Nejčastější dotazy k proxy aplikací Microsoft Entra

Ne, proxy aplikace používá následující položky konfigurace a neměly by se měnit ani odstraňovat:

• Povolte nebo zakažte povolit toky veřejných klientů.
• CWAP_AuthSecret (tajné kódy klienta).
• Oprávnění rozhraní API. Úprava některé z výše uvedených položek konfigurace na stránce registrace aplikace přeruší předběžné ověření proxy aplikace Microsoft Entra.

Ne, měli byste odstranit aplikaci proxy aplikací z oblasti Podnikových aplikací v Centru pro správu Microsoft Entra. Pokud aplikaci proxy aplikací odstraníte z oblasti Registrace aplikací Centra pro správu Microsoft Entra, může dojít k problémům.

Pokud chcete používat proxy aplikace Microsoft Entra, musíte mít licenci Microsoft Entra ID P1 nebo P2. Další informace o licencování najdete v tématu o cenách Microsoft Entra.

Pokud platnost vaší licence vyprší, proxy aplikace se automaticky zakáže. Informace o aplikaci se ukládají po dobu až jednoho roku.

Ujistěte se, že máte nainstalovanou alespoň licenci Microsoft Entra ID P1 nebo P2 a nainstalovaný privátní síťový konektor Microsoft Entra. Po úspěšné instalaci prvního konektoru se automaticky povolí služba proxy aplikací Microsoft Entra.

Použití nástroje pro kontrolu portů ve veřejných koncových bodech proxy aplikací (msappproxy.net nebo vlastní) může ukázat, že jsou otevřené porty TCP 10200 a 10201, kromě portů 80 a/nebo 443. Tyto porty se používají pro účely interního monitorování stavu služby. Přes tyto porty nejsou přístupná žádná zákaznická data a služby za nimi nezpracují žádné informace; jednoduše odpoví "OK".

Ano, privátní síťový konektor Microsoft Entra používá proxy aplikace i Microsoft Entra Soukromý přístup. Další informace o konektoru najdete v tématu Microsoft Entra Private Network Connector. Informace o řešení potíží s konfigurací konektoru najdete v tématu řešení potíží s konektory.

I když se tyto přípony zobrazují v seznamu přípon, neměli byste je používat. Tyto přípony domény nejsou určeny k použití s proxy aplikací Microsoft Entra. Pokud použijete tyto přípony domény, nebude vytvořená aplikace proxy aplikací Microsoft Entra fungovat. Můžete použít buď standardní příponu msappproxy.net domény, nebo vlastní doménu.

Microsoft Entra ID má službu proxy aplikací, která uživatelům umožňuje přístup k místním aplikacím přihlášením pomocí účtu Microsoft Entra. Pokud jste nainstalovali konektory v různých oblastech, můžete optimalizovat provoz výběrem nejbližší oblasti cloudové služby proxy aplikací, kterou chcete použít s každou skupinou konektorů, viz Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra.

Po nahrání certifikátu SSL se na portálu zobrazí zpráva "Neplatný certifikát, možné nesprávné heslo".

Zde jsou uvedeny některé tipy pro řešení této chyby:

• Zkontrolujte možné problémy s certifikátem. Nainstalujte ho do místního počítače. Pokud nezjistíte žádné problémy, je certifikát v pořádku.
• Ujistěte se, že heslo neobsahuje žádné speciální znaky. Heslo by mělo obsahovat pouze znaky 0-9, A-Z a a-z.
• Pokud byl certifikát vytvořen pomocí zprostředkovatele úložiště klíčů (KSP) Microsoftu, musí se použít algoritmus RSA.

Výchozí délka je 85 sekund. Nastavení "long" je 180 sekund. Limit časového limitu nelze prodloužit.

Ne, tato funkce se v současné době nepodporuje.

Tajný klíč klienta označovaný také jako CWAP_AuthSecret se automaticky přidá do objektu aplikace (registrace aplikace) při vytvoření aplikace proxy aplikace Microsoft Entra.

Tajný klíč klienta je platný po dobu jednoho roku. Nový roční tajný klíč klienta se vytvoří automaticky před vypršením platnosti aktuálního platného tajného klíče klienta. Tři CWAP_AuthSecret tajné kódy klienta se uchovávají vždy v objektu aplikace.

Ne, musíte použít původní záložní doménu.

Článek uvedený v otázce: Přidání a nahrazení onmicrosoft.com náhradní domény v Microsoftu 365

Na stránce Registrace aplikací můžete změnit adresu URL domovské stránky na požadovanou externí adresu URL cílové stránky. Zadaná stránka se načte při spuštění aplikace z Moje aplikace nebo portálu Office 365. Postup konfigurace najdete v tématu Nastavení vlastní domovské stránky pro publikované aplikace pomocí proxy aplikací Microsoft Entra.

