使用 Microsoft Entra 應用程式 Proxy 設定自訂網域

當您透過 Microsoft Entra 應用程式 Proxy 發佈應用程式時,您會為使用者建立外部 URL。 此網址會取得預設網域 yourtenant.msappproxy.net。 例如,如果您在名為 Contoso 的租用戶中發佈名為 Expenses 的應用程式,外部 URL 為 https:\//expenses-contoso.msappproxy.net 如果您想要使用自己的功能變數名稱, msappproxy.net而不是 ,您可以為應用程式設定自定義網域。

自定義網域的優點

最好盡可能為您的應用程式設定自定義網域。 使用自訂網域的一些原因包括:

  • 應用程式之間的連結即使在公司網路外部也能運作。 如果沒有自定義網域,如果您的應用程式是硬式編碼內部連結至應用程式 Proxy 外部的目標,而且鏈接無法外部解析,它們就會中斷。 當您的內部和外部 URL 相同時,請避免此問題。 如果您無法使用自定義網域,請參閱 使用 Microsoft Entra 應用程式 Proxy 發佈的應用程式重新導向硬式編碼連結,以取得解決此問題的其他方式。

  • 您的使用者有較簡單的體驗,因為它們會從網路內部或外部取得相同 URL 的應用程式。 不需要瞭解不同的內部和外部 URL,或追蹤其目前位置。

  • 您可以控制商標,並建立您想要的URL。 自訂網域可協助建立使用者的信心,因為使用者會看到並使用熟悉的名稱,而不是 msappproxy.net

  • 某些組態僅適用於自定義網域。 例如,對於使用安全性聲明標記語言 (SAML) 的應用程式,您需要自定義網域。 當您使用 Active Directory 同盟服務 (AD FS) 但無法使用 WS-Federation 時,會使用 SAML。 如需詳細資訊,請參閱 在應用程式 Proxy 中使用宣告感知應用程式。

如果您無法讓內部和外部 URL 相符,則使用自訂網域並不重要。 但您仍然可以利用其他優點。

DNS 組態選項

根據您的需求,設定 DNS 組態有幾個選項:

相同的內部和外部 URL、不同的內部和外部行為

如果您不希望內部使用者透過應用程式 Proxy 導向,您可以設定 分割腦 DNS。 分割 DNS 基礎結構會根據主機位置導向名稱解析。 內部主機會導向至內部功能變數名稱伺服器,而外部主機則導向至外部域名伺服器。

Split-brain DNS

不同的內部和外部 URL

當內部和外部 URL 不同時,請勿設定分割腦行為。 使用者路由是使用 URL 來決定。 在此情況下,您只會變更外部 DNS,並將外部 URL 路由至應用程式 Proxy 端點。

當您選取外部 URL 的自定義網域時,資訊列會顯示您需要新增至外部 DNS 提供者的 CNAME 專案。 您一律可以移至應用程式的 [應用程式 Proxy ] 頁面來查看此資訊。

設定及使用自定義網域

若要將內部部署應用程式設定為使用自訂網域,您需要已經過驗證的 Microsoft Entra 自訂網域、自訂網域的 PFX 憑證,以及要設定的內部部署應用程式。

重要

您必須負責維護將自定義網域重新導向至網域的 msappproxy.net DNS 記錄。 如果您選擇稍後刪除應用程式或租使用者,請務必同時刪除應用程式 Proxy 的相關 DNS 記錄,以避免誤用懸置的 DNS 記錄。

建立和驗證自定義網域

若要建立和驗證自訂網域:

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 Identity >設定> Domain 名稱。
  3. 選取 [新增自訂網域]
  4. 輸入您的自定義功能變數名稱,然後選取 [ 新增網域]。
  5. 在網域頁面上,複製網域的 TXT 記錄資訊。
  6. 移至您的網域註冊機構,並根據您複製的 DNS 資訊,為您的網域建立新的 TXT 記錄。
  7. 註冊網域之後,請在 Microsoft Entra ID 的網域頁面上,選取 [ 驗證]。 一旦網域狀態為 [已驗證],您就可以跨所有 Microsoft Entra 設定使用網域,包括應用程式 Proxy。

如需更詳細的指示,請參閱 使用 Microsoft Entra 系統管理中心新增您的自定義功能變數名稱。

設定應用程式以使用自定義網域

若要透過具有自訂網域的應用程式 Proxy 發佈您的應用程式:

  1. 針對新的應用程式,請在 Microsoft Entra 系統管理中心,流覽至 [身分>識別應用程式>企業應用程式應用程式>Proxy]。

  2. 選取 [新增應用程式]。 在 [ 內部部署應用程式 ] 區段中,選取 [新增內部部署應用程式]。

    對於已在 企業應用程式中的應用程式,請從清單中選取它,然後在左側導覽中選取 [應用程式 Proxy ]。

  3. 在 [應用程式 Proxy 設定] 頁面上,如果您要新增自己的內部部署應用程式,請輸入 [ 名稱 ]。

  4. 在 [ 內部 URL] 字段中,輸入您應用程式的內部 URL。

  5. 在 [ 外部 URL] 字段中,下拉式清單,然後選取您想要使用的自定義網域。

  6. 選取新增

    Select custom domain

  7. 如果網域已經有憑證,[ 憑證 ] 字段會顯示憑證資訊。 否則,請選取 [ 憑證] 字段。

    Click to upload a certificate

  8. 在 [ SSL 憑證] 頁面上,流覽至並選取您的 PFX 憑證檔案。 輸入憑證的密碼,然後選取 [上傳憑證]。 如需憑證的詳細資訊,請參閱 自定義網域的憑證 一節。 如果憑證無效,或密碼有問題,您會看到錯誤訊息。 應用程式 Proxy 常見問題 包含您可以嘗試的一些疑難解答步驟。

    Upload Certificate

    提示

    自定義網域只需要上傳一次憑證。 之後,當您將自定義網域用於其他應用程式時,會自動套用上傳的憑證。

  9. 如果您已新增憑證,請在 [應用程式 Proxy ] 頁面上,選取 [ 儲存]。

  10. 在 [應用程式 Proxy] 頁面上的資訊列中,記下您需要新增至 DNS 區域的 CNAME 專案。

    Add CNAME DNS entry

  11. 請遵循使用 Microsoft Entra 系統管理中心管理 DNS 記錄和記錄集上的指示,將新的外部 URL 重新導向至 msappproxy.net Azure DNS 中的網域。 如果使用不同的 DNS 提供者,請連絡廠商以取得指示。

    重要

    請確定您已正確使用指向網域的 msappproxy.net CNAME 記錄。 請勿將記錄指向IP位址或伺服器 DNS 名稱,因為這些記錄不是靜態的,而且可能會影響服務的復原能力。

  12. 若要檢查 DNS 記錄是否已正確設定,請使用 nslookup 命令來確認您的外部 URL 可連線,且 msapproxy.net 網域顯示為別名。

您的應用程式現在已設定為使用自定義網域。 在測試或放開應用程式之前,請務必將使用者指派給您的應用程式。

若要變更應用程式的網域,請從應用程式應用程式 Proxy 頁面上 [外部 URL] 中的下拉式清單中選取不同的網域。 視需要上傳已更新網域的憑證,並更新 DNS 記錄。 如果您沒有在 [外部 URL] 下拉式清單中看到您想要的自訂網域,可能無法驗證。

如需應用程式 Proxy 的詳細指示,請參閱 教學課程:在 Microsoft Entra ID 中透過應用程式 Proxy 新增內部部署應用程式以進行遠端訪問。

自定義網域的憑證

憑證會為您的自定義網域建立安全的 TLS 連線。

憑證格式

您必須使用 PFX 憑證,以確保包含所有必要的中繼憑證。 憑證必須包含私鑰。

支援最常見的憑證簽章方法,例如主體別名 (SAN)。

只要通配符符合外部 URL,您就可以使用通配符憑證。 您必須針對 通配符應用程式使用通配符憑證。 如果您想要使用憑證來存取子域,您必須將子域通配符新增為相同憑證中的主體別名。 例如,除非您新增為主體別名,否則 *.adventure-works.com 的憑證會因為 *.apps.adventure-works.com 而失敗。*.apps.adventure-works.com

如果您的用戶端裝置上安裝憑證鏈結,您可以使用您自己的公鑰基礎結構 (PKI) 所簽發的憑證。 Microsoft Intune 可以將這些憑證部署到受管理的裝置。 針對非受控裝置,您必須手動安裝這些憑證。

我們不建議使用私人跟證書授權單位(CA),因為私人根 CA 也需要推送至用戶端電腦,這可能會帶來許多挑戰。

憑證管理

所有憑證管理都是透過個別的應用程式頁面。 移至應用程式的 [ 應用程式 Proxy ] 頁面,以存取 [憑證 ] 字段。

如果您上傳憑證,則 新的 應用程式會使用它。 只要它們已設定為使用它, 不過,您必須針對上傳憑證時已存在的應用程式再次上傳憑證。

當憑證到期時,您會收到警告,告知您上傳另一個憑證。 如果憑證被撤銷,您的使用者可能會在存取應用程式時看到安全性警告。 若要更新應用程式的憑證,請流覽至 應用程式的 [應用程式 Proxy ] 頁面,選取 [憑證],然後上傳新的憑證。 其他應用程式未使用的舊憑證會自動刪除。

下一步