Поделиться через

Добавьте локальное приложение для удаленного доступа через прокси приложения в Microsoft Entra ID.

Microsoft Entra имеет службу прокси приложений, которая позволяет пользователям получать доступ к локальным приложениям, авторизовавшись с помощью своей учетной записи Microsoft Entra. Дополнительные сведения о прокси-сервере приложения см. в статье "Что такое прокси приложения?". Это руководство подготавливает вашу среду для использования прокси приложения. После готовности среды используйте Центр администрирования Microsoft Entra для добавления локального приложения в клиент.

Схема обзора прокси приложения

Изучив это руководство, вы:

  • Установите и проверьте соединитель на сервере Windows и зарегистрируйте его в прокси приложения.
  • Добавьте локальное приложение в клиент Microsoft Entra.
  • Убедитесь, что тестовый пользователь может войти в приложение с помощью учетной записи Microsoft Entra.

Предварительные условия

Чтобы добавить локальное приложение в идентификатор Microsoft Entra, вам потребуется:

  • Подписка Microsoft Entra ID P1 или P2.
  • Учетная запись администратора приложения.
  • Синхронизированный набор учетных записей пользователей в локальном каталоге. Или создайте их непосредственно в клиентах Microsoft Entra. Синхронизация удостоверений позволяет удостоверению личности Microsoft Entra предварительно аутентифицировать пользователей перед предоставлением доступа к приложениям, опубликованным через прокси-сервер. Синхронизация также предоставляет необходимые сведения об идентификаторе пользователя для выполнения единого входа.
  • Общие сведения об управлении приложениями в Microsoft Entra см. в разделе "Просмотр корпоративных приложений" в Microsoft Entra.
  • Общие сведения о едином входе см. в статье "Общие сведения о едином входе".

Установка и проверка соединителя частной сети Microsoft Entra

Прокси-сервер приложения использует тот же соединитель, что и служба частного доступа Microsoft Entra. Соединитель называется соединителем частной сети Microsoft Entra. Сведения об установке и проверке соединителя см. в статье "Настройка соединителей".

Общие замечания

Записи системы доменных имен (DNS) для конечных точек прокси приложения Microsoft Entra представляют собой цепочку записей CNAME, которые указывают на запись A. Настройка записей таким образом обеспечивает отказоустойчивость и гибкость. Соединитель частной сети Microsoft Entra всегда обращается к именам узлов с суффиксами *.msappproxy.net домена или *.servicebus.windows.net. Однако во время разрешения имен записи CNAME могут содержать записи DNS с разными именами узлов и суффиксами. Из-за различий необходимо убедиться, что устройство (в зависимости от настройки — сервер соединителя, брандмауэр, исходящий прокси-сервер) может разрешать все записи в цепочке и предоставлять возможность подключения к разрешённым IP-адресам. Поскольку записи DNS в цепочке могут изменяться время от времени, мы не можем предоставить вам никакие списки записей DNS.

При установке соединителей в разных регионах необходимо оптимизировать трафик, выбрав ближайший регион облачной службы прокси приложения с каждой группой соединителей. Дополнительные сведения см. в статье "Оптимизация потока трафика" с помощью прокси приложения Microsoft Entra.

Если в организации используются прокси-серверы для подключения к Интернету, необходимо настроить их для прокси приложения. Дополнительные сведения см. в статье "Работа с существующими локальными прокси-серверами".

Добавление локального приложения в Microsoft Entra ID

Добавьте локальные приложения в идентификатор Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора приложений.

  2. Перейдите к Entra ID>Корпоративным приложениям.

  3. Выберите новое приложение.

  4. Нажмите кнопку "Добавить локальное приложение ", которая отображается примерно на полпути страницы в разделе локальных приложений . Кроме того, можно выбрать команду "Создать собственное приложение " в верхней части страницы и выбрать "Настроить прокси приложения для безопасного удаленного доступа к локальному приложению".

  5. В разделе "Добавление собственного локального приложения" укажите следующие сведения о приложении:

    Поле Описание:
    Имя Имя приложения, которое отображается в Мои приложения и в Центре администрирования Microsoft Entra.
    Режим обслуживания Выберите, хотите ли вы включить режим обслуживания и временно отключить доступ для всех пользователей к приложению.
    Внутренний URL-адрес URL-адрес для доступа к приложению в частной сети. Для публикации можно указать только конкретный адрес на внутреннем сервере; при этом другие адреса сервера не публикуются. Это позволяет публиковать на одном сервере различные сайты в виде различных приложений, назначая каждому из них отдельное имя и правила доступа.

    Если вы публикуете путь, он должен включать в себя все необходимые изображения, скрипты и таблицы стилей для вашего приложения. Например, если приложение размещено по адресу https://yourapp/app и использует образы, размещенные по адресу https://yourapp/media, опубликуйте https://yourapp/ в качестве пути. Этот внутренний URL-адрес не должен отображаться на целевой странице, которую видят пользователи. Дополнительные сведения см. в разделе "Настройка пользовательской домашней страницы для опубликованных приложений".
    Внешний URL-адрес Адрес для пользователей, чтобы получить доступ к приложению за пределами вашей сети. Если вы не хотите использовать домен прокси приложения по умолчанию, ознакомьтесь с пользовательскими доменами в прокси приложения Microsoft Entra.
    Предварительная проверка подлинности Как прокси приложения проверяет пользователей перед предоставлением им доступа к приложению.

    Идентификатор Microsoft Entra — прокси приложения перенаправляет пользователей на вход в систему с Идентификатором Microsoft Entra, который проверяет подлинность их разрешений для каталога и приложения. Мы рекомендуем сохранить этот параметр по умолчанию, чтобы воспользоваться преимуществами функций безопасности Microsoft Entra, таких как условный доступ и многофакторная проверка подлинности. Идентификатор Microsoft Entra необходим для мониторинга приложения с помощью Microsoft Defender для облачных приложений.

    Сквозной доступ. Пользователям не нужно проходить проверку подлинности в Microsoft Entra ID для доступа к приложению. Вы по-прежнему можете настроить требования к аутентификации на серверной стороне.
    Группа соединителей Соединители обрабатывают удаленный доступ к приложению, а группы соединителей позволяют упорядочивать соединители и приложения по регионам, сетям и назначению. Если у вас еще нет созданных групп соединителей, приложение назначается по умолчанию.

    Если ваше приложение использует WebSocket для подключения, все соединители в группе должны быть версии 1.5.612.0 или более поздней.

  6. При необходимости настройте дополнительные параметры. Для большинства приложений следует сохранить значения этих параметров по умолчанию.

    Поле Описание:
    Время ожидания серверного приложения Задайте для этого значения значение Long , только если приложение медленно выполняет проверку подлинности и подключение. По умолчанию время ожидания серверной части приложения составляет 85 секунд. Если задано слишком долго, время ожидания серверной части увеличивается до 180 секунд.
    Использование файла cookie HTTP-Only Выберите, чтобы файлы cookie прокси приложения включали флаг HTTPOnly в заголовок ответа HTTP. При использовании служб удаленных рабочих столов сохраните параметр без выбора.
    Использование сохраняемого файла cookie Сохраните параметр без выбора. Этот параметр нужно использовать только для приложений, в которых файлы cookie не используются совместно между процессами. Дополнительные сведения о параметрах cookie см. в разделе "Параметры cookie" для доступа к локальным приложениям в идентификаторе Microsoft Entra.
    Перевод URL-адресов в заголовках Оставьте параметр выбранным, если только ваше приложение не требует исходного заголовка узла в запросе аутентификации.
    Перевод URL-адресов в тексте приложения Не выбирайте этот параметр, если HTML-ссылки жестко встроены в другие локальные приложения и не используют пользовательские домены. Дополнительные сведения см. в разделе "Перевод ссылок с прокси приложениями".

    Выберите, планируете ли вы отслеживать это приложение с помощью Microsoft Defender для облака Приложений. Дополнительные сведения см. в разделе "Настройка мониторинга доступа к приложениям в режиме реального времени" с помощью Microsoft Defender для облачных приложений и идентификатора Microsoft Entra.
    Проверка сертификата TLS серверной части Выберите, чтобы включить проверку серверного сертификата безопасности транспортного уровня (TLS) для приложения.

  7. Нажмите кнопку "Добавить".

Тестирование приложения

Вы готовы протестировать корректность добавления приложения. В следующих шагах вы добавите учетную запись пользователя в приложение и попробуйте войти.

Добавление пользователя для тестирования

Прежде чем добавить пользователя к приложению, убедитесь, что у учетной записи есть разрешения на доступ к приложению из корпоративной сети.

Чтобы добавить тестового пользователя:

  1. Выберите корпоративные приложения и выберите приложение, которое вы хотите протестировать.
  2. Выберите "Начало работы" и выберите " Назначить пользователя для тестирования".
  3. В разделе "Пользователи и группы" выберите "Добавить пользователя".
  4. В разделе "Добавление назначения" выберите "Пользователи и группы". Откроется раздел "Пользователь и группы ".
  5. Выберите учетную запись, которую вы хотите добавить.
  6. Нажмите кнопку "Выбрать", а затем нажмите кнопку "Назначить".

Проверка входа

Чтобы проверить проверку подлинности в приложении, выполните следующие действия.

  1. В приложении, которое вы хотите протестировать, выберите прокси приложения.
  2. В верхней части страницы выберите "Тестировать приложение" , чтобы запустить тест в приложении и проверить наличие проблем с конфигурацией.
  3. Сначала запустите приложение, чтобы проверить функцию входа в приложение, а затем скачайте диагностический отчет, чтобы просмотреть рекомендации по устранению обнаруженных проблем.

Сведения об устранении неполадок см. в разделе "Устранение неполадок прокси приложения" и сообщений об ошибках.

Очистка ресурсов

Не забудьте удалить все ресурсы, созданные в этом руководстве, по завершении работы.

Устранение неполадок

Узнайте о распространенных проблемах и их устранении.

Создание приложения/Настройка URL-адресов

Проверьте сведения об ошибке и рекомендации по исправлению приложения. Большинство сообщений об ошибках включают в себя предлагаемое исправление. Чтобы избежать распространенных ошибок, проверьте следующее:

  • Вы являетесь администратором с разрешением на создание приложения-прокси.
  • Внутренний URL-адрес является уникальным.
  • Внешний URL-адрес является уникальным.
  • URL-адрес начинается с http или https и заканчивается на "/".
  • URL-адрес должен включать имя домена, а не IP-адрес.

Сообщение об ошибке при создании приложения должно отображаться в правом верхнем углу. Для просмотра сообщений об ошибках также можно выбрать значок уведомления.

Отправка сертификатов для пользовательских доменов

В качестве пользовательских доменов можно указать домен для внешних URL-адресов. Чтобы использовать пользовательские домены, необходимо отправить сертификат для этого домена. Сведения об использовании пользовательских доменов и сертификатов см. в статье "Работа с пользовательскими доменами" в прокси приложениях Microsoft Entra.

Если возникают проблемы с отправкой сертификата, найдите сообщения об ошибках на портале, чтобы получить дополнительные сведения о проблеме с сертификатом. Распространенные проблемы, связанные с сертификатами, включают следующие:

  • Срок действия сертификата истек.
  • Сертификат самоподписан.
  • Отсутствует закрытый ключ сертификата.

При попытке отправить сертификат в правом верхнем углу отображается сообщение об ошибке. Для просмотра сообщений об ошибках также можно выбрать значок уведомления.

Следующие шаги