在 Microsoft Entra ID 中新增內部部署應用程式,以透過應用程式 Proxy 進行遠端訪問

  • 文章

Microsoft Entra ID 具有應用程式 Proxy 服務,可讓使用者使用其 Microsoft Entra 帳戶登入來存取內部部署應用程式。 若要深入瞭解應用程式 Proxy,請參閱 什麼是應用程式 Proxy?。 本教學課程會準備您的環境以搭配應用程式 Proxy 使用。 一旦環境準備就緒,請使用 Microsoft Entra 系統管理中心,將內部部署應用程式新增至您的租使用者。

應用程式 Proxy 概觀圖表

在本教學課程中,您已:

  • 在您的 Windows 伺服器上安裝並驗證連接器,並將其註冊給應用程式 Proxy。
  • 將內部部署應用程式新增至您的 Microsoft Entra 租使用者。
  • 確認測試使用者可以使用 Microsoft Entra 帳戶登入應用程式。

必要條件

若要將內部部署應用程式新增至 Microsoft Entra ID,您需要:

  • Microsoft Entra ID P1 或 P2 訂用帳戶
  • 應用程式系統管理員帳戶。
  • 同步處理的使用者身分識別集合與內部部署目錄。 或直接在您的 Microsoft Entra 租使用者中建立它們。 身分識別同步處理可讓 Microsoft Entra ID 預先驗證使用者,再授與他們應用程式 Proxy 已發佈應用程式的存取權。 同步處理也會提供必要的使用者標識碼信息來執行單一登錄 (SSO)。
  • 瞭解 Microsoft Entra 中的應用程式管理,請參閱 在 Microsoft Entra 中檢視企業應用程式。
  • 瞭解單一登錄 (SSO),請參閱 瞭解單一登錄

安裝和驗證 Microsoft Entra 專用網連接器

應用程式 Proxy 會使用與 Microsoft Entra 私人存取 相同的連接器。 連接器稱為 Microsoft Entra 專用網連接器。 若要瞭解如何安裝和驗證連接器,請參閱 如何設定連接器

一般備註

Microsoft Entra 應用程式 Proxy 端點的公用 DNS 記錄會鏈結至指向 A 記錄的 CNAME 記錄。 以這種方式設定記錄可確保容錯和彈性。 Microsoft Entra 專用網連接器一律會使用網域後綴 *.msappproxy.net*.servicebus.windows.net存取主機名。 不過,在名稱解析期間,CNAME 記錄可能包含具有不同主機名和後綴的 DNS 記錄。 由於差異,您必須確定裝置(視您的設定而定 - 連接器伺服器、防火牆、輸出 Proxy)可以解析鏈結中的所有記錄,並允許連線到已解析的IP位址。 由於鏈結中的 DNS 記錄可能會不時變更,因此我們無法為您提供任何清單 DNS 記錄。

如果您在不同區域中安裝連接器,您應該選取最接近的應用程式 Proxy 雲端服務區域與每個連接器群組,將流量優化。 若要深入瞭解,請參閱 使用 Microsoft Entra 應用程式 Proxy 優化流量流程。

如果您的組織使用 Proxy 伺服器來連線到因特網,您必須為應用程式 Proxy 設定它們。 如需詳細資訊,請參閱 使用現有的內部部署 Proxy 伺服器

將內部部署應用程式新增至 Microsoft Entra ID

將內部部署應用程式新增至 Microsoft Entra ID。

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式企業應用程式]。>

  3. 選取 [新增應用程式]

  4. 選取 [新增內部部署應用程式] 按鈕,其會出現在 [內部部署應用程式] 區段中頁面的一半處。 或者,您可以選取頁面頂端的 [ 建立您自己的應用程式 ],然後選取 [設定應用程式 Proxy 以安全遠端存取內部部署應用程式]。

  5. 在 [ 新增您自己的內部部署應用程式 ] 區段中,提供下列應用程式相關信息:

    欄位 描述
    名稱 出現在 我的應用程式和 Microsoft Entra 系統管理中心的應用程式名稱。
    維護模式 如果您要開啟維護模式,並暫時停用所有使用者對應用程式的存取,請選擇 。
    內部 URL 從專用網記憶體取應用程式的URL。 您可以在後端伺服器上提供要發佈的特定路徑,而其餘的伺服器則未發佈。 如此一來,您可以在與不同應用程式相同的伺服器上發佈不同的網站,併為每個網站提供自己的名稱和存取規則。

    如果您發佈路徑,請確定它包含應用程式所需的所有影像、腳本和樣式表單。 例如,如果您的應用程式位於 https://yourapp/app ,並使用位於的 https://yourapp/media影像,則您應該發佈 https://yourapp/ 為路徑。 此內部 URL 不一定是使用者看到的登陸頁面。 如需詳細資訊,請參閱 設定已發佈應用程式的自定義首頁。
    外部 URL 使用者從網路外部存取應用程式的位址。 如果您不想使用預設應用程式 Proxy 網域,請閱讀 Microsoft Entra 應用程式 Proxy 中的自定義網域。
    預先驗證 應用程式 Proxy 如何在授與使用者存取您的應用程式之前先驗證使用者。

    Microsoft Entra ID - 應用程式 Proxy 會將使用者重新導向至使用 Microsoft Entra ID 登入,以驗證其目錄和應用程式的許可權。 建議您將此選項保留為預設值,以便利用條件式存取和多重要素驗證等 Microsoft Entra 安全性功能。 需要 Microsoft Entra 識別碼,才能使用 適用於雲端的 Microsoft Defender Apps 監視應用程式。

    傳遞 - 使用者不需要針對 Microsoft Entra 識別碼進行驗證,即可存取應用程式。 您仍然可以在後端設定驗證需求。
    連線 or 群組 連線 程式會處理應用程式的遠端訪問,連接器群組可協助您依區域、網路或用途來組織連接器和應用程式。 如果您尚未建立任何連接器群組,您的應用程式會指派給 Default

    如果您的應用程式使用 WebSockets 連線,群組中的所有連接器都必須是 1.5.612.0 版或更新版本。

  6. 如有必要,請設定 其他設定。 針對大部分的應用程式,您應該將這些設定保持在默認狀態。

    欄位 描述
    後端應用程式逾時 只有當您的應用程式驗證和連線速度緩慢時,才將此值設定為 Long 。 後端應用程式逾時預設長度為 85 秒。 設定太長時,後端逾時會增加到180秒。
    使用僅限 HTTP 的 Cookie 選取以讓應用程式 Proxy Cookie 在 HTTP 回應標頭中包含 HTTPOnly 旗標。 如果使用遠端桌面服務,請保留未選取的選項。
    使用永續性 Cookie 將選項保持未選取。 只針對無法在進程之間共用Cookie的應用程式使用此設定。 如需 Cookie 設定的詳細資訊,請參閱 在 Microsoft Entra ID 中存取內部部署應用程式的 Cookie 設定。
    翻譯標頭中的 URL 除非您的應用程式需要驗證要求中的原始主機標頭,否則請保留選取的選項。
    翻譯應用程式本文中的URL 除非 HTML 連結硬式編碼至其他內部部署應用程式,且不使用自定義網域,否則請保持未選取的選項。 如需詳細資訊,請參閱 使用應用程式 Proxy 鏈接翻譯。

    如果您打算使用 適用於雲端的 Microsoft Defender Apps 監視此應用程式,請選擇 。 如需詳細資訊,請參閱使用 適用於雲端的 Microsoft Defender Apps 和 Microsoft Entra ID 設定即時應用程式存取監視。
    驗證後端 TLS/SSL 憑證 選取即可啟用應用程式的後端 TLS/SSL 憑證驗證。

  7. 選取 [新增]。

測試應用程式

您已準備好正確新增應用程式。 在下列步驟中,您會將用戶帳戶新增至應用程式,然後嘗試登入。

新增要測試的使用者

將使用者新增至應用程式之前,請先確認用戶帳戶已有許可權可從公司網路記憶體取應用程式。

若要新增測試使用者:

  1. 選取 [企業應用程式],然後選取您要測試的應用程式。
  2. 選取 [用戶入門],然後選取 [ 指派用戶進行測試]。
  3. 在 [使用者和群組] 底下,選取 [新增使用者]。
  4. 在 [新增指派] 底下,選取 [使用者和群組]。 [使用者和群組]段隨即出現。
  5. 選擇您要新增的帳戶。
  6. 選擇 [ 選取],然後選取 [ 指派]。

測試登入

若要測試應用程式的驗證:

  1. 從您要測試的應用程式中,選取 [應用程式 Proxy]。
  2. 在頁面頂端,選取 [測試應用程式 ] 以在應用程式上執行測試,並檢查是否有任何設定問題。
  3. 請務必先啟動應用程式以測試登入應用程式,然後下載診斷報告以檢閱任何偵測到問題的解決指引。

如需疑難解答,請參閱 針對應用程式 Proxy 問題和錯誤訊息進行疑難解答。

清除資源

當您完成時,別忘了刪除您在本教學課程中建立的任何資源。

疑難排解

瞭解常見問題以及如何進行疑難解答。

建立應用程式/設定 URL

如需如何修正應用程式的信息和建議,請查看錯誤詳細數據。 大部分的錯誤訊息都包含建議的修正程式。 若要避免常見的錯誤,請確認:

  • 您是有權建立應用程式 Proxy 應用程式的系統管理員
  • 內部 URL 是唯一的
  • 外部 URL 是唯一的
  • URL 開頭為 HTTP 或 HTTPs,並以 「/」 結尾
  • URL 應該是功能變數名稱,而不是IP位址

當您建立應用程式時,錯誤訊息應該會顯示在右上角。 您也可以選取通知圖示來查看錯誤訊息。

上傳自定義網域的憑證

自訂網域可讓您指定外部 URL 的網域。 若要使用自定義網域,您必須上傳該網域的憑證。 如需使用自定義網域和憑證的詳細資訊,請參閱 在 Microsoft Entra 應用程式 Proxy 中使用自定義網域。

如果您在上傳憑證時遇到問題,請在入口網站中尋找錯誤訊息,以取得憑證問題的其他資訊。 常見的憑證問題包括:

  • 過期的憑證
  • 憑證已自我簽署
  • 憑證遺失私鑰

當您嘗試上傳憑證時,錯誤訊息會顯示在右上角。 您也可以選取通知圖示來查看錯誤訊息。

下一步