Konfigurowanie domen niestandardowych za pomocą serwera proxy aplikacji Microsoft Entra

Podczas publikowania aplikacji za pośrednictwem serwera proxy aplikacji Entra firmy Microsoft tworzysz zewnętrzny adres URL dla użytkowników. Ten adres URL pobiera domenę yourtenant.msappproxy.netdomyślną . Jeśli na przykład opublikujesz aplikację o nazwie Wydatki w dzierżawie o nazwie Contoso, zewnętrzny adres URL to https:\//expenses-contoso.msappproxy.net. Jeśli chcesz użyć własnej nazwy domeny zamiast msappproxy.net, możesz skonfigurować domenę niestandardową dla aplikacji.

Zalety domen niestandardowych

Dobrym pomysłem jest skonfigurowanie domen niestandardowych dla aplikacji, jeśli jest to możliwe. Oto kilka powodów używania domen niestandardowych:

  • Łącza między aplikacjami działają nawet poza siecią firmową. Bez domeny niestandardowej, jeśli aplikacja jest trwale koduje wewnętrzne linki do obiektów docelowych poza serwerem proxy aplikacji, a linki nie są zewnętrznie rozpoznawalne, przerywają one działanie. Jeśli wewnętrzne i zewnętrzne adresy URL są takie same, należy uniknąć tego problemu. Jeśli nie możesz używać domen niestandardowych, zobacz Przekierowywanie zakodowanych na stałe linków dla aplikacji opublikowanych za pomocą serwera proxy aplikacji Firmy Microsoft Entra, aby uzyskać inne sposoby rozwiązania tego problemu.

  • Użytkownicy mają łatwiejsze środowisko, ponieważ uzyskują do aplikacji ten sam adres URL z wewnątrz sieci lub spoza niej. Nie ma potrzeby uczenia się różnych wewnętrznych i zewnętrznych adresów URL ani śledzenia ich bieżącej lokalizacji.

  • Możesz kontrolować znakowanie i tworzyć żądane adresy URL. Domena niestandardowa może pomóc w budowaniu zaufania użytkowników, ponieważ użytkownicy widzą i używają znanej nazwy zamiast msappproxy.net.

  • Niektóre konfiguracje działają tylko z domenami niestandardowymi. Na przykład potrzebne są domeny niestandardowe dla aplikacji korzystających z języka SAML (Security Assertion Markup Language). Protokół SAML jest używany w przypadku korzystania z usług Active Directory Federation Services (AD FS), ale nie można użyć usługi WS-Federation. Aby uzyskać więcej informacji, zobacz Praca z aplikacjami obsługującymi oświadczenia na serwerze proxy aplikacji.

Jeśli nie możesz dopasować adresów URL wewnętrznych i zewnętrznych, nie jest tak ważne, aby używać domen niestandardowych. Ale nadal możesz skorzystać z innych korzyści.

Opcje konfiguracji DNS

Istnieje kilka opcji konfigurowania konfiguracji DNS w zależności od wymagań:

Ten sam wewnętrzny i zewnętrzny adres URL, różne zachowanie wewnętrzne i zewnętrzne

Jeśli nie chcesz, aby użytkownicy wewnętrzni mogli być kierowani za pośrednictwem serwera proxy aplikacji, możesz skonfigurować system DNS z podziałem mózgu. Podzielona infrastruktura DNS kieruje rozpoznawanie nazw na podstawie lokalizacji hosta. Hosty wewnętrzne są kierowane do wewnętrznego serwera nazw domen, a hosty zewnętrzne do zewnętrznego serwera nazw domen.

Split-brain DNS

Różne wewnętrzne i zewnętrzne adresy URL

Gdy wewnętrzne i zewnętrzne adresy URL są różne, nie konfiguruj zachowania podzielonego mózgu. Routing użytkowników jest określany przy użyciu adresu URL. W takim przypadku należy zmienić tylko zewnętrzny system DNS i kierować zewnętrzny adres URL do punktu końcowego serwera proxy aplikacji.

Po wybraniu domeny niestandardowej dla zewnętrznego adresu URL na pasku informacji zostanie wyświetlony wpis CNAME, który należy dodać do zewnętrznego dostawcy DNS. Te informacje są zawsze widoczne, przechodząc do strony serwera proxy aplikacji.

Konfigurowanie i używanie domen niestandardowych

Aby skonfigurować aplikację lokalną do używania domeny niestandardowej, musisz skonfigurować zweryfikowaną domenę niestandardową usługi Microsoft Entra, certyfikat PFX dla tej domeny niestandardowej i aplikację lokalną.

Ważne

Odpowiadasz za utrzymywanie rekordów DNS, które przekierowują domeny niestandardowe do msappproxy.net domeny. Jeśli zdecydujesz się później usunąć aplikację lub dzierżawę, pamiętaj o usunięciu skojarzonych rekordów DNS dla serwera proxy aplikacji, aby zapobiec nieprawidłowemu używaniu zwisanych rekordów DNS.

Tworzenie i weryfikowanie domeny niestandardowej

Aby utworzyć i zweryfikować domenę niestandardową:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.
  2. Przejdź do sekcji Identity> Ustawienia> Domain names (Nazwy domen).
  3. Wybierz pozycję Dodaj domenę niestandardową.
  4. Wprowadź niestandardową nazwę domeny i wybierz pozycję Dodaj domenę.
  5. Na stronie domeny skopiuj informacje o rekordzie TXT dla domeny.
  6. Przejdź do rejestratora domen i utwórz nowy rekord TXT dla domeny na podstawie skopiowanych informacji DNS.
  7. Po zarejestrowaniu domeny na stronie domeny w identyfikatorze Entra firmy Microsoft wybierz pozycję Weryfikuj. Po zweryfikowaniu stanu domeny możesz użyć domeny we wszystkich konfiguracjach firmy Microsoft Entra, w tym serwera proxy aplikacji.

Aby uzyskać bardziej szczegółowe instrukcje, zobacz Dodawanie niestandardowej nazwy domeny przy użyciu centrum administracyjnego firmy Microsoft Entra.

Konfigurowanie aplikacji do używania domeny niestandardowej

Aby opublikować aplikację za pośrednictwem serwera proxy aplikacji z domeną niestandardową:

  1. W przypadku nowej aplikacji w centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Identity Applications Enterprise applications Application proxy (Serwer proxy aplikacji dla przedsiębiorstw aplikacji>>dla>przedsiębiorstw).

  2. Wybierz pozycję Nowa aplikacja. W sekcji Aplikacje lokalne wybierz pozycję Dodaj aplikację lokalną.

    W przypadku aplikacji już w obszarze Aplikacje dla przedsiębiorstw wybierz ją z listy, a następnie wybierz pozycję Serwer proxy aplikacji w obszarze nawigacji po lewej stronie.

  3. Na stronie ustawień serwera proxy aplikacji wprowadź nazwę, jeśli dodajesz własną aplikację lokalną.

  4. W polu Wewnętrzny adres URL wprowadź wewnętrzny adres URL aplikacji.

  5. W polu Zewnętrzny adres URL z listy rozwijanej wybierz domenę niestandardową, której chcesz użyć.

  6. Wybierz Dodaj.

    Select custom domain

  7. Jeśli domena ma już certyfikat, w polu Certyfikat zostaną wyświetlone informacje o certyfikacie. W przeciwnym razie wybierz pole Certyfikat .

    Click to upload a certificate

  8. Na stronie Certyfikat SSL przejdź do pliku certyfikatu PFX i wybierz go. Wprowadź hasło certyfikatu, a następnie wybierz pozycję Przekaż certyfikat. Aby uzyskać więcej informacji na temat certyfikatów, zobacz sekcję Certyfikaty dla domen niestandardowych. Jeśli certyfikat jest nieprawidłowy lub występuje problem z hasłem, zostanie wyświetlony komunikat o błędzie. Serwer proxy aplikacji — często zadawane pytania zawiera kilka kroków rozwiązywania problemów, które można wypróbować.

    Upload Certificate

    Napiwek

    Domena niestandardowa wymaga przekazania certyfikatu tylko raz. Następnie przekazany certyfikat jest stosowany automatycznie podczas używania domeny niestandardowej dla innych aplikacji.

  9. Jeśli dodano certyfikat, na stronie Serwer proxy aplikacji wybierz pozycję Zapisz.

  10. Na pasku informacji na stronie Serwer proxy aplikacji zanotuj wpis CNAME, który należy dodać do strefy DNS.

    Add CNAME DNS entry

  11. Postępuj zgodnie z instrukcjami w temacie Zarządzanie rekordami i zestawami rekordów DNS przy użyciu centrum administracyjnego firmy Microsoft Entra, aby dodać rekord DNS, który przekierowuje nowy zewnętrzny adres URL do msappproxy.net domeny w usłudze Azure DNS. Jeśli jest używany inny dostawca DNS, skontaktuj się z dostawcą, aby uzyskać instrukcje.

