Wdrażanie serwera proxy aplikacji Microsoft Entra w celu zapewnienia bezpiecznego dostępu do aplikacji wewnętrznych w domenie zarządzanej usług Microsoft Entra Domain Services

Usługa Microsoft Entra Domain Services umożliwia przenoszenie starszych aplikacji działających lokalnie na platformę Azure. Microsoft Entra Application Proxy pomaga wspierać pracowników zdalnych, bezpiecznie publikując te aplikacje wewnętrzne w ramach zarządzanej domeny Domain Services, umożliwiając dostęp do nich przez internet.

Jeśli dopiero zaczynasz korzystać z serwera proxy aplikacji firmy Microsoft Entra i chcesz dowiedzieć się więcej, zobacz Jak zapewnić bezpieczny dostęp zdalny do aplikacji wewnętrznych.

W tym artykule pokazano, jak utworzyć i skonfigurować łącznik sieci prywatnej firmy Microsoft w celu zapewnienia bezpiecznego dostępu do aplikacji w domenie zarządzanej.

Zanim rozpoczniesz

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawa Microsoft Entra skojarzona z twoją subskrypcją, która jest zsynchronizowana albo z lokalnym katalogiem, albo tylko z katalogiem w chmurze.
  • W razie potrzeby utwórz dzierżawcę Microsoft Entra lub skojarz subskrypcję platformy Azure z kontem.
  • Do korzystania z serwera proxy aplikacji Microsoft Entra wymagana jest licencja P1 lub P2 firmy Microsoft.
• Domena zarządzana Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie Microsoft Entra.
  • W razie potrzeby utwórz i skonfiguruj domenę zarządzaną usług Microsoft Entra Domain Services.

Tworzenie przyłączonej do domeny maszyny wirtualnej z systemem Windows

Aby kierować ruch do aplikacji działających w danym środowisku, należy zainstalować składnik łącznika sieci prywatnej firmy Microsoft Entra. Ten łącznik sieci prywatnej firmy Microsoft Entra musi być zainstalowany na maszynie wirtualnej z systemem Windows Server przyłączonej do domeny zarządzanej. W przypadku niektórych aplikacji można wdrożyć wiele serwerów z zainstalowanym łącznikiem. Ta opcja wdrożenia zapewnia większą dostępność i ułatwia obsługę cięższych obciążeń uwierzytelniania.

Maszyna wirtualna, na której działa łącznik sieci prywatnej Microsoft Entra, musi znajdować się w tej samej sieci wirtualnej lub sieci połączonej równorzędnie co domena zarządzana. Maszyny wirtualne, które następnie hostują aplikacje publikowane przy użyciu aplikacyjnego serwera proxy, również muszą być wdrażane w tej samej wirtualnej sieci Azure.

Aby utworzyć maszynę wirtualną dla łącznika sieci prywatnej firmy Microsoft Entra, wykonaj następujące kroki:

1. Utwórz jednostkę organizacyjną niestandardową. Możesz delegować uprawnienia do zarządzania tą niestandardową jednostką organizacyjną użytkownikom w tej domenie zarządzanej. Maszyny wirtualne używane przez serwer proxy aplikacji Microsoft Entra oraz te, które uruchamiają aplikacje, muszą być częścią niestandardowej jednostki organizacyjnej (OU), a nie domyślnej jednostki organizacyjnej Microsoft Entra DC Computers.
2. Przyłącz maszyny wirtualne do domeny, zarówno te, które uruchamiają łącznik sieci prywatnej firmy Microsoft Entra, jak i te, które uruchamiają aplikacje, do domeny zarządzanej. Utwórz te konta komputerów w niestandardowej jednostce organizacyjnej z poprzedniego kroku.

Pobierz łącznik sieci prywatnej Microsoft Entra

Wykonaj następujące kroki, aby pobrać łącznik sieci prywatnej firmy Microsoft Entra. Pobrany plik instalacyjny jest kopiowany do maszyny wirtualnej serwera proxy aplikacji w następnej sekcji.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator aplikacji .

2. Wyszukaj i wybierz Aplikacje dla przedsiębiorstw.

3. Wybierz Proxy aplikacji z menu po lewej stronie. Aby utworzyć pierwszy łącznik i włączyć serwer proxy aplikacji, wybierz link, aby pobrać łącznik.

4. Na stronie pobierania zaakceptuj postanowienia licencyjne i umowę o ochronie prywatności, a następnie wybierz pozycję Akceptuj warunki i pobierz.

   

Instalowanie i rejestrowanie łącznika sieci prywatnej firmy Microsoft Entra

Gdy maszyna wirtualna jest gotowa do użycia jako łącznik sieci prywatnej firmy Microsoft Entra, skopiuj i uruchom plik instalacyjny pobrany z centrum administracyjnego firmy Microsoft Entra.

1. Skopiuj plik instalacyjny łącznika sieci prywatnej firmy Microsoft do maszyny wirtualnej.

2. Uruchom plik instalacyjny, taki jak MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Zaakceptuj postanowienia licencyjne dotyczące oprogramowania.

3. Podczas instalacji zostanie wyświetlony monit, aby zarejestrować łącznik w usłudze Proxy aplikacji w katalogu Microsoft Entra.

