Lägga till ett lokalt program för fjärråtkomst via programproxy i Microsoft Entra-ID

  • Artikel

Microsoft Entra ID har en programproxytjänst som gör det möjligt för användare att komma åt lokala program genom att logga in med sitt Microsoft Entra-konto. Mer information om programproxy finns i Vad är programproxy?. Den här självstudien förbereder din miljö för användning med programproxy. När din miljö är klar använder du administrationscentret för Microsoft Entra för att lägga till ett lokalt program i din klientorganisation.

Översiktsdiagram för programproxy

I den här kursen får du:

  • Installera och verifiera anslutningsappen på Windows-servern och registrera den med programproxy.
  • Lägg till ett lokalt program i din Microsoft Entra-klientorganisation.
  • Kontrollera att en testanvändare kan logga in på programmet med hjälp av ett Microsoft Entra-konto.

Förutsättningar

Om du vill lägga till ett lokalt program i Microsoft Entra-ID behöver du:

  • En Microsoft Entra ID P1- eller P2-prenumeration.
  • Ett administratörskonto för programmet.
  • En synkroniserad uppsättning användaridentiteter med en lokal katalog. Eller skapa dem direkt i dina Microsoft Entra-klienter. Med identitetssynkronisering kan Microsoft Entra-ID förautentisera användare innan de får åtkomst till programproxypublicerade program. Synkronisering ger också nödvändig information om användaridentifierare för att utföra enkel inloggning (SSO).
  • Information om programhantering i Microsoft Entra finns i Visa företagsprogram i Microsoft Entra.
  • En förståelse för enkel inloggning (SSO) finns i Förstå enkel inloggning.

Installera och verifiera den privata Nätverksanslutningen för Microsoft Entra

Programproxy använder samma anslutningsapp som Microsoft Entra privatåtkomst. Anslutningsappen kallas för privat nätverksanslutning för Microsoft Entra. Information om hur du installerar och verifierar en anslutningsapp finns i Så här konfigurerar du anslutningsappar.

Allmänna anmärkningar

Offentliga DNS-poster för Microsoft Entra-programproxyslutpunkter är länkade CNAME-poster som pekar på en A-post. Om du konfigurerar posterna på det här sättet säkerställs feltolerans och flexibilitet. Det privata Microsoft Entra-nätverksanslutningsprogrammet har alltid åtkomst till värdnamn med domänsuffixen *.msappproxy.net eller *.servicebus.windows.net. Men under namnmatchningen kan CNAME-posterna innehålla DNS-poster med olika värdnamn och suffix. På grund av skillnaden måste du se till att enheten (beroende på din konfiguration – anslutningsserver, brandvägg, utgående proxy) kan matcha alla poster i kedjan och tillåter anslutning till de lösta IP-adresserna. Eftersom DNS-posterna i kedjan kan ändras då och då kan vi inte ge dig några DNS-poster i listan.

Om du installerar anslutningsappar i olika regioner bör du optimera trafiken genom att välja den närmaste molntjänstregionen för programproxy med varje anslutningsgrupp. Mer information finns i Optimera trafikflödet med Microsoft Entra-programproxy.

Om din organisation använder proxyservrar för att ansluta till Internet måste du konfigurera dem för programproxy. Mer information finns i Arbeta med befintliga lokala proxyservrar.

Lägga till en lokal app i Microsoft Entra-ID

Lägg till lokala program i Microsoft Entra-ID.

  1. Logga in på administrationscentret för Microsoft Entra som minst programadministratör.

  2. Bläddra till Identity>Applications Enterprise-program.>

  3. Välj Nytt program.

  4. Välj knappen Lägg till ett lokalt program , som visas ungefär halvvägs ned på sidan i avsnittet Lokala program . Du kan också välja Skapa ett eget program överst på sidan och sedan välja Konfigurera programproxy för säker fjärråtkomst till ett lokalt program.

  5. I avsnittet Lägg till ditt eget lokala program anger du följande information om ditt program:

    Fält Beskrivning
    Namn Namnet på programmet som visas på Mina appar och i administrationscentret för Microsoft Entra.
    Underhållsläge Välj om du vill aktivera underhållsläge och tillfälligt inaktivera åtkomst för alla användare till programmet.
    Intern webbadress Det här är webbadressen för att komma åt programmet från inuti ditt privata nätverk. Du kan ange en specifik sökväg på backend-servern som du vill publicera, medan resten av servern är opublicerad. På så sätt kan du publicera olika webbplatser på samma server som olika program och ge varje webbplats sitt eget namn och sina egna åtkomstregler.

    Om du publicerar en sökväg, så se till att den innehåller alla bilder, skript och formatmallar som krävs för ditt program. Om din app exempelvis finns i https://yourapp/app och använder bilder på https://yourapp/media så kan du publicera https://yourapp/ som sökvägen. Den interna webbadressen måste inte vara landningssidan som användarna ser. Mer information finns i Ange en anpassad startsida för publicerade program.
    Extern webbadress Adressen som ger användare åtkomst till programmet från utanför ditt nätverk. Om du inte vill använda standarddomänen för programproxy läser du om anpassade domäner i Microsoft Entra-programproxy.
    Förautentisering Hur programproxy verifierar användare innan de får åtkomst till ditt program.

    Microsoft Entra-ID – Programproxy omdirigerar användare att logga in med Microsoft Entra-ID, vilket autentiserar deras behörigheter för katalogen och programmet. Vi rekommenderar att du behåller det här alternativet som standard så att du kan dra nytta av Microsoft Entra-säkerhetsfunktioner som villkorlig åtkomst och multifaktorautentisering. Microsoft Entra-ID krävs för övervakning av programmet med Microsoft Defender för molnet-appar.

    Genomströmning – Användare behöver inte autentisera mot Microsoft Entra-ID för att få åtkomst till programmet. Du kan fortfarande konfigurera autentiseringskrav från serverdelen.
    Anslutningsgrupp Anslutningsprogram bearbetar fjärråtkomsten till programmet och anslutningsgrupper hjälper dig att organisera anslutningsprogram och program efter region, nätverk eller syfte. Om du inte har skapat några anslutningsgrupper än kommer programmet att tilldelas Standard.

    Om ditt program använder WebSockets för att ansluta måste alla anslutningsprogram i gruppen vara version 1.5.612.0 eller senare.

  6. Konfigurera ytterligare inställningar om det behövs. De flesta programmen bör behålla dessa inställningarna i standardtillstånden.

    Fält beskrivning
    Tidsgränsen för serverdels-programmet Ställ endast in värdet på Lång om programmet autentiserar och ansluter långsamt. Som standard har tidsgränsen för serverdelsprogrammet en längd på 85 sekunder. Vid för lång tid ökas tidsgränsen för serverdelen till 180 sekunder.
    Använd endast HTTP-cookie Välj om du vill att programproxycookies ska innehålla flaggan HTTPOnly i HTTP-svarshuvudet. Om du använder Fjärrskrivbordstjänster behåller du alternativet avmarkerat.
    Använd beständig cookie Behåll alternativet avmarkerat. Använd endast den här inställningen för program som inte kan dela cookies mellan processer. Mer information om cookieinställningar finns i Cookieinställningar för åtkomst till lokala program i Microsoft Entra-ID.
    Översätt webbadresser i rubriker Behåll alternativet markerat om inte programmet krävde det ursprungliga värdhuvudet i autentiseringsbegäran.
    Översätt webbadresser i brödtext för program Behåll alternativet avmarkerat om inte HTML-länkar hårdkodas till andra lokala program och inte använder anpassade domäner. Mer information finns i Länka översättning med programproxy.

    Välj om du planerar att övervaka det här programmet med Microsoft Defender för molnet-appar. Mer information finns i Konfigurera övervakning av programåtkomst i realtid med Microsoft Defender för molnet-appar och Microsoft Entra-ID.
    Verifiera TLS/SSL-certifikat för serverdelen Välj för att aktivera TLS/SSL-certifikatverifiering för programmet.

  7. Markera Lägga till.

Testa programmet

Du är redo att testa om programmet har lagts till korrekt. I följande steg lägger du till ett användarkonto i programmet och försöker logga in.

Lägg till en användare för testning

Verifiera att användarkontot redan har behörighet att komma åt programmet inifrån företagsnätverket innan du lägger till en användare till programmet.

Lägga till en testanvändare:

  1. Välj Företagsprogram och välj sedan det program som du vill testa.
  2. Välj Komma igång och välj sedan Tilldela en användare för testning.
  3. Under Användare och grupper väljer du Lägg till användare.
  4. Under Lägg till tilldelning väljer du Användare och grupper. Avsnittet Användare och grupper visas.
  5. Välj det konto som du vill lägga till.
  6. Välj Välj och välj sedan Tilldela.

Testa inloggningen

Så här testar du autentisering till programmet:

  1. Från det program som du vill testa väljer du programproxy.
  2. Längst upp på sidan väljer du Testprogram för att köra ett test i programmet och söker efter eventuella konfigurationsproblem.
  3. Se till att först starta programmet för att testa inloggningen till programmet och ladda sedan ned diagnostikrapporten för att granska lösningsvägledningen för eventuella identifierade problem.

Felsökning finns i Felsöka problem med programproxy och felmeddelanden.

Rensa resurser

Glöm inte att ta bort någon av de resurser som du skapade i den här självstudien när du är klar.

Felsökning

Lär dig mer om vanliga problem och hur du felsöker dem.

Skapa programmet/ange URL:er

Kontrollera felinformationen för information och förslag för hur du åtgärdar programmet. De flesta felmeddelanden innehåller en föreslagen korrigering. Kontrollera om du vill undvika vanliga fel:

  • Du är administratör med behörighet att skapa ett programproxyprogram
  • Den interna URL:en är unik
  • Den externa URL:en är unik
  • URL:erna börjar med http eller https och slutar med "/"
  • URL:en ska vara ett domännamn, inte en IP-adress

Felmeddelandet bör visas i det övre högra hörnet när du skapar programmet. Du kan också välja meddelandeikonen för att se felmeddelandena.

Ladda upp certifikat för anpassade domäner

Med anpassade domäner kan du ange domänen för dina externa URL:er. Om du vill använda anpassade domäner måste du ladda upp certifikatet för den domänen. Information om hur du använder anpassade domäner och certifikat finns i Arbeta med anpassade domäner i Microsoft Entra-programproxy.

Om du stöter på problem med att ladda upp certifikatet letar du efter felmeddelandena i portalen för ytterligare information om problemet med certifikatet. Vanliga certifikatproblem är:

  • Certifikatet har upphört att gälla
  • Certifikatet är självsignerat
  • Certifikatet saknar den privata nyckeln

Felmeddelandet visas i det övre högra hörnet när du försöker ladda upp certifikatet. Du kan också välja meddelandeikonen för att se felmeddelandena.

Nästa steg