Pokud je nakonfigurované předběžné ověřování Microsoft Entra a adresa URL aplikace při prvním pokusu o přístup k aplikaci obsahuje znak #, budete přesměrováni na Microsoft Entra ID (login.microsoftonline.com) pro ověření. Po dokončení ověřování se před znakem #přesměruje na část ADRESA URL a vše, co následuje po tom, co se zdá být ignorováno nebo odebráno. Pokud je https://www.contoso.com/#/home/index.htmlnapříklad adresa URL , po ověření Microsoft Entra je uživatel přesměrován na https://www.contoso.com/. Toto chování je záměrně způsobené tím, jak prohlížeč zpracovává znak "#".

Možná řešení/ alternativy:

• Nastavte přesměrování z https://www.contoso.com do https://contoso.com/#/home/index.html. Uživatel musí nejprve získat přístup https://www.contoso.com.
• Adresa URL použitá pro první pokus o přístup musí obsahovat znak "#" ve kódovaném formátu (%23). Publikovaný server nemusí tuto možnost přijmout.
• Nakonfigurujte typ předběžného ověření předávacího ověřování (nedoporučuje se).

Ne, neexistuje žádný požadavek služby IIS pro aplikace, které jsou publikovány. Webové aplikace běžící na jiných serverech než Windows Server můžete publikovat. V závislosti na tom, jestli webový server podporuje negotiate (ověřování kerberos), ale možná nebudete moct použít předběžné ověření s jiným systémem než Windows Server. Služba IIS se nevyžaduje na serveru, na kterém je konektor nainstalovaný.

Proxy aplikace automaticky nepřidá hlavičku HTTP Strict-Transport-Security do odpovědí HTTPS, ale zachová hlavičku, pokud je v původní odpovědi odeslané publikovanou aplikací. Dokazování nastavení pro povolení této funkce je v plánu.

Ne, pokud je protokol http nakonfigurovaný na externí adrese URL, koncový bod proxy aplikace Microsoft Entra přijímá příchozí požadavek na portu TCP 80, pokud protokol https pak na portu TCP 443.

Ano, některé příklady pro interní adresy URL, včetně portů: http://app.contoso.local:8888/, https://app.contoso.local:8080/, https://app.contoso.local:8081/test/.

Některé odpovědi odeslané publikovanými webovými aplikacemi můžou obsahovat pevně zakódované adresy URL. V takovém případě musí být zajištěno pomocí řešení překladu odkazů, že klient vždy používá správnou adresu URL. Řešení překladu odkazů můžou být složitá a nemusí fungovat ve všech scénářích. Tady najdete naše zdokumentovaná řešení pro překlad odkazů.

Doporučuje se používat stejné externí a interní adresy URL. Externí a interní adresy URL jsou považovány za identické, pokud protocol://hostname:port/path/ jsou obě adresy URL stejné.

Toho lze dosáhnout pomocí funkce Vlastní domény .

Příklady:

Identický:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

Neidentické:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

Externí a interní adresy URL nejsou vůbec možné, pokud interní adresa URL obsahuje nestandardní port (jiný než TCP 80 / 443).

V některých scénářích je potřeba provést změny v konfiguraci webové aplikace.

Metoda PrincipalsAllowedToDelegateToAccount se používá, když jsou servery konektorů v jiné doméně než účet služby webové aplikace. Vyžaduje použití omezeného delegování založeného na prostředcích. Pokud jsou servery konektorů a účet služby webové aplikace ve stejné doméně, můžete pomocí Uživatelé a počítače služby Active Directory nakonfigurovat nastavení delegování na každém účtu počítače konektoru a umožnit jim delegování na cílový hlavní název služby .SPN.

Pokud jsou servery konektoru a účet služby webové aplikace v různých doménách, použije se delegování založené na prostředcích. Oprávnění delegování se konfigurují na cílovém webovém serveru a účtu služby webové aplikace. Tato metoda omezeného delegování je relativně nová. Tato metoda byla zavedena ve Windows Serveru 2012, která podporuje delegování mezi doménou tím, že umožňuje vlastníkovi prostředku (webové služby) řídit, na který počítač a účty služeb můžou delegovat. S touto konfigurací není k dispozici žádné uživatelské rozhraní, takže potřebujete použít PowerShell. Další informace najdete v dokumentu white paper Understanding Kerberos Constrained Delegování s proxy aplikací.

Ověřování NTLM se nedá použít jako metoda předběžného ověření nebo jednotného přihlašování. Ověřování NTLM lze použít pouze v případech, kdy je možné vyjednat přímo mezi klientem a publikovanou webovou aplikací. Použití ověřování NTLM obvykle způsobí, že se v prohlížeči zobrazí výzva k přihlášení.

Ne, nebude to fungovat, protože uživatel typu host v Microsoft Entra ID nemá atribut, který vyžaduje žádná z výše uvedených identit přihlašování.

V tomto případě se jedná o záložní název hlavního názvu uživatele. Další podrobnosti o scénáři B2B najdete v tématu Udělení přístupu uživatelů B2B v Microsoft Entra ID k vašim místním aplikacím.

Zásady podmíněného přístupu se vynucují jenom pro uživatele, kteří úspěšně provedli předběžné ověření v Microsoft Entra ID. Předběžné ověření předávání neaktivuje ověřování Microsoft Entra, takže zásady podmíněného přístupu se nedají vynutit. Při předběžném ověření předávacího ověřování musí být zásady vícefaktorového ověřování implementovány na místním serveru, pokud je to možné, nebo povolením předběžného ověření ID Microsoft Entra pomocí proxy aplikací Microsoft Entra.

Ne, tento scénář není podporovaný, protože proxy aplikace ukončuje provoz TLS.

Informace o publikování vzdálené plochy pomocí proxy aplikací Microsoft Entra

Ne, tento scénář není podporovaný.

Ano, očekává se to. Scénář předběžného ověření vyžaduje ovládací prvek ActiveX, který není podporován v prohlížečích třetích stran.

Ano, tento scénář je aktuálně ve verzi Public Preview. Informace o publikování vzdálené plochy pomocí proxy aplikací Microsoft Entra

Ano, očekává se to. Pokud je počítač uživatele připojený k Microsoft Entra, uživatel se automaticky přihlásí k ID Microsoft Entra. Uživatel musí zadat své přihlašovací údaje pouze v přihlašovacím formuláři RDWeb.

Tato možnost umožňuje uživateli stáhnout soubor rdp a použít ho jiným klientem RDP (mimo webového klienta vzdálené plochy). Jiné klienty RDP (například klient Vzdálená plocha Microsoft) obvykle nemůžou nativně zpracovat předběžné ověření. Proto scénář nefunguje.

Informace o povolení vzdáleného přístupu k SharePointu pomocí proxy aplikací Microsoft Entra

Mobilní aplikace SharePoint v současné době nepodporuje předběžné ověření Microsoft Entra.

Ne, proxy aplikace Microsoft Entra je navržené tak, aby fungovalo s ID Microsoft Entra a nesplňuje požadavky na fungování jako proxy služby AD FS.

Ne, tato funkce není podporovaná.

Aplikace, které používají protokol WebSocket, například QlikSense a webový klient vzdálené plochy (HTML5), jsou nyní podporovány. Níže jsou známá omezení:

• Proxy aplikace zahodí soubor cookie nastavený v odpovědi serveru při otevírání připojení WebSocket.
• Na požadavek WebSocket se nepoužívá jednotné přihlašování.
• Funkce (Eventlogs, PowerShell a Vzdálená plocha) v Centru pro správu Windows (WAC) nefungují prostřednictvím proxy aplikace Microsoft Entra.

Aplikace WebSocket nemá žádné jedinečné požadavky na publikování a může být publikována stejným způsobem jako všechny ostatní aplikace proxy aplikací.

Ano. Překlad odkazů má vliv na výkon. Služba proxy aplikací prohledá aplikaci pevně zakódované odkazy a nahradí je odpovídajícími publikovanými externími adresami URL před jejich prezentováním uživateli.

Pro zajištění nejlepšího výkonu doporučujeme používat stejné interní a externí adresy URL konfigurací vlastních domén. Pokud použití vlastních domén není možné, můžete zlepšit výkon překladu odkazů pomocí rozšíření Moje aplikace Zabezpečené přihlašování nebo prohlížeče Microsoft Edge na mobilním zařízení. Viz Přesměrování pevně zakódovaných odkazů pro aplikace publikované pomocí proxy aplikací Microsoft Entra.

Tento scénář není přímo podporovaný. Vaše možnosti pro tento scénář jsou:

1. Publikujte adresy URL HTTP i HTTPS jako samostatné aplikace se zástupným znakem, ale každé z nich dejte jinou vlastní doménu. Tato konfigurace funguje, protože mají různé externí adresy URL.

2. Publikujte adresu URL HTTPS prostřednictvím aplikace se zástupným znakem. Publikování aplikací HTTP samostatně pomocí těchto rutin PowerShellu proxy aplikací:

   • Správa aplikací proxy aplikací
   • Správa privátního síťového konektoru