部署 Microsoft Entra 應用程式 Proxy，以安全地存取 Microsoft Entra Domain Services 受控網域中的內部應用程式

使用 Microsoft Entra Domain Services，您可以提升執行內部部署的舊版應用程式並隨即轉移至 Azure 基礎結構服務。 Microsoft Entra (AD) 應用程式 Proxy，然後安全地發佈 Domain Services 受控網域的內部應用程式部分，以便透過網際網路存取遠端工作者。

如果您不熟悉 Microsoft Entra 應用程式 Proxy 並想要深入了解，請參閱如何為內部應用程式提供安全的遠端存取。

本文說明如何建立和設定 Microsoft Entra 私人網路連接器，藉以提供受控網域中應用程式的安全存取。

開始之前

若要完成本文章，您需要下列資源和權限：

• 有效的 Azure 訂閱。
  • 如果您沒有 Azure 訂用帳戶，請先建立帳戶。
• 與訂用帳戶相關聯的 Microsoft Entra 租用戶，且其已與內部部署目錄或純雲端目錄同步。
  • 如有需要，請建立 Microsoft Entra 租用戶或將 Azure 訂用帳戶與您的帳戶建立關聯 (部分機器翻譯)。
  • 需要 Microsoft Entra ID P1 或 P2 授權，才能使用 Microsoft Entra 應用程式 Proxy。
• 在您的 Microsoft Entra 租用戶中啟用和設定的 Microsoft Entra Domain Services 受控網域。
  • 如有需要，請建立和設定 Microsoft Entra Domain Services 受控網域。

建立已加入網域的 Windows VM

若要將流量路由至環境中執行的應用程式，您會安裝 Microsoft Entra 私人網路連接器元件。 此 Microsoft Entra 私人網路連接器必須安裝在已加入受控網域的 Windows Server 虛擬機器 (VM) 上。 對於某些應用程式，您可以部署已安裝連接器的多部伺服器。 這個部署選項為您提供更高的可用性，並協助處理更大量的驗證負載。

執行 Microsoft Entra 私人網路連接器的 VM 必須位於與受控網域相同或對等互連的虛擬網路上。 接著使用應用程式 Proxy 將您發佈的應用程式予以裝載的 VM 也必須部署在相同的 Azure 虛擬網路上。

若要建立 Microsoft Entra 私人網路連接器的 VM，請完成下列步驟：

1. 建立自訂 OU。 您可以將管理這個自訂 OU 的權限委派給受控網域內的使用者。 Microsoft Entra 應用程式 Proxy 且執行應用程式的 VM 必須是自訂 OU 的一部分，而不是預設的 Microsoft Entra DC 電腦 OU。
2. 將虛擬機器加入網域 (部分機器翻譯)，也就是將執行 Microsoft Entra 私人網路連接器的虛擬機器，以及執行應用程式的虛擬機器加入受控網域。 在上一個步驟的自訂 OU 中建立這些電腦帳戶。

下載 Microsoft Entra 私人網路連接器

執行下列步驟以下載 Microsoft Entra 私人網路連接器。 您在下一節中下載的安裝程式檔案會複製到您的應用程式 Proxy VM。

1. 以全域管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 搜尋並選取 [企業應用程式]。

3. 然後從左側功能表中選取 [應用程式 Proxy]。 若要建立您的第一個連接器並啟用應用程式 Proxy，請選取下載連接器的連結。

4. 在下載頁面上，接受授權條款和隱私權合約，然後選取 [接受條款並下載]。

   

