Redigera

Dela via


Vanliga frågor och svar om Microsoft Entra-programproxy

Den här sidan besvarar vanliga frågor om Microsoft Entra-programproxy.

Allmänt

Kan jag ändra en programproxyapp från sidan **Appregistreringar** i administrationscentret för Microsoft Entra?

Nej, följande konfigurationsobjekt används av appproxyn och bör inte ändras eller tas bort:

  • Aktivera/inaktivera "Tillåt offentliga klientflöden".
  • CWAP_AuthSecret (klienthemligheter).
  • API-behörigheter. Om du ändrar något av ovanstående konfigurationsobjekt på sidan Appregistrering bryts förautentiseringen för Microsoft Entra-programproxy.

Kan jag ta bort en programproxyapp från sidan Appregistreringar i administrationscentret för Microsoft Entra?

Nej, du bör ta bort en programproxyapp från området Företagsprogram i administrationscentret för Microsoft Entra. Om du tar bort programproxyappen från det Appregistreringar området i administrationscentret för Microsoft Entra kan det uppstå problem.

Vilken licens krävs för att använda Microsoft Entra-programproxy?

Om du vill använda Microsoft Entra-programproxy måste du ha en Microsoft Entra ID P1- eller P2-licens. Mer information om licensiering finns i Microsoft Entra-priser

Vad händer med Microsoft Entra-programproxyn i min klientorganisation om min licens upphör att gälla?

Om din licens upphör att gälla inaktiveras programproxyn automatiskt. Din programinformation sparas i upp till ett år.

Varför är knappen Aktivera programproxy nedtonad?

Kontrollera att du har minst en Microsoft Entra ID P1- eller P2-licens och en privat Nätverksanslutning för Microsoft Entra installerad. När du har installerat din första anslutningsapp aktiveras Microsoft Entra-programproxytjänsten automatiskt.

Vad används TCP-portarna 10200 och 10201 för?

Att använda ett portgenomsökningsverktyg på offentliga slutpunkter för programproxy (msappproxy.net eller anpassade) kan visa att TCP-portarna 10200 och 10201 är öppna, förutom portarna 80 och/eller 443. Dessa portar används för intern övervakning av tjänstens hälsotillstånd. Inga kunddata är tillgängliga via dessa portar och tjänsterna bakom dem bearbetar ingen information. de svarar helt enkelt med "OK".

Konfiguration av anslutningsapp

Använder programproxy samma anslutningsapp som Microsoft Entra privatåtkomst?

Ja, microsoft entra privat nätverksanslutning används av både programproxy och Microsoft Entra privatåtkomst. Mer information om anslutningsappen finns i Privat nätverksanslutning för Microsoft Entra. Information om hur du felsöker anslutningskonfiguration finns i Felsöka anslutningsappar.

Programkonfiguration

Kan jag använda domänsuffixen "[klientnamn].onmicrosoft.com" eller "[klientnamn].mail.onmicrosoft.com" i den externa URL:en?

Även om dessa suffix visas i suffixlistan bör du inte använda dem. Dessa domänsuffix är inte avsedda att användas med Microsoft Entra-programproxy. Om du använder dessa domänsuffix fungerar inte det skapade Microsoft Entra-programproxyprogrammet. Du kan använda antingen standarddomänsuffixet msappproxy.net eller en anpassad domän.

Stöder programproxy för nationella och regionala moln?

Microsoft Entra ID har en programproxytjänst som gör det möjligt för användare att komma åt lokala program genom att logga in med sitt Microsoft Entra-konto. Om du har installerat anslutningsappar i olika regioner kan du optimera trafiken genom att välja den närmaste molntjänstregionen för programproxy som ska användas med varje anslutningsgrupp. Mer information finns i Optimera trafikflödet med Microsoft Entra-programproxy.

Jag får ett felmeddelande om ett ogiltigt certifikat eller ett eventuellt felaktigt lösenord.

När du har laddat upp SSL-certifikatet får du meddelandet "Ogiltigt certifikat, eventuellt fel lösenord" på portalen.

Här följer några tips för att felsöka det här felet:

  • Kontrollera om det finns problem med certifikatet. Installera den på den lokala datorn. Om du inte får några problem är certifikatet bra.
  • Kontrollera att lösenordet inte innehåller några specialtecken. Lösenordet får endast innehålla tecknen 0-9, A-Z och a-z.
  • Om certifikatet skapades med Microsoft Software Key Storage Provider måste RSA-algoritmen användas.

Hur lång är standard- och "lång" tidsgräns för serverdelen? Kan tidsgränsen förlängas?

Standardlängden är 85 sekunder. Inställningen "lång" är 180 sekunder. Tidsgränsen kan inte förlängas.

Kan ett huvudnamn för tjänsten hantera programproxy med hjälp av PowerShell- eller Microsoft Graph-API:er?

Nej, detta stöds inte för närvarande.

Vad händer om jag tar bort CWAP_AuthSecret (klienthemligheten) i appregistreringen?

Klienthemligheten, som även kallas CWAP_AuthSecret, läggs automatiskt till i programobjektet (appregistrering) när Microsoft Entra-programproxyappen skapas.

Klienthemligheten är giltig i ett år. En ny ettårig klienthemlighet skapas automatiskt innan den aktuella giltiga klienthemligheten upphör att gälla. Tre CWAP_AuthSecret klienthemligheter bevaras alltid i programobjektet.

Viktig

Om du tar bort CWAP_AuthSecret avbryts förautentiseringen för Microsoft Entra-programproxyn. Ta inte bort CWAP_AuthSecret.

Jag använder eller vill använda Microsoft Entra-programproxy. Kan jag ersätta reservdomänen "onmicrosoft.com" för min klientorganisation i Microsoft 365 enligt vad som föreslås i artikeln "Lägg till och ersätt din onmicrosoft.com reservdomän i Microsoft 365"?

Nej, du måste använda den ursprungliga återställningsdomänen.

Artikel som nämns i fråga: Lägg till och ersätt din onmicrosoft.com reservdomän i Microsoft 365

Hur gör jag för att ändra landningssidan som mitt program läser in?

Från sidan Programregistreringar kan du ändra startsidans URL till önskad extern URL för landningssidan. Den angivna sidan läses in när programmet startas från Mina appar eller Office 365-portalen. Konfigurationssteg finns i Ange en anpassad startsida för publicerade appar med hjälp av Microsoft Entra-programproxy

Varför omdirigeras jag till en trunkerad URL när jag försöker komma åt mitt publicerade program när URL:en innehåller ett "#" (hashtagg)-tecken?

Om Microsoft Entra-förautentisering har konfigurerats och program-URL:en innehåller ett "#"-tecken när du försöker komma åt programmet för första gången omdirigeras du till Microsoft Entra-ID (login.microsoftonline.com) för autentiseringen. När du har slutfört autentiseringen omdirigeras du till URL-delen före tecknet "#" och allt som kommer efter "#" verkar ignoreras/tas bort. Om URL:en till exempel är https://www.contoso.com/#/home/index.htmlomdirigeras användaren till https://www.contoso.com/när Microsoft Entra-autentiseringen är klar. Det här beteendet beror avsiktligt på hur tecknet "#" hanteras av webbläsaren.

Möjliga lösningar/alternativ:

  • Konfigurera en omdirigering från https://www.contoso.com till https://contoso.com/#/home/index.html. Användaren måste först komma åt https://www.contoso.com.
  • Den URL som används för det första åtkomstförsöket måste innehålla tecknet "#" i kodat formulär (%23). Den publicerade servern kanske inte accepterar detta.
  • Konfigurera förautentiseringstyp för genomströmning (rekommenderas inte).

Kan bara IIS-baserade program publiceras? Hur är det med webbprogram som körs på icke-Windows-webbservrar? Måste anslutningsappen installeras på en server med IIS installerat?

Nej, det finns inget IIS-krav för program som publiceras. Du kan publicera webbprogram som körs på andra servrar än Windows Server. Du kanske dock inte kan använda förautentisering med en icke-Windows Server, beroende på om webbservern stöder Negotiate (Kerberos-autentisering). IIS krävs inte på servern där anslutningsappen är installerad.

Kan jag konfigurera programproxy för att lägga till HSTS-huvudet?

Programproxy lägger inte automatiskt till HTTP Strict-Transport-Security-huvudet i HTTPS-svar, men det behåller huvudet om det finns i det ursprungliga svaret som skickades av det publicerade programmet. Att bevisa en inställning för att aktivera den här funktionen finns i översikten.

Kan jag använda ett anpassat portnummer i den externa URL:en?

Nej, om protokollet http har konfigurerats i den externa URL:en godkänner Microsoft Entra-programproxyslutpunkten inkommande begäran på port TCP 80, om protokollet https sedan finns på port TCP 443.

Kan jag använda ett anpassat portnummer i den interna URL:en?

Ja, några exempel på interna URL:er, inklusive portar: http://app.contoso.local:8888/, https://app.contoso.local:8080/, https://app.contoso.local:8081/test/.

Vilka är utmaningarna om de externa och interna URL:erna skiljer sig åt?

Vissa svar som skickas av de publicerade webbprogrammen kan innehålla hårdkodade URL:er. I det här fallet måste det säkerställas med hjälp av en länköversättningslösning att klienten alltid använder rätt URL. Länköversättningslösningar kan vara komplexa och fungerar kanske inte i alla scenarier. Här hittar du våra dokumenterade lösningar för länköversättning.

Vi rekommenderar att du använder identiska externa och interna URL:er. Externa och interna URL:er anses vara identiska, om i protocol://hostname:port/path/ båda URL:erna är identiska.

Detta kan uppnås med hjälp av funktionen Anpassade domäner .

Exempel:

Identisk:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

Inte identisk:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

Det går inte att göra externa och interna URL:er identiska alls, om den interna URL:en innehåller en port som inte är standard (förutom TCP 80/443).

I vissa scenarier måste ändringar göras i konfigurationen av webbappen.

Integrerad Windows-autentisering

När ska jag använda metoden PrincipalsAllowedToDelegateToAccount när jag konfigurerar Kerberos-begränsad delegering (KCD)?

Metoden PrincipalsAllowedToDelegateToAccount används när anslutningsservrar finns i en annan domän än webbprogramtjänstkontot. Det kräver användning av resursbaserad begränsad delegering. Om anslutningsservrarna och webbprogramtjänstkontot finns i samma domän kan du använda Active Directory - användare och datorer för att konfigurera delegeringsinställningarna för vart och ett av anslutningsdatorkontona, så att de kan delegera till mål-SPN.

Om anslutningsservrarna och webbprogramtjänstkontot finns i olika domäner används resursbaserad delegering. Delegeringsbehörigheterna konfigureras på målwebbservern och webbprogramtjänstkontot. Den här metoden för begränsad delegering är relativt ny. Metoden introducerades i Windows Server 2012, som stöder delegering mellan domäner genom att tillåta resursägaren (webbtjänsten) att styra vilken dator och vilka tjänstkonton som kan delegeras till den. Det finns inget användargränssnitt som hjälper dig med den här konfigurationen, så du måste använda PowerShell. Mer information finns i faktabladet Förstå Kerberos-begränsad delegering med programproxy.

Fungerar NTLM-autentisering med Microsoft Entra-programproxy?

NTLM-autentisering kan inte användas som en förautentiserings- eller enkel inloggningsmetod. NTLM-autentisering kan endast användas när det kan förhandlas direkt mellan klienten och det publicerade webbprogrammet. Om du använder NTLM-autentisering visas vanligtvis en inloggningsprompt i webbläsaren.

Kan jag använda inloggningsidentiteten "Lokalt användarens huvudnamn" eller "Lokalt SAM-kontonamn" i ett scenario med enkel inloggning med B2B IWA?

Nej, detta fungerar inte eftersom en gästanvändare i Microsoft Entra-ID inte har det attribut som krävs av någon av de inloggningsidentiteter som nämns ovan.

I det här fallet finns det en återställning till "Användarens huvudnamn". Mer information om B2B-scenariot finns i Bevilja B2B-användare i Microsoft Entra ID-åtkomst till dina lokala program.

Förautentisering av genomströmning

Kan jag använda principer för villkorlig åtkomst för program som publicerats med förhandsautentisering för genomströmning?

Principer för villkorlig åtkomst tillämpas endast för förautentiserade användare i Microsoft Entra-ID. Förautentisering med genomströmning utlöser inte Microsoft Entra-autentisering, så principer för villkorlig åtkomst kan inte tillämpas. Med förautentisering genomströmning måste MFA-principer implementeras på den lokala servern, om möjligt, eller genom att aktivera Microsoft Entra ID-förautentisering med Microsoft Entra-programproxy.

Kan jag publicera ett webbprogram med krav på autentisering av klientcertifikat?

Nej, det här scenariot stöds inte eftersom programproxyn avslutar TLS-trafik.

Fjärrskrivbordsgatewaypublicering

Hur publicerar jag Fjärrskrivbordsgateway via Microsoft Entra-programproxy?

Kan jag använda Kerberos-begränsad delegering (enkel inloggning – Windows-integrerad autentisering) i publiceringsscenariot för Fjärrskrivbordsgateway?

Nej, det här scenariot stöds inte.

Mina användare använder inte Internet Explorer 11 och förautentiseringsscenariot fungerar inte för dem. Är detta förväntat?

Ja, det är väntat. Förautentiseringsscenariot kräver en ActiveX-kontroll som inte stöds i webbläsare från tredje part.

Stöds fjärrskrivbordswebbklienten (HTML5)?

Ja, det här scenariot är för närvarande i offentlig förhandsversion. Se Publicera fjärrskrivbord med Microsoft Entra-programproxy.

När jag har konfigurerat förautentiseringsscenariot insåg jag att användaren måste autentisera två gånger: först i Microsoft Entra-inloggningsformuläret och sedan i inloggningsformuläret RDWeb. Är detta förväntat? Hur kan jag minska detta till en inloggning?

Ja, det är väntat. Om användarens dator är Microsoft Entra-ansluten loggar användaren in på Microsoft Entra-ID automatiskt. Användaren behöver endast ange sina autentiseringsuppgifter i inloggningsformuläret RDWeb.

Kan jag använda alternativet Startmetod för resurser "Ladda ned rdp-filen" under Inställningar på webbklientportalen för fjärrskrivbord i Microsoft Entra-förautentiseringsscenariot?

Med det här alternativet kan användaren ladda ned rdp-filen och använda den av en annan RDP-klient (utanför fjärrskrivbordswebbklienten). Normalt kan inte andra RDP-klienter (som Microsoft Fjärrskrivbord-klienten) hantera förautentiseringen internt. Det är därför scenariot inte fungerar.

SharePoint-publicering

Hur kan jag publicera SharePoint via Microsoft Entra-programproxy?

Kan jag använda SharePoint-mobilappen (iOS/Android) för att få åtkomst till en publicerad SharePoint Server?

SharePoint-mobilappen har för närvarande inte stöd för Microsoft Entra-förautentisering.

Active Directory Federation Services (AD FS) (AD FS)-publicering

Kan jag använda Microsoft Entra-programproxy som AD FS-proxy (t.ex. webbprogramproxy)?

Nej, Microsoft Entra-programproxyn är utformad för att fungera med Microsoft Entra-ID och uppfyller inte kraven för att fungera som en AD FS-proxy.

Kan jag använda Microsoft Entra-programproxy för att publicera valfri AD FS-slutpunkt (till exempel /adfs/portal/updatepassword/)?

Nej, det här stöds inte.

WebSocket

Stöder Microsoft Entra-programproxy WebSocket-protokollet?

Program som använder WebSocket-protokollet, till exempel QlikSense och Fjärrskrivbordswebbklient (HTML5), stöds nu. Följande är kända begränsningar:

  • Programproxyn tar bort den cookie som anges på serversvaret när webSocket-anslutningen öppnas.
  • Ingen enkel inloggning tillämpas på WebSocket-begäran.
  • Funktioner (Eventlogs, PowerShell och Fjärrskrivbordstjänster) i Windows Admin Center (WAC) fungerar inte via Microsoft Entra-programproxy.

WebSocket-programmet har inga unika publiceringskrav och kan publiceras på samma sätt som alla andra programproxyprogram.

Länköversättning

Påverkar användningen av Länköversättning prestanda?

Ja. Länköversättning påverkar prestanda. Programproxytjänsten söker igenom programmet efter hårdkodade länkar och ersätter dem med respektive publicerade externa URL:er innan de presenteras för användaren.

För bästa prestanda rekommenderar vi att du använder identiska interna och externa URL:er genom att konfigurera anpassade domäner. Om det inte går att använda anpassade domäner kan du förbättra prestanda för länköversättning med hjälp av Mina appar Secure Sign in Extension eller Microsoft Edge Browser på mobilen. Se Omdirigera hårdkodade länkar för appar som publicerats med Microsoft Entra-programproxy.

Jokertecken

Hur gör jag för att använda jokertecken för att publicera två program med samma anpassade domännamn men med olika protokoll, ett för HTTP och ett för HTTPS?

Det här scenariot stöds inte direkt. Alternativen för det här scenariot är:

  1. Publicera både HTTP- och HTTPS-URL:er som separata program med jokertecken, men ge var och en av dem en egen domän. Den här konfigurationen fungerar eftersom de har olika externa URL:er.

  2. Publicera HTTPS-URL:en via ett jokerteckenprogram. Publicera HTTP-programmen separat med hjälp av dessa PowerShell-cmdletar för programproxy: