Udostępnij za pośrednictwem


Ustawienia plików cookie na potrzeby uzyskiwania dostępu do aplikacji lokalnych w identyfikatorze Entra firmy Microsoft

Identyfikator Entra firmy Microsoft ma pliki cookie dostępu i sesji na potrzeby uzyskiwania dostępu do aplikacji lokalnych za pośrednictwem serwera proxy aplikacji. Dowiedz się, jak używać ustawień pliku cookie serwera proxy aplikacji.

Serwer proxy aplikacji używa następujących ustawień plików cookie dostępu i sesji.

Ustawienie pliku cookie Domyślny opis Zalecenia
Użyj pliku cookie tylko HTTP Nie Ustawienie Tak umożliwia serwerowi proxy aplikacji dołączenie flagi HTTPOnly w nagłówkach odpowiedzi HTTP. Ta flaga zapewnia dodatkowe korzyści bezpieczeństwa, na przykład uniemożliwia kopiowanie lub modyfikowanie plików cookie przez skrypty po stronie klienta (CSS).



Przed obsługą ustawienia Tylko protokół HTTP serwer proxy aplikacji szyfrował i przesyłał pliki cookie za pośrednictwem zabezpieczonego kanału protokołu Transport Layer Security (TLS) w celu ochrony przed modyfikacją. 
Użyj opcji Tak z powodu dodatkowych korzyści zabezpieczeń.



Użyj opcji Nie dla klientów lub agentów użytkowników, którzy wymagają dostępu do pliku cookie sesji. Na przykład użyj opcji Nie dla protokołu RDP (Remote Desktop Protocol) lub klienta usług terminalowych firmy Microsoft (MTSC), który łączy się z serwerem bramy usług pulpitu zdalnego za pośrednictwem serwera proxy aplikacji.
Użyj bezpiecznego pliku cookie Tak Ustawienie Tak umożliwia serwerowi proxy aplikacji dołączenie flagi Secure w nagłówkach odpowiedzi HTTP. Bezpieczne pliki cookie zwiększają bezpieczeństwo, przesyłając pliki cookie za pośrednictwem zabezpieczonego kanału TLS, takiego jak HTTPS. Protokół TLS uniemożliwia przesyłanie plików cookie w postaci zwykłego tekstu. Użyj opcji Tak z powodu dodatkowych korzyści zabezpieczeń.
Używaj trwałego pliku cookie Nie Wybranie pozycji Tak umożliwia serwerowi proxy aplikacji ustawienie plików cookie dostępu, które nie wygasa po zamknięciu przeglądarki internetowej. Trwałość trwa do momentu wygaśnięcia tokenu dostępu lub do momentu ręcznego usunięcia trwałych plików cookie przez użytkownika. Użyj opcji Nie ze względu na ryzyko bezpieczeństwa związane z utrzymywaniem uwierzytelnienia użytkowników.



Zalecamy używanie opcji Tak tylko w przypadku starszych aplikacji, które nie mogą udostępniać plików cookie między procesami. Lepiej zaktualizować aplikację w celu obsługi udostępniania plików cookie między procesami zamiast używania trwałych plików cookie. Na przykład może być konieczne trwałe pliki cookie, aby umożliwić użytkownikowi otwieranie dokumentów pakietu Office w widoku eksploratora z witryny programu SharePoint. Bez trwałych plików cookie ta operacja może zakończyć się niepowodzeniem, jeśli pliki cookie dostępu nie są udostępniane między przeglądarką, procesem eksploratora i procesem pakietu Office.

Pliki cookie samesite

Pliki cookie, które nie określają atrybutu SameSite , są traktowane tak, jakby zostały ustawione na SameSite=Lax. Atrybut SameSite deklaruje, jak pliki cookie powinny być ograniczone do tego samego kontekstu witryny. W przypadku ustawienia na Laxwartość plik cookie jest wysyłany tylko do żądań tej samej witryny lub nawigacji najwyższego poziomu. Jednak serwer proxy aplikacji wymaga zachowania tych plików cookie w kontekście innych firm w celu zapewnienia prawidłowego logowania użytkowników podczas sesji. Ze względu na wymaganie wprowadzono aktualizacje:

  • Ustawienie atrybutu SameSite na None. pliki cookie sesji serwera proxy aplikacji są prawidłowo wysyłane w kontekście innych firm.
  • Ustaw ustawienie Użyj bezpiecznego pliku cookie, aby użyć wartości Tak jako domyślnej. Przeglądarka Chrome odrzuca pliki cookie, które nie używają flagi Secure . Zmiana dotyczy wszystkich istniejących aplikacji opublikowanych za pośrednictwem serwera proxy aplikacji. Pliki cookie dostępu serwera proxy aplikacji są ustawione na Wartość Secure i przesyłane tylko za pośrednictwem protokołu HTTPS. Zmiana dotyczy tylko plików cookie sesji.

Ponadto, jeśli aplikacja zaplecza zawiera pliki cookie, które wymagają kontekstu innej firmy, musisz jawnie wyrazić zgodę, zmieniając aplikację na użycie polecenia SameSite=None. Serwer proxy aplikacji tłumaczy Set-Cookie nagłówek na jego adresy URL i uwzględnia ustawienia.

Aby ustawić ustawienia plików cookie przy użyciu centrum administracyjnego firmy Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
  2. Przejdź do strony Identity>Applications Enterprise Applications>Application Proxy( Serwer proxy aplikacji dla>przedsiębiorstw).
  3. W obszarze Ustawienia dodatkowe ustaw ustawienie pliku cookie na Wartość Tak lub Nie.
  4. Wybierz pozycję Zapisz, aby zastosować zmiany.

Aby wyświetlić bieżące ustawienia plików cookie dla aplikacji, użyj tego polecenia programu PowerShell:

Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl * 

W poniższych poleceniach <ObjectId> programu PowerShell jest identyfikatorem ObjectId aplikacji.

Plik cookie tylko http

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false 

Bezpieczny plik cookie

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false 

Trwałe pliki cookie

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false