    Ważne

    Upewnij się, że prawidłowo używasz rekordu CNAME wskazującego domenę msappproxy.net . Nie należy wskazywać rekordów na adresy IP lub nazwy DNS serwera, ponieważ nie są one statyczne i mogą mieć wpływ na odporność usługi.

  12. Aby sprawdzić, czy rekord DNS jest poprawnie skonfigurowany, użyj polecenia nslookup , aby potwierdzić, że zewnętrzny adres URL jest osiągalny, a msapproxy.net domena jest wyświetlana jako alias.

Aplikacja jest teraz skonfigurowana do używania domeny niestandardowej. Przed przetestowaniem lub wydaniem należy przypisać użytkowników do aplikacji.

Aby zmienić domenę aplikacji, wybierz inną domenę z listy rozwijanej w zewnętrznym adresie URL na stronie serwera proxy aplikacji. Przekaż certyfikat dla zaktualizowanej domeny, w razie potrzeby i zaktualizuj rekord DNS. Jeśli nie widzisz domeny niestandardowej, której chcesz użyć na liście rozwijanej w zewnętrznym adresie URL, może nie zostać zweryfikowana.

Aby uzyskać bardziej szczegółowe instrukcje dotyczące serwera proxy aplikacji, zobacz Samouczek: dodawanie aplikacji lokalnej na potrzeby dostępu zdalnego za pośrednictwem serwera proxy aplikacji w usłudze Microsoft Entra ID.

Certyfikaty dla domen niestandardowych

Certyfikat tworzy bezpieczne połączenie TLS dla domeny niestandardowej.

Formaty certyfikatów

Aby upewnić się, że wszystkie wymagane certyfikaty pośrednie są uwzględnione, należy użyć certyfikatu PFX. Certyfikat musi zawierać klucz prywatny.

Najbardziej typowe metody podpisu certyfikatu są obsługiwane, takie jak alternatywna nazwa podmiotu (SAN).

Możesz użyć certyfikatów z symbolami wieloznacznymi, o ile symbol wieloznaczny jest zgodny z zewnętrznym adresem URL. W przypadku aplikacji z symbolami wieloznacznymi należy używać certyfikatów wieloznacznych. Jeśli chcesz użyć certyfikatu do uzyskiwania dostępu do poddomeny, musisz dodać symbole wieloznaczne poddomeny jako alternatywne nazwy podmiotu w tym samym certyfikacie. Na przykład certyfikat * .adventure-works.com kończy się niepowodzeniem dla *.apps.adventure-works.com , chyba że zostanie dodana *.apps.adventure-works.com jako alternatywna nazwa podmiotu.

Certyfikaty wystawione przez własną infrastrukturę kluczy publicznych (PKI) można użyć, jeśli łańcuch certyfikatów jest zainstalowany na urządzeniach klienckich. Usługa Microsoft Intune może wdrażać te certyfikaty na zarządzanych urządzeniach. W przypadku urządzeń niezarządzanych należy ręcznie zainstalować te certyfikaty.

Nie zalecamy używania prywatnego głównego urzędu certyfikacji, ponieważ prywatny główny urząd certyfikacji również musiałby zostać wypchnięty na maszyny klienckie, co może powodować wiele wyzwań.

Zarządzanie certyfikatami

Wszystkie zarządzanie certyfikatami odbywa się za pośrednictwem poszczególnych stron aplikacji. Przejdź do strony serwera proxy aplikacji, aby uzyskać dostęp do pola Certyfikat.

Jeśli przekażesz certyfikat, użyjesz go w nowych aplikacjach. Tak długo, jak są skonfigurowane do korzystania z niego. Należy jednak ponownie przekazać certyfikat dla aplikacji, które były już tam po jego przekazaniu.

Po wygaśnięciu certyfikatu zostanie wyświetlone ostrzeżenie informujące o przekazaniu innego certyfikatu. Jeśli certyfikat zostanie odwołany, użytkownicy mogą zobaczyć ostrzeżenie o zabezpieczeniach podczas uzyskiwania dostępu do aplikacji. Aby zaktualizować certyfikat aplikacji, przejdź do strony Serwer proxy aplikacji dla aplikacji, wybierz pozycję Certyfikat i przekaż nowy certyfikat. Stare certyfikaty, które nie są używane przez inne aplikacje, są automatycznie usuwane.

Następne kroki