Partilhar via

Configurar domínios personalizados com o proxy de aplicações do Microsoft Entra

Quando você publica um aplicativo por meio do proxy de aplicativo Microsoft Entra, você cria uma URL externa para seus usuários. Este URL obtém o domínio yourtenant.msappproxy.netpredefinido . Por exemplo, se você publicar um aplicativo chamado Despesas em seu locatário chamado Contoso, a URL externa será https:\//expenses-contoso.msappproxy.net. Se você quiser usar seu próprio nome de domínio em vez de msappproxy.net, você pode configurar um domínio personalizado para seu aplicativo.

Benefícios dos domínios personalizados

É uma boa ideia configurar domínios personalizados para seus aplicativos sempre que possível. Algumas razões para usar domínios personalizados incluem:

  • Os links entre aplicativos funcionam mesmo fora da rede corporativa. Sem um domínio personalizado, se a sua aplicação codificar de forma fixa links internos para destinos fora do proxy da aplicação e os links não forem resolvíveis externamente, eles deixam de funcionar. Quando os URLs internos e externos são os mesmos, você evita esse problema. Se você não conseguir usar domínios personalizados, consulte Redirecionar links codificados para aplicativos publicados com o proxy de aplicativo Microsoft Entra para obter outras maneiras de resolver esse problema.

  • Seus usuários têm uma experiência mais fácil, porque eles acessam o aplicativo com a mesma URL de dentro ou de fora da sua rede. Não há necessidade de aprender diferentes URLs internas e externas ou rastrear sua localização atual.

  • Você pode controlar sua marca e criar as URLs desejadas. Um domínio personalizado pode ajudar a aumentar a confiança dos usuários, porque eles veem e usam um nome familiar em vez de msappproxy.net.

  • Algumas configurações só funcionam com domínios personalizados. Por exemplo, você precisa de domínios personalizados para aplicativos que usam SAML (Security Assertion Markup Language). O SAML é usado quando você usa os Serviços de Federação do Ative Directory (ADFS), mas não consegue usar o WS-Federation. Para obter mais informações, consulte Trabalhar com aplicativos com reconhecimento de declarações no proxy de aplicativo.

Se você não conseguir fazer com que as URLs internas e externas correspondam, não é tão importante usar domínios personalizados. Mas você ainda pode aproveitar os outros benefícios.

Opções de configuração de DNS

Existem várias opções para configurar o seu Sistema de Nomes de Domínio (DNS), dependendo dos seus requisitos:

Mesmo URL interno e externo, mas comportamento diferente

Se não pretender que os utilizadores internos sejam encaminhados através do proxy da aplicação, poderá configurar um sistema de DNS split-brain. Uma infraestrutura DNS dividida direciona a resolução de nomes com base na localização do host. Os hosts internos são direcionados para um servidor de nomes de domínio interno e os hosts externos para um servidor de nomes de domínio externo.

DNS

Diferentes URLs internos e externos

Quando URLs internas e externas forem diferentes, não configure o comportamento de cérebro dividido. O roteamento do usuário é determinado usando a URL. Nesse caso, você altera apenas o DNS externo e roteia a URL externa para o ponto de extremidade do proxy do aplicativo.

Quando você seleciona um domínio personalizado para uma URL externa, uma barra de informações mostra a entrada CNAME que você precisa adicionar ao provedor de DNS externo. Você sempre pode ver essas informações acessando a página Proxy da Aplicação do aplicativo.

Configurar e usar domínios personalizados

Para configurar um aplicativo local para usar um domínio personalizado, você precisa de um domínio personalizado verificado do Microsoft Entra, um certificado PFX (Personal Information eXchange) para o domínio personalizado e um aplicativo local para configurar.

Importante

Você é responsável por manter registros DNS que redirecionam seus domínios personalizados para o msappproxy.net domínio. Se você optar por excluir posteriormente seu aplicativo ou locatário, certifique-se de excluir também os registros DNS associados para proxy de aplicativo para evitar o uso indevido de registros DNS pendentes.

Criar e verificar um domínio personalizado

Para criar e verificar um domínio personalizado:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
  2. Navegue atéNomes de domínio>.
  3. Selecione Adicionar domínio personalizado.
  4. Introduza o seu nome de domínio personalizado e selecione Adicionar domínio.
  5. Na página do domínio, copie as informações do registro TXT do seu domínio.
  6. Vá para o registrador de domínios e crie um novo registro TXT para seu domínio, com base nas informações de DNS copiadas.
  7. Depois de registrar o domínio, na página do domínio no Microsoft Entra ID, selecione Verificar. Depois que o estado do domínio for verificado, pode utilizá-lo em todas as configurações do Microsoft Entra, incluindo o proxy da aplicação.

Para obter instruções mais detalhadas, consulte Adicionar seu nome de domínio personalizado usando o centro de administração do Microsoft Entra.

Configurar um aplicativo para usar um domínio personalizado

Para publicar seu aplicativo por meio do proxy de aplicativo com um domínio personalizado:

  1. Para um novo aplicativo, no centro de administração do Microsoft Entra, navegue até Entra ID>Enterprise apps>Application proxy.

