Добавление локального приложения для удаленного доступа через прокси приложения в идентификаторе Microsoft Entra

  • Статья

Идентификатор Microsoft Entra имеет службу прокси приложения, которая позволяет пользователям получать доступ к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. Дополнительные сведения о прокси-сервере приложения см. в статье "Что такое прокси приложения?". В этом руководстве описана подготовка среды для использования с прокси-сервером приложения. После готовности среды используйте Центр администрирования Microsoft Entra для добавления локального приложения в клиент.

Схема обзора прокси приложения

Изучив это руководство, вы:

  • Установите и проверьте соединитель на сервере Windows и регистрирует его с помощью прокси приложения.
  • Добавьте локальное приложение в клиент Microsoft Entra.
  • Убедитесь, что тестовый пользователь может войти в приложение с помощью учетной записи Microsoft Entra.

Необходимые компоненты

Чтобы добавить локальное приложение в идентификатор Microsoft Entra, вам потребуется:

  • Подписка Microsoft Entra ID P1 или P2.
  • учетная запись администратора приложения.
  • Синхронизированный набор удостоверений пользователей с локальным каталогом. Или создайте их непосредственно в клиентах Microsoft Entra. Синхронизация удостоверений позволяет идентификатору Microsoft Entra предварительно выполнять проверку подлинности пользователей перед предоставлением им доступа к опубликованным приложениям прокси приложения. Синхронизация также предоставляет необходимые сведения об идентификаторе пользователя для выполнения единого входа.
  • Общие сведения об управлении приложениями в Microsoft Entra см. в разделе "Просмотр корпоративных приложений" в Microsoft Entra.
  • Общие сведения о едином входе см. в статье "Общие сведения о едином входе".

Установка и проверка соединителя частной сети Microsoft Entra

Прокси приложения использует тот же соединитель, что и Частный доступ Microsoft Entra. Соединитель называется соединителем частной сети Microsoft Entra. Сведения об установке и проверке соединителя см. в статье "Настройка соединителей".

Общие замечания

Общедоступные записи DNS для конечных точек прокси приложения Microsoft Entra связаны записями CNAME, указывающими на запись A. Настройка записей таким образом обеспечивает отказоустойчивость и гибкость. Соединитель частной сети Microsoft Entra всегда обращается к именам узлов с суффиксами *.msappproxy.net домена или *.servicebus.windows.net. Однако во время разрешения имен записи CNAME могут содержать записи DNS с разными именами узлов и суффиксами. Из-за разницы необходимо убедиться, что устройство (в зависимости от настройки — сервер соединителя, брандмауэр, исходящий прокси-сервер) может разрешать все записи в цепочке и разрешать подключение к разрешенным IP-адресам. Так как записи DNS в цепочке могут быть изменены от времени до времени, мы не можем предоставить вам никаких записей DNS списка.

При установке соединителей в разных регионах необходимо оптимизировать трафик, выбрав ближайший регион облачной службы прокси приложения с каждой группой соединителей. Дополнительные сведения см. в статье "Оптимизация потока трафика" с помощью прокси приложения Microsoft Entra.

Если в организации используются прокси-серверы для подключения к Интернету, необходимо настроить их для прокси приложения. Дополнительные сведения см. в статье Работа с имеющимися локальными прокси-серверами.

Добавление локального приложения в идентификатор Microsoft Entra

Добавьте локальные приложения в идентификатор Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум приложение Администратор istrator.

  2. Перейдите к приложениям Identity>Applications>Enterprise.

  3. Выберите Новое приложение.

  4. Нажмите кнопку "Добавить локальное приложение ", которая отображается примерно на полпути страницы в разделе локальных приложений . Кроме того, можно выбрать команду "Создать собственное приложение " в верхней части страницы и выбрать " Настроить прокси приложения для безопасного удаленного доступа к локальному приложению".

  5. В разделе Добавление локального приложения укажите следующие сведения о приложении.

    Поле Описание:
    Имя Имя приложения, которое отображается в Мои приложения и в Центре администрирования Microsoft Entra.
    Режим обслуживания Выберите, хотите ли вы включить режим обслуживания и временно отключить доступ для всех пользователей к приложению.
    Внутренний URL-адрес URL-адрес для доступа к приложению в частной сети. Для публикации можно указать только конкретный адрес на внутреннем сервере; при этом другие адреса сервера не публикуются. Это позволяет публиковать на одном сервере разные сайты, назначая каждому из них отдельное имя и правила доступа.

    Если вы публикуете путь, он должен включать в себя все необходимые изображения, скрипты и таблицы стилей для вашего приложения. Например, если приложение размещено по адресу https://yourapp/app и использует образы, размещенные по адресу https://yourapp/media, опубликуйте https://yourapp/ в качестве пути. Этот внутренний URL-адрес не должен отображаться на целевой странице, которую видят пользователи. Дополнительные сведения см. в разделе Настройка пользовательской домашней страницы для опубликованных приложений с помощью прокси приложения Azure AD.
    Внешний URL-адрес Адрес для пользователей, чтобы получить доступ к приложению за пределами вашей сети. Если вы не хотите использовать домен прокси приложения по умолчанию, ознакомьтесь с пользовательскими доменами в прокси приложения Microsoft Entra.
    Предварительная проверка подлинности Как прокси приложения проверяет пользователей перед предоставлением им доступа к приложению.

    Идентификатор Microsoft Entra — прокси приложения перенаправляет пользователей на вход с помощью идентификатора Microsoft Entra, который проверяет подлинность своих разрешений для каталога и приложения. Мы рекомендуем сохранить этот параметр по умолчанию, чтобы воспользоваться преимуществами функций безопасности Microsoft Entra, таких как условный доступ и многофакторная проверка подлинности. Идентификатор Microsoft Entra необходим для мониторинга приложения с помощью Microsoft Defender для облака Apps.

    Сквозное руководство . Пользователям не нужно проходить проверку подлинности в идентификаторе Microsoft Entra для доступа к приложению. Вы по-прежнему можете настроить требования к аутентификации на серверной стороне.
    Группа соединителей Соединители обрабатывают удаленный доступ к приложению, а группы соединителей позволяют упорядочивать соединители и приложения по регионам, сетям и назначению. Если вы еще не создали какие-либо группы соединителей, приложение назначается в группу по умолчанию.

    Если ваше приложение использует WebSocket для подключения, все соединители в группе должны быть версии 1.5.612.0 или более поздней.

  6. При необходимости настройте дополнительные параметры. Для большинства приложений следует сохранить значения этих параметров по умолчанию.

    Поле Description
    Время ожидания серверного приложения Задайте для этого параметра значение Длинный, только если приложение медленно выполняет проверку подлинности и подключение. По умолчанию время ожидания серверного приложения составляет 85 секунд. Если задано слишком долго, время ожидания серверной части увеличивается до 180 секунд.
    Use HTTP-Only Cookie (Использовать файл cookie только HTTP-Only) Выберите, чтобы файлы cookie прокси приложения включали флаг HTTPOnly в заголовок ответа HTTP. При использовании служб удаленных рабочих столов сохраните параметр без выбора.
    Сохранять файлы сookie Сохраните параметр без выбора. Этот параметр нужно использовать только для приложений, в которых файлы cookie не используются совместно между процессами. Дополнительные сведения о параметрах cookie см. в разделе "Параметры cookie" для доступа к локальным приложениям в идентификаторе Microsoft Entra.
    Translate URLs in Headers (Преобразование URL-адресов в заголовках) Не следует выбирать параметр, если приложение не требует исходного заголовка узла в запросе проверки подлинности.
    Translate URLs in Application Body (Преобразовывать URL-адреса в коде приложения) Не следует выбирать параметр, если html-ссылки не закодируются в других локальных приложениях и не используют пользовательские домены. Дополнительные сведения см. в разделе "Перевод ссылок с прокси приложениями".

    Выберите, планируете ли вы отслеживать это приложение с помощью Microsoft Defender для облака Приложений. Дополнительные сведения см. в разделе "Настройка мониторинга доступа к приложениям в режиме реального времени" с помощью Microsoft Defender для облака Apps и идентификатора Microsoft Entra.
    Проверка внутреннего TLS/SSL-сертификата Выберите, чтобы включить проверку сертификатов TLS/SSL для приложения.

  7. Выберите Добавить.

Тестирование приложения

Все готово к тестированию правильности добавления приложения. В следующих шагах вы добавите учетную запись пользователя в приложение и попробуйте войти.

Добавление пользователя для тестирования

Прежде чем добавить пользователя к приложению, убедитесь, что у учетной записи есть разрешения на доступ к приложению из корпоративной сети.

Чтобы добавить тестового пользователя:

  1. Щелкните Корпоративные приложения и выберите приложение, которое необходимо проверить.
  2. Щелкните Приступая к работе и выберите Assign a user for testing (Назначение пользователя для тестирования).
  3. В разделе Пользователи и группы выберите Добавление пользователя.
  4. В разделе Добавление назначения выберите Пользователи и группы. Появится раздел Пользователи и группы.
  5. Выберите учетную запись, которую вы хотите добавить.
  6. Щелкните Выбрать, а затем выберите Назначить.

Проверка единого входа

Чтобы проверить проверку подлинности в приложении, выполните следующие действия.

  1. В приложении, которое вы хотите протестировать, выберите прокси приложения.
  2. В верхней части страницы выберите Тестировать приложение, чтобы запустить тест в приложении и проверить наличие проблем с конфигурацией.
  3. Сначала запустите приложение, чтобы проверить функцию входа в приложение, а затем скачайте диагностический отчет, чтобы просмотреть рекомендации по устранению обнаруженных проблем.

Сведения об устранении неполадок см. в разделе "Устранение неполадок прокси приложения" и сообщений об ошибках.

Очистка ресурсов

Не забудьте удалить все ресурсы, созданные в этом руководстве, по завершении работы.

Устранение неполадок

Узнайте о распространенных проблемах и их устранении.

Создание приложения/Настройка URL-адресов

Проверьте сведения об ошибке и рекомендации по исправлению приложения. Большинство сообщений об ошибках включают в себя предлагаемое исправление. Чтобы избежать распространенных ошибок, проверьте следующее:

  • Вы являетесь администратором с разрешением на создание приложения-прокси приложения
  • Внутренний URL-адрес является уникальным.
  • Внешний URL-адрес является уникальным.
  • URL-адрес начинается с http или https и заканчивается на "/".
  • URL-адрес должен включать имя домена, а не IP-адрес.

Сообщение об ошибке при создании приложения должно отображаться в правом верхнем углу. Для просмотра сообщений об ошибках также можно выбрать значок уведомления.

Отправка сертификатов для пользовательских доменов

В качестве пользовательских доменов можно указать домен для внешних URL-адресов. Чтобы использовать пользовательские домены, необходимо отправить сертификат для этого домена. Сведения об использовании пользовательских доменов и сертификатов см. в статье "Работа с пользовательскими доменами" в прокси приложениях Microsoft Entra.

Если возникают проблемы с отправкой сертификата, найдите сообщения об ошибках на портале, чтобы получить дополнительные сведения о проблеме с сертификатом. Распространенные проблемы, связанные с сертификатами, включают следующие:

  • Срок действия сертификата истек.
  • Сертификат является самозаверяющим.
  • Отсутствует закрытый ключ сертификата.

При попытке отправить сертификат в правом верхнем углу отображается сообщение об ошибке. Для просмотра сообщений об ошибках также можно выбрать значок уведомления.

Следующие шаги