Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo no Microsoft Entra ID

  • Artigo

O Microsoft Entra ID tem um serviço de proxy de aplicativo que permite que os usuários acessem aplicativos locais entrando com suas contas do Microsoft Entra. Para saber mais sobre proxy de aplicativo, veja O que é proxy de aplicativo?. Esse tutorial prepara seu ambiente para uso com o proxy de aplicativo. Depois que seu ambiente estiver pronto, use o portal de administração do Microsoft Entra para adicionar um aplicativo local ao seu locatário.

Diagrama de visão geral do proxy de aplicativo

Os conectores são uma parte fundamental do proxy de aplicativo. Para saber mais sobre conectores, confira Noções básicas sobre conectores de rede privada do Microsoft Entra.

Neste tutorial, você:

  • Abra portas para tráfego de saída e permita acesso a URLs específicos.
  • Instale o conector no servidor Windows e registre-o no proxy do aplicativo.
  • Verifique o conector instalado e registrado corretamente.
  • Adicione um aplicativo local ao seu locatário do Microsoft Entra.
  • Verifique se um usuário de teste pode entrar no aplicativo usando uma conta Microsoft Entra.

Pré-requisitos

Para adicionar um aplicativo local ao Microsoft Entra ID, você precisa:

  • Uma assinatura P1 ou P2 do Microsoft Entra ID.
  • Uma conta de administrador de aplicativo.
  • Um conjunto sincronizado de identidades de usuário com um diretório local. Ou crie-os diretamente em seus locatários do Microsoft Entra. A sincronização de identidade permite que o Microsoft Entra ID autenticar previamente os usuários antes de conceder acesso aos aplicativos publicados por proxy de aplicativo. A sincronização também fornece as informações de identificador de usuário necessárias para executar o logon único (SSO).
  • Para uma compreensão do gerenciamento de aplicativos no Microsoft Entra, veja Exibir aplicativos corporativos no Microsoft Entra.
  • Para entender o logon único (SSO), veja Compreender o logon único.

Windows Server

O proxy de aplicativo requer o Windows Server 2012 R2 ou posterior. Instale o conector de rede privada no servidor. O servidor do conector se comunica com os serviços de proxy de aplicativo no Microsoft Entra ID e com os aplicativos locais que você planeja publicar.

Use mais de um servidor Windows para alta disponibilidade em seu ambiente de produção. Um servidor Windows é suficiente para teste.

Importante

.NET Framework

Você deve ter o .NET versão 4.7.1 ou superior para instalar ou atualizar proxy de aplicativo versão 1.5.3437.0 ou posterior. O Windows Server 2012 R2 e o Windows Server 2016 não têm isso por padrão.

Confira Como determinar quais versões do .NET Framework estão instaladas para saber mais.

HTTP 2.0

Se estiver instalando o conector no Windows Server 2019 ou posterior, você deverá desabilitar HTTP2 o suporte ao protocolo no WinHttp componente para Kerberos Constrained Delegation para funcionar corretamente. Isso é desabilitado por padrão em versões anteriores de sistemas operacionais compatíveis. Adicionar a chave do Registro a seguir e reiniciar o servidor a desabilitará no Windows Server 2019. Observe que essa é uma chave do Registro em todo o computador.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

A chave pode ser definida por meio do PowerShell com o seguinte comando:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Recomendações para o servidor do conector

  • Otimize o desempenho entre o conector e o aplicativo. Localize fisicamente o servidor conector perto dos servidores de aplicativos. Para obter mais informações, confira Otimizar o fluxo de tráfego com o Proxy de Aplicativo do Microsoft Entra.
  • Certifique-se de que o servidor do conector e os servidores de aplicativos Web estejam no mesmo domínio do Active Directory ou abranjam domínios confiáveis. Ter os servidores no mesmo domínio ou em domínios confiáveis é um requisito para usar o SSO (logon único) com IWA (autenticação integrada do Windows) e KCD (Delegação Restrita do Kerberos). Se o servidor do conector e os servidores de aplicativos Web estiverem em domínios diferentes do Active Directory, use a delegação baseada em recursos para logon único. Para obter mais informações, consulte KCD para logon único com proxy de aplicativo.

Aviso

Se você implantou o Proxy de Proteção de Senha, não instale o Proxy de Aplicativo do Microsoft Entra e o Proxy de Proteção de Senha do Microsoft Entra juntos no mesmo computador. O Proxy de Aplicativo do Microsoft Entra e o Proxy de Proteção de Senha do Microsoft Entra instalam versões diferentes do Serviço Atualizador do Agente do Microsoft Entra Connect. Essas diferentes versões são incompatíveis quando instaladas juntas no mesmo computador.

Requisitos de TLS (protocolo TLS)

O servidor conector do Windows deve ter o TLS 1.2 habilitado antes de instalar o conector de rede privada.

Para habilitar o TLS 1.2:

  1. Definir chaves do Registro.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Reinicie o servidor.

Observação

A Microsoft está atualizando os serviços do Azure para que eles usem certificados TLS de outro conjunto de ACs (autoridades de certificação) raiz. Essa alteração está sendo feita porque os Certificados de Autoridade de Certificação atuais não estão em conformidade com um dos requisitos de linha de base do fórum do navegador/da AC. Para mais informações, confira Alterações no certificado TLS do Azure.

Preparar o ambiente local

Habilite a comunicação com data centers da Microsoft para preparar seu ambiente para o proxy do aplicativo Microsoft Entra. O conector deve fazer solicitações HTTPS (TCP) ao proxy do aplicativo. Um problema comum ocorre quando um firewall bloqueia o tráfego de rede.

Importante

Se você estiver instalando o conector para a nuvem do Azure Government, siga os pré-requisitos e as etapas de instalação. A nuvem do Microsoft Azure Governamental requer acesso a um conjunto diferente de URLs e um parâmetro adicional para executar a instalação.

Abrir portas

Abra as seguintes portas para o tráfego de saída.

Número da porta Uso
80 Baixando as CRLs (listas de certificados revogados) ao validar o certificado TLS/SSL
443 Toda a comunicação de saída com o serviço do proxy de aplicativo

Se o firewall impor o tráfego de acordo com os usuários originadores, abra também as portas 80 e 443 para o tráfego proveniente dos serviços do Windows que são executados como um serviço de rede.

Observação

Erros ocorrem quando há um problema de rede. Verifique se as portas necessárias estão abertas. Para obter mais informações sobre a solução de problemas relacionados a erros de conector, confira Solucionar problemas de proxy de aplicativo e mensagens de erro.

Permitir acesso às URLs

Permita o acesso às seguintes URLs:

URL Porta Use
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Comunicação entre o conector e o serviço de nuvem proxy do aplicativo.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP O conector usa essas URLs para verificar certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS O conector usa essas URLs durante o processo de registro.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP O conector usa essas URLs durante o processo de registro.

Permita conexões com *.msappproxy.net, *.servicebus.windows.net, e outros URLs se seu firewall ou proxy permitir configurar regras de acesso com base em sufixos de domínio. Ou permita o acesso aos intervalos de IP e etiquetas de serviço do Azure – Nuvem Pública. Os intervalos de IP são atualizados a cada semana.

Importante

Evite todas as formas de inspeção embutida e encerramento em comunicações TLS de saída entre os conectores de rede privada do Microsoft Entra e os serviços de proxy de aplicativo do Microsoft Entra.

DNS (Sistema de Nomes de Domínio) para pontos de extremidade de proxy de aplicativo do Microsoft Entra

Os registros DNS públicos para os pontos de extremidade do Proxy de Aplicativo do Microsoft Entra são registros CNAME encadeados que apontam para um registro A. Configurar os registros dessa forma garante a tolerância a falhas e a flexibilidade. O conector de rede privada do Microsoft Entra sempre acessa nomes de host com os sufixos de domínio *.msappproxy.net ou *.servicebus.windows.net. No entanto, durante a resolução de nomes, os registros CNAME podem conter registros DNS com diferentes nomes de host e sufixos. Devido à diferença, você precisa garantir que o dispositivo (dependendo da instalação: servidor do conector, firewall, proxy de saída) possa resolver todos os registros na cadeia e permitir a conexão com os endereços IP resolvidos. Como os registros DNS na cadeia podem ser alterados periodicamente, não podemos fornecer nenhum registro DNS de lista.

Instalar e registrar um conector

Para usar o proxy de aplicativo, instale um conector em cada servidor Windows que estiver em uso com o serviço do proxy de aplicativo. O conector é um agente que gerencia a conexão de saída de servidores de aplicativos locais para o proxy de aplicativo no Microsoft Entra ID. O conector pode ser instalado em servidores com agentes de autenticação como o Microsoft Entra Connect.

Para instalar o conector:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.

  2. Escolha o nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa o proxy de aplicativo. Se for necessário alterar diretórios, escolha Alterar diretório e escolha um diretório que usa o proxy de aplicativo.

  3. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Proxy de aplicativo.

  4. Escolha Baixar o serviço do conector.

  5. Leia os Termos de serviço. Quando estiver pronto, escolha Aceitar termos e baixar.

  6. Na parte inferior da janela, escolha Executar para instalar o conector. Um assistente de instalação é aberto.

  7. Instale o serviço seguindo as instruções no assistente. Quando for solicitado que você registre o conector com o proxy de aplicativo para seu locatário do Microsoft Entra, forneça suas credenciais de administrador do aplicativo.

    • Se a Configuração de Segurança Aprimorada do IE estiver Ativada no IE (Internet Explorer), a tela de registro não estará visível. Siga as instruções na mensagem de erro para obter o acesso. Verifique se a Configuração da Segurança Aprimorada do Internet Explorer está definida como Desativada.

Comentários gerais

Se você já instalou um conector, reinstale-o para obter a versão mais recente. Para obter informações sobre as versões lançadas anteriormente e quais alterações elas incluem, confira Proxy de aplicativo – histórico de lançamento de versão.

Se você optar por ter mais de um servidor Windows para seus aplicativos locais, será necessário instalar e registrar o conector em cada servidor. Você pode organizar os conectores em grupos de conectores. Para obter mais informações, confira Grupos de conectores.

Se você instalar conectores em regiões diferentes, deverá otimizar o tráfego selecionando a região de serviço de nuvem proxy de aplicativo mais próxima de cada grupo de conectores. Para saber mais, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo do Microsoft Entra.

Se sua organização usa servidores proxy para se conectar à internet, você precisará configurá-los para o proxy de aplicativo. Para obter mais informações, consulte trabalhar com existentes locais servidores proxy.

Para obter informações sobre conectores, planejamento de capacidade e como eles permanecem atualizados, confira Noções básicas sobre conectores de rede privada do Microsoft Entra.

Verificar se o conector está instalado e registrado corretamente

Você pode utilizar o centro de administração do Microsoft Entra ou seu servidor Windows para confirmar que um novo conector foi instalado corretamente. Para obter informações sobre como solucionar problemas de proxy de aplicativo, veja Depurar problemas de aplicativo de proxy de aplicativo.

Verifique a instalação por meio do centro de administração do Microsoft Entra

Para confirmar se o conector foi instalado e registrado corretamente:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.

  2. Escolha o nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa o proxy de aplicativo. Se for necessário alterar diretórios, escolha Alterar diretório e escolha um diretório que usa o proxy de aplicativo.

  3. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Proxy de aplicativo.

  4. Verifique os detalhes do conector. Os conectores devem ser expandidos por padrão. Um rótulo verde ativo indica que seu conector pode se conectar ao serviço. No entanto, mesmo que o rótulo esteja verde, um problema de rede ainda poderá bloquear o recebimento de mensagens pelo conector.

    Conectores de rede privada do Microsoft Entra

Para obter mais ajuda com a instalação de um conector, confira Problema ao instalar o conector de rede privada.

Verificar a instalação por meio do servidor Windows

Para confirmar se o conector foi instalado e registrado corretamente:

  1. Abra o Gerenciador de Serviços do Windows clicando na tecla Windows e inserindo services.msc.

  2. Verifique se o status dos dois serviços a seguir é Em Execução.

    • O conector de rede privada do Microsoft Entra habilita a conectividade.
    • O Atualizador do conector de rede privada do Microsoft Entra é um serviço de atualização automatizado. O atualizador verifica novas versões do conector e o atualiza conforme necessário.

  3. Se o status dos serviços não for Em execução, clique com o botão direito do mouse em cada serviço e escolha Iniciar.

Adicionar um aplicativo local ao Microsoft Entra ID

Adicionar aplicativos locais ao Microsoft Entra ID.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais.

