Edytuj

Udostępnij za pośrednictwem

Serwer proxy aplikacji Microsoft Entra — często zadawane pytania

  • Często zadawane pytania

Ta strona zawiera odpowiedzi na często zadawane pytania dotyczące serwera proxy aplikacji Firmy Microsoft Entra.

Ogólne

Czy mogę zmodyfikować aplikację proxy aplikacji ze strony **Rejestracje aplikacji** w centrum administracyjnym firmy Microsoft Entra?

Nie, następujące elementy konfiguracji są używane przez serwer proxy aplikacji i nie powinny być zmieniane ani usuwane:

  • Włącz/wyłącz opcję "Zezwalaj na przepływy klientów publicznych".
  • CWAP_AuthSecret (wpisy tajne klienta).
  • Uprawnienia interfejsu API. Modyfikowanie dowolnego z powyższych elementów konfiguracji na stronie rejestracji aplikacji powoduje przerwanie wstępnego uwierzytelniania serwera proxy aplikacji Firmy Microsoft Entra.

Czy mogę usunąć aplikację serwera proxy aplikacji ze strony Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra?

Nie, należy usunąć aplikację serwera proxy aplikacji z obszaru Aplikacje dla przedsiębiorstw w centrum administracyjnym firmy Microsoft Entra. Jeśli usuniesz aplikację serwera proxy aplikacji z obszaru Rejestracje aplikacji centrum administracyjnego firmy Microsoft Entra, mogą wystąpić problemy.

Jaka licencja jest wymagana do korzystania z serwera proxy aplikacji Microsoft Entra?

Aby korzystać z serwera proxy aplikacji Microsoft Entra, musisz mieć licencję Microsoft Entra ID P1 lub P2. Aby uzyskać więcej informacji na temat licencjonowania, zobacz Cennik usługi Microsoft Entra

Co się stanie z serwerem proxy aplikacji firmy Microsoft w mojej dzierżawie, jeśli moja licencja wygaśnie?

Jeśli licencja wygaśnie, serwer proxy aplikacji zostanie automatycznie wyłączony. Informacje o aplikacji są zapisywane przez maksymalnie jeden rok.

Dlaczego przycisk "Włącz serwer proxy aplikacji jest wyszarydzony?

Upewnij się, że masz co najmniej licencję microsoft Entra ID P1 lub P2 i zainstalowany łącznik sieci prywatnej Firmy Microsoft Entra. Po pomyślnym zainstalowaniu pierwszego łącznika usługa serwera proxy aplikacji Firmy Microsoft jest włączona automatycznie.

Konfiguracja Połączenie or

Czy serwer proxy aplikacji używa tego samego łącznika co Dostęp Prywatny Microsoft Entra?

Tak, łącznik sieci prywatnej firmy Microsoft Entra jest używany zarówno przez serwer proxy aplikacji, jak i Dostęp Prywatny Microsoft Entra. Aby dowiedzieć się więcej na temat łącznika, zobacz Microsoft Entra private network connector (Łącznik sieci prywatnej firmy Microsoft). Aby rozwiązać problemy z konfiguracją łącznika, zobacz Rozwiązywanie problemów z łącznikami.

Konfiguracja aplikacji

Czy mogę użyć sufiksów domeny "[nazwa dzierżawy].onmicrosoft.com" lub "[nazwa dzierżawy].mail.onmicrosoft.com" w zewnętrznym adresie URL?

Chociaż te sufiksy są wyświetlane na liście sufiksów, nie należy ich używać. Te sufiksy domen nie są przeznaczone do użycia z serwerem proxy aplikacji Entra firmy Microsoft. Jeśli używasz tych sufiksów domeny, utworzona aplikacja serwera proxy aplikacji Microsoft Entra nie będzie działać. Można użyć sufiksu msappproxy.net domeny standardowej lub domeny niestandardowej.

Czy serwer proxy aplikacji obsługuje suwerenne i regionalne chmury?

Microsoft Entra ID ma usługę serwera proxy aplikacji, która umożliwia użytkownikom dostęp do aplikacji lokalnych przez zalogowanie się przy użyciu konta Microsoft Entra. Jeśli masz zainstalowane łączniki w różnych regionach, możesz zoptymalizować ruch, wybierając najbliższy region usługi w chmurze serwera proxy aplikacji do użycia z każdą grupą łączników, zobacz Optymalizowanie przepływu ruchu za pomocą serwera proxy aplikacji Firmy Microsoft Entra.

Otrzymuję błąd dotyczący nieprawidłowego certyfikatu lub możliwego nieprawidłowego hasła.

Po przekazaniu certyfikatu SSL w portalu zostanie wyświetlony komunikat "Nieprawidłowy certyfikat, możliwe nieprawidłowe hasło".

Oto kilka wskazówek dotyczących rozwiązywania problemów z tym błędem:

  • Sprawdź, czy występują problemy z certyfikatem. Zainstaluj go na komputerze lokalnym. Jeśli nie napotkasz żadnych problemów, certyfikat jest dobry.
  • Upewnij się, że hasło nie zawiera żadnych znaków specjalnych. Hasło powinno zawierać tylko znaki 0-9, A-Z i a-z.
  • Jeśli certyfikat został utworzony przy użyciu dostawcy magazynu kluczy Microsoft Software, należy użyć algorytmu RSA.

Jaka jest długość domyślnego i "długiego" limitu czasu zaplecza? Czy można przedłużyć limit czasu?

Domyślna długość to 85 sekund. Ustawienie "long" wynosi 180 sekund. Nie można przedłużyć limitu czasu.

Czy jednostka usługi może zarządzać serwerem proxy aplikacji przy użyciu programu PowerShell lub interfejsów API programu Microsoft Graph?

Nie, nie jest to obecnie obsługiwane.

Co się stanie w przypadku usunięcia CWAP_AuthSecret (wpisu tajnego klienta) w rejestracji aplikacji?

Klucz tajny klienta, nazywany również CWAP_AuthSecret, jest automatycznie dodawany do obiektu aplikacji (rejestracja aplikacji) podczas tworzenia aplikacji serwera proxy aplikacji Firmy Microsoft.

Wpis tajny klienta jest ważny przez jeden rok. Nowy roczny wpis tajny klienta jest tworzony automatycznie przed wygaśnięciem bieżącego prawidłowego klucza tajnego klienta. Trzy CWAP_AuthSecret wpisy tajne klienta są zawsze przechowywane w obiekcie aplikacji.

Ważne

Usuwanie CWAP_AuthSecret przerywa wstępne uwierzytelnianie serwera proxy aplikacji Firmy Microsoft Entra. Nie usuwaj CWAP_AuthSecret.

Używam lub chcę używać serwera proxy aplikacji Firmy Microsoft Entra. Czy mogę zastąpić domenę rezerwową "onmicrosoft.com" mojej dzierżawy na platformie Microsoft 365 zgodnie z sugestią w artykule "Dodawanie i zastępowanie domeny rezerwowej onmicrosoft.com w usłudze Microsoft 365"?

Nie, należy użyć oryginalnej domeny rezerwowej.

Artykuł wymieniony w tym artykule: Dodaj i zastąp domenę rezerwową onmicrosoft.com na platformie Microsoft 365

Jak mogę zmienić stronę docelową ładowaną przez moją aplikację?

Na stronie Rejestracje aplikacji możesz zmienić adres URL strony głównej na żądany zewnętrzny adres URL strony docelowej. Określona strona jest ładowana po uruchomieniu aplikacji z Moje aplikacje lub portalu usługi Office 365. Aby uzyskać instrukcje konfiguracji, zobacz Ustawianie niestandardowej strony głównej dla opublikowanych aplikacji przy użyciu serwera proxy aplikacji Firmy Microsoft Entra

Dlaczego otrzymuję przekierowanie do obciętego adresu URL podczas próby uzyskania dostępu do opublikowanej aplikacji za każdym razem, gdy adres URL zawiera znak "#" (hashtag)?

