Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo no Microsoft Entra ID
O Microsoft Entra ID tem um serviço de proxy de aplicativo que permite que os usuários acessem aplicativos locais entrando com suas contas do Microsoft Entra. Para saber mais sobre proxy de aplicativo, veja O que é proxy de aplicativo?. Esse tutorial prepara seu ambiente para uso com o proxy de aplicativo. Depois que seu ambiente estiver pronto, use o portal de administração do Microsoft Entra para adicionar um aplicativo local ao seu locatário.
Neste tutorial, você:
- Instale e verifique o conector no servidor Windows e registre-o no proxy do aplicativo.
- Adicione um aplicativo local ao seu locatário do Microsoft Entra.
- Verifique se um usuário de teste pode entrar no aplicativo usando uma conta Microsoft Entra.
Pré-requisitos
Para adicionar um aplicativo local ao Microsoft Entra ID, você precisa:
- Uma assinatura P1 ou P2 do Microsoft Entra ID.
- Uma conta de administrador de aplicativo.
- Um conjunto sincronizado de identidades de usuário com um diretório local. Ou crie-os diretamente em seus locatários do Microsoft Entra. A sincronização de identidade permite que o Microsoft Entra ID autenticar previamente os usuários antes de conceder acesso aos aplicativos publicados por proxy de aplicativo. A sincronização também fornece as informações de identificador de usuário necessárias para executar o logon único (SSO).
- Para uma compreensão do gerenciamento de aplicativos no Microsoft Entra, veja Exibir aplicativos corporativos no Microsoft Entra.
- Para entender o logon único (SSO), veja Compreender o logon único.
Instalar e verificar o conector de rede privada Microsoft Entra
O proxy de aplicativo usa o mesmo conector que o Acesso Privado do Microsoft Entra. O conector é chamado de conector de rede privada do Microsoft Entra. Para saber como instalar e verificar um conector, veja Como configurar conectores.
Comentários gerais
Os registros DNS públicos para os pontos de extremidade do Proxy de Aplicativo do Microsoft Entra são registros CNAME encadeados que apontam para um registro A. Configurar os registros dessa forma garante a tolerância a falhas e a flexibilidade. O conector de rede privada do Microsoft Entra sempre acessa nomes de host com os sufixos de domínio *.msappproxy.net
ou *.servicebus.windows.net
. No entanto, durante a resolução de nomes, os registros CNAME podem conter registros DNS com diferentes nomes de host e sufixos. Devido à diferença, você precisa garantir que o dispositivo (dependendo da instalação: servidor do conector, firewall, proxy de saída) possa resolver todos os registros na cadeia e permitir a conexão com os endereços IP resolvidos. Como os registros DNS na cadeia podem ser alterados periodicamente, não podemos fornecer nenhum registro DNS de lista.
Se você instalar conectores em regiões diferentes, deverá otimizar o tráfego selecionando a região de serviço de nuvem proxy de aplicativo mais próxima de cada grupo de conectores. Para saber mais, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo do Microsoft Entra.
Se sua organização usa servidores proxy para se conectar à internet, você precisará configurá-los para o proxy de aplicativo. Para obter mais informações, consulte trabalhar com existentes locais servidores proxy.
Adicionar um aplicativo local ao Microsoft Entra ID
Adicionar aplicativos locais ao Microsoft Entra ID.
Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
Navegue até Identidade>Aplicativos>Aplicativos empresariais.
Selecione Novo aplicativo.
Selecione o botão Adicionar um aplicativo local, que aparece na metade da página na seção Aplicativos locais. Como alternativa, você pode escolher Criar seu aplicativo na parte superior da página e selecionar Configurar o proxy de aplicativo para acesso remoto seguro a um aplicativo local.
Na seção Adicionar seu próprio aplicativo local, forneça as seguintes informações sobre o aplicativo:
Campo Descrição Nome O nome do aplicativo que aparece em Meus Aplicativos e no centro de administração do Microsoft Entra. Modo de manutenção Selecione se deseja habilitar o modo de manutenção e desabilitar temporariamente o acesso de todos os usuários ao aplicativo. URL Interna A URL para acessar o aplicativo de dentro de sua rede privada. Você pode fornecer um caminho específico no servidor back-end para publicar, enquanto o restante do servidor é não publicado. Assim, você pode publicar sites diferentes no mesmo servidor como diferentes aplicativos, e dar a cada um deles seu próprio nome e suas regras de acesso.
Se você publicar um caminho, verifique se ele inclui todas as imagens, scripts e folhas de estilo necessários para seu aplicativo. Por exemplo, se o aplicativo estiver emhttps://yourapp/app
e utilizar imagens localizadas emhttps://yourapp/media
, você deverá publicarhttps://yourapp/
como o caminho. Essa URL interna não precisa ser a página de aterrissagem que os usuários veem. Para obter mais informações, consulte Definir uma página inicial personalizada para aplicativos publicados.URL Externa O endereço para os usuários acessarem o aplicativo de fora da sua rede. Se você não quiser usar o domínio padrão de proxy de aplicativo, leia sobre domínios personalizados no proxy de aplicativo do Microsoft Entra. Pré-autenticação Como o proxy de aplicativo verifica os usuários antes de conceder a eles o acesso ao aplicativo.
Microsoft Entra ID – o proxy de aplicativo redireciona os usuários para entrar com o Microsoft Entra ID, que autentica suas permissões para o diretório e o aplicativo. É recomendável manter essa opção como padrão para poder aproveitar os recursos de segurança do Microsoft Entra como o acesso condicional e a autenticação multifator. O Microsoft Entra ID é necessário para monitorar o aplicativo com o Microsoft Defender para Aplicativos de Nuvem.
