Часто задаваемые вопросы о прокси приложениях Microsoft Entra

Нет, следующие элементы конфигурации используются прокси приложениями и не должны быть изменены или удалены:

• Включение и отключение "Разрешить потоки общедоступных клиентов".
• CWAP_AuthSecret (секреты клиента).
• Разрешения API. Изменение любого из указанных выше элементов конфигурации на странице регистрации приложений прерывает предварительную проверку подлинности для прокси приложения Microsoft Entra.

Нет, следует удалить приложение-прокси приложения из области корпоративных приложений Центра администрирования Microsoft Entra. Если удалить приложение-прокси приложения из области Регистрация приложений центра администрирования Microsoft Entra, могут возникнуть проблемы.

Чтобы использовать прокси приложения Microsoft Entra, необходимо иметь лицензию Microsoft Entra ID P1 или P2. Дополнительные сведения о лицензировании см. в ценах на Microsoft Entra

Если срок действия лицензии истекает, прокси приложения автоматически отключается. Сведения о приложении сохраняются до одного года.

Убедитесь, что у вас установлена по крайней мере лицензия Microsoft Entra ID P1 или P2 и соединитель частной сети Microsoft Entra. После успешной установки первого соединителя служба прокси приложения Microsoft Entra включена автоматически.

Использование служебной программы проверки портов на общедоступных конечных точках прокси приложения (msappproxy.net или пользовательской) может показать, что tcp-порты 10200 и 10201 открыты в дополнение к портам 80 и/или 443. Эти порты используются для мониторинга работоспособности внутренних служб. Никакие данные клиента не доступны через эти порты, и службы за ними не обрабатывают никаких сведений; они просто отвечают на "ОК".

Да, соединитель частной сети Microsoft Entra используется как прокси приложения, так и Частный доступ Microsoft Entra. Дополнительные сведения о соединителе см. в статье Microsoft Entra private network connector. Сведения об устранении неполадок с конфигурацией соединителей см. в статье об устранении неполадок соединителей.

Хотя эти суффиксы отображаются в списке суффиксов, их не следует использовать. Эти суффиксы домена не предназначены для использования с прокси-сервером приложения Microsoft Entra. Если вы используете эти суффиксы домена, созданное приложение прокси приложения Microsoft Entra не будет работать. Можно использовать суффикс msappproxy.net стандартного домена или личный домен.

Идентификатор Microsoft Entra имеет службу прокси приложения, которая позволяет пользователям получать доступ к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. Если у вас установлены соединители в разных регионах, можно оптимизировать трафик, выбрав ближайший регион облачной службы прокси приложения для использования с каждой группой соединителей, см. статью "Оптимизация потока трафика с помощью прокси приложения Microsoft Entra".

После отправки SSL-сертификата на портале появится сообщение "Недопустимый сертификат, возможный неправильный пароль".

Ниже приведены некоторые советы по устранению этой ошибки:

• Проверьте наличие проблем с сертификатом. Установите его на локальном компьютере. Если у вас нет проблем, сертификат хорош.
• Убедитесь, что пароль не содержит специальных символов. Пароль должен содержать только символы 0-9, A-Z и a-z.
• Если сертификат был создан с помощью поставщика хранилища ключей программного обеспечения Майкрософт, необходимо использовать алгоритм RSA.

Длина по умолчанию составляет 85 секунд. Параметр long составляет 180 секунд. Ограничение времени ожидания не может быть продлено.

Нет, в настоящее время это не поддерживается.

Секрет клиента, также называемый CWAP_AuthSecret, автоматически добавляется в объект приложения (регистрация приложения) при создании прокси-приложения Microsoft Entra.

Секрет клиента действителен в течение одного года. Новый одноразовый секрет клиента создается автоматически до истечения срока действия текущего допустимого секрета клиента. Три CWAP_AuthSecret секреты клиента всегда хранятся в объекте приложения.

Нет, необходимо использовать исходный резервный домен.

Статья, упоминаемая в вопросе: добавление и замена резервного домена onmicrosoft.com в Microsoft 365

На странице регистрации приложений можно изменить URL-адрес домашней страницы на нужный внешний URL-адрес целевой страницы. Указанная страница загружается при запуске приложения с Мои приложения или портала Office 365. Инструкции по настройке см. в разделе "Настройка пользовательской домашней страницы для опубликованных приложений с помощью прокси приложения Microsoft Entra"

Если настроена предварительная проверка подлинности Microsoft Entra, а URL-адрес приложения содержит символ "#" при попытке доступа к приложению в первый раз, вы будете перенаправлены на идентификатор Microsoft Entra (login.microsoftonline.com) для проверки подлинности. После завершения проверки подлинности вы будете перенаправлены на URL-часть до символа "#" и все, что происходит после "#", кажется, игнорируется или удалено. Например, если URL-адрес указан https://www.contoso.com/#/home/index.html, после завершения проверки подлинности Microsoft Entra пользователь перенаправляется в https://www.contoso.com/. Это поведение обусловлено тем, как символ "#" обрабатывается браузером.

Возможные решения и альтернативные варианты:

• Настройка перенаправления из https://www.contoso.com https://contoso.com/#/home/index.html. Пользователь должен сначала получить доступ https://www.contoso.com.
• URL-адрес, используемый для первой попытки доступа, должен содержать символ "#" в закодированной форме (%23). Опубликованный сервер может не принять это.
• Настройте тип предварительной проверки подлинности (не рекомендуется).

Нет, для опубликованных приложений не требуется iis. Вы можете публиковать веб-приложения, работающие на серверах, отличных от Windows Server. Однако вы не сможете использовать предварительную проверку подлинности с windows Server, в зависимости от того, поддерживает ли веб-сервер согласование (проверка подлинности Kerberos). Службы IIS не требуются на сервере, на котором установлен соединитель.

Прокси приложения не добавляет автоматически заголовок HTTP Strict-Transport-Security в ответы HTTPS, но сохраняет заголовок, если он находится в исходном ответе, отправленном опубликованным приложением. Подтверждение параметра, позволяющего включить эту функцию, находится на схеме развития.

Нет, если протокол http настроен во внешнем URL-адресе, то конечная точка прокси приложения Microsoft Entra принимает входящие запросы по TCP 80 порта, если протокол https затем на tcp-порте 443.

Да, некоторые примеры для внутренних URL-адресов, включая порты: http://app.contoso.local:8888/, , https://app.contoso.local:8080/https://app.contoso.local:8081/test/.

Некоторые ответы, отправленные опубликованными веб-приложениями, могут содержать жестко закодированные URL-адреса. В этом случае необходимо обеспечить использование решения перевода ссылок, которое клиент всегда использует правильный URL-адрес. Решения для перевода ссылок могут быть сложными и могут работать не во всех сценариях. Здесь можно найти наши документированные решения для перевода ссылок.

Рекомендуется использовать идентичные внешние и внутренние URL-адреса. Внешние и внутренние URL-адреса считаются идентичными, если protocol://hostname:port/path/ оба URL-адреса идентичны.

Это можно сделать с помощью функции "Личные домены ".

Примеры:

Идентичный:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

Не идентично:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

Сделать внешние и внутренние URL-адреса идентичными вообще невозможно, если внутренний URL-адрес содержит нестандартный порт (кроме TCP 80 /443).

В некоторых сценариях изменения должны выполняться в конфигурации веб-приложения.

Метод PrincipalsAllowedToDelegateToAccount используется, если серверы соединителей находятся в другом домене от учетной записи службы веб-приложений. Для этого требуется использование ограниченного делегирования на основе ресурсов. Если серверы соединителей и учетная запись службы веб-приложений находятся в одном домене, вы можете использовать Пользователи и компьютеры Active Directory для настройки параметров делегирования для каждой учетной записи компьютера соединителя, позволяя им делегировать целевому имени субъекта-службы.

Если серверы соединителей и учетная запись службы веб-приложения находятся в разных доменах, используется делегирование на основе ресурсов. Разрешения делегирования настраиваются на целевом веб-сервере и учетной записи службы веб-приложений. Этот метод ограниченного делегирования относительно новый. Этот метод был представлен в Windows Server 2012, который поддерживает делегирование между доменами, позволяя владельцу ресурса (веб-службы) управлять делегированием учетных записей компьютеров и служб. В этой конфигурации нет пользовательского интерфейса, поэтому необходимо использовать PowerShell. Дополнительные сведения см. в описании ограниченного делегирования Kerberos с прокси приложениями.

Проверка подлинности NTLM не может использоваться в качестве метода предварительной проверки подлинности или единого входа. Проверку подлинности NTLM можно использовать только в том случае, если он может быть согласован непосредственно между клиентом и опубликованным веб-приложением. Использование проверки подлинности NTLM обычно приводит к отображению запроса на вход в браузер.

Нет, это не будет работать, так как гостевой пользователь в идентификаторе Microsoft Entra ID не имеет атрибута, который требуется любому из удостоверений входа, упомянутых выше.

В этом случае имеется резервная строка "Имя участника-пользователя". Дополнительные сведения о сценарии B2B см. в статье Grant B2B users in Microsoft Entra ID access to your on-premises applications.

Политики условного доступа применяются только для успешно прошедших проверку подлинности пользователей в идентификаторе Microsoft Entra. Сквозная предварительная проверка подлинности не активирует проверку подлинности Microsoft Entra, поэтому политики условного доступа не могут быть применены. При сквозной предварительной проверке подлинности политики MFA должны быть реализованы на локальном сервере, если это возможно, или путем включения предварительной проверки подлинности идентификатора Microsoft Entra с помощью прокси приложения Microsoft Entra.

Нет, этот сценарий не поддерживается, так как прокси приложения завершает трафик TLS.

Сведения о публикации удаленного рабочего стола с помощью прокси приложения Microsoft Entra.

Нет, этот сценарий не поддерживается.

Да, ожидается. Для сценария предварительной проверки подлинности требуется элемент activeX, который не поддерживается в сторонних браузерах.

Да, этот сценарий в настоящее время находится в общедоступной предварительной версии. Сведения о публикации удаленного рабочего стола с помощью прокси приложения Microsoft Entra.

Да, ожидается. Если компьютер пользователя присоединен к Microsoft Entra, пользователь автоматически войдет в идентификатор Microsoft Entra. Пользователь должен предоставить свои учетные данные только в форме входа в RDWeb.

Этот параметр позволяет пользователю скачать rdp-файл и использовать его другим клиентом RDP (за пределами веб-клиента удаленного рабочего стола). Как правило, другие клиенты RDP (например, клиент Удаленный рабочий стол (Майкрософт)) не могут обрабатывать предварительную проверку подлинности в собственном коде. Поэтому сценарий не работает.

Сведения о включении удаленного доступа к SharePoint с помощью прокси приложения Microsoft Entra.

Мобильное приложение SharePoint в настоящее время не поддерживает предварительную проверку подлинности Microsoft Entra.

Нет, прокси приложения Microsoft Entra предназначен для работы с идентификатором Microsoft Entra ИД и не соответствует требованиям, которые необходимо выполнить в качестве прокси-сервера AD FS.

Нет, это не поддерживается.

Теперь поддерживаются приложения, использующие протокол WebSocket, например QlikSense и веб-клиент удаленного рабочего стола (HTML5). Ниже перечислены известные ограничения.

• Прокси приложения удаляет файл cookie, заданный на ответе сервера при открытии подключения WebSocket.
• Единый вход не применяется к запросу WebSocket.
• Функции (журналы событий, PowerShell и службы удаленных рабочих столов) в Центре администрирования Windows (WAC) не работают через прокси приложения Microsoft Entra.

Приложение WebSocket не имеет уникальных требований к публикации и может быть опубликовано так же, как и все другие приложения-прокси приложения.

Да. Преобразование ссылок влияет на производительность. Служба прокси приложения сканирует приложение на наличие жестких кодированных ссылок и заменяет их соответствующими, опубликованными внешними URL-адресами, прежде чем представить их пользователю.

Для повышения производительности рекомендуется использовать идентичные внутренние и внешние URL-адреса, настроив личные домены. Если использование пользовательских доменов невозможно, вы можете улучшить производительность перевода ссылок с помощью расширения безопасного входа Мои приложения или браузера Microsoft Edge на мобильных устройствах. См . статью "Перенаправление жестко закодированных ссылок" для приложений, опубликованных с помощью прокси приложения Microsoft Entra.

Этот сценарий не поддерживается напрямую. Варианты этого сценария:

1. Опубликуйте URL-адреса HTTP и HTTPS в виде отдельных приложений с подстановочным знаком, но присвойте каждому из них другой личный домен. Эта конфигурация работает, так как они имеют разные внешние URL-адреса.

2. Опубликуйте URL-адрес HTTPS через подстановочное приложение. Публикация HTTP-приложений отдельно с помощью этих командлетов PowerShell прокси приложения:

   • Управление приложениями прокси приложения
   • Управление соединителем частной сети