  2. Selecione Nova aplicação. Na seção Aplicativos locais, selecione Adicionar um aplicativo local.

    Para uma aplicação já presente em Aplicações Empresariais, selecione-a na lista e, em seguida, selecione proxy de aplicações no menu de navegação à esquerda.

  3. Na página de configurações de proxy de aplicativo, insira um Nome se estiver adicionando seu próprio aplicativo local.

  4. No campo URL interna, insira a URL interna do seu aplicativo.

  5. No campo URL externo, solte a lista e selecione o domínio personalizado que deseja usar.

  6. Selecione Adicionar.

    Selecionar domínio personalizado

  7. Se o domínio já tiver um certificado, o campo Certificado exibirá as informações do certificado. Caso contrário, selecione o campo Certificado .

    Clique para carregar um certificado

  8. Na página de Certificado SSL, procure e selecione o seu arquivo de certificado PFX. Digite a senha do certificado e selecione Carregar certificado. Para obter mais informações sobre certificados, consulte a seção Certificados para domínios personalizados. Se o certificado não for válido ou se houver um problema com a senha, você verá uma mensagem de erro. As Perguntas Frequentes sobre o proxy de aplicação contêm algumas etapas de resolução de problemas que pode experimentar.

    Carregar Certificado

    Gorjeta

    Um domínio personalizado só precisa de seu certificado carregado uma vez. Depois disso, o certificado carregado é aplicado automaticamente quando você usa o domínio personalizado para outros aplicativos.

  9. Se adicionaste um certificado, na página Proxy de Aplicativo, seleciona Guardar.

  10. Na barra de informações na página Proxy de aplicativo, deve observar a entrada CNAME que precisa adicionar à sua zona DNS.

    Adicionar entrada DNS CNAME

  11. Siga as instruções em Gerenciar registros DNS e conjuntos de registros usando o centro de administração do Microsoft Entra para adicionar um registro DNS que redireciona a nova URL externa para o msappproxy.net domínio no DNS do Azure. Se for utilizado um fornecedor DNS diferente, contacte o fornecedor para obter as instruções.

    Importante

    Certifique-se de que está a utilizar corretamente um registo CNAME que aponte para o msappproxy.net domínio. Não aponte registros para endereços IP ou nomes DNS do servidor, pois eles não são estáticos e podem afetar a resiliência do serviço.

  12. Para verificar se o registro DNS está configurado corretamente, use o comando nslookup para confirmar se a URL externa está acessível e se o msappproxy.net domínio aparece como um alias.

Seu aplicativo agora está configurado para usar o domínio personalizado. Certifique-se de atribuir usuários ao seu aplicativo antes de testá-lo ou liberá-lo.

Para alterar o domínio de uma aplicação, selecione um domínio diferente na lista suspensa em URL Externa na página Proxy de Aplicação. Carregue um certificado para o domínio atualizado, se necessário, e atualize o registro DNS. Se não vires o domínio personalizado desejado na lista suspensa em "URL externa", isso pode significar que não está verificado.

Para obter instruções mais detalhadas sobre proxy de aplicativo, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID.

Certificados para domínios personalizados

Um certificado cria a conexão TLS (Transport Layer Security) segura para seu domínio personalizado.

Formatos de certificado

Você deve usar um certificado PFX para garantir que todos os certificados intermediários necessários estejam incluídos. O certificado deve incluir a chave privada.

Os métodos mais comuns de assinatura de certificado são suportados, como SAN (Nome Alternativo da Entidade).

Você pode usar certificados curinga, desde que o curinga corresponda à URL externa. Você deve usar certificados curinga para aplicativos curinga. Se quiser usar o certificado para também acessar subdomínios, adicione os curingas de subdomínio como nomes alternativos de assunto no mesmo certificado. Por exemplo, um certificado para *.adventure-works.com falha para *.apps.adventure-works.com a menos que você adicione *.apps.adventure-works.com como um nome alternativo de assunto.

Você pode usar certificados emitidos por sua própria infraestrutura de chave pública (PKI) se a cadeia de certificados estiver instalada em seus dispositivos cliente. O Microsoft Intune pode implantar esses certificados em dispositivos gerenciados. Para dispositivos não gerenciados, você deve instalar manualmente esses certificados.

Não recomendamos o uso de uma Autoridade de Certificação (CA) raiz privada, pois a CA raiz privada também precisaria ser distribuída para máquinas cliente, o que pode apresentar muitos desafios.

Gestão de certificados

Toda a gestão de certificados é feita através das páginas de aplicação individuais. Vá para a página Proxy de aplicação do aplicativo para aceder ao campo Certificado.

Se transferir um certificado, as novas aplicações irão utilizá-lo. Desde que estejam configurados para usá-lo. No entanto, você precisa carregar o certificado novamente para aplicativos que já estavam lá quando você o carregou.

Quando um certificado expira, você recebe um aviso informando para carregar outro certificado. Se o certificado for revogado, os usuários poderão ver um aviso de segurança ao acessar o aplicativo. Para atualizar o certificado de uma aplicação, navegue até à página Proxy da aplicação, selecione Certificado e carregue um novo certificado. Os certificados antigos que não estão sendo usados por outros aplicativos são excluídos automaticamente.

Próximos passos