Passagem – os usuários não precisam se autenticar no Microsoft Entra ID para acessar o aplicativo. Você ainda pode configurar os requisitos de autenticação no back-end.Grupo de Conectores Conectores processam o acesso remoto ao seu aplicativo e o ajudam a organizar conectores e aplicativos por região, rede ou finalidade. Se você ainda não tiver grupos de conectores criados, seu aplicativo é atribuído a Padrão.
Se o aplicativo usa WebSockets para se conectar, todos os conectores do grupo devem ser da versão 1.5.612.0 ou posterior.Se necessário, defina Configurações adicionais. Para a maioria dos aplicativos, você deve manter essas configurações em seus estados padrão.
Campo Descrição Tempo Limite do Aplicativo Back-end Defina esse valor como Longo somente se o aplicativo estiver lento para se autenticar e se conectar. No padrão, o tempo limite do aplicativo de back-end tem uma duração de 85 segundos. Quando definido como muito longo, o tempo limite de back-end é aumentado para 180 segundos. Usar Cookie Somente HTTP Selecione para que os cookies do proxy de aplicativo incluam o sinalizador HTTPOnly no cabeçalho da resposta HTTP. Se estiver usando os Serviços de Área de Trabalho Remota, mantenha a opção desmarcada. Usar cookie persistente Mantenha a opção desmarcada. Use essa configuração somente para aplicativos que não conseguem compartilhar cookies entre processos. Para saber mais sobre configurações de cookies, confira Configurações de cookies para acessar aplicativos locais no Microsoft Entra ID. Converter URLs nos Cabeçalhos Mantenha a opção marcada, a menos que o aplicativo tenha exigido o cabeçalho de host original na solicitação de autenticação. Converter URLs no Corpo do Aplicativo Mantenha a seleção desmarcada, a menos que os links HTML estejam codificados para outros aplicativos locais e não usem domínios personalizados. Para saber mais, consulte Conversão de link com o proxy de aplicativo.
Selecione se você pretende monitorar esse aplicativo com o Microsoft Defender for Cloud Apps. Para saber mais, confira Configurar o monitoramento de acesso do aplicativo em tempo real com o Microsoft Defender para Aplicativos de Nuvem e o Microsoft Entra ID.Validar certificado SSL/TLS de back-end Selecione para habilitar a validação de certificado SSL/TLS de back-end para o aplicativo. Selecione Adicionar.
Testar o aplicativo
Você está pronto para testar se o aplicativo foi adicionado corretamente. Nas etapas a seguir, você adiciona uma conta de usuário ao aplicativo e tenta entrar nele.
Adicionar um usuário para teste
Antes de adicionar um usuário ao aplicativo, verifique se que a conta de usuário já tem permissões para acessar o aplicativo de dentro da rede corporativa.
Para adicionar um usuário de teste:
- Escolha Aplicativos empresariais e, em seguida, escolha o aplicativo que você deseja testar.
- Escolha Introdução e, em seguida, Atribuir um usuário para teste.
- Em Usuários e grupos, escolha Adicionar usuário.
- Em Adicionar atribuição, escolha Usuários e grupos. A seção Usuário e grupos será exibida.
- Escolha a conta que você deseja adicionar.
- Escolha Selecionar e, em seguida, Atribuir.
Testar o logon
Para testar a autenticação no aplicativo:
- No aplicativo que você deseja testar, selecione proxy de aplicativo.
- Na parte superior da página, selecione Aplicativo de Teste para executar um teste no aplicativo e verificar se há algum problema de configuração.
- Inicie primeiro o aplicativo para testar a conexão e, em seguida, baixe o relatório de diagnóstico para examinar as diretrizes de resolução para os problemas detectados.
Para solucionar problemas, confira Solucionar problemas e mensagens de erro do proxy de aplicativo.
Limpar os recursos
Quando terminar, não se esqueça de excluir todos os recursos que você criou neste tutorial.
Solução de problemas
Saiba mais sobre problemas comuns e como solucioná-los.
Criar o aplicativo/Definindo as URLs
Verifique os detalhes do erro para obter informações e sugestões de como corrigir o aplicativo. A maioria das mensagens de erro incluem uma correção sugerida. Para evitar erros comuns, verifique se:
- Você é um administrador com permissão para criar um aplicativo de proxy de aplicativo
- A URL interna é exclusiva
- A URL externa é exclusiva
- As URLs começam com http ou https e terminam com um "/"
- A URL deve ser um nome de domínio, não um endereço IP
A mensagem de erro deve ser exibida no canto superior direito quando você cria o aplicativo. Você também pode selecionar o ícone de notificação para ver as mensagens de erro.
Carregar certificados para domínios personalizados
Domínios personalizados permitem que você especifique o domínio de suas URLs externas. Para usar domínios personalizados, você precisa carregar o certificado para esse domínio. Para obter informações sobre como usar domínios personalizados e certificados, confira Trabalhando com domínios personalizados no Proxy de Aplicativo do Microsoft Entra.
Se você estiver tendo problemas ao carregar o certificado, procure as mensagens de erro no portal para obter informações adicionais sobre o problema com o certificado. Problemas de certificado comuns incluem:
- Certificado expirado
- O certificado é auto-assinado
- Certificado está sem a chave privada
A mensagem de erro é exibida no canto superior direito enquanto você tenta fazer upload do certificado. Você também pode selecionar o ícone de notificação para ver as mensagens de erro.