Compartilhar via

Adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo no Microsoft Entra ID

O Microsoft Entra ID tem um serviço de proxy de aplicativo que permite que os usuários acessem aplicativos locais entrando com suas contas do Microsoft Entra. Para saber mais sobre o proxy de aplicativo, consulte o que é o proxy de aplicativo?. Esse tutorial prepara seu ambiente para uso com o proxy de aplicativo. Depois que seu ambiente estiver pronto, use o portal de administração do Microsoft Entra para adicionar um aplicativo local ao seu locatário.

Diagrama de visão geral do proxy de aplicativo

Neste tutorial, você:

  • Instale e verifique o conector no servidor Windows e registre-o no proxy do aplicativo.
  • Adicione um aplicativo local ao seu locatário do Microsoft Entra.
  • Verifique se um usuário de teste pode entrar no aplicativo usando uma conta Microsoft Entra.

Pré-requisitos

Para adicionar um aplicativo local ao Microsoft Entra ID, você precisa:

  • Uma assinatura P1 ou P2 do Microsoft Entra ID.
  • Uma conta de Administrador de Aplicativo.
  • Um conjunto sincronizado de identidades de usuário com um diretório local. Ou crie-os diretamente em seus locatários do Microsoft Entra. A sincronização de identidade permite que o Microsoft Entra ID autenticar previamente os usuários antes de conceder acesso aos aplicativos publicados por proxy de aplicativo. A sincronização também fornece as informações de identificador de usuário necessárias para executar o logon único (SSO).
  • Uma compreensão do gerenciamento de aplicativos no Microsoft Entra, confira Exibir aplicativos empresariais no Microsoft Entra.
  • Noções básicas sobre o SSO (logon único), consulte Entenda o logon único.

Instalar e verificar o conector de rede privada Microsoft Entra

O proxy de aplicativo usa o mesmo conector que o Acesso Privado do Microsoft Entra. O conector é chamado de conector de rede privada do Microsoft Entra. Para saber como instalar e verificar um conector, confira Como configurar conectores.

Comentários gerais

Os registros DNS públicos para os pontos de extremidade do proxy de aplicativos Microsoft Entra são registros CNAME encadeados que apontam para um registro A. Configurar os registros dessa forma garante a tolerância a falhas e a flexibilidade. O conector de rede privada do Microsoft Entra sempre acessa nomes de host com os sufixos de domínio *.msappproxy.net ou *.servicebus.windows.net. No entanto, durante a resolução de nomes, os registros CNAME podem conter registros DNS com diferentes nomes de host e sufixos. Devido à diferença, você precisa garantir que o dispositivo (dependendo da instalação: servidor do conector, firewall, proxy de saída) possa resolver todos os registros na cadeia e permitir a conexão com os endereços IP resolvidos. Como os registros DNS na cadeia podem ser alterados periodicamente, não podemos fornecer nenhum registro DNS de lista.

Se você instalar conectores em regiões diferentes, deverá otimizar o tráfego selecionando a região de serviço de nuvem proxy de aplicativo mais próxima de cada grupo de conectores. Para saber mais, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo do Microsoft Entra.

Se sua organização usa servidores proxy para se conectar à internet, você precisará configurá-los para o proxy de aplicativo. Para obter mais informações, consulte Trabalhar com servidores proxy locais existentes.

Adicionar um aplicativo local ao Microsoft Entra ID

Adicionar aplicativos locais ao Microsoft Entra ID.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

  2. Navegue para Entra ID>Aplicativos corporativos.

  3. Selecione Novo aplicativo.

  4. Selecione Adicionar um botão de aplicativo local , que aparece na metade da página na seção aplicativos locais . Como alternativa, você pode selecionar Criar seu próprio aplicativo na parte superior da página e, em seguida, selecionar Configurar proxy de aplicativo para acesso remoto seguro a um aplicativo local.

  5. Na seção Adicionar seu próprio aplicativo local , forneça as seguintes informações sobre seu aplicativo:

    Campo Descrição
    Nome O nome do aplicativo que aparece em Meus Aplicativos e no centro de administração do Microsoft Entra.
    Modo de Manutenção Selecione se deseja habilitar o modo de manutenção e desabilitar temporariamente o acesso de todos os usuários ao aplicativo.
    URL interna A URL para acessar o aplicativo de dentro de sua rede privada. Você pode fornecer um caminho específico no servidor back-end para publicar, enquanto o restante do servidor é não publicado. Assim, você pode publicar sites diferentes no mesmo servidor como diferentes aplicativos, e dar a cada um deles seu próprio nome e suas regras de acesso.

    Se você publicar um caminho, verifique se ele inclui todas as imagens, scripts e folhas de estilo necessários para seu aplicativo. Por exemplo, se o aplicativo estiver em https://yourapp/app e utilizar imagens localizadas em https://yourapp/media, você deverá publicar https://yourapp/ como o caminho. Essa URL interna não precisa ser a página de aterrissagem que os usuários veem. Para obter mais informações, consulte Definir uma home page personalizada para aplicativos publicados.
    URL externa O endereço para os usuários acessarem o aplicativo de fora da sua rede. Se você não quiser usar o domínio de proxy de aplicativo padrão, leia sobre domínios personalizados no proxy de aplicativo do Microsoft Entra.
    Pré-autenticação Como o proxy de aplicativo verifica os usuários antes de conceder a eles o acesso ao aplicativo.

    ID do Microsoft Entra – O proxy de aplicativo redireciona os usuários para entrar com a ID do Microsoft Entra, que autentica suas permissões para o diretório e o aplicativo. É recomendável manter essa opção como padrão para poder aproveitar os recursos de segurança do Microsoft Entra como o acesso condicional e a autenticação multifator. A ID do Microsoft Entra é necessária para monitorar o aplicativo com o Microsoft Defender para Aplicativos de Nuvem.

    Passagem – Os usuários não precisam se autenticar na ID do Microsoft Entra para acessar o aplicativo. Você ainda pode configurar os requisitos de autenticação no back-end.
    Grupo de conectores Conectores processam o acesso remoto ao seu aplicativo e o ajudam a organizar conectores e aplicativos por região, rede ou finalidade. Se você ainda não tiver nenhum grupo de conectores criado, seu aplicativo será atribuído ao Padrão.

    Se o aplicativo usa WebSockets para se conectar, todos os conectores do grupo devem ser da versão 1.5.612.0 ou posterior.

  6. Se necessário, defina configurações adicionais. Para a maioria dos aplicativos, você deve manter essas configurações em seus estados padrão.

    Campo Descrição
    Tempo limite do aplicativo de back-end Defina esse valor como Long somente se o aplicativo estiver lento para autenticar e se conectar. Por padrão, o tempo limite do aplicativo de back-end tem um comprimento de 85 segundos. Quando configurado para muito tempo, o tempo limite do back-end é aumentado para 180 segundos.
    Usar cookie de HTTP-Only Selecione para que os cookies do proxy de aplicativo incluam o sinalizador HTTPOnly no cabeçalho da resposta HTTP. Se estiver usando os Serviços de Área de Trabalho Remota, mantenha a opção desmarcada.
    Usar Cookie Persistente Mantenha a opção desmarcada. Use essa configuração somente para aplicativos que não conseguem compartilhar cookies entre processos. Para obter mais informações sobre configurações de cookie, consulte as configurações de cookie para acessar aplicativos locais na ID do Microsoft Entra.
    Traduzir URLs em cabeçalhos Mantenha a opção marcada, a menos que o aplicativo tenha exigido o cabeçalho de host original na solicitação de autenticação.
    Traduzir URLs no corpo do aplicativo Mantenha a seleção desmarcada, a menos que os links HTML estejam codificados para outros aplicativos locais e não usem domínios personalizados. Para obter mais informações, consulte Interpretação de link com proxy de aplicativo.

    Selecione se você pretende monitorar esse aplicativo com o Microsoft Defender for Cloud Apps. Para obter mais informações, consulte Configurar o monitoramento de acesso a aplicativos em tempo real com o Microsoft Defender para Aplicativos de Nuvem e a ID do Microsoft Entra.
    Validar certificado TLS de backend Selecione para habilitar a validação do certificado TLS (Transport Layer Security) de back-end para o aplicativo.

  7. Selecione Adicionar.

Testar o aplicativo

Você está pronto para testar se o aplicativo foi adicionado corretamente. Nas etapas a seguir, você adiciona uma conta de usuário ao aplicativo e tenta entrar nele.

Adicionar um usuário para teste

Antes de adicionar um usuário ao aplicativo, verifique se que a conta de usuário já tem permissões para acessar o aplicativo de dentro da rede corporativa.

Para adicionar um usuário de teste:

  1. Selecione aplicativos Empresariais e, em seguida, selecione o aplicativo que você deseja testar.
  2. Selecione Introdução e, em seguida, selecione Atribuir um usuário para teste.
  3. Em Usuários e grupos, selecione Adicionar usuário.
  4. Em Adicionar atribuição, selecione Usuários e grupos. A seção Usuário e grupos é exibida.
  5. Escolha a conta que você deseja adicionar.
  6. Escolha Selecionar e selecione Atribuir.

Testar o logon

Para testar a autenticação no aplicativo:

  1. No aplicativo que você deseja testar, selecione o proxy de aplicativo.
  2. Na parte superior da página, selecione Testar Aplicativo para executar um teste no aplicativo e verifique se há problemas de configuração.
  3. Inicie primeiro o aplicativo para testar a conexão e, em seguida, baixe o relatório de diagnóstico para examinar as diretrizes de resolução para os problemas detectados.

Para solucionar problemas, consulte Solucionar problemas de proxy de aplicativo e mensagens de erro.

Limpar os recursos

Quando terminar, não se esqueça de excluir todos os recursos que você criou neste tutorial.

Solução de problemas

Saiba mais sobre problemas comuns e como solucioná-los.

Criar o aplicativo/Definindo as URLs

Verifique os detalhes do erro para obter informações e sugestões de como corrigir o aplicativo. A maioria das mensagens de erro incluem uma correção sugerida. Para evitar erros comuns, verifique se:

  • Você é um administrador com permissão para criar um aplicativo de proxy de aplicativo
  • A URL interna é exclusiva
  • A URL externa é exclusiva
  • As URLs começam com http ou https e terminam com um "/"
  • A URL deve ser um nome de domínio, não um endereço IP

A mensagem de erro deve ser exibida no canto superior direito quando você cria o aplicativo. Você também pode selecionar o ícone de notificação para ver as mensagens de erro.

Carregar certificados para domínios personalizados

Domínios personalizados permitem que você especifique o domínio de suas URLs externas. Para usar domínios personalizados, você precisa carregar o certificado para esse domínio. Para obter informações sobre como usar domínios e certificados personalizados, consulte Trabalhando com domínios personalizados no proxy de aplicativo do Microsoft Entra.

Se você estiver tendo problemas ao carregar o certificado, procure as mensagens de erro no portal para obter informações adicionais sobre o problema com o certificado. Problemas de certificado comuns incluem:

  • Certificado expirado
  • O certificado é auto-assinado
  • Certificado está sem a chave privada

A mensagem de erro é exibida no canto superior direito enquanto você tenta fazer upload do certificado. Você também pode selecionar o ícone de notificação para ver as mensagens de erro.

Próximas etapas