Configurare Custom Domain con proxy dell'applicazione Microsoft Entra
Quando si pubblica un'applicazione tramite il proxy di applicazione di Microsoft Entra, si crea un URL esterno per gli utenti. Questo URL ottiene il dominio predefinito yourtenant.msappproxy.net
. Ad esempio, se si pubblica un'app chiamata Spese in un tenant denominato Contoso, l'URL esterno è https:\//expenses-contoso.msappproxy.net
. Per usare il proprio nome di dominio, anziché msappproxy.net
, è possibile configurare un dominio personalizzato per l'applicazione.
Vantaggi dei domini personalizzati
Quando possibile, è consigliabile configurare domini personalizzati per le app. Di seguito sono indicati alcuni motivi per cui usare domini personalizzati:
I collegamenti tra le app funzionano anche all'esterno della rete aziendale. Senza un dominio personalizzato, se l'app contiene collegamenti interni hardcoded a destinazioni all'esterno del proxy di applicazione e i collegamenti non sono risolvibili esternamente, questi si interrompono. Se gli URL interni ed esterni coincidono, si evita questo problema. Se non si è in grado di usare domini personalizzati, vedere Reindirizzare i collegamenti hardcoded per le app pubblicate con il proxy di applicazione di Microsoft Entra per altri modi per risolvere questo problema.
Gli utenti possono usufruire di un'esperienza semplificata, perché possono raggiungere l'app con lo stesso URL dall'interno o dall'esterno della rete. Non devono acquisire URL interni ed esterni diversi, né tenere traccia della posizione corrente.
È possibile controllare la personalizzazione e creare gli URL desiderati. Un dominio personalizzato rafforza la fiducia degli utenti, che possono visualizzare e usare un nome familiare anziché
msappproxy.net
.Alcune configurazioni funzionano solo con domini personalizzati. Ad esempio, sono necessari domini personalizzati per le app che usano SAML (Security Assertion Markup Language). SAML viene usato quando si usa Active Directory Federation Services (AD FS), ma non è possibile usare WS-Federation. Per altre informazioni, vedere Uso di app in grado di riconoscere attestazioni nel proxy di applicazione.
Se non si è in grado di eseguire una corrispondenza tra URL interni ed esterni, non è altrettanto importante usare domini personalizzati. È comunque possibile sfruttare gli altri vantaggi.
Opzioni di configurazione DNS
Sono disponibili diverse opzioni per impostare la configurazione DNS, a seconda dei requisiti:
Stessi URL interni ed esterni, comportamenti interni ed esterni diversi
Se non si vuole che gli utenti interni vengano indirizzati tramite il proxy di applicazione, è possibile configurare un'infrastruttura DNS split brain. Un'infrastruttura DNS di questo tipo gestisce la risoluzione dei nomi in base alla posizione dell'host. Gli host interni vengono indirizzati a un Domain Name Server interno e gli host esterni a un Domain Name Server esterno.
URL interni ed esterni diversi
Se gli URL interni ed esterni sono diversi, non è necessario configurare il comportamento split brain. Il routing utente viene determinato usando l'URL. In questo caso, modificare solo il DNS esterno ed eseguire il routing dell'URL esterno all'endpoint del proxy di applicazione.
Quando si seleziona un dominio personalizzato per un URL esterno, una barra delle informazioni mostra la voce CNAME che è necessario aggiungere al provider DNS esterno. Queste informazioni sono sempre visibili alla pagina Application Proxy dell'app.
Configurare e usare domini personalizzati
Per configurare un'app locale per l'uso di un dominio personalizzato, sono necessari un dominio personalizzato Microsoft Entra verificato, un certificato PFX per il dominio personalizzato e un'app locale da configurare.
Importante
Si ha la responsabilità della gestione dei record DNS che reindirizzano i domini personalizzati al dominio msappproxy.net
. Se in un secondo momento si sceglie di eliminare l'applicazione o il tenant, assicurarsi di eliminare anche i record DNS associati per il proxy di applicazione al fine di impedirne l'uso improprio.
Creare e verificare un dominio personalizzato
Per creare e verificare un dominio personalizzato:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
- Passare a Identità>Impostazioni>Nomi di dominio.
- Selezionare Aggiungi dominio personalizzato.
- Immettere il nome di dominio personalizzato e selezionare Aggiungi dominio.
- Nella pagina del dominio copiare le informazioni del record TXT per il dominio.
- Passare al registrar del dominio e creare un nuovo record TXT per il dominio in base alle informazioni DNS copiate.
- Dopo aver registrato il dominio, nella pagina del dominio in Microsoft Entra ID selezionare Verifica. Se lo stato del dominio è Verificato, è possibile usare il dominio in tutte le configurazioni di Microsoft Entra, tra cui il proxy di applicazione.
Per istruzioni dettagliate, vedere Aggiungere un nome di dominio personalizzato usando l'interfaccia di amministrazione di Microsoft Entra.
Configurare un'app per l'uso di un dominio personalizzato
Per pubblicare l'app tramite il proxy di applicazione con un dominio personalizzato:
Per una nuova app, nell'interfaccia di amministrazione di Microsoft Entra passare a Identità>Applicazioni>Applicazioni aziendali>Proxy di applicazione.
Selezionare Nuova applicazione. Nella sezione Applicazioni locali selezionare Aggiungi un'applicazione locale.
Per un'app già presente in Applicazioni aziendali, selezionarla dall'elenco e quindi fare clic su Proxy dell'applicazione nel riquadro di spostamento a sinistra.
Nella pagina delle impostazioni del proxy di applicazione immettere un Nome se si aggiunge un'applicazione locale.
Nel campo URL interno immettere l'URL interno per l'app.
Nel campo URL esterno fare clic sull'elenco a discesa e selezionare il dominio personalizzato che si vuole usare.
Selezionare Aggiungi.
Se è già stato caricato un certificato per il dominio, il campo Certificato visualizza le informazioni sul certificato. In caso contrario, selezionare il campo Certificato.
Nella pagina Certificato SSL individuare e selezionare il file di certificato PFX. Immettere la password per il certificato e selezionare Carica certificato. Per altre informazioni sui certificati, vedere la sezione Certificati per domini personalizzati. Se il certificato non è valido o si è verificato un problema con la password, viene visualizzato un messaggio di errore. Le domande frequenti sul proxy di applicazione contengono alcuni passaggi per la risoluzione dei problemi che è possibile provare.
Suggerimento
Un dominio personalizzato richiede che il certificato venga caricato una sola volta. Il certificato caricato viene quindi applicato automaticamente quando si usa il dominio personalizzato per altre app.
Se è stato aggiunto un certificato, nella pagina Proxy dell'applicazione selezionare Salva.
Nella barra delle informazioni della pagina Proxy dell'applicazione prendere nota della voce CNAME che è necessario aggiungere alla zona DNS.
Seguire le istruzioni in Gestire record e set di record DNS con l'interfaccia di amministrazione di Microsoft Entra per aggiungere un record DNS che reindirizzi il nuovo URL esterno al dominio
msappproxy.net
in DNS di Azure. Se viene usato un provider DNS diverso, contattare il fornitore per le istruzioni.Importante
Assicurarsi di usare correttamente un record CNAME che punta al dominio
msappproxy.net
. I record non devono puntare a indirizzi IP o a nomi DNS dei server, poiché non sono statici e possono incidere sulla resilienza del servizio.Per verificare che il record DNS sia configurato correttamente, usare il comando nslookup per verificare che l'URL esterno sia raggiungibile e che il dominio
msapproxy.net
sia visualizzato come alias.
L'applicazione è ora configurata per l'uso del dominio personalizzato. Assicurarsi di assegnare utenti all'applicazione prima di testarla o rilasciarla.
Per modificare il dominio per un'app, selezionare un dominio diverso nell'elenco a discesa in URL esterno nella pagina Proxy dell'applicazione dell'app. Caricare un certificato per il dominio aggiornato, se necessario, e aggiornare il record DNS. Se non viene visualizzato il dominio personalizzato desiderato nell'elenco a discesa in URL esterno, potrebbe non essere verificato.
Per istruzioni dettagliate per il proxy di applicazione, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite proxy di applicazione in Microsoft Entra ID.
Certificati per domini personalizzati
Un certificato crea la connessione TLS sicura per il dominio personalizzato.
Formati dei certificati
Per verificare che siano inclusi tutti i certificati intermedi necessari, è necessario usare un certificato PFX. Il certificato deve includere la chiave privata.
Sono supportati i metodi di firma del certificato più comuni, ad esempio il nome alternativo del soggetto (SAN).
È possibile usare certificati con caratteri jolly purché il carattere jolly corrisponda all'URL esterno. È necessario usare certificati con caratteri jolly per le applicazioni con caratteri jolly. Se si intende usare il certificato per accedere anche ai sottodomini, è necessario aggiungere i caratteri jolly dei sottodomini come nomi alternativi del soggetto nello stesso certificato. Ad esempio, un certificato per *.adventure-works.com non funziona per *.apps.adventure-works.com a meno che non si aggiunga *.apps.adventure-works.com
come nome alternativo del soggetto.
È possibile usare i certificati emessi dalla propria infrastruttura a chiave pubblica (PKI) se la catena di certificati è installata nei dispositivi client. Microsoft Intune può distribuire questi certificati nei dispositivi gestiti. Per i dispositivi non gestiti, è necessario installare manualmente i certificati.
Non è consigliabile usare un'autorità di certificazione (CA) radice privata, poiché anche questa deve essere sottoposta a push nei computer client, il che potrebbe comportare una serie di problemi.
Gestione dei certificati
La gestione di tutti i certificati avviene nelle singole pagine dell'applicazione. Passare alla pagina Proxy dell'applicazione per la specifica applicazione e accedere al campo Certificato.
Se si carica un certificato, le nuove app lo usano, sempre che siano configurate per usarlo. Tuttavia, è necessario caricare di nuovo il certificato per le app già presenti al momento del caricamento.
Quando un certificato scade, un avviso richiede di caricarne un altro. Se il certificato viene revocato, gli utenti potrebbero vedere un avviso di sicurezza quando accedono all'app. Per aggiornare il certificato per un'app, passare alla pagina Proxy dell'applicazione per l'app, selezionare Certificato e caricare un nuovo certificato. I certificati precedenti che non vengono usati da altre app vengono eliminati automaticamente.
Passaggi successivi
- Abilitare l'accesso Single Sign-On alle app pubblicate con l'autenticazione di Microsoft Entra.
- Abilitare l'accesso condizionale alle app cloud pubblicate.