Compartilhar via

Configurar domínios personalizados com o proxy de aplicativo do Microsoft Entra

  • Artigo

Ao publicar um aplicativo por meio do Proxy de Aplicativo do Microsoft Entra, você cria uma URL externa para seus usuários. Essa URL obtém o domínio padrão yourtenant.msappproxy.net. Por exemplo, se você publicar um aplicativo chamado Despesas em seu locatário chamado Contoso, a URL externa será https:\//expenses-contoso.msappproxy.net. Se quiser usar seu próprio nome de domínio, em vez de msappproxy.net, você pode configurar um domínio personalizado para o seu aplicativo.

Benefícios de domínios personalizados

É uma boa ideia configurar domínios personalizados para seus aplicativos sempre que possível. Alguns motivos para usar domínios personalizados incluem:

  • Os links entre aplicativos funcionam mesmo fora da rede corporativa. Sem um domínio personalizado, se seu aplicativo tiver links internos de hard-coding para destinos fora do proxy de aplicativo e os links não forem resolvidos externamente, eles serão interrompidos. Quando suas URLs internas e externas são as mesmas, você evita esse problema. Se não for possível usar domínios personalizados, consulte Redirecionar links codificados para aplicativos publicados com o Proxy de Aplicativo do Microsoft Entra para obter outras maneiras de resolver esse problema.

  • Os usuários têm uma experiência mais fácil, pois acessam o aplicativo com a mesma URL de dentro ou fora de sua rede. Não é necessário aprender diferentes URLs internas e externas, ou rastrear seu local atual.

  • Você pode controlar sua identidade visual e criar as URLs que quiser. Um domínio personalizado pode ajudar a criar a confiança dos usuários, pois os usuários veem e usam um nome familiar em vez de msappproxy.net.

  • Algumas configurações só funcionam com domínios personalizados. Por exemplo, você precisa de domínios personalizados para aplicativos que usam SAML (Security Assertion Markup Language). O SAML é usado quando você está usando os Serviços de Federação do Active Directory (AD FS), mas não consegue usar a especificação Web Services Federation. Para saber mais, confira Trabalhar com aplicativos com reconhecimento de declaração no proxy de aplicativo.

Se não for possível fazer as URLs internas e externas corresponderem, não será tão importante usar domínios personalizados. Mas você ainda poderá aproveitar os outros benefícios.

Opções de configuração de DNS

Há várias opções para configurar sua configuração de DNS, dependendo de seus requisitos:

Mesma URL interna e externa, comportamento interno e externo diferente

Se você não quiser que os usuários internos sejam direcionados por meio do proxy de aplicativo, poderá configurar um DNS com partição de rede. Uma infraestrutura DNS dividida direciona a resolução de nomes de acordo com o local do host. Os hosts internos são direcionados para um servidor de nome de domínio interno e hosts externos para um servidor de nome de domínio externo.

DNS com partição de rede

Diferentes URLs internas e externas

Quando as URLs internas e externas forem diferentes, não configure o comportamento de cérebro dividido. O roteamento de usuário é determinado usando a URL. Nesse caso, você deverá alterar apenas o DNS externo e rotear a URL externa para o ponto de extremidade do proxy de aplicativo.

Quando você seleciona um domínio personalizado para uma URL externa, uma barra de informações mostra a entrada CNAME que você precisa adicionar ao provedor DNS externo. É possível ver essas informações acessando a página do proxy do aplicativo.

Configurar e usar domínios personalizados

Para configurar um aplicativo local para usar um domínio personalizado, você precisa de um domínio personalizado verificado do Microsoft Entra, um certificado PFX para o domínio personalizado e um aplicativo local para configurar.

Importante

Você é responsável por manter registros DNS que redirecionam seus domínios personalizados para o domínio msappproxy.net. Se optar por excluir posteriormente seu aplicativo ou locatário, certifique-se de também excluir os registros DNS associados para proxy de aplicativo a fim de evitar o uso indevido de registros DNS pendentes.

Criar e verificar um domínio personalizado

Para criar e verificar um domínio personalizado:

  1. Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
  2. Navegue até Identidade>Configurações>Nomes de domínio.
  3. Selecione Adicionar domínio personalizado.
  4. Insira seu nome de domínio personalizado e selecione Adicionar domínio.
  5. Na página do domínio, copie as informações de registro TXT para seu domínio.
  6. Acesse seu registrador de domínio e crie um novo registro TXT para seu domínio, com base nas informações de DNS copiadas.
  7. Depois de registrar o domínio, na página do domínio no Microsoft Entra ID, selecione Verificar. Depois que o status do domínio for Verificado, você poderá usar o domínio em todas as configurações do Microsoft Entra, incluindo o proxy de aplicativo.

Para obter instruções mais detalhadas, confira Adicionar seu nome de domínio personalizado usando o centro de administração do Microsoft Entra.

Configurar um aplicativo para usar um domínio personalizado

Para publicar seu aplicativo por meio do proxy de aplicativo com um domínio personalizado:

  1. Para um novo aplicativo, no centro de administração do Microsoft Entra, navegue até Identidade>Aplicativos>Aplicativos empresariais>Proxy de Aplicativo.

  2. Selecione Novo aplicativo. Na seção Aplicativos locais, selecione Adicionar um aplicativo local.

    Para um aplicativo que já está em Aplicativos empresariais, selecione-o na lista e, em seguida, selecione Proxy de aplicativo no painel de navegação esquerdo.

  3. Na página de configurações de proxy de aplicativo, insira um Nome se estiver adicionando seu próprio aplicativo local.

  4. No campo URL interna, insira a URL interna para seu aplicativo.

  5. No campo URL externa, clique na lista suspensa e selecione o domínio personalizado que você deseja usar.

  6. Selecione Adicionar.

    Selecionar domínio personalizado

  7. Se o domínio já tiver um certificado, o campo Certificado exibirá as informações do certificado. Caso contrário, selecione o campo Certificado.

    Clique para carregar um certificado

  8. Na página Certificado SSL, navegue até e selecione o arquivo de certificado PFX. Insira a senha para o certificado e selecione Carregar certificado. Para saber mais sobre certificados, confira a seção Certificados para domínios personalizados. Se o certificado não for válido ou houver um problema com a senha, você verá uma mensagem de erro. As Perguntas frequentes sobre proxy de aplicativos contêm algumas etapas de solução de problemas que você pode tentar.

    Carregar um certificado

    Dica

    Um domínio personalizado precisa apenas de seu certificado carregado uma vez. Depois disso, o certificado carregado é aplicado automaticamente quando você usa o domínio personalizado para outros aplicativos.

  9. Se você adicionou um certificado, na página do Proxy de aplicativo, selecione Salvar.

  10. Na barra de informações da página Proxy de aplicativo, observe a entrada CNAME que você precisa adicionar à zona DNS.

    Adicionar entrada CNAME do DNS

  11. Siga as instruções em Gerenciar registros DNS e conjuntos de registros usando o centro de administração do Microsoft Entra para adicionar um registro DNS que redireciona o novo URL externo ao domínio msappproxy.net no DNS do Azure. Se um provedor de DNS diferente for usado, entre em contato com o fornecedor para obter as instruções.

    Importante

    Verifique se você está usando corretamente um registro CNAME que aponta para o domínio msappproxy.net. Não aponte registros para endereços IP ou nomes DNS do servidor, pois eles não são estáticos e podem afetar a resiliência do serviço.

  12. Para verificar se o registro de DNS está configurado corretamente, use o comando nslookup para confirmar se a URL externa está acessível e se o domínio msapproxy.net aparece como um alias.

Seu aplicativo agora está configurado para usar o domínio personalizado. Certifique-se de atribuir usuários ao seu aplicativo antes de testá-lo ou liberá-lo.

Para alterar o domínio de um aplicativo, selecione um domínio diferente na lista suspensa em URL externa na página do Proxy de aplicativo. Carregue um certificado para o domínio atualizado, se necessário, e atualize o registro de DNS. Se você não vir o domínio personalizado que deseja na lista suspensa em URL externa, ele poderá não ser verificado.

Para obter instruções mais detalhadas sobre o proxy de aplicativo, consulte Tutorial: como adicionar um aplicativo local para acesso remoto por meio do proxy de aplicativo no Microsoft Entra ID.

Certificados para domínios personalizados

Um certificado cria a conexão TLS segura para seu domínio personalizado.

Formatos de certificado

Você deve usar um certificado PFX para garantir que todos os certificados intermediários necessários estejam incluídos. O certificado deve conter uma chave privada.

Há suporte para métodos de assinatura de certificado mais comuns, como SAN (Nome Alternativo da Assunto).

Você pode usar certificados curingas, desde que o curinga corresponda à URL externa. Você deve usar certificados curinga para aplicativos curinga. Se você quiser usar o certificado para também acessar subdomínios, deverá adicionar os curingas de subdomínio como nomes alternativos da entidade no mesmo certificado. Por exemplo, um certificado para *.adventure-works.com não funcionará para *.apps.adventure-works.com, a menos que você adicione *.apps.adventure-works.com como nome alternativo da entidade.

Você pode usar certificados emitidos por sua própria PKI (infraestrutura de chave pública) se a cadeia de certificados estiver instalada em seus dispositivos cliente. O Microsoft Intune pode implantar esses certificados em dispositivos gerenciados. Para dispositivos não gerenciados, você deve instalar manualmente esses certificados.

Não recomendamos o uso de uma AC (Autoridade de Certificação) raiz privada, pois ela também precisaria ser enviada por push para computadores cliente, o que pode apresentar muitos desafios.

Gerenciamento de certificados

Todo o gerenciamento de certificados é realizado por meio das páginas individuais do aplicativo. Vá para a página Proxy de aplicativo do aplicativo para acessar o campo Certificado.

Se você carregar um certificado, novos aplicativos o usarão. Desde que estejam configurados para usá-lo. No entanto, você precisa carregar o certificado novamente para aplicativos que já estavam lá quando você o carregou.

Quando um certificado expirar, você receberá um aviso instruindo você a carregar outro certificado. Se o certificado for revogado, os usuários poderão ver um aviso de segurança ao acessarem o aplicativo. Para atualizar o certificado de um aplicativo, navegue até a página Proxy de aplicativo do aplicativo, selecione Certificado e carregue um novo certificado. Os certificados antigos que não estão sendo usados por outros aplicativos são excluídos automaticamente.

Próximas etapas