安裝和註冊 Microsoft Entra 私人網路連接器

當 VM 準備好作為 Microsoft Entra 私人網路連接器時，現在請複製並執行從 Microsoft Entra 系統管理中心下載的安裝程式檔案。

1. 將 Microsoft Entra 私人網路連接器安裝程式檔案複製到您的 VM。

2. 執行安裝程式檔案，例如 MicrosoftEntraPrivateNetworkConnectorInstaller.exe。 接受軟體授權條款。

3. 系統會在安裝期間提示您在 Microsoft Entra 目錄中註冊應用程式 Proxy 連接器。

   • 在 Microsoft Entra 目錄中提供全域管理員的認證。 Microsoft Entra 全域管理員的認證，可能會和入口網站的 Azure 認證不同

     注意

     用於註冊連接器的全域管理員帳戶必須屬於與您啟用應用程式 Proxy 服務的位置相同的目錄。

     舉例來說，如果 Microsoft Entra 網域是 contoso.com，則全域管理員應為 admin@contoso.com 或該網域上的另一個有效別名。

   • 如果在您要安裝連接器的 VM 上開啟 Internet Explorer 增強式安全性設定，則註冊畫面可能會遭到封鎖。 若要允許存取，請依照錯誤訊息中的指示進行，或在安裝程式的期間關閉 Internet Explorer 增強式安全性。

   • 如果連接器註冊失敗，請參閱應用程式 Proxy 的疑難排解。

4. 安裝結束時會出現一則附註，顯示輸出 proxy 的環境。 若要設定 Microsoft Entra 私人網路連接器以透過輸出 Proxy 運作，請執行提供的指令碼，例如 C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1。

5. 在 Microsoft Entra 系統管理中心的應用程式 Proxy 頁面上，新連接器會列出，並顯示其狀態為作用中，如下列範例所示：

   

注意

您可以在多個 VM 上安裝連接器，以便透過 Microsoft Entra 應用程式 Proxy 提供具有高可用性的應用程式驗證。 重複上一節所列的相同步驟，將連接器安裝到聯結受控網域的其他伺服器。

啟用資源型 Kerberos 限制委派

如果您想要使用整合式 Windows 驗證 (IWA) 啟用應用程式的單一登入，請授與 Microsoft Entra 私人網路連接器權限來模擬使用者，並代表其傳送和接收權杖。 若要授與這些權限，設定連接器的 Kerberos 限制委派 (KCD)，藉以授與存取受控網域上的資源所需的權限。 由於您在受控網域中沒有網域管理員權限，因此無法在受控網域上設定傳統帳戶層級 KCD。 請改用資源型 KCD。

如需詳細資訊，請參閱在 Microsoft Entra Domain Services 中設定 Kerberos 限制委派 (KCD)。

注意

您必須登入屬於 Microsoft Entra 租用戶中 Microsoft Entra DC 管理員群組成員的使用者帳戶，才能執行下列 PowerShell Cmdlet。

私人網路連接器 VM 和應用程式 VM 的電腦帳戶必須位於您有權設定資源型 KCD 的自訂 OU 中。 您無法為在內建 Microsoft Entra DC 電腦容器中的電腦帳戶設定資源型 KCD。

使用 Get-ADComputer (英文) 擷取已安裝 Microsoft Entra 私人網路連接器的電腦所用的設定。 從已加入網域的管理 VM，並以屬於 Microsoft Entra DC 管理員群組成員的使用者帳戶登入，執行下列 Cmdlet。

下列範例會取得名稱為 appproxy.aaddscontoso.com 的電腦帳戶相關的資訊。 針對先前步驟中設定的 Microsoft Entra 應用程式 Proxy VM，提供您本身的電腦名稱。

$ImpersonatingAccount = Get-ADComputer -Identity appproxy.aaddscontoso.com

針對在 Microsoft Entra 應用程式 Proxy 後執行的各個應用程式伺服器，請使用 Set-ADComputer (英文) PowerShell Cmdlet 設定資源型 KCD。 在下列範例中，Microsoft Entra 私人網路連接器已獲授與使用 appserver.aaddscontoso.com 電腦的權限：

Set-ADComputer appserver.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount

如果您部署多個 Microsoft Entra 私人網路連接器，則必須為每個連接器執行個體設定資源型 KCD。

下一步

透過與 Domain Services 整合的 Microsoft Entra 應用程式 Proxy，發佈應用程式供使用者存取。 如需詳細資訊，請參閱使用 Microsoft Entra 應用程式 Proxy 發佈應用程式。