Microsoft Entra 應用程式 Proxy 常見問題

此頁面會回答 Microsoft Entra 應用程式 Proxy 的常見問題。

一般

我可以從 Microsoft Entra 系統管理中心的 [應用程式註冊] 頁面修改應用程式 Proxy 應用程式嗎?

否,應用程式 Proxy 正在使用下列組態專案,因此不應變更或刪除:

  • 啟用/停用「允許公用用戶端流程」。
  • CWAP_AuthSecret (客戶端密碼)。
  • API 許可權。 在 [應用程式註冊] 頁面上修改上述任何組態專案會中斷 Microsoft Entra 應用程式 Proxy 的預先驗證。

我可以從 Microsoft Entra 系統管理中心的 [應用程式註冊] 頁面刪除應用程式 Proxy 應用程式嗎?

否。 您應該從 Microsoft Entra 系統管理中心的 [企業應用程式] 區域刪除應用程式 Proxy 應用程式 。 如果您從 Microsoft Entra 系統管理中心的 應用程式註冊 區域刪除應用程式 Proxy 應用程式,則可能會遇到問題。

使用 Microsoft Entra 應用程式 Proxy 需要哪些授權?

若要使用 Microsoft Entra 應用程式 Proxy,您必須擁有 Microsoft Entra ID P1 或 P2 授權。 如需授權的詳細資訊,請參閱 Microsoft Entra 定價

如果我的授權到期,我的租使用者中的 Microsoft Entra 應用程式 Proxy 會發生什麼事?

如果您的授權到期,系統會自動停用應用程式 Proxy。 您的應用程式資訊最多可儲存一年。

為什麼[啟用應用程式 Proxy] 按鈕呈現灰色?

請確定您至少已安裝 Microsoft Entra ID P1 或 P2 授權,以及已安裝 Microsoft Entra 專用網連接器。 成功安裝第一個連接器之後,會自動啟用 Microsoft Entra 應用程式 Proxy 服務。

連接器設定

為什麼我的連接器仍然使用舊版,而不是自動升級至最新版本?

這可能是因為更新程式服務無法正常運作,或如果沒有服務可以安裝的新更新,

如果更新程式服務正在執行,而且事件記錄檔中沒有記錄任何錯誤,更新程序服務就會狀況良好(應用程式與服務記錄檔 - Microsoft ->> AadApplicationProxy -> Updater -> 管理員)。

重要

只有主要版本會發行以進行自動升級。 建議您只在需要時才手動更新連接器。 例如,您無法等候主要版本,因為您必須修正已知問題,或是想要使用新功能。 如需新版本的詳細資訊,請參閱版本發行類型(下載、自動升級)、錯誤修正和新功能, 請參閱 Microsoft Entra 應用程式 Proxy:版本發行歷程記錄

若要手動升級連接器:

  • 下載最新版的連接器。 (您可以在 Microsoft Entra 系統管理中心的應用程式 Proxy 下找到它。 您也可以在 Microsoft Entra 應用程式 Proxy 找到連結:版本發行歷程記錄
  • 安裝程式會重新啟動 Microsoft Entra 專用網連接器服務。 在某些情況下,如果安裝程式無法取代所有檔案,可能需要重新啟動伺服器。 因此,建議您在開始升級之前關閉所有應用程式(亦即 事件檢視器)。
  • 執行安裝程式。 升級程式很快,不需要提供任何認證,而且連接器不會重新註冊。

Ca 專用網連接器服務在與預設值不同的用戶內容中執行?

否,不支援此案例。 預設設定包括:

  • Microsoft Entra 專用網連接器 - WAPCSvc - 網路服務
  • Microsoft Entra 專用網連接器更新程式 - WAPCUpdaterSvc - NT Authority\System

具有 Global 管理員 istrator 或 Application 管理員 istrator 角色的來賓使用者是否可以註冊 (guest) 租使用者的連接器?

否,目前無法這樣做。 註冊嘗試一律會在使用者的主租用戶上進行。

我的後端應用程式裝載於多個網頁伺服器上,而且需要用戶會話持續性(黏性)。 如何達成會話持續性?

如需建議,請參閱 專用網連接器和應用程式的高可用性和負載平衡。

是否支援針對從連接器伺服器至 Azure 的流量進行 TLS 終止 (TLS/HTTPS 檢查或加速)?

專用網連接器會對 Azure 執行憑證式驗證。 TLS 終止 (TLS/HTTPS 檢查或加速) 會中斷此驗證方法,且不受支援。 從連接器到 Azure 的流量必須略過任何執行 TLS 終止的裝置。

所有連線是否都需要 TLS 1.2?

是。 為了為客戶提供最佳的類別加密,應用程式 Proxy 服務只會限制對 TLS 1.2 通訊協定的存取。 自 2019 年 8 月 31 日起,這些變更已逐步推出並生效。 請確定所有用戶端-伺服器和瀏覽器伺服器組合都已更新為使用 TLS 1.2 來維護應用程式 Proxy 服務的連線。 其中包括使用者用來存取透過應用程式 Proxy 發行的應用程式的用戶端。 如需有用的參考和資源,請參閱準備 Office 365 中的 TLS 1.2。

我可以在連接器伺服器與後端應用程式伺服器之間放置轉寄 Proxy 裝置嗎?

是,從連接器 1.5.1526.0 版開始,支援此案例。 請參閱 使用現有的內部部署 Proxy 伺服器

我應該建立專用帳戶,向 Microsoft Entra 應用程式 Proxy 註冊連接器嗎?

沒有理由。 任何全域 管理員 管理員或應用程式管理員帳戶都有效。 在安裝期間輸入的認證不會在註冊程序之後使用。 相反地,憑證會核發至連接器,用於從該點進行驗證。

如何監視 Microsoft Entra 專用網連接器的效能?

可以使用與連接器一起安裝的效能監視器計數器。 檢視方法:

  1. 選取 [ 開始],輸入 “Perfmon”,然後按 ENTER。
  2. 選取 [效能監視器],然後按下綠色+圖示。
  3. 新增您要監視的 Microsoft Entra 專用網連接器 計數器。

Microsoft Entra 專用網連接器是否必須位於與資源相同的子網上?

連接器不需要位於相同的子網上。 不過,它需要資源的名稱解析(DNS、主機檔案)和必要的網路連線能力(路由至資源、資源上開啟的埠等等)。 如需建議,請參閱 使用 Microsoft Entra 應用程式 Proxy 時的網路拓撲考慮。

我可以安裝連接器的 Windows Server 版本為何?

應用程式 Proxy 需要 Windows Server 2012 R2 或更新版本。 Windows Server 2019 的 HTTP2 目前有限制。 若要在 Windows Server 2019 上成功使用連接器,您必須新增登錄機碼並重新啟動伺服器:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\EnableDefaultHttp2 (DWORD) Value: 0 

為什麼在將連接器從伺服器卸載之後,連接器仍會顯示在 Microsoft Entra 系統管理中心?

當連接器執行時,它會在連接到服務時保持作用中。 卸載的 /未使用的連接器會標記為非使用中,並在入口網站 10 天后移除。 無法手動從 Microsoft Entra 系統管理中心移除非使用中連接器。

應用程式設定

我可以在外部 URL 中使用網域後綴 '[租用戶名稱].onmicrosoft.com' 或 '[租用戶名稱].mail.onmicrosoft.com' 嗎?

雖然這些後綴會出現在後綴清單中,但您不應該使用這些後綴。 這些網域後綴並非要與 Microsoft Entra 應用程式 Proxy 搭配使用。 如果您使用這些網域後綴,則建立的 Microsoft Entra 應用程式 Proxy 應用程式將無法運作。 您可以使用標準網域後綴 msappproxy.net自定義網域

應用程式 Proxy 是否支援主權和區域雲端?

Microsoft Entra ID 具有應用程式 Proxy 服務,可讓使用者使用其 Microsoft Entra 帳戶登入來存取內部部署應用程式。 如果您已在不同區域中安裝連接器,您可以選取最接近的應用程式 Proxy 雲端服務區域來將流量優化,以便與每個連接器群組搭配使用,請參閱 使用 Microsoft Entra 應用程式 Proxy 優化流量流程。

我收到有關無效憑證或可能錯誤密碼的錯誤

上傳 SSL 憑證之後,您會在入口網站上收到「無效的憑證、可能錯誤的密碼」訊息。

以下是針對此錯誤進行疑難解答的一些秘訣:

  • 檢查憑證是否有問題。 在您的本機電腦上安裝憑證。 如果您沒有遇到任何問題,則憑證很好。
  • 請確定密碼不包含任何特殊字元。 密碼應該只包含字元 0-9、A-Z 和 a-z。
  • 如果是使用 Microsoft 軟體金鑰儲存體提供者來建立憑證,則必須使用 RSA 演算法。

默認和「long」後端逾時長度為何? 逾時可以延長嗎?

默認長度為85秒。 “long” 設定為 180 秒。 無法擴充逾時限制。

服務主體可以使用 PowerShell 或 Microsoft Graph API 來管理應用程式 Proxy 嗎?

否,目前不支援此設定。

如果我刪除應用程式註冊中的CWAP_AuthSecret(用戶端密碼),會發生什麼事?

建立 Microsoft Entra 應用程式 Proxy 應用程式時,用戶端密碼也稱為 CWAP_AuthSecret,會自動新增至應用程式物件(應用程式註冊)。

客戶端密碼的有效期限為一年。 新的一年期客戶端密碼會在目前有效的客戶端密碼到期之前自動建立。 三個CWAP_AuthSecret客戶端密碼一直保留在應用程式物件中。

重要

刪除CWAP_AuthSecret中斷 Microsoft Entra 應用程式 Proxy 的預先驗證。 請勿刪除CWAP_AuthSecret。

我正在使用或想要使用 Microsoft Entra 應用程式 Proxy。 我是否可以取代 Microsoft 365 中租使用者的「onmicrosoft.com」後援網域,如「在 Microsoft 365 中新增及取代您的 onmicrosoft.com 後援網域」一文中的建議?

否。 您必須使用原始後援網域。

問題文章: 在 Microsoft 365 中新增和取代您的 onmicrosoft.com 後援網域

如何? 變更應用程式載入的登陸頁面?

從 [應用程式註冊] 頁面,您可以將首頁 URL 變更為登陸頁面所需的外部 URL。 從 我的應用程式 或 Office 365 入口網站啟動應用程式時,會載入指定的頁面。 如需設定步驟,請參閱 使用 Microsoft Entra 應用程式 Proxy 設定已發佈應用程式的自定義首頁

當我嘗試在 URL 包含 「#」 (hashtag) 字元時,嘗試存取已發佈的應用程式時,為什麼我會被重新導向至截斷的 URL?

如果已設定 Microsoft Entra 預先驗證,而且當您第一次嘗試存取應用程式時,應用程式 URL 包含 “#” 字元,則會重新導向至 Microsoft Entra ID (login.microsoftonline.com) 以進行驗證。 完成驗證之後,您會在 “#” 字元之前重新導向至 URL 元件,而 “#” 之後的所有專案似乎都會被忽略/移除。 例如,如果 URL 是 https://www.contoso.com/#/home/index.html,一旦 Microsoft Entra 驗證完成,使用者就會重新導向至 https://www.contoso.com/。 此行為是設計方式,因為瀏覽器如何處理 「#」 字元。

可能的解決方案/替代方案:

  • 設定從 https://www.contoso.com 重新導向至 https://contoso.com/#/home/index.html。 使用者必須先存取 https://www.contoso.com
  • 用於第一次存取嘗試的 URL 必須包含編碼格式為 “#” 字元 (%23)。 已發佈的伺服器可能不接受此專案。
  • 設定傳遞預先驗證類型(不建議)。

只能發佈 IIS 型應用程式嗎? 在非 Windows 網頁伺服器上執行的 Web 應用程式呢? 連接器是否必須安裝在已安裝 IIS 的伺服器上?

否,發行的應用程式不需要 IIS。 您可以發佈在 Windows Server 以外的伺服器上執行的 Web 應用程式。 不過,根據網頁伺服器是否支援交涉(Kerberos 驗證),您可能無法使用預先驗證與非 Windows Server。 安裝連接器的伺服器上不需要 IIS。

我可以設定應用程式 Proxy 以新增 HSTS 標頭嗎?

應用程式 Proxy 不會自動將 HTTP Strict-Transport-Security 標頭新增至 HTTPS 回應,但如果標頭位於已發布應用程式所傳送的原始回應中,則會維護標頭。 在藍圖中證明啟用此功能的設定。

我可以在外部 URL 中使用自定義埠號碼嗎?

否,如果通訊協定是在外部 URL 中設定,則如果通訊協議httphttps位於埠 TCP 443,Microsoft Entra 應用程式 Proxy 端點就會接受埠 TCP 80 上的連入要求。

我可以在內部 URL 中使用自定義埠號碼嗎?

是,內部URL的一些範例,包括埠:http://app.contoso.local:8888/、、 https://app.contoso.local:8080/https://app.contoso.local:8081/test/

如果外部和內部 URL 不同,則有哪些挑戰?

已發佈 Web 應用程式所傳送的某些回應可能包含硬式編碼 URL。 在此情況下,您必須使用用戶端一律使用正確 URL 的連結轉譯解決方案來確保它。 鏈接轉譯解決方案可能十分複雜,而且可能無法在所有案例中運作。 您可以在這裡找到我們記載的連結翻譯解決方案。

最佳做法是建議使用相同的外部和內部URL。 如果兩個 URL 中的 相同,外部 protocol://hostname:port/path/ 和內部 URL 會視為相同。

您可以使用自訂網域功能來達成此目的。

範例:

相同:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

不完全相同:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

如果內部 URL 包含非標準埠(TCP 80 / 443 以外),則完全無法讓外部和內部 URL 相同。

在某些情況下,必須在 Web 應用程式的設定中完成變更。

整合式 Windows 驗證

設定 Kerberos 限制委派時,何時應該使用 PrincipalsAllowedToDelegateToAccount 方法?

當連接器伺服器位於與 Web 應用程式服務帳戶不同的網域時,會使用 PrincipalsAllowedToDelegateToAccount 方法。 它需要使用以資源為基礎的限制委派。 如果連接器伺服器和 Web 應用程式服務帳戶位於相同的網域中,您可以使用 Active Directory 使用者和電腦,在每個連接器電腦帳戶上設定委派設定,讓他們委派給目標 SPN。

如果連接器伺服器和 Web 應用程式服務帳戶位於不同的網域中,則會使用以資源為基礎的委派。 委派許可權是在目標 Web 伺服器和 Web 應用程式服務帳戶上設定。 這個限制委派方法相對較新。 此方法是在 Windows Server 2012 中引進的,它支援跨網域委派,方法是允許資源 (Web 服務) 擁有者控制哪些機器和服務帳戶可以委派給它。 沒有UI可協助進行此設定,因此您必須使用PowerShell。 如需詳細資訊,請參閱使用應用程式 Proxy 瞭解 Kerberos 限制委派白皮書

NTLM 驗證是否可與 Microsoft Entra 應用程式 Proxy 搭配運作?

NTLM 驗證無法做為預先驗證或單一登錄方法。 只有在用戶端與已發佈的 Web 應用程式之間可以直接交涉時,才能使用 NTLM 驗證。 使用 NTLM 驗證通常會導致登入提示出現在瀏覽器中。

我可以在 B2B IWA 單一登錄案例中使用登入身分識別「內部部署用戶主體名稱」或「內部部署 SAM 帳戶名稱」嗎?

否,這無法運作,因為 Microsoft Entra ID 中的來賓用戶沒有上述任何登入身分識別所需的屬性。

在此情況下,「用戶主體名稱」有後援。 如需 B2B 案例的詳細資訊,請參閱 授與 Microsoft Entra ID 存取內部部署應用程式的 B2B 使用者。

傳遞驗證

我是否可以針對透過傳遞驗證發行的應用程式使用條件式存取原則?

條件式存取原則只會針對 Microsoft Entra ID 中成功預先驗證的使用者強制執行。 傳遞驗證不會觸發 Microsoft Entra 驗證,因此無法強制執行條件式存取原則。 透過傳遞驗證,MFA 原則必須盡可能在內部部署伺服器上實作,或透過使用 Microsoft Entra 應用程式 Proxy 啟用預先驗證。

是否可以發佈具有客戶端憑證驗證需求的 Web 應用程式?

否,不支援此案例,因為應用程式 Proxy 會終止 TLS 流量。

遠端桌面閘道發佈

如何透過 Microsoft Entra 應用程式 Proxy 發佈遠端桌面閘道?

請參閱 使用 Microsoft Entra 應用程式 Proxy 發佈遠端桌面。

我可以在遠端桌面閘道發佈案例中使用 Kerberos 限制委派 (單一登錄 - Windows 整合式驗證) 嗎?

否,不支援此案例。

我的使用者不會使用 Internet Explorer 11,而且預先驗證案例不適用於他們。 這是預期的嗎?

是的,這是預期的。 預先驗證案例需要第三方瀏覽器不支援的 ActiveX 控制件。

是否支援遠端桌面 Web 用戶端 (HTML5?

是,此案例目前為公開預覽狀態。 請參閱 使用 Microsoft Entra 應用程式 Proxy 發佈遠端桌面。

設定預先驗證案例之後,我意識到使用者必須驗證兩次:先在 Microsoft Entra 登入窗體上,然後在 RDWeb 登入窗體上驗證。 這是預期的嗎? 如何將此項目縮減為單一登入?

是的,這是預期的。 如果用戶的計算機已加入 Microsoft Entra,則用戶會自動登入 Microsoft Entra 識別符。 使用者只需要在 RDWeb 登入表單上提供其認證。

我可以使用 Microsoft Entra 預先驗證案例中遠端桌面 Web 用戶端入口網站上 設定 下的 [下載 rdp 檔案] 選項嗎?

此選項可讓使用者下載 rdp 檔案,並讓另一個 RDP 用戶端使用它(遠端桌面 Web 用戶端外部)。 一般而言,另一個 RDP 用戶端(例如 Microsoft 遠端桌面 客戶端)無法原生處理預先驗證。 這就是為什麼案例無法運作的原因。

SharePoint 發佈

如何透過 Microsoft Entra 應用程式 Proxy 發佈 SharePoint?

請參閱使用 Microsoft Entra 應用程式 Proxy 啟用 SharePoint 的遠端訪問。

我可以使用 SharePoint 行動應用程式 (iOS/ Android) 來存取已發佈的 SharePoint Server 嗎?

SharePoint 行動 應用程式 目前不支援 Microsoft Entra 預先驗證。

Active Directory 同盟服務 (AD FS) 發佈

我是否可以使用 Microsoft Entra 應用程式 Proxy 作為 AD FS Proxy(例如 Web 應用程式 Proxy)?

否。 Microsoft Entra 應用程式 Proxy 的設計訴求是使用 Microsoft Entra ID,且不符合做為 AD FS Proxy 的需求。

我可以使用 Microsoft Entra 應用程式 Proxy 發佈任何 AD FS 端點(例如 /adfs/portal/updatepassword/)嗎?

不行,不支援此方式。

WebSocket

Microsoft Entra 應用程式 Proxy 是否支援 WebSocket 通訊協定?

現在支援使用 WebSocket 通訊協定的應用程式,例如 QlikSense 和遠端桌面 Web 用戶端 (HTML5)。 以下是已知的限制:

  • 應用程式 Proxy 會在開啟 WebSocket 連線時捨棄伺服器回應上設定的 Cookie。
  • 沒有套用至 WebSocket 要求的 SSO。
  • Windows 管理員 中心 (WAC) 中的功能(Eventlogs、PowerShell 和遠端桌面服務)無法透過 Microsoft Entra 應用程式 Proxy 運作。

WebSocket 應用程式沒有任何唯一的發佈需求,而且可以 和所有其他應用程式 Proxy 應用程式一樣發佈

連結翻譯

使用連結轉譯會影響效能嗎?

是。 連結轉譯會影響效能。 應用程式 Proxy 服務會掃描應用程式是否有硬式編碼的連結,並將連結取代為其各自的已發佈外部 URL,然後再將連結呈現給使用者。

為了獲得最佳效能,建議您藉由設定 自定義網域來使用相同的內部和外部URL。 如果無法使用自定義網域,您可以使用行動裝置上的 我的應用程式 安全登入延伸模組或 Microsoft Edge Browser 來改善鏈接轉譯效能。 如需使用 Microsoft Entra 應用程式 Proxy 發佈的應用程式,請參閱重新導向硬式編碼連結。

萬用字元

如何? 使用通配符來發佈兩個具有相同自定義功能變數名稱但通訊協定不同的應用程式,一個用於 HTTP,另一個用於 HTTPS?

不支援此案例。 此案例的選項如下:

  1. 將 HTTP 和 HTTPS URL 發佈為具有通配符的不同應用程式,但為每個 URL 提供不同的自訂網域。 此組態的運作方式是因為它們有不同的外部 URL。

  2. 透過通配符應用程式發佈 HTTPS URL。 使用這些應用程式 Proxy PowerShell Cmdlet 個別發佈 HTTP 應用程式: