Поделиться через

Добавьте локальное приложение для удаленного доступа через прокси приложения в Microsoft Entra ID.

  • Статья

Идентификатор Microsoft Entra имеет службу прокси приложения, которая позволяет пользователям получать доступ к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. Дополнительные сведения о прокси-сервере приложения см. в статье "Что такое прокси приложения?". Это руководство подготавливает вашу среду для использования прокси приложения. После готовности среды используйте Центр администрирования Microsoft Entra для добавления локального приложения в клиент.

Схема обзора прокси приложения

Изучив это руководство, вы:

  • Установите и проверьте соединитель на сервере Windows и зарегистрируйте его в прокси приложения.
  • Добавьте локальное приложение в клиент Microsoft Entra.
  • Убедитесь, что тестовый пользователь может войти в приложение с помощью учетной записи Microsoft Entra.

Предварительные условия

Чтобы добавить локальное приложение в идентификатор Microsoft Entra, вам потребуется:

  • Подписка Microsoft Entra ID P1 или P2.
  • Учетная запись администратора приложения.
  • Синхронизированный набор учетных записей пользователей в локальном каталоге. Или создайте их непосредственно в клиентах Microsoft Entra. Синхронизация удостоверений позволяет удостоверению личности Microsoft Entra предварительно аутентифицировать пользователей перед предоставлением доступа к приложениям, опубликованным через прокси-сервер. Синхронизация также предоставляет необходимые сведения об идентификаторе пользователя для выполнения единого входа.
  • Общие сведения об управлении приложениями в Microsoft Entra см. в разделе "Просмотр корпоративных приложений" в Microsoft Entra.
  • Общие сведения о едином входе см. в статье "Общие сведения о едином входе".

Установка и проверка соединителя частной сети Microsoft Entra

Прокси-сервер приложения использует тот же соединитель, что и служба частного доступа Microsoft Entra. Соединитель называется соединителем частной сети Microsoft Entra. Сведения об установке и проверке соединителя см. в статье "Настройка соединителей".

Общие замечания

Общедоступные записи DNS для конечных точек прокси приложения Microsoft Entra связаны записями CNAME, указывающими на запись A. Настройка записей таким образом обеспечивает отказоустойчивость и гибкость. Соединитель частной сети Microsoft Entra всегда обращается к именам узлов с суффиксами *.msappproxy.net домена или *.servicebus.windows.net. Однако во время разрешения имен записи CNAME могут содержать записи DNS с разными именами узлов и суффиксами. Из-за различий необходимо убедиться, что устройство (в зависимости от настройки — сервер соединителя, брандмауэр, исходящий прокси-сервер) может разрешать все записи в цепочке и предоставлять возможность подключения к разрешённым IP-адресам. Поскольку записи DNS в цепочке могут изменяться время от времени, мы не можем предоставить вам никакие списки записей DNS.

При установке соединителей в разных регионах необходимо оптимизировать трафик, выбрав ближайший регион облачной службы прокси приложения с каждой группой соединителей. Дополнительные сведения см. в статье "Оптимизация потока трафика" с помощью прокси приложения Microsoft Entra.

Если в организации используются прокси-серверы для подключения к Интернету, необходимо настроить их для прокси приложения. Дополнительные сведения см. в статье Работа с имеющимися локальными прокси-серверами.

Добавление локального приложения в Microsoft Entra ID

Добавьте локальные приложения в идентификатор Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора приложений.

  2. Перейдите к Identity>Applications>Enterprise applications.

  3. Выберите Новое приложение.

  4. Нажмите кнопку "Добавить локальное приложение ", которая отображается примерно на полпути страницы в разделе локальных приложений . Кроме того, можно выбрать команду "Создать собственное приложение " в верхней части страницы и выбрать " Настроить прокси приложения для безопасного удаленного доступа к локальному приложению".

  5. В разделе Добавление локального приложения укажите следующие сведения о приложении.

    Поле Описание:
    Имя Имя приложения, которое отображается в Мои приложения и в Центре администрирования Microsoft Entra.
    Режим обслуживания Выберите, хотите ли вы включить режим обслуживания и временно отключить доступ для всех пользователей к приложению.
    Внутренний URL-адрес URL-адрес для доступа к приложению в частной сети. Для публикации можно указать только конкретный адрес на внутреннем сервере; при этом другие адреса сервера не публикуются. Это позволяет публиковать на одном сервере различные сайты в виде различных приложений, назначая каждому из них отдельное имя и правила доступа.

    Если вы публикуете путь, он должен включать в себя все необходимые изображения, скрипты и таблицы стилей для вашего приложения. Например, если приложение размещено по адресу https://yourapp/app и использует образы, размещенные по адресу https://yourapp/media, опубликуйте https://yourapp/ в качестве пути. Этот внутренний URL-адрес не должен отображаться на целевой странице, которую видят пользователи. Дополнительные сведения см. в разделе Настройка пользовательской домашней страницы для опубликованных приложений.
    Внешний URL-адрес Адрес для пользователей, чтобы получить доступ к приложению за пределами вашей сети. Если вы не хотите использовать домен прокси приложения по умолчанию, ознакомьтесь с пользовательскими доменами в прокси приложения Microsoft Entra.
    Предварительная проверка подлинности Как прокси приложения проверяет пользователей перед предоставлением им доступа к приложению.

    Microsoft Entra ID — прокси приложения перенаправляет пользователей на вход с помощью Microsoft Entra ID, который проверяет их полномочия для каталога и приложения. Мы рекомендуем сохранить этот параметр по умолчанию, чтобы воспользоваться преимуществами функций безопасности Microsoft Entra, таких как условный доступ и многофакторная проверка подлинности. Microsoft Entra ID необходим для мониторинга приложения с помощью Microsoft Defender для облачных приложений.

    Прокси-доступ - Пользователям не нужно проходить проверку подлинности через Microsoft Entra, чтобы получить доступ к приложению. Вы по-прежнему можете настроить требования к аутентификации на серверной стороне.
    Группа соединителей Соединители обрабатывают удаленный доступ к приложению, а группы соединителей позволяют упорядочивать соединители и приложения по регионам, сетям и назначению. Если вы еще не создали какие-либо группы соединителей, приложение назначается в группