Share via

Настройка личных доменов с помощью прокси приложения Microsoft Entra.

  • Статья

При публикации приложения через прокси приложения Microsoft Entra создается внешний URL-адрес для пользователей. Этот URL-адрес получает домен yourtenant.msappproxy.netпо умолчанию. Например, если вы опубликовали приложение Expenses и используете арендатор Contoso, то внешним URL-адресом будет https:\//expenses-contoso.msappproxy.net. Если вы хотите использовать собственное доменное имя вместо msappproxy.netэтого, можно настроить личный домен для приложения.

Преимущества личных доменов

Личные домены желательно настраивать для приложений, когда это возможно. Ниже приведены некоторые причины для использования пользовательских доменов.

  • Связи между приложениями работают даже за пределами корпоративной сети. Без личного домена, если ваше приложение жестко кодируется внутренними ссылками на целевые объекты за пределами прокси приложения, а ссылки не разрешаются извне, они прерываются. Если внутренние и внешние URL-адреса одинаковы, этой проблемы можно избежать. Если вы не можете использовать личные домены, см . статью "Перенаправление жестко закодированных ссылок" для приложений, опубликованных с помощью прокси приложения Microsoft Entra, для других способов решения этой проблемы.

  • Пользователи имеют более удобный интерфейс, так как они получают доступ к приложению с тем же URL-адресом изнутри или за пределами сети. Нет необходимости изучать различные внутренние и внешние URL-адреса или отслеживать их текущее расположение.

  • Вы сможете управлять своей фирменной символикой и создавать необходимые URL-адреса. Личный домен может помочь создать уверенность пользователей, так как пользователи видят и используют знакомое имя вместо msappproxy.net.

  • Некоторые конфигурации работают только с пользовательскими доменами. Например, вам нужны пользовательские домены для приложений, использующих язык разметки утверждений безопасности (SAML). SAML используется при использовании службы федерации Active Directory (AD FS) (AD FS), но не удается использовать WS-Federation. Дополнительные сведения см. в статье "Работа с приложениями с поддержкой утверждений" в прокси-сервере приложения.

Если вы не можете сопоставить внутренние и внешние URL-адреса, не так важно использовать личные домены. Но вы по-прежнему можете воспользоваться другими преимуществами.

Параметры конфигурации DNS

Существует несколько вариантов настройки конфигурации DNS в зависимости от требований.

Одинаковый внутренний и внешний URL-адрес, разное внутренне и внешнее поведение.

Если вы не хотите, чтобы внутренние пользователи были перенаправлены через прокси приложения, можно настроить DNS с разделением мозга. Разделенная инфраструктура DNS направляет разрешение имен на основе расположения узла. Внутренние узлы направляются на внутренний сервер доменных имен и внешние узлы на внешний сервер доменных имен.

Split-brain DNS

Разные внутренние и внешние URL-адреса

Если внутренние и внешние URL-адреса отличаются, не настраивайте поведение разбиения мозга. Маршрутизация пользователей определяется с помощью URL-адреса. В этом случае вы изменяете только внешний DNS-адрес и направляете внешний URL-адрес в конечную точку прокси приложения.

При выборе личного домена для внешнего URL-адреса на панели информации отображается запись CNAME, которую необходимо добавить к внешнему поставщику DNS. Эти сведения всегда можно просмотреть, перейдя на страницу прокси приложения.

Настройка и использование личных доменов

Чтобы настроить локальное приложение на использование личного домена, необходимы проверенный личный домен Microsoft Entra, его PFX-сертификат и локальное приложение для настройки.

Внимание

Вы несете ответственность за обслуживание записей DNS, которые перенаправляют личные домены в msappproxy.net домен. Если вы решили позже удалить приложение или клиент, обязательно удалите связанные записи DNS для прокси приложения, чтобы предотвратить неправильное использование ангигации записей DNS.

Создание и проверка личного домена

Для создания и проверки личного домена выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум приложение Администратор istrator.
  2. Перейдите к именам Identity> Параметры> Domain.
  3. Нажмите кнопку Добавить личный домен.
  4. Введите имя личного домена и выберите Добавить домен.
  5. На странице домена скопируйте сведения о записи TXT для своего домена.
  6. Перейдите к регистратору домена и создайте новую запись типа TXT для своего домена на основе скопированных данных DNS.
  7. После регистрации домена на странице домена в идентификаторе Microsoft Entra нажмите кнопку "Проверить". После проверки состояния домена можно использовать домен во всех конфигурациях Microsoft Entra, включая прокси приложения.

Дополнительные инструкции см. в разделе "Добавление имени личного домена" с помощью Центра администрирования Microsoft Entra.

Настройка приложения для использования личного домена

Чтобы опубликовать приложение через прокси приложения с помощью личного домена:

  1. Для нового приложения в Центре администрирования Microsoft Entra перейдите к прокси приложениям Identity>Apps>Enterprise>.

  2. Выберите Новое приложение. В разделе Локальные приложения выберите Добавление локального приложения.

    Для приложения, которое уже находится в Корпоративных приложениях, выберите его из списка, а затем выберите Прокси приложения в левой области навигации.

  3. На странице параметров прокси приложения введите имя , если вы добавляете собственное локальное приложение.

  4. В поле Внутренний URL-адрес введите внутренний URL-адрес приложения.

  5. В поле Внешний URL-адрес раскройте список и выберите личный домен, который хотите использовать.

  6. Выберите Добавить.

    Select custom domain

  7. Если у домена уже есть сертификат, то поле Сертификат отображает сведения об этом сертификате. В ином случае выберите поле Сертификат.

    Click to upload a certificate

  8. На странице SSL-сертификат перейдите к файлу сертификата PFX и выберите его. Введите пароль для сертификата и выберите Отправить сертификат. Дополнительные сведения о сертификатах см. в разделе Сертификаты для личных доменов. Если сертификат недействителен или возникла проблема с паролем, появится сообщение об ошибке. Вопросы и ответы по прокси приложениям содержат некоторые действия по устранению неполадок, которые можно попробовать.

    Upload Certificate

    Совет

    Личному домену требуется только однократная отправка сертификата. После этого переданный сертификат применяется автоматически при использовании личного домена для других приложений.

  9. Если вы добавили сертификат, на странице Прокси приложения выберите Сохранить.

  10. На панели информации страницы Прокси приложения обратите внимание на запись CNAME, которую необходимо добавить в зону DNS.

    Add CNAME DNS entry

  11. Следуйте инструкциям по управлению записями DNS и наборами записей с помощью Центра администрирования Microsoft Entra, чтобы добавить запись DNS, которая перенаправляет новый внешний URL-адрес в msappproxy.net домен в Azure DNS. Если используется другой поставщик DNS, обратитесь к поставщику за инструкциями.

    Внимание

    Убедитесь, что вы правильно используете запись CNAME, указывающую на msappproxy.net домен. Для записей не следует задавать указание на IP-адреса или DNS-имена серверов, поскольку они не являются статическими и могут повлиять на устойчивость службы.

  12. Чтобы проверка правильно настроенная запись DNS, используйте команду nslookup, чтобы убедиться, что внешний URL-адрес доступен, и msapproxy.net домен отображается как псевдоним.

Теперь приложение настроено для использования личного домена. Не забудьте назначить пользователей приложению перед его тестированием или выпуском.

Чтобы изменить домен для приложения, выберите другой домен из раскрывающегося списка Внешний URL-адрес на странице Прокси приложения. При необходимости отправьте сертификат для обновленного домена и обновите его запись DNS. Если вы не видите личный домен в раскрывающемся списке Внешний URL-адрес, он может быть не проверен.

Дополнительные инструкции по прокси приложения см. в руководстве по добавлению локального приложения для удаленного доступа через прокси приложения в идентификаторе Microsoft Entra.

Сертификаты для личных доменов

Сертификат создает безопасное TLS-подключение для личного домена.

Форматы сертификатов

Необходимо использовать PFX-сертификат, чтобы обеспечить включение всех необходимых промежуточных сертификатов. Сертификат должен включать закрытый ключ.

Система поддерживает распространенные методы подписания сертификатов, например альтернативное имя субъекта (SAN).

Можно использовать шаблон сертификата, если он соответствует внешнему URL-адресу. Для приложений с подстановочными знаками необходимо использовать шаблоны сертификатов. Если вы хотите также использовать сертификат для доступа к поддоменам, необходимо добавить подстановочные знаки поддоменов в качестве альтернативных имен субъектов в том же сертификате. Например, сертификат для *.adventure-works.com завершается ошибкой для *.apps.adventure-works.com, если вы не добавляете *.apps.adventure-works.com в качестве альтернативного имени субъекта.

Вы можете использовать сертификаты, выданные собственной инфраструктурой открытых ключей (PKI), если цепочка сертификатов установлена на клиентских устройствах. Microsoft Intune может развернуть эти сертификаты на управляемых устройствах. Для неуправляемых устройств необходимо вручную установить эти сертификаты.

Мы не рекомендуем использовать частный корневой центр сертификации (ЦС), так как частный корневой ЦС также потребуется отправить на клиентские компьютеры, что может привести к множеству проблем.

Управление сертификатами

Все управление сертификатами осуществляется через страницы отдельных приложений. Перейдите на страницу Прокси приложения для доступа к полю Сертификат.

При отправке сертификата новые приложения используют его. Если они настроены для его использования. Однако необходимо снова отправить сертификат для приложений, которые уже были там при отправке.

По истечении срока действия сертификата вы получите предупреждение о том, что необходимо передать другой сертификат. Если сертификат отозван, пользователи смогут увидеть предупреждение системы безопасности при получении доступа к приложению. Чтобы обновить сертификат для приложения, перейдите на страницу Прокси приложения для этого приложения, выберите Сертификат и отправьте новый сертификат. Старые сертификаты, которые не используются другими приложениями, автоматически удаляются.

Следующие шаги