Configurar domínios personalizados com o proxy de aplicações do Microsoft Entra

Quando você publica um aplicativo por meio do proxy de aplicativo Microsoft Entra, você cria uma URL externa para seus usuários. Este URL obtém o domínio yourtenant.msappproxy.netpredefinido . Por exemplo, se você publicar um aplicativo chamado Despesas em seu locatário chamado Contoso, a URL externa será https:\//expenses-contoso.msappproxy.net. Se você quiser usar seu próprio nome de domínio em vez de msappproxy.net, você pode configurar um domínio personalizado para seu aplicativo.

Benefícios dos domínios personalizados

É uma boa ideia configurar domínios personalizados para seus aplicativos sempre que possível. Algumas razões para usar domínios personalizados incluem:

• Os links entre aplicativos funcionam mesmo fora da rede corporativa. Sem um domínio personalizado, se o seu aplicativo codificar links internos para destinos fora do proxy do aplicativo e os links não forem resolvíveis externamente, eles serão quebrados. Quando os URLs internos e externos são os mesmos, você evita esse problema. Se você não conseguir usar domínios personalizados, consulte Redirecionar links codificados para aplicativos publicados com o proxy de aplicativo Microsoft Entra para obter outras maneiras de resolver esse problema.

• Seus usuários têm uma experiência mais fácil, porque eles acessam o aplicativo com a mesma URL de dentro ou de fora da sua rede. Não há necessidade de aprender diferentes URLs internas e externas ou rastrear sua localização atual.

• Você pode controlar sua marca e criar as URLs desejadas. Um domínio personalizado pode ajudar a aumentar a confiança dos usuários, porque eles veem e usam um nome familiar em vez de msappproxy.net.

• Algumas configurações só funcionam com domínios personalizados. Por exemplo, você precisa de domínios personalizados para aplicativos que usam SAML (Security Assertion Markup Language). O SAML é usado quando você usa os Serviços de Federação do Ative Directory (AD FS), mas não consegue usar o WS-Federation. Para obter mais informações, consulte Trabalhar com aplicativos com reconhecimento de declarações no proxy de aplicativo.

Se você não conseguir fazer com que as URLs internas e externas correspondam, não é tão importante usar domínios personalizados. Mas você ainda pode aproveitar os outros benefícios.

Opções de configuração de DNS

Existem várias opções para configurar a sua configuração de DNS, dependendo dos seus requisitos:

Mesmo URL interno e externo, comportamento interno e externo diferente

Se você não quiser que seus usuários internos sejam direcionados através do proxy do aplicativo, você pode configurar um DNS split-brain. Uma infraestrutura DNS dividida direciona a resolução de nomes com base na localização do host. Os hosts internos são direcionados para um servidor de nomes de domínio interno e os hosts externos para um servidor de nomes de domínio externo.

Diferentes URLs internos e externos

Quando URLs internas e externas forem diferentes, não configure o comportamento de cérebro dividido. O roteamento do usuário é determinado usando a URL. Nesse caso, você altera apenas o DNS externo e roteia a URL externa para o ponto de extremidade do proxy do aplicativo.

Quando você seleciona um domínio personalizado para uma URL externa, uma barra de informações mostra a entrada CNAME que você precisa adicionar ao provedor de DNS externo. Você sempre pode ver essas informações acessando a página de proxy de aplicativo do aplicativo.

Configurar e usar domínios personalizados

Para configurar uma aplicação no local para utilizar um domínio personalizado, precisa de um domínio personalizado do Microsoft Entra verificado, um certificado PFX para um domínio personalizado e uma aplicação no local para configurar.

Importante

Você é responsável por manter registros DNS que redirecionam seus domínios personalizados para o msappproxy.net domínio. Se você optar por excluir posteriormente seu aplicativo ou locatário, certifique-se de excluir também os registros DNS associados para proxy de aplicativo para evitar o uso indevido de registros DNS pendentes.

Criar e verificar um domínio personalizado

Para criar e verificar um domínio personalizado:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
2. Navegue até Configurações de>identidade>Nomes de domínio.
3. Selecione Adicionar domínio personalizado.
4. Introduza o seu nome de domínio personalizado e selecione Adicionar domínio.
5. Na página do domínio, copie as informações do registro TXT do seu domínio.
6. Vá para o registrador de domínios e crie um novo registro TXT para seu domínio, com base nas informações de DNS copiadas.
7. Depois de registrar o domínio, na página do domínio no Microsoft Entra ID, selecione Verificar. Depois que o status do domínio for verificado, você poderá usá-lo em todas as configurações do Microsoft Entra, incluindo o proxy do aplicativo.

Para obter instruções mais detalhadas, consulte Adicionar seu nome de domínio personalizado usando o centro de administração do Microsoft Entra.

Configurar um aplicativo para usar um domínio personalizado

Para publicar seu aplicativo por meio do proxy de aplicativo com um domínio personalizado:

1. Para um novo aplicativo, no centro de administração do Microsoft Entra, navegue até Identity>Applications>Enterprise applications>Application Application proxy.

2. Selecione Nova aplicação. Na seção Aplicativos locais, selecione Adicionar um aplicativo local.

   Para um aplicativo já em aplicativos Enterprise, selecione-o na lista e, em seguida, selecione Proxy de aplicativo na navegação à esquerda.

3. Na página de configurações de proxy de aplicativo, insira um Nome se estiver adicionando seu próprio aplicativo local.

4. No campo URL interna, insira a URL interna do seu aplicativo.

5. No campo URL externo, solte a lista e selecione o domínio personalizado que deseja usar.

6. Selecione Adicionar.

   

7. Se o domínio já tiver um certificado, o campo Certificado exibirá as informações do certificado. Caso contrário, selecione o campo Certificado .

   

8. Na página Certificado SSL, procure e selecione seu arquivo de certificado PFX. Digite a senha do certificado e selecione Carregar certificado. Para obter mais informações sobre certificados, consulte a seção Certificados para domínios personalizados. Se o certificado não for válido ou se houver um problema com a senha, você verá uma mensagem de erro. As Perguntas frequentes sobre proxy de aplicativo contêm algumas etapas de solução de problemas que você pode tentar.

   

   Gorjeta

   Um domínio personalizado só precisa de seu certificado carregado uma vez. Depois disso, o certificado carregado é aplicado automaticamente quando você usa o domínio personalizado para outros aplicativos.

9. Se você adicionou um certificado, na página Proxy de aplicativo, selecione Salvar.

10. Na barra de informações na página Proxy de aplicativo, observe a entrada CNAME que você precisa adicionar à sua zona DNS.

    

11. Siga as instruções em Gerenciar registros DNS e conjuntos de registros usando o centro de administração do Microsoft Entra para adicionar um registro DNS que redireciona a nova URL externa para o msappproxy.net domínio no DNS do Azure. Se for utilizado um fornecedor DNS diferente, contacte o fornecedor para obter as instruções.

    Importante

    Verifique se você está usando corretamente um registro CNAME que aponta para o msappproxy.net domínio. Não aponte registos para endereços IP ou nomes DNS do servidor, uma vez que estes não são estáticos e podem afetar a resiliência do serviço.

12. Para verificar se o registro DNS está configurado corretamente, use o comando nslookup para confirmar se a URL externa está acessível e se o msapproxy.net domínio aparece como um alias.

Seu aplicativo agora está configurado para usar o domínio personalizado. Certifique-se de atribuir usuários ao seu aplicativo antes de testá-lo ou liberá-lo.

Para alterar o domínio de um aplicativo, selecione um domínio diferente na lista suspensa em URL externa na página Proxy de aplicativo do aplicativo. Carregue um certificado para o domínio atualizado, se necessário, e atualize o registro DNS. Se você não vir o domínio personalizado desejado na lista suspensa em URL externa, ele pode não ser verificado.

Para obter instruções mais detalhadas sobre proxy de aplicativo, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID.

Certificados para domínios personalizados

Um certificado cria a conexão TLS segura para seu domínio personalizado.

Formatos de certificado

Você deve usar um certificado PFX para garantir que todos os certificados intermediários necessários estejam incluídos. O certificado deve incluir a chave privada.

Os métodos mais comuns de assinatura de certificado são suportados, como SAN (Nome Alternativo da Entidade).

Você pode usar certificados curinga, desde que o curinga corresponda à URL externa. Você deve usar certificados curinga para aplicativos curinga. Se quiser usar o certificado para também acessar subdomínios, adicione os curingas de subdomínio como nomes alternativos de assunto no mesmo certificado. Por exemplo, um certificado para *.adventure-works.com falha para *.apps.adventure-works.com a menos que você adicione *.apps.adventure-works.com como um nome alternativo de assunto.

Você pode usar certificados emitidos por sua própria infraestrutura de chave pública (PKI) se a cadeia de certificados estiver instalada em seus dispositivos cliente. O Microsoft Intune pode implantar esses certificados em dispositivos gerenciados. Para dispositivos não gerenciados, você deve instalar manualmente esses certificados.

Não recomendamos o uso de uma Autoridade de Certificação (CA) raiz privada, pois a CA raiz privada também precisaria ser enviada por push para máquinas cliente, o que pode introduzir muitos desafios.

Gestão de certificados

Toda a gestão de certificados é feita através das páginas de aplicação individuais. Vá para a página Proxy de aplicativo do aplicativo para acessar o campo Certificado.

Se carregar um certificado, as novas aplicações utilizam-no. Desde que estejam configurados para usá-lo. No entanto, você precisa carregar o certificado novamente para aplicativos que já estavam lá quando você o carregou.

Quando um certificado expira, você recebe um aviso informando para carregar outro certificado. Se o certificado for revogado, os usuários poderão ver um aviso de segurança ao acessar o aplicativo. Para atualizar o certificado de um aplicativo, navegue até a página Proxy de aplicativo do aplicativo, selecione Certificado e carregue um novo certificado. Os certificados antigos que não estão sendo usados por outros aplicativos são excluídos automaticamente.

Próximos passos

• Habilite o logon único para seus aplicativos publicados com a autenticação do Microsoft Entra.
• Acesso condicional para as suas aplicações na nuvem publicadas.