Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve as etapas que você pode executar para solucionar problemas e mensagens de erro no proxy de aplicativo do Microsoft Entra.
Antes de começar
A primeira coisa a verificar é o conector. Para saber como depurar um conector de rede privada, consulte Depurar problemas do conector de rede privada. Se você ainda tiver problemas para se conectar ao seu aplicativo, retorne a este artigo para solucionar problemas do aplicativo.
Se um usuário encontrar um erro ao acessar ou publicar um aplicativo, use estas etapas para verificar se o proxy de aplicativo do Microsoft Entra está funcionando corretamente:
Abra o console de Serviços do Windows. Verifique se o serviço de conector de rede privada do Microsoft Entra está habilitado e em execução. Observe a página de propriedades do serviço de proxy de aplicativo.
Abra o Visualizador de Eventos. Vá para Logs de Aplicações e Serviços>Microsoft>Rede Privada do Microsoft Entra>Conector>Administrador e verifique se há eventos de conector de rede privada.
Revise os logs detalhados. Saiba como ativar os logs de sessão do conector de rede privada.
Erros de configuração do aplicativo
Analise as seções a seguir para problemas comuns de configuração e resoluções sugeridas.
O aplicativo não renderiza corretamente
Você tem problemas com a renderização do aplicativo ou ele funciona incorretamente, mas nenhuma mensagem de erro específica aparece.
Esse problema ocorre se um aplicativo requer conteúdo que existe fora do caminho que você usou para publicar o aplicativo.
Por exemplo, se o/a utilizador(a) publicar o caminho https://yourapp/app, mas o aplicativo se referir a imagens que estão localizadas no https://yourapp/media, as imagens não aparecerão no aplicativo.
Certifique-se de publicar o aplicativo usando o caminho de nível mais alto necessário para incluir todo o conteúdo e arquivos referenciados. No exemplo, esse nível é http://yourapp/.
Verifique se os recursos ausentes causaram o problema:
- Abra o rastreador de rede, por exemplo, usando o Fiddler ou as ferramentas de desenvolvedor do navegador (selecione F12 no Internet Explorer ou Microsoft Edge).
- Carregue a página.
- Procure erros com ID 404.
Um erro 404 indica que as páginas não podem ser encontradas e que você precisa publicá-las.
A aplicação demora demasiado tempo a carregar
Os aplicativos podem ser funcionais, mas têm uma longa latência.
Você pode fazer alterações na topologia de rede para melhorar a velocidade do aplicativo. Analise as considerações sobre a rede.
Problema ao publicar como um único aplicativo
Se não for possível publicar todos os recursos no mesmo aplicativo, publique vários aplicativos e configure links entre eles. Para esse cenário, recomendamos que você use domínios personalizados. No entanto, essa solução requer que você possua o certificado para seu domínio e que seus aplicativos usem FQDNs (nomes de domínio totalmente qualificados). Para outras opções, solucione problemas de links quebrados.
Problema ao configurar a conectividade de uma aplicação
Para causas e resoluções sugeridas, consulte Portas a serem abertas para uma aplicação proxy.
Problema ao configurar o proxy do aplicativo Microsoft Entra no portal de administração
Para causas e resoluções sugeridas, consulte autenticação única em uma aplicação proxy.
Problema ao definir a autenticação de back-end para o aplicativo
Para causas e resoluções sugeridas, consulte estes artigos:
- Solucionar problemas de delegação restrita de Kerberos
- Logon único usando proxy de aplicativo e PingAccess
Não é possível iniciar sessão na aplicação
Se vir o erro This corporate app can’t be accessed e não conseguir iniciar sessão na sua aplicação, ocorreu um erro de configuração. Para obter resoluções sugeridas, consulte Solucionar erros de tempo limite de gateway incorretos.
Erros de conector de rede privada
Para causas e resoluções sugeridas, consulte Instalar o conector de rede privada.
Erros do Kerberos
A tabela a seguir descreve os erros mais comuns e sua resolução na instalação e configuração do Kerberos:
| Erro | Explicação e passos a dar |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Se a instalação do conector falhar, verifique se a política de execução do PowerShell não está desabilitada. 1. Abra o Editor de Política de Grupo. 2. Vá para Configuração do Computador>Modelos Administrativos>Componentes do Windows>Windows PowerShell e clique duas vezes em Ativar Execução de Script. 3. A política de execução pode ser definida como Não Configurado ou Ativado. Se a política estiver definida como Habilitado, verifique se em Opções, a política de execução está definida como Permitir scripts locais e scripts assinados remotamente ou Permitir todos os scripts. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Esse erro indica configuração incorreta entre o Microsoft Entra ID e o servidor de aplicativos back-end, ou há um problema com a configuração de data e hora em ambos os computadores. O servidor back-end recusou o tíquete Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos back-end estão configurados corretamente. Verifique se as configurações de data e hora no Microsoft Entra ID e no servidor de aplicativos back-end estão sincronizadas. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Há um problema com a configuração do serviço de token de segurança (STS). Corrija a configuração da declaração UPN (Nome Principal do Usuário) no STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Esse evento indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambas as máquinas. O controlador de domínio recusou o ticket Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos back-end estão configurados corretamente, especialmente a configuração do SPN (nome da entidade de serviço). Verifique se o controlador de domínio estabelece confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Verifique se a configuração de data e hora na ID do Microsoft Entra e no controlador de domínio estão sincronizadas. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Esse evento indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambas as máquinas. O controlador de domínio recusou o ticket Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos back-end estão configurados corretamente, especialmente a configuração do SPN. Verifique se o controlador de domínio estabelece confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Certifique-se de que a configuração de hora e data na ID do Microsoft Entra e no controlador de domínio estão sincronizadas. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Esse evento indica uma configuração incorreta entre o ID do Microsoft Entra e o servidor de aplicativos back-end ou um problema na configuração de data e hora em ambas as máquinas. O servidor back-end recusou o ticket Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos back-end estão configurados corretamente. Verifique se a configuração de data e hora na ID do Microsoft Entra e no servidor de aplicativos back-end estão sincronizadas. Para obter mais informações, consulte Solucionar problemas de configurações de delegação restrita de Kerberos para proxy de aplicativo. |
Erros do usuário do aplicativo
A tabela a seguir descreve os erros que um usuário de aplicativo pode encontrar ao tentar acessar um aplicativo de proxy de aplicativo:
| Erro | Explicação e passos a dar |
|---|---|
The website cannot display the page. |
Um usuário vê o erro quando tenta acessar um aplicativo de Autenticação Integrada do Windows (IWA) que você publicou. O SPN definido para o aplicativo está incorreto. Verifique se o SPN do aplicativo está correto. |
The website cannot display the page. |
Um usuário vê o erro quando tenta acessar um aplicativo do Outlook Web Application (OWA) que você publicou. A questão resulta de: - O SPN definido para a aplicação está incorreto. Verifique se o SPN do aplicativo está correto. - O usuário que tentou acessar o aplicativo está usando uma conta da Microsoft em vez de sua conta corporativa para entrar, ou o usuário é um usuário convidado. Verifique se o usuário entra usando uma conta corporativa que corresponda ao domínio do aplicativo publicado. Os utilizadores e convidados da Conta Microsoft não podem aceder a aplicações IWA. - O usuário que tentou acessar o aplicativo não está definido corretamente para o aplicativo na configuração local. Verifique se o usuário tem as permissões locais necessárias para acessar o aplicativo back-end. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
Este erro ocorre quando um utilizador tenta aceder a uma aplicação utilizando uma conta Microsoft ou como utilizador convidado. Os utilizadores e convidados da Conta Microsoft não podem aceder a aplicações IWA. Certifique-se de que o utilizador inicia sessão com uma conta empresarial correspondente ao domínio da aplicação. Para corrigir o problema, vá para a guia Aplicativo , em Usuários e Grupos, e atribua o usuário ou grupo ao aplicativo. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
O usuário que tentou acessar o aplicativo não está definido corretamente para o aplicativo na configuração local. Verifique se o usuário tem as permissões locais necessárias para acessar o aplicativo back-end. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Um utilizador vê o erro quando tenta aceder à aplicação que publicou, se não lhe tenha sido explicitamente atribuída uma licença Premium pelo administrador do assinante. Na guia Licenças do Microsoft Entra ID do assinante, verifique se o usuário ou grupo de usuários recebeu uma licença Premium. |
A server with the specified host name could not be found. |
Um usuário vê o erro quando tenta acessar o aplicativo que você publicou e o domínio personalizado do aplicativo não está configurado corretamente. Verifique o certificado para o domínio e configure o registro DNS (Sistema de Nomes de Domínio) corretamente. Para obter mais informações, consulte Trabalhar com domínios personalizados no proxy de aplicativo do Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
O problema pode ser um problema com o acesso às informações de autorização. Para saber mais, consulte (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Para resolver o erro, adicione a conta da máquina do conector de rede privada ao grupo de domínio integrado do Grupo de Acesso de Autorização do Windows. |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
O conector usa um certificado de cliente para proteger conexões de saída com pontos de extremidade do serviço de nuvem de proxy de aplicativo Microsoft Entra. O erro ocorre quando o certificado do cliente não consegue chegar ao ponto de extremidade. Por exemplo, isso pode ocorrer quando um dispositivo de rede executa a inspeção TLS (Transport Layer Security) ou interrompe a conexão TLS. Para resolver o erro, evite a inspeção em linha e a interrupção de comunicações TLS de saída. A inspeção e a interrupção não devem acontecer entre os conectores de rede privada do Microsoft Entra e os serviços de proxy de aplicativo na nuvem do Microsoft Entra. |