam in als u uw eigen on-premises toepassing toevoegt.

4. Voer in het veld Interne URL de interne URL voor uw app in.

5. Selecteer in het veld Externe URL de lijst en selecteer het aangepaste domein dat u wilt gebruiken.

6. Selecteer Toevoegen.

   

7. Als het domein al een certificaat heeft, geeft het veld Certificaat de certificaatgegevens weer. Selecteer anders het veld Certificaat .

   

8. Blader op de pagina ssl-certificaat naar uw PFX-certificaatbestand en selecteer het. Voer het wachtwoord voor het certificaat in en selecteer Certificaat uploaden. Zie de sectie Certificaten voor aangepaste domeinen voor meer informatie over certificaten. Als het certificaat niet geldig is of er een probleem is met het wachtwoord, wordt er een foutbericht weergegeven. De veelgestelde vragen over de toepassingsproxy bevat enkele stappen voor probleemoplossing die u kunt proberen.

   

   Tip

   Voor een aangepast domein hoeft het certificaat slechts eenmaal te worden geüpload. Daarna wordt het geüploade certificaat automatisch toegepast wanneer u het aangepaste domein voor andere apps gebruikt.

9. Als u een certificaat hebt toegevoegd, selecteert u Opslaan op de pagina Toepassingsproxy.

10. Noteer in de informatiebalk op de pagina Toepassingsproxy de CNAME-vermelding die u moet toevoegen aan uw DNS-zone.

    

11. Volg de instructies in Dns-records en -recordsets beheren met behulp van het Microsoft Entra-beheercentrum om een DNS-record toe te voegen waarmee de nieuwe externe URL wordt omgeleid naar het msappproxy.net domein in Azure DNS. Als er een andere DNS-provider wordt gebruikt, neemt u contact op met de leverancier voor de instructies.

    Belangrijk

    Zorg ervoor dat u een CNAME-record gebruikt die verwijst naar het msappproxy.net domein. Wijs geen records naar IP-adressen of DNS-servernamen aan, omdat deze niet statisch zijn en van invloed kunnen zijn op de tolerantie van de service.

12. Als u wilt controleren of de DNS-record juist is geconfigureerd, gebruikt u de opdracht nslookup om te bevestigen dat uw externe URL bereikbaar is en het msapproxy.net domein wordt weergegeven als een alias.

Uw toepassing is nu ingesteld voor het gebruik van het aangepaste domein. Zorg ervoor dat u gebruikers toewijst aan uw toepassing voordat u deze test of vrijgeeft.

Als u het domein voor een app wilt wijzigen, selecteert u een ander domein in de vervolgkeuzelijst in de externe URL op de toepassingsproxypagina van de app. Upload indien nodig een certificaat voor het bijgewerkte domein en werk de DNS-record bij. Als u het gewenste aangepaste domein niet ziet in de vervolgkeuzelijst in de externe URL, wordt dit mogelijk niet geverifieerd.

Zie zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via toepassingsproxy in Microsoft Entra ID voor gedetailleerde instructies voor de toepassingsproxy.

Certificaten voor aangepaste domeinen

Een certificaat maakt de beveiligde TLS-verbinding voor uw aangepaste domein.

Certificaatindelingen

U moet een PFX-certificaat gebruiken om ervoor te zorgen dat alle vereiste tussenliggende certificaten zijn opgenomen. Het certificaat moet de persoonlijke sleutel bevatten.

De meest voorkomende methoden voor certificaathandtekening worden ondersteund, zoals SAN (Subject Alternative Name).

U kunt jokertekencertificaten gebruiken zolang het jokerteken overeenkomt met de externe URL. U moet jokertekencertificaten gebruiken voor toepassingen met jokertekens. Als u het certificaat wilt gebruiken om ook toegang te krijgen tot subdomeinen, moet u de jokertekens van het subdomein toevoegen als alternatieve namen voor onderwerpen in hetzelfde certificaat. Een certificaat voor *.adventure-works.com mislukt bijvoorbeeld voor *.apps.adventure-works.com , tenzij u als alternatieve onderwerpnaam toevoegt *.apps.adventure-works.com .

U kunt certificaten gebruiken die zijn uitgegeven door uw eigen PKI (Public Key Infrastructure) als de certificaatketen op uw clientapparaten is geïnstalleerd. Microsoft Intune kan deze certificaten implementeren op beheerde apparaten. Voor niet-beheerde apparaten moet u deze certificaten handmatig installeren.

Het is niet raadzaam om een persoonlijke basiscertificeringsinstantie (CA) te gebruiken, omdat de privé-basis-CA ook naar clientcomputers moet worden gepusht, wat veel uitdagingen kan veroorzaken.

Certificaatbeheer

Alle certificaatbeheer vindt plaats via de afzonderlijke toepassingspagina's. Ga naar de toepassingsproxypagina van de toepassing voor toegang tot het veld Certificaat.

Als u een certificaat uploadt, gebruiken nieuwe apps het. Zolang ze zijn geconfigureerd om deze te gebruiken. U moet het certificaat echter opnieuw uploaden voor apps die er al waren toen u het uploadde.

Wanneer een certificaat verloopt, krijgt u een waarschuwing dat u een ander certificaat wilt uploaden. Als het certificaat is ingetrokken, zien uw gebruikers mogelijk een beveiligingswaarschuwing bij het openen van de app. Als u het certificaat voor een app wilt bijwerken, gaat u naar de pagina Toepassingsproxy voor de app, selecteert u Certificaat en uploadt u een nieuw certificaat. Oude certificaten die niet door andere apps worden gebruikt, worden automatisch verwijderd.

Volgende stappen

• Eenmalige aanmelding inschakelen voor uw gepubliceerde apps met Microsoft Entra-verificatie.
• Voorwaardelijke toegang voor uw gepubliceerde cloud-apps.