  3. Selecione Novo aplicativo.

  4. Selecione o botão Adicionar um aplicativo local, que aparece na metade da página na seção Aplicativos locais. Como alternativa, você pode escolher Criar seu aplicativo na parte superior da página e selecionar Configurar o proxy de aplicativo para acesso remoto seguro a um aplicativo local.

  5. Na seção Adicionar seu próprio aplicativo local, forneça as seguintes informações sobre o aplicativo:

    Campo Descrição
    Nome O nome do aplicativo que aparece em Meus Aplicativos e no centro de administração do Microsoft Entra.
    Modo de manutenção Selecione se deseja habilitar o modo de manutenção e desabilitar temporariamente o acesso de todos os usuários ao aplicativo.
    URL Interna A URL para acessar o aplicativo de dentro de sua rede privada. Você pode fornecer um caminho específico no servidor back-end para publicar, enquanto o restante do servidor é não publicado. Assim, você pode publicar sites diferentes no mesmo servidor como diferentes aplicativos, e dar a cada um deles seu próprio nome e suas regras de acesso.

    Se você publicar um caminho, verifique se ele inclui todas as imagens, scripts e folhas de estilo necessários para seu aplicativo. Por exemplo, se o aplicativo estiver em https://yourapp/app e utilizar imagens localizadas em https://yourapp/media, você deverá publicar https://yourapp/ como o caminho. Essa URL interna não precisa ser a página de aterrissagem que os usuários veem. Para obter mais informações, consulte Definir uma página inicial personalizada para aplicativos publicados.
    URL Externa O endereço para os usuários acessarem o aplicativo de fora da sua rede. Se você não quiser usar o domínio padrão de proxy de aplicativo, leia sobre domínios personalizados no proxy de aplicativo do Microsoft Entra.
    Pré-autenticação Como o proxy de aplicativo verifica os usuários antes de conceder a eles o acesso ao aplicativo.

    Microsoft Entra ID – o proxy de aplicativo redireciona os usuários para entrar com o Microsoft Entra ID, que autentica suas permissões para o diretório e o aplicativo. É recomendável manter essa opção como padrão para poder aproveitar os recursos de segurança do Microsoft Entra como o acesso condicional e a autenticação multifator. O Microsoft Entra ID é necessário para monitorar o aplicativo com o Microsoft Defender para Aplicativos de Nuvem.

    Passagem – os usuários não precisam se autenticar no Microsoft Entra ID para acessar o aplicativo. Você ainda pode configurar os requisitos de autenticação no back-end.
    Grupo de Conectores Conectores processam o acesso remoto ao seu aplicativo e o ajudam a organizar conectores e aplicativos por região, rede ou finalidade. Se você ainda não tiver grupos de conectores criados, seu aplicativo é atribuído a Padrão.

    Se o aplicativo usa WebSockets para se conectar, todos os conectores do grupo devem ser da versão 1.5.612.0 ou posterior.

  6. Se necessário, defina Configurações adicionais. Para a maioria dos aplicativos, você deve manter essas configurações em seus estados padrão.

    Campo Descrição
    Tempo Limite do Aplicativo Back-end Defina esse valor como Longo somente se o aplicativo estiver lento para se autenticar e se conectar. No padrão, o tempo limite do aplicativo de back-end tem uma duração de 85 segundos. Quando definido como muito longo, o tempo limite de back-end é aumentado para 180 segundos.
    Usar Cookie Somente HTTP Selecione para que os cookies do proxy de aplicativo incluam o sinalizador HTTPOnly no cabeçalho da resposta HTTP. Se estiver usando os Serviços de Área de Trabalho Remota, mantenha a opção desmarcada.
    Usar cookie persistente Mantenha a opção desmarcada. Use essa configuração somente para aplicativos que não conseguem compartilhar cookies entre processos. Para saber mais sobre configurações de cookies, confira Configurações de cookies para acessar aplicativos locais no Microsoft Entra ID.
    Converter URLs nos Cabeçalhos Mantenha a opção marcada, a menos que o aplicativo tenha exigido o cabeçalho de host original na solicitação de autenticação.
    Converter URLs no Corpo do Aplicativo Mantenha a seleção desmarcada, a menos que os links HTML estejam codificados para outros aplicativos locais e não usem domínios personalizados. Para saber mais, consulte Conversão de link com o proxy de aplicativo.

    Selecione se você pretende monitorar esse aplicativo com o Microsoft Defender for Cloud Apps. Para saber mais, confira Configurar o monitoramento de acesso do aplicativo em tempo real com o Microsoft Defender para Aplicativos de Nuvem e o Microsoft Entra ID.
    Validar certificado SSL/TLS de back-end Selecione para habilitar a validação de certificado SSL/TLS de back-end para o aplicativo.

  7. Selecione Adicionar.

Testar o aplicativo

Você está pronto para testar se o aplicativo foi adicionado corretamente. Nas etapas a seguir, você adiciona uma conta de usuário ao aplicativo e tenta entrar nele.

Adicionar um usuário para teste

Antes de adicionar um usuário ao aplicativo, verifique se que a conta de usuário já tem permissões para acessar o aplicativo de dentro da rede corporativa.

Para adicionar um usuário de teste:

  1. Escolha Aplicativos empresariais e, em seguida, escolha o aplicativo que você deseja testar.
  2. Escolha Introdução e, em seguida, Atribuir um usuário para teste.
  3. Em Usuários e grupos, escolha Adicionar usuário.
  4. Em Adicionar atribuição, escolha Usuários e grupos. A seção Usuário e grupos será exibida.
  5. Escolha a conta que você deseja adicionar.
  6. Escolha Selecionar e, em seguida, Atribuir.

Testar o logon

Para testar a autenticação no aplicativo:

  1. No aplicativo que você deseja testar, selecione proxy de aplicativo.
  2. Na parte superior da página, selecione Aplicativo de Teste para executar um teste no aplicativo e verificar se há algum problema de configuração.
  3. Inicie primeiro o aplicativo para testar a conexão e, em seguida, baixe o relatório de diagnóstico para examinar as diretrizes de resolução para os problemas detectados.

Para solucionar problemas, confira Solucionar problemas e mensagens de erro do proxy de aplicativo.

Limpar os recursos

Quando terminar, não se esqueça de excluir todos os recursos que você criou neste tutorial.

Solução de problemas

Saiba mais sobre problemas comuns e como solucioná-los.

Criar o aplicativo/Definindo as URLs

Verifique os detalhes do erro para obter informações e sugestões de como corrigir o aplicativo. A maioria das mensagens de erro incluem uma correção sugerida. Para evitar erros comuns, verifique se:

  • Você é um administrador com permissão para criar um aplicativo de proxy de aplicativo
  • A URL interna é exclusiva
  • A URL externa é exclusiva
  • As URLs começam com http ou https e terminam com um "/"
  • A URL deve ser um nome de domínio, não um endereço IP

A mensagem de erro deve ser exibida no canto superior direito quando você cria o aplicativo. Você também pode selecionar o ícone de notificação para ver as mensagens de erro.

Configurar grupos de conectores/conectores

Se você tiver dificuldades para configurar seu aplicativo por causa de aviso sobre conectores e grupos de conector, consulte as instruções sobre como habilitar o proxy de aplicativo para obter detalhes sobre como baixar conectores. Se você quiser saber mais sobre conectores, consulte a documentação de conectores.

Se os conectores estiverem inativos, eles não poderão acessar o serviço. Geralmente, porque todas as portas necessárias não estão abertas. Para ver uma lista de portas necessárias, consulte a seção de pré-requisitos da documentação para habilitação de proxy de aplicativo.

Carregar certificados para domínios personalizados

Domínios personalizados permitem que você especifique o domínio de suas URLs externas. Para usar domínios personalizados, você precisa carregar o certificado para esse domínio. Para obter informações sobre como usar domínios personalizados e certificados, confira Trabalhando com domínios personalizados no Proxy de Aplicativo do Microsoft Entra.

Se você estiver tendo problemas ao carregar o certificado, procure as mensagens de erro no portal para obter informações adicionais sobre o problema com o certificado. Problemas de certificado comuns incluem:

  • Certificado expirado
  • O certificado é auto-assinado
  • Certificado está sem a chave privada

A mensagem de erro é exibida no canto superior direito enquanto você tenta fazer upload do certificado. Você também pode selecionar o ícone de notificação para ver as mensagens de erro.

Próximas etapas