   Uwaga

   Konto używane do rejestrowania łącznika musi należeć do tego samego katalogu, w którym włączono usługę Aplikacyjnego serwera proxy.

   Jeśli na przykład domena Microsoft Entra jest contoso.com, konto powinno być admin@contoso.com lub innym prawidłowym aliasem w tej domenie.

   • Jeśli konfiguracja zwiększonych zabezpieczeń programu Internet Explorer jest włączona dla maszyny wirtualnej, na której jest instalowany łącznik, ekran rejestracji może zostać zablokowany. Aby zezwolić na dostęp, postępuj zgodnie z instrukcjami w komunikacie o błędzie lub wyłącz rozszerzone zabezpieczenia programu Internet Explorer podczas procesu instalacji.
   • Jeśli rejestracja łącznika nie powiedzie się, sprawdź Rozwiązywanie problemów z Aplikacja Proxy.

4. Na końcu konfiguracji jest wyświetlana uwaga dla środowisk z wychodzącym serwerem proxy. Aby skonfigurować łącznik sieci prywatnej firmy Microsoft do pracy za pośrednictwem serwera proxy ruchu wychodzącego, uruchom podany skrypt, taki jak C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

5. Na stronie Serwer proxy aplikacji w centrum administracyjnym firmy Microsoft Entra nowy łącznik jest wyświetlany ze stanem Aktywny, jak pokazano w poniższym przykładzie:

   

Uwaga

Aby zapewnić wysoką dostępność aplikacji uwierzytelniających się za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra, można zainstalować łączniki na wielu maszynach wirtualnych. Powtórz te same kroki wymienione w poprzedniej sekcji, aby zainstalować łącznik na innych serwerach dołączonych do domeny zarządzanej.

Włącz ograniczone delegowanie Kerberos oparte na zasobach

Jeśli chcesz używać logowania jednokrotnego do aplikacji przy użyciu zintegrowanego uwierzytelniania systemu Windows (IWA), przyznaj prywatnym łącznikom sieciowym Microsoft Entra uprawnienia do podszywania się pod użytkowników i wysyłania oraz odbierania tokenów w ich imieniu. Aby przyznać te uprawnienia, należy skonfigurować ograniczone delegowanie Protokołu Kerberos (KCD) dla łącznika w celu uzyskania dostępu do zasobów w domenie zarządzanej. Ponieważ nie masz uprawnień administratora domeny w domenie zarządzanej, tradycyjne KCD na poziomie konta nie można skonfigurować w domenie zarządzanej. Zamiast tego należy użyć KCD opartego na zasobach.

Aby uzyskać więcej informacji, zobacz Konfigurowanie ograniczonego delegowania Protokołu Kerberos (KCD) w usłudze Microsoft Entra Domain Services.

Uwaga

Aby uruchomić następujące polecenia cmdlet programu PowerShell, musisz zalogować się do konta użytkownika, które jest członkiem grupy administratorów Microsoft Entra DC w dzierżawie Microsoft Entra.

Konta dla maszyny wirtualnej łącznika sieci prywatnej oraz maszyn wirtualnych aplikacji muszą znajdować się w niestandardowej jednostce organizacyjnej, w której masz uprawnienia do konfigurowania zasobowego KCD. Nie można skonfigurować klucza KCD opartego na zasobach dla konta komputera w wbudowanym kontenerze Microsoft Entra DC Computers .

Użyj polecenia Get-ADComputer , aby pobrać ustawienia komputera, na którym zainstalowano łącznik sieci prywatnej firmy Microsoft Entra. Z zarządzanej maszyny wirtualnej, która jest przyłączona do domeny i zalogowana jako konto użytkownika będące członkiem grupy Microsoft Entra DC administrators, uruchom następujące polecenia cmdlet.

Poniższy przykład pobiera informacje o koncie komputera o nazwie appproxy.aaddscontoso.com. Podaj własną nazwę komputera dla maszyny wirtualnej serwera proxy aplikacji Microsoft skonfigurowanej w poprzednich krokach.

$ImpersonatingAccount = Get-ADComputer -Identity appproxy.aaddscontoso.com

Dla każdego serwera aplikacji, na którym działają aplikacje za pośrednictwem serwera proxy aplikacji Microsoft Entra, użyj polecenia cmdlet PowerShell Set-ADComputer, aby skonfigurować oparty na zasobach KCD. W poniższym przykładzie łącznik sieci prywatnej firmy Microsoft Entra ma przyznane uprawnienia do korzystania z komputera appserver.aaddscontoso.com :

Set-ADComputer appserver.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount

W przypadku wdrażania wielu łączników sieci prywatnej firmy Microsoft Entra należy skonfigurować klucz KCD oparty na zasobach dla każdego wystąpienia łącznika.

Następne kroki

Dzięki serwerowi proxy aplikacji Entra firmy Microsoft zintegrowanemu z usługami Domain Services opublikuj aplikacje, aby użytkownicy uzyskiwali dostęp. Aby uzyskać więcej informacji, zobacz Publikowanie aplikacji przy użyciu serwera proxy aplikacji Firmy Microsoft Entra.