在 Microsoft Entra ID 中新增內部部署應用程式,以透過應用程式 Proxy 進行遠端訪問

Microsoft Entra ID 具有應用程式 Proxy 服務,可讓使用者使用其 Microsoft Entra 帳戶登入來存取內部部署應用程式。 若要深入瞭解應用程式 Proxy,請參閱 什麼是應用程式 Proxy?。 本教學課程會準備您的環境以搭配應用程式 Proxy 使用。 一旦環境準備就緒,請使用 Microsoft Entra 系統管理中心,將內部部署應用程式新增至您的租使用者。

Application proxy Overview Diagram

連線 ors 是應用程式 Proxy 的主要部分。 若要深入了解連接器,請參閱 瞭解 Microsoft Entra 應用程式 Proxy 連接器

在本教學課程中,您已:

  • 開啟輸出流量的埠,並允許存取特定 URL。
  • 在 Windows 伺服器上安裝連接器,並將它向應用程式 Proxy 註冊。
  • 確認連接器已安裝並正確註冊。
  • 將內部部署應用程式新增至您的 Microsoft Entra 租使用者。
  • 確認測試使用者可以使用 Microsoft Entra 帳戶登入應用程式。

必要條件

若要將內部部署應用程式新增至 Microsoft Entra ID,您需要:

  • Microsoft Entra ID P1 或 P2 訂用帳戶
  • 應用程式系統管理員帳戶。
  • 同步處理的使用者身分識別集合與內部部署目錄。 或直接在您的 Microsoft Entra 租使用者中建立它們。 身分識別同步處理可讓 Microsoft Entra ID 預先驗證使用者,再授與他們應用程式 Proxy 已發佈應用程式的存取權。 同步處理也會提供必要的使用者標識碼信息來執行單一登錄 (SSO)。
  • 瞭解 Microsoft Entra 中的應用程式管理,請參閱 在 Microsoft Entra 中檢視企業應用程式。
  • 瞭解單一登錄 (SSO),請參閱 瞭解單一登錄

Windows Server

應用程式 Proxy 需要 Windows Server 2012 R2 或更新版本。 您會在伺服器上安裝應用程式 Proxy 連接器。 連接器伺服器會與 Microsoft Entra ID 中的應用程式 Proxy 服務,以及您打算發佈的內部部署應用程式通訊。

在生產環境中使用多個 Windows 伺服器來取得高可用性。 一部 Windows 伺服器就足以進行測試。

重要

.NET Framework

您必須有 .NET 4.7.1 版或更高版本才能安裝或升級應用程式 Proxy 1.5.3437.0 版或更新版本。 Windows Server 2012 R2 和 Windows Server 2016 預設沒有此專案。

如需詳細資訊,請參閱 如何:判斷要安裝 哪些 .NET Framework 版本。

HTTP 2.0

如果您要在 Windows Server 2019 或更新版本上安裝連接器,您必須停用HTTP2元件中的WinHttp通訊協議支援,Kerberos 限制委派才能正常運作。 在舊版支援的作業系統中,預設會停用此功能。 新增下列登錄機碼,並重新啟動伺服器會在 Windows Server 2019 上停用它。 請注意,這是全計算機的登錄機碼。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

您可以使用下列命令透過 PowerShell 設定金鑰:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

連接器伺服器的 建議

  • 將連接器與應用程式之間的效能優化。 實際找出靠近應用程式伺服器的連接器伺服器。 如需詳細資訊,請參閱 使用 Microsoft Entra 應用程式 Proxy 優化流量流程。
  • 請確定連接器伺服器和 Web 應用程式伺服器位於相同的 Active Directory 網域中,或跨越信任網域。 在相同的網域或信任網域中擁有伺服器是搭配整合式 Windows 驗證 (IWA) 和 Kerberos 限制委派 (KCD) 使用單一登錄 (SSO) 的需求。 如果連接器伺服器和 Web 應用程式伺服器位於不同的 Active Directory 網域中,請使用以資源為基礎的委派進行單一登錄。 如需詳細資訊,請參閱 使用應用程式 Proxy 進行單一登錄的 KCD。

警告

如果您已部署 Microsoft Entra 密碼保護 Proxy,請勿在同一部計算機上安裝 Microsoft Entra 應用程式 Proxy 和 Microsoft Entra 密碼保護 Proxy。 Microsoft Entra 應用程式 Proxy 和 Microsoft Entra Password Protection Proxy 會安裝不同版本的 Microsoft Entra 連線 Agent Updater 服務。 這些不同的版本在相同電腦上安裝時不相容。

傳輸層安全性 (TLS) 需求

安裝應用程式 Proxy 連接器之前,Windows 連接器伺服器必須啟用 TLS 1.2。

若要啟用 TLS 1.2:

  1. 設定登錄機碼。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. 重新啟動伺服器。

注意

Microsoft 正在更新 Azure 服務,以使用來自不同跟證書授權單位 (CA) 的 TLS 憑證。 因為目前的 CA 憑證不符合其中一個 CA/瀏覽器論壇基準需求,因此正在進行這項變更。 如需詳細資訊,請參閱 Azure TLS 憑證變更

準備內部部署環境

啟用與 Microsoft 資料中心的通訊,為您的環境準備 Microsoft Entra 應用程式 Proxy。 連接器必須對應用程式 Proxy 提出 HTTPS (TCP) 要求。 防火牆封鎖網路流量時,就會發生常見問題。

重要

如果您要安裝適用於 Azure Government 雲端的連接器,請 遵循必要條件安裝步驟。 Azure Government 雲端需要存取一組不同的 URL,以及執行安裝的其他參數。

開啟連接埠

開啟下列埠至 輸出 流量。

連接埠號碼 使用
80 正在驗證 TLS/SSL 憑證時下載憑證時下載憑證 ( CRL)
443 與應用程式 Proxy 服務的所有輸出通訊

如果您的防火牆會根據原始用戶強制執行流量,也開啟埠 80 和 443 作為網路服務執行的 Windows 服務流量。

注意

發生網路問題時發生錯誤。 檢查所需的埠是否已開啟。 如需針對連接器錯誤相關問題進行疑難解答的詳細資訊,請參閱 針對應用程式 Proxy 問題和錯誤訊息進行疑難解答。

允許存取 URL

允許存取下列 URL:

URL 連接埠 使用
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS 連接器與應用程式 Proxy 雲端服務之間的通訊。
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP 連接器會使用這些 URL 來驗證憑證。
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS 連接器會在註冊程式期間使用這些 URL。
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP 連接器會在註冊程式期間使用這些 URL。

如果您的防火牆或 Proxy 可讓您根據網域後綴來設定存取規則,則允許連線至 *.msappproxy.net*.servicebus.windows.net和其他 URL。 或者,允許存取 Azure IP 範圍和服務標籤 - 公用雲端。 IP 範圍每周都會更新。

重要

避免在 Microsoft Entra 應用程式 Proxy 連接器與 Microsoft Entra 應用程式 Proxy 服務之間的輸出 TLS 通訊上,避免所有形式的內嵌檢查和終止。

Microsoft Entra 應用程式 Proxy 端點的域名系統 (DNS)

Microsoft Entra 應用程式 Proxy 端點的公用 DNS 記錄會鏈結至指向 A 記錄的 CNAME 記錄。 以這種方式設定記錄可確保容錯和彈性。 Microsoft Entra 應用程式 Proxy 連接器一律會使用網域後綴 *.msappproxy.net*.servicebus.windows.net存取主機名。 不過,在名稱解析期間,CNAME 記錄可能包含具有不同主機名和後綴的 DNS 記錄。 由於差異,您必須確定裝置(視您的設定而定 - 連接器伺服器、防火牆、輸出 Proxy)可以解析鏈結中的所有記錄,並允許連線到已解析的IP位址。 由於鏈結中的 DNS 記錄可能會不時變更,因此我們無法為您提供任何清單 DNS 記錄。

安裝並註冊連接器

若要使用應用程式 Proxy,請在您使用應用程式 Proxy 服務的每個 Windows 伺服器上安裝連接器。 連接器是一種代理程式,可管理從內部部署應用程式伺服器到 Microsoft Entra ID 中的應用程式 Proxy 的輸出連線。 連接器可以安裝在具有驗證代理程式的伺服器上,例如 Microsoft Entra 連線。

若要安裝連接器:

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取右上角的用戶名稱。 確認您已登入使用應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄 ],然後選擇使用應用程式 Proxy 的目錄。

  3. 流覽至 [身分>識別應用程式>企業應用程式>] 應用程式 Proxy。

  4. 選取 [ 下載連接器服務]。

  5. 閱讀服務條款。 當您準備好時,請選取 [ 接受條款及下載]。

  6. 在視窗底部,選取 [ 執行 ] 以安裝連接器。 安裝精靈隨即開啟。

  7. 依照精靈中的指示安裝服務。 當系統提示您向 Microsoft Entra 租使用者的應用程式 Proxy 註冊連接器時,請提供應用程式管理員認證。

    • 如果 IE 增強式安全性 設定在 Internet Explorer (IE) 中設定為 [開啟 ],則看不到註冊畫面。 若要取得存取權,請遵循錯誤訊息中的指示。 請確定 Internet Explorer 增強式安全性組態 已設定為 [關閉]。

一般備註

如果您已安裝連接器,請重新安裝以取得最新版本。 若要查看先前發行版本的相關信息及其包含哪些變更,請參閱 應用程式 Proxy:版本發行歷程記錄

如果您選擇針對內部部署應用程式擁有多個 Windows 伺服器,您必須在每部伺服器上安裝並註冊連接器。 您可以將連接器組織成連接器群組。 如需詳細資訊,請參閱 連線 or 群組

如果您在不同區域中安裝連接器,您應該選取最接近的應用程式 Proxy 雲端服務區域與每個連接器群組,將流量優化。 若要深入瞭解,請參閱 使用 Microsoft Entra 應用程式 Proxy 優化流量流程。

如果您的組織使用 Proxy 伺服器來連線到因特網,您必須為應用程式 Proxy 設定它們。 如需詳細資訊,請參閱 使用現有的內部部署 Proxy 伺服器

如需連接器、容量規劃及其最新狀態的相關信息,請參閱 瞭解 Microsoft Entra 應用程式 Proxy 連接器

確認連接器已安裝並正確註冊

您可以使用 Microsoft Entra 系統管理中心或 Windows 伺服器來確認新連接器已正確安裝。 如需針對應用程式 Proxy 問題進行疑難解答的詳細資訊,請參閱 偵錯應用程式 Proxy 應用程式問題

透過 Microsoft Entra 系統管理中心確認安裝

若要確認連接器已安裝並正確註冊:

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取右上角的用戶名稱。 確認您已登入使用應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄 ],然後選擇使用應用程式 Proxy 的目錄。

  3. 流覽至 [身分>識別應用程式>企業應用程式>] 應用程式 Proxy。

  4. 確認連接器的詳細數據。 連接器預設應展開。 使用中的綠色標籤表示您的連接器可以連線到服務。 不過,即使標籤為綠色,網路問題仍會封鎖連接器接收訊息。

    Microsoft Entra application proxy connectors

如需安裝連接器的詳細資訊,請參閱 安裝應用程式 Proxy 連接器時發生問題。

透過 Windows 伺服器確認安裝

若要確認連接器已安裝並正確註冊:

  1. 單擊 Windows 鍵並輸入 services.msc以開啟 Windows 服務管理員。

  2. 檢查下列兩個服務的狀態是否為 [正在執行]。

    • Microsoft Entra 應用程式 Proxy 連接器 可啟用連線能力。
    • Microsoft Entra 應用程式 Proxy 連接器 Updater 是自動更新服務。 更新程式會檢查連接器的新版本,並視需要更新連接器。
  3. 如果服務的狀態未 執行,請以滑鼠右鍵按下以選取每個服務,然後選擇 [ 啟動]。

將內部部署應用程式新增至 Microsoft Entra ID

將內部部署應用程式新增至 Microsoft Entra ID。

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式企業應用程式]。>

  3. 選取 [新增應用程式]

  4. 選取 [新增內部部署應用程式] 按鈕,其會出現在 [內部部署應用程式] 區段中頁面的一半處。 或者,您可以選取頁面頂端的 [ 建立您自己的應用程式 ],然後選取 [設定應用程式 Proxy 以安全遠端存取內部部署應用程式]。

  5. 在 [ 新增您自己的內部部署應用程式 ] 區段中,提供下列應用程式相關信息:

    欄位 描述
    名稱 出現在 我的應用程式和 Microsoft Entra 系統管理中心的應用程式名稱。
    維護模式 如果您要開啟維護模式,並暫時停用所有使用者對應用程式的存取,請選擇 。
    內部 URL 從專用網記憶體取應用程式的URL。 您可以在後端伺服器上提供要發佈的特定路徑,而其餘的伺服器則未發佈。 如此一來,您可以在與不同應用程式相同的伺服器上發佈不同的網站,併為每個網站提供自己的名稱和存取規則。

    如果您發佈路徑,請確定它包含應用程式所需的所有影像、腳本和樣式表單。 例如,如果您的應用程式位於 https://yourapp/app ,並使用位於的 https://yourapp/media影像,則您應該發佈 https://yourapp/ 為路徑。 此內部 URL 不一定是使用者看到的登陸頁面。 如需詳細資訊,請參閱 設定已發佈應用程式的自定義首頁。
    外部 URL 使用者從網路外部存取應用程式的位址。 如果您不想使用預設應用程式 Proxy 網域,請閱讀 Microsoft Entra 應用程式 Proxy 中的自定義網域。
    預先驗證 應用程式 Proxy 如何在授與使用者存取您的應用程式之前先驗證使用者。

    Microsoft Entra ID - 應用程式 Proxy 會將使用者重新導向至使用 Microsoft Entra ID 登入,以驗證其目錄和應用程式的許可權。 建議您將此選項保留為預設值,以便利用條件式存取和多重要素驗證等 Microsoft Entra 安全性功能。 需要 Microsoft Entra 識別碼,才能使用 適用於雲端的 Microsoft Defender Apps 監視應用程式。

    傳遞 - 使用者不需要針對 Microsoft Entra 識別碼進行驗證,即可存取應用程式。 您仍然可以在後端設定驗證需求。
    連線 or 群組 連線 ors 處理應用程式的遠端存取,連接器群組可協助您依區域、網路或用途來組織連接器和應用程式。 如果您尚未建立任何連接器群組,您的應用程式會指派給 Default

    如果您的應用程式使用 WebSockets 連線,群組中的所有連接器都必須是 1.5.612.0 版或更新版本。
  6. 如有必要,請設定 其他設定。 針對大部分的應用程式,您應該將這些設定保持在默認狀態。

    欄位 描述
    後端應用程式逾時 只有當您的應用程式驗證和連線速度緩慢時,才將此值設定為 Long 。 後端應用程式逾時預設長度為 85 秒。 設定太長時,後端逾時會增加到180秒。
    使用僅限 HTTP 的 Cookie 選取以讓應用程式 Proxy Cookie 在 HTTP 回應標頭中包含 HTTPOnly 旗標。 如果使用遠端桌面服務,請保留未選取的選項。
    使用永續性 Cookie 將選項保持未選取。 只針對無法在進程之間共用Cookie的應用程式使用此設定。 如需 Cookie 設定的詳細資訊,請參閱 在 Microsoft Entra ID 中存取內部部署應用程式的 Cookie 設定。
    翻譯標頭中的 URL 除非您的應用程式需要驗證要求中的原始主機標頭,否則請保留選取的選項。
    翻譯應用程式本文中的URL 除非 HTML 連結硬式編碼至其他內部部署應用程式,且不使用自定義網域,否則請保持未選取的選項。 如需詳細資訊,請參閱 使用應用程式 Proxy 鏈接翻譯。

    如果您打算使用 適用於雲端的 Microsoft Defender Apps 監視此應用程式,請選擇 。 如需詳細資訊,請參閱使用 適用於雲端的 Microsoft Defender Apps 和 Microsoft Entra ID 設定即時應用程式存取監視。
    驗證後端 TLS/SSL 憑證 選取即可啟用應用程式的後端 TLS/SSL 憑證驗證。
  7. 選取 [新增]。

測試應用程式

您已準備好正確新增應用程式。 在下列步驟中,您會將用戶帳戶新增至應用程式,然後嘗試登入。

新增要測試的使用者

將使用者新增至應用程式之前,請先確認用戶帳戶已有許可權可從公司網路記憶體取應用程式。

若要新增測試使用者:

  1. 選取 [企業應用程式],然後選取您要測試的應用程式。
  2. 選取 [用戶入門],然後選取 [ 指派用戶進行測試]。
  3. 在 [使用者和群組] 底下,選取 [新增使用者]。
  4. 在 [新增指派] 底下,選取 [使用者和群組]。 [使用者和群組]段隨即出現。
  5. 選擇您要新增的帳戶。
  6. 選擇 [ 選取],然後選取 [ 指派]。

測試登入

若要測試應用程式的驗證:

  1. 從您要測試的應用程式中,選取 [應用程式 Proxy]。
  2. 在頁面頂端,選取 [測試應用程式 ] 以在應用程式上執行測試,並檢查是否有任何設定問題。
  3. 請務必先啟動應用程式以測試登入應用程式,然後下載診斷報告以檢閱任何偵測到問題的解決指引。

如需疑難解答,請參閱 針對應用程式 Proxy 問題和錯誤訊息進行疑難解答。

清除資源

當您完成時,別忘了刪除您在本教學課程中建立的任何資源。

疑難排解

瞭解常見問題以及如何進行疑難解答。

建立應用程式/設定 URL

如需如何修正應用程式的信息和建議,請查看錯誤詳細數據。 大部分的錯誤訊息都包含建議的修正程式。 若要避免常見的錯誤,請確認:

  • 您是有權建立應用程式 Proxy 應用程式的系統管理員
  • 內部 URL 是唯一的
  • 外部 URL 是唯一的
  • URL 開頭為 HTTP 或 HTTPs,並以 「/」 結尾
  • URL 應該是功能變數名稱,而不是IP位址

當您建立應用程式時,錯誤訊息應該會顯示在右上角。 您也可以選取通知圖示來查看錯誤訊息。

設定連接器/連接器群組

如果您因為有關連接器和連接器群組的警告而難以設定應用程式,請參閱啟用應用程式 Proxy 的指示,以取得如何下載連接器的詳細數據。 如果您想要深入了解連接器,請參閱 連接器檔

如果您的連接器處於非使用中狀態,它們將無法連線到服務。 通常因為所有必要埠都未開啟。 若要查看必要埠的清單,請參閱啟用應用程式 Proxy 檔的先決條件一節。

上傳自定義網域的憑證

自訂網域可讓您指定外部 URL 的網域。 若要使用自定義網域,您必須上傳該網域的憑證。 如需使用自定義網域和憑證的詳細資訊,請參閱 在 Microsoft Entra 應用程式 Proxy 中使用自定義網域。

如果您在上傳憑證時遇到問題,請在入口網站中尋找錯誤訊息,以取得憑證問題的其他資訊。 常見的憑證問題包括:

  • 過期的憑證
  • 憑證已自我簽署
  • 憑證遺失私鑰

當您嘗試上傳憑證時,錯誤訊息會顯示在右上角。 您也可以選取通知圖示來查看錯誤訊息。

下一步