Jeśli skonfigurowano wstępne uwierzytelnianie firmy Microsoft, a adres URL aplikacji zawiera znak "#" podczas próby uzyskania dostępu do aplikacji po raz pierwszy, nastąpi przekierowanie do identyfikatora Entra firmy Microsoft (login.microsoftonline.com) na potrzeby uwierzytelniania. Po zakończeniu uwierzytelniania nastąpi przekierowanie do części adresu URL przed znakiem "#" i wszystko, co nastąpi po znaku "#", wydaje się być ignorowane/usuwane. Jeśli na przykład adres URL to https://www.contoso.com/#/home/index.html, po zakończeniu uwierzytelniania w usłudze Microsoft Entra użytkownik zostanie przekierowany do https://www.contoso.com/. To zachowanie jest zgodnie z projektem ze względu na sposób obsługi znaku "#" przez przeglądarkę.

Możliwe rozwiązania/alternatywy:

  • Skonfiguruj przekierowanie z https://www.contoso.com do https://contoso.com/#/home/index.html. Użytkownik musi najpierw uzyskać dostęp.https://www.contoso.com
  • Adres URL używany do pierwszej próby dostępu musi zawierać znak "#" w postaci zakodowanej (%23). Opublikowany serwer może tego nie zaakceptować.
  • Skonfiguruj typ wstępnego uwierzytelniania przekazywania (niezalecane).

Czy można publikować tylko aplikacje oparte na usługach IIS? Co z aplikacjami internetowymi działającymi na serwerach sieci Web innych niż Windows? Czy łącznik musi być zainstalowany na serwerze z zainstalowanymi usługami IIS?

Nie, nie ma wymagania usług IIS dla opublikowanych aplikacji. Aplikacje internetowe działające na serwerach innych niż Windows Server można publikować. Jednak w zależności od tego, czy serwer internetowy obsługuje uwierzytelnianie Kerberos, może nie być w stanie użyć wstępnego uwierzytelniania z systemem innej niż Windows Server. Usługi IIS nie są wymagane na serwerze, na którym jest zainstalowany łącznik.

Czy mogę skonfigurować serwer proxy aplikacji, aby dodać nagłówek HSTS?

Serwer proxy aplikacji nie dodaje automatycznie nagłówka HTTP Strict-Transport-Security do odpowiedzi HTTPS, ale utrzymuje nagłówek, jeśli znajduje się w oryginalnej odpowiedzi wysyłanej przez opublikowaną aplikację. Udowadnianie ustawienia umożliwiającego włączenie tej funkcji znajduje się w harmonogramie działania.

Czy mogę użyć niestandardowego numeru portu w zewnętrznym adresie URL?

Nie, jeśli protokół http jest skonfigurowany w zewnętrznym adresie URL, punkt końcowy serwera proxy aplikacji Microsoft Entra akceptuje żądanie przychodzące na porcie TCP 80, jeśli protokół https następnie na porcie TCP 443.

Czy mogę użyć niestandardowego numeru portu w wewnętrznym adresie URL?

Tak, niektóre przykłady wewnętrznych adresów URL, w tym portów: http://app.contoso.local:8888/, https://app.contoso.local:8080/, https://app.contoso.local:8081/test/.

Jakie są wyzwania, jeśli zewnętrzne i wewnętrzne adresy URL są różne?

Niektóre odpowiedzi wysyłane przez opublikowane aplikacje internetowe mogą zawierać zakodowane na twardo adresy URL. W takim przypadku należy upewnić się, że jest używane rozwiązanie tłumaczenia linków, które klient zawsze używa poprawnego adresu URL. Rozwiązania do tłumaczenia linków mogą być złożone i mogą nie działać we wszystkich scenariuszach. Tutaj znajdziesz nasze udokumentowane rozwiązania do tłumaczenia linków.

Najlepszym rozwiązaniem jest użycie identycznych zewnętrznych i wewnętrznych adresów URL. Zewnętrzne i wewnętrzne adresy URL są uważane za identyczne, jeśli protocol://hostname:port/path/ oba adresy URL są identyczne.

Można to osiągnąć za pomocą funkcji Domeny niestandardowe.

Przykłady:

Identyczne:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

Nie identyczne:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

Ustawienie zewnętrznych i wewnętrznych adresów URL nie jest w ogóle możliwe, jeśli wewnętrzny adres URL zawiera niestandardowy port (inny niż TCP 80 / 443).

W niektórych scenariuszach należy wprowadzić zmiany w konfiguracji aplikacji internetowej.

Zintegrowane uwierzytelnianie systemu Windows

Kiedy należy użyć metody PrincipalsAllowedToDelegateToAccount podczas konfigurowania ograniczonego delegowania Protokołu Kerberos (KCD)?

Metoda PrincipalsAllowedToDelegateToAccount jest używana, gdy serwery łączników znajdują się w innej domenie niż konto usługi aplikacji internetowej. Wymaga ona użycia ograniczonego delegowania opartego na zasobach. Jeśli serwery łącznika i konto usługi aplikacji internetowej znajdują się w tej samej domenie, można użyć Użytkownicy i komputery usługi Active Directory do skonfigurowania ustawień delegowania na każdym z kont komputera łącznika, co umożliwia delegowanie ich do docelowej nazwy SPN.

Jeśli serwery łącznika i konto usługi aplikacji internetowej znajdują się w różnych domenach, używane jest delegowanie oparte na zasobach. Uprawnienia delegowania są konfigurowane na docelowym serwerze internetowym i koncie usługi aplikacji internetowej. Ta metoda ograniczonego delegowania jest stosunkowo nowa. Metoda została wprowadzona w systemie Windows Server 2012, który obsługuje delegowanie między domenami, zezwalając właścicielowi zasobu (usługi internetowej) na kontrolowanie, które maszyny i konta usług mogą delegować do niej. Nie ma interfejsu użytkownika, aby pomóc w tej konfiguracji, więc musisz użyć programu PowerShell. Aby uzyskać więcej informacji, zobacz oficjalny dokument Understanding Kerberos Constrained Delegation with application proxy (Opis ograniczonego delegowania protokołu Kerberos przy użyciu serwera proxy aplikacji).

Czy uwierzytelnianie NTLM działa z serwerem proxy aplikacji Firmy Microsoft Entra?

Uwierzytelnianie NTLM nie może być używane jako metoda wstępnego uwierzytelniania ani logowania jednokrotnego. Uwierzytelnianie NTLM może być używane tylko wtedy, gdy można negocjować je bezpośrednio między klientem a opublikowaną aplikacją internetową. Użycie uwierzytelniania NTLM zwykle powoduje wyświetlenie monitu logowania w przeglądarce.

Czy mogę użyć tożsamości logowania "Główna nazwa użytkownika lokalnego" lub "Lokalna nazwa konta SAM" w scenariuszu logowania jednokrotnego B2B IWA?

Nie, nie będzie to działać, ponieważ użytkownik-gość w identyfikatorze Entra firmy Microsoft nie ma atrybutu wymaganego przez żadną z tożsamości logowania wymienionych powyżej.

W takim przypadku istnieje rezerwowy element "Główna nazwa użytkownika". Aby uzyskać więcej informacji na temat scenariusza B2B, przeczytaj Grant B2B users in Microsoft Entra ID access to your on-premises applications (Udzielanie użytkownikom B2B w usłudze Microsoft Entra ID dostępu do aplikacji lokalnych).

Uwierzytelnianie przekazywane

Czy mogę używać zasad dostępu warunkowego dla aplikacji opublikowanych z uwierzytelnianiem przekazywanym?

Zasady dostępu warunkowego są wymuszane tylko dla pomyślnie wstępnie uwierzytelnionych użytkowników w identyfikatorze Entra firmy Microsoft. Uwierzytelnianie przekazywane nie wyzwala uwierzytelniania entra firmy Microsoft, więc nie można wymuszać zasad dostępu warunkowego. W przypadku uwierzytelniania przekazywanego zasady uwierzytelniania wieloskładnikowego muszą być implementowane na serwerze lokalnym, jeśli to możliwe, lub przez włączenie wstępnego uwierzytelniania z serwerem proxy aplikacji Firmy Microsoft Entra.

Czy mogę opublikować aplikację internetową z wymaganiem uwierzytelniania certyfikatu klienta?

Nie, ten scenariusz nie jest obsługiwany, ponieważ serwer proxy aplikacji przerywa ruch TLS.

Publikowanie bramy usług pulpitu zdalnego

Jak opublikować bramę usług pulpitu zdalnego za pośrednictwem serwera proxy aplikacji firmy Microsoft?

Zapoznaj się z artykułem Publikowanie pulpitu zdalnego za pomocą serwera proxy aplikacji Firmy Microsoft Entra.

Czy mogę użyć ograniczonego delegowania protokołu Kerberos (logowanie jednokrotne — zintegrowane uwierzytelnianie systemu Windows) w scenariuszu publikowania bramy usług pulpitu zdalnego?

Nie, ten scenariusz nie jest obsługiwany.

Moi użytkownicy nie korzystają z programu Internet Explorer 11, a scenariusz wstępnego uwierzytelniania nie działa dla nich. Czy jest to oczekiwane?

Tak, jest to oczekiwane. Scenariusz wstępnego uwierzytelniania wymaga kontrolki ActiveX, która nie jest obsługiwana w przeglądarkach innych firm.

Czy klient sieci Web pulpitu zdalnego (HTML5) jest obsługiwany?

Tak, ten scenariusz jest obecnie w publicznej wersji zapoznawczej. Zapoznaj się z artykułem Publikowanie pulpitu zdalnego za pomocą serwera proxy aplikacji Firmy Microsoft Entra.

Po skonfigurowaniu scenariusza wstępnego uwierzytelniania zdałem sobie sprawę, że użytkownik musi uwierzytelniać się dwa razy: najpierw w formularzu logowania microsoft Entra, a następnie w formularzu logowania rdWeb. Czy jest to oczekiwane? Jak mogę zmniejszyć tę liczbę do jednego logowania?

Tak, jest to oczekiwane. Jeśli komputer użytkownika jest przyłączony do firmy Microsoft Entra, użytkownik loguje się automatycznie do identyfikatora Entra firmy Microsoft. Użytkownik musi podać swoje poświadczenia tylko w formularzu logowania rdWeb.

Czy mogę użyć opcji Metoda uruchamiania zasobów "Pobierz plik rdp" w Ustawienia w portalu klienta usług pulpitu zdalnego w scenariuszu wstępnego uwierzytelniania firmy Microsoft?

Ta opcja umożliwia użytkownikowi pobranie pliku rdp i użycie go przez innego klienta RDP (poza klientem sieci Web pulpitu zdalnego). Zazwyczaj inny klient RDP (na przykład klient Pulpit zdalny Microsoft) nie może natywnie obsługiwać wstępnego uwierzytelniania. Dlatego scenariusz nie działa.

Publikowanie programu SharePoint

Jak opublikować program SharePoint za pośrednictwem serwera proxy aplikacji Microsoft Entra?

Zapoznaj się z tematem Włączanie dostępu zdalnego do programu SharePoint przy użyciu serwera proxy aplikacji Firmy Microsoft Entra.

Czy można używać aplikacji mobilnej programu SharePoint (iOS/Android) do uzyskiwania dostępu do opublikowanego programu SharePoint Server?

Aplikacja mobilna programu SharePoint nie obsługuje obecnie wstępnego uwierzytelniania firmy Microsoft.

Publikowanie usług Active Directory Federation Services (AD FS)

Czy mogę użyć serwera proxy aplikacji Microsoft Entra jako serwera proxy usług AD FS (na przykład serwera proxy aplikacji internetowej)?

Nie, serwer proxy aplikacji Entra firmy Microsoft jest przeznaczony do pracy z identyfikatorem Entra firmy Microsoft i nie spełnia wymagań, które mają działać jako serwer proxy usług AD FS.

Czy mogę użyć serwera proxy aplikacji Entra firmy Microsoft do opublikowania dowolnego punktu końcowego usług AD FS (na przykład /adfs/portal/updatepassword/)?

Nie, nie jest to obsługiwane.

WebSocket

Czy serwer proxy aplikacji Entra firmy Microsoft obsługuje protokół WebSocket?

Aplikacje korzystające z protokołu WebSocket, na przykład QlikSense i klient sieci Web usług pulpitu zdalnego (HTML5), są teraz obsługiwane. Poniżej przedstawiono znane ograniczenia:

  • Serwer proxy aplikacji odrzuca plik cookie ustawiony na odpowiedzi serwera podczas otwierania połączenia protokołu WebSocket.
  • Do żądania protokołu WebSocket nie zastosowano logowania jednokrotnego.
  • Funkcje (Eventlogs, PowerShell i Usługi pulpitu zdalnego) w Centrum windows Administracja (WAC) nie działają za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra.

Aplikacja WebSocket nie ma żadnych unikatowych wymagań dotyczących publikowania i może być opublikowana tak samo jak wszystkie inne aplikacje proxy aplikacji.

Czy korzystanie z tłumaczenia linków ma wpływ na wydajność?

Tak. Translacja łączy wpływa na wydajność. Usługa serwera proxy aplikacji skanuje aplikację pod kątem zakodowanych na stałe linków i zastępuje je odpowiednimi, opublikowanymi zewnętrznymi adresami URL przed przedstawieniem ich użytkownikowi.

Aby uzyskać najlepszą wydajność, zalecamy używanie identycznych wewnętrznych i zewnętrznych adresów URL przez skonfigurowanie domen niestandardowych. Jeśli korzystanie z domen niestandardowych nie jest możliwe, możesz poprawić wydajność tłumaczenia linków przy użyciu rozszerzenia Moje aplikacje bezpiecznego logowania lub przeglądarki Microsoft Edge na urządzeniach przenośnych. Zobacz Przekierowanie zakodowanych na stałe linków dla aplikacji opublikowanych za pomocą serwera proxy aplikacji Firmy Microsoft Entra.

Symbole wieloznaczne

Jak mogę używać symboli wieloznacznych do publikowania dwóch aplikacji o tej samej niestandardowej nazwie domeny, ale z różnymi protokołami, jeden dla protokołu HTTP i jeden dla protokołu HTTPS?

Ten scenariusz nie jest obsługiwany bezpośrednio. Dostępne są następujące opcje dla tego scenariusza:

  1. Opublikuj zarówno adresy URL HTTP, jak i HTTPS jako oddzielne aplikacje z symbolami wieloznacznymi, ale nadaj każdej z nich inną domenę niestandardową. Ta konfiguracja działa, ponieważ mają różne zewnętrzne adresy URL.

  2. Opublikuj adres URL HTTPS za pomocą aplikacji z symbolami wieloznacznymi. Opublikuj aplikacje HTTP oddzielnie przy użyciu następujących poleceń cmdlet serwera proxy aplikacji programu PowerShell: