共用方式為

使用 Microsoft Entra 應用程式 Proxy 設定自訂網域

  • 發行項

當您透過 Microsoft Entra 應用程式 Proxy 發佈應用程式時,您會為使用者建立外部 URL。 此 URL 會取得預設網域 yourtenant.msappproxy.net。 例如,如果您在名為 Contoso 的租用戶中發佈了一個名為 Expenses 的應用程式,則其外部網址即為 https:\//expenses-contoso.msappproxy.net。 如果您想要使用自己的網域名稱 (而不是 msappproxy.net),請為您的應用程式設定自訂網域。

自訂網域的優點

建議您盡可能為您的應用程式設定自訂網域。 使用自訂網域的一些原因包括:

  • 應用程式之間的連結甚至可以在公司網路外部運作。 在沒有自訂網域的情形下,如果您的應用程式具有寫入程式碼的內部連結指向應用程式 Proxy 外部的目標,且連結無法從外部解析,則會中斷。 當您的內部和外部 URL 相同時,即可避免這個問題。 如果您無法使用自訂網域,請參閱重新導向使用 Microsoft Entra 應用程式 Proxy 發佈之應用程式的硬式編碼連結,以取得解決此問題的其他方式。

  • 您的使用者會有更輕鬆的體驗,因為他們會從您的網路內部或外部透過相同的 URL 移至應用程式。 不需要瞭解不同的內部和外部 URL,或追蹤其目前的位置。

  • 您可控制您的品牌,並建立您想要的 URL。 自訂網域可協助您建立使用者的信心,因為使用者會看到並使用熟悉的名稱,而不是 msappproxy.net

  • 某些設定只適用於自訂網域。 例如,對於使用安全性聲明標記語言 (SAML) 的應用程式,您需要自訂網域。 當您’使用 Active Directory 同盟服務 (AD FS) 但無法使用 WS-Federation 時,會使用 SAML。 如需詳細資訊,請參閱在應用程式 Proxy 中使用宣告感知應用程式

如果您無法讓內部與外部 URL 相符,使用自訂網域並不重要。 但您仍然可以利用其他優點。

DNS 組態選項

根據您的需求,有數個選項可用於設定您的 DNS 設定:

相同的內部和外部 URL,不同的內部和外部行為

如果您不希望內部使用者透過應用程式 Proxy 導向,您可以設定「拆分式 DNS」。 分割 DNS 基礎結構會根據主機位置導向名稱解析。 內部主機會導向至內部功能變數名稱伺服器,而外部主機則導向至外部網域名稱伺服器。

拆分式 DNS

不同的內部和外部 URL

當內部和外部 URL 不同時,請勿設定拆分式行為。 使用者路由是使用 URL 來決定。 在此情況下,您只能變更外部 DNS,並將外部 URL 路由傳送至應用程式 Proxy 端點。

當您選取外部 URL 的自訂網域時,資訊列會顯示您需要新增至外部 DNS 提供者的 CNAME 項目。 您隨時都可以前往應用程式的 [應用程式 Proxy] 頁面來查看此資訊。

設定和使用自訂網域

若要將內部部署應用程式設定為使用自訂網域,您需要已經過驗證的 Microsoft Entra 自訂網域、自訂網域的 PFX 憑證,以及要設定的內部部署應用程式。

重要

您會負責維護將自訂網域重新導向至 msappproxy.net 網域的 DNS 記錄。 如果您選擇稍後會刪除您的應用程式或租用戶,請務必同時刪除應用程式 Proxy 的相關 DNS 記錄,以避免誤用無關聯的 DNS 記錄。

建立和驗證自訂網域

若要建立和驗證自訂網域:

  1. 以至少 應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別] > [設定] > [網域名稱]
  3. 選取 [新增自訂網域]
  4. 輸入您的自訂網域名稱,然後選取 [新增網域]
  5. 在網域頁面上,複製您網域的 TXT 記錄資訊。
  6. 移至您的網域註冊機構,並根據您複製的 DNS 資訊,為您的網域建立新的 TXT 記錄。
  7. 註冊網域之後,在 Microsoft Entra ID 的網域頁面上,選取 [驗證]。 網域狀態變成 [已驗證] 後,您就可以在所有 Microsoft Entra 設定 (包括應用程式 Proxy) 中使用該網域。

如需詳細指示,請參閱使用 Microsoft Entra 系統管理中心新增自訂網域名稱 (部分機器翻譯)。

將應用程式設定為使用自訂網域

若要使用自訂網域透過應用程式 Proxy 發佈您的應用程式:

  1. 針對新的應用程式,請在 Microsoft Entra 系統管理中心,瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [應用程式 Proxy]

  2. 選取 [新增應用程式]。 在 [內部部署應用程式] 區段中,選取 [新增內部部署應用程式]

    對於已在 [企業應用程式] 中的應用程式,從清單中予以選取,然後在左側導覽中選取 [應用程式 Proxy]

  3. 如果您要新增自己的內部部署應用程式,請在 [應用程式 Proxy 設定] 頁面上,輸入 [名稱]

  4. 在 [內部 URL] 欄位中,輸入您應用程式的內部 URL。

  5. 在 [外部 URL] 欄位中,下拉清單並選取您要使用的自訂網域。

  6. 選取 [新增]。

    選取自訂網域

  7. 如果網域已經具有憑證,則 [憑證] 欄位會顯示憑證資訊。 否則,選取 [憑證] 欄位。

    按一下以上傳憑證

  8. 在 [SSL 憑證] 頁面上,瀏覽並選取您的 PFX 憑證檔案。 輸入憑證的密碼,然後選取 [上傳憑證]。 如需憑證的詳細資訊,請參閱自訂網域的憑證一節。 如果憑證無效或密碼有問題,您會看到錯誤訊息。 應用程式 Proxy 常見問題中會有一些您可以試著用來排解疑難的步驟。

    上傳憑證

    提示

    自訂網域只需要上傳其憑證一次。 之後,當您使用其他應用程式的自訂網域時,系統就會自動套用所上傳的憑證。

  9. 如果您已新增憑證,請在 [應用程式 Proxy] 頁面上,選取 [儲存]

  10. 在 [應用程式 Proxy] 頁面的資訊列中,記下您需要新增至 DNS 區域的 CNAME 項目。

    新增 CNAME DNS 項目

  11. 遵循使用 Microsoft Entra 系統管理中心管理 DNS 記錄和記錄集 (部分機器翻譯) 中的指示,新增 DNS 記錄,以將新的外部 URL 重新導向至 Azure DNS 中的 msappproxy.net 網域。 如果使用不同的 DNS 提供者,請連絡廠商以取得相關指示。

    重要

    請確定您正確使用指向 msappproxy.net 網域的 CNAME 記錄。 請不要將記錄指向 IP 位址或伺服器 DNS 名稱,因為這些都不是靜態的資訊,且可能會影響服務的復原作業。

  12. 若要檢查 DNS 記錄是否已正確設定,請使用 nslookup 命令來確認您的外部 URL 可觸達,且 msapproxy.net 網域會顯示為別名。

您的應用程式現已設定為使用自訂網域。 請務必先將使用者指派給您的應用程式,再進行測試或發行。

若要變更應用程式的網域,請從應用程式的 [應用程式 Proxy] 頁面上 [外部 URL] 的下拉式清單中,選取不同的網域。 視需要為已更新的網域上傳憑證,並更新 DNS 記錄。 如果您在 [外部 URL] 的下拉式清單中看不到您想要的自訂網域,則可能未經驗證。

如需應用程式 Proxy 的詳細指示,請參閱教學課程:新增內部部署應用程式,以便透過 Microsoft Entra ID 中的應用程式 Proxy 進行遠端存取 (部分機器翻譯)。

自訂網域的憑證

憑證會為您的自訂網域建立安全的 TLS 連線。

憑證格式

您必須使用 PFX 憑證,以確保包含所有必要的中繼憑證。 憑證必須包含私密金鑰。

可支援最常見的憑證簽章方法,例如主體別名 (SAN)。

只要萬用字元符合外部 URL,便可使用萬用字元憑證。 您必須對萬用字元應用程式使用萬用字元憑證。 如果您要使用憑證來同時存取子網域,則必須新增子網域萬用字元作為在相同憑證中的主體替代名稱。 例如,除非您新增 *.apps.adventure-works.com 作為主體別名,否則 *.adventure-works.com 的憑證對於 *.apps.adventure-works.com 會失敗。

如果您的用戶端裝置上已安裝憑證鏈,即可使用自己的公開金鑰基礎結構 (PKI) 所發出的憑證。 Microsoft Intune 可以將這些憑證部署至受控裝置。 對於非受控裝置,您必須手動安裝這些憑證。

我們不建議使用私人根憑證授權單位 (CA),因為私人根 CA 也必須推送至用戶端電腦,這可能會帶來許多挑戰。

憑證管理

所有憑證管理都是透過個別的應用程式頁面進行。 移至應用程式的 [應用程式 Proxy] 頁面,以存取 [憑證] 欄位。

如果您上傳憑證,則新的應用程式使用它。 只要它們已設定為使用它。 不過,您必須針對上傳憑證時已存在的應用程式再次上傳憑證。

您會在憑證到期時收到警告,告知您上傳另一個憑證。 如果已撤銷憑證,使用者在存取應用程式時可能會看到安全性警告。 若要更新應用程式的憑證,請瀏覽至應用程式的 [應用程式 Proxy] 頁面,選取 [憑證],然後上傳新的憑證。 其他應用程式未使用的舊憑證會自動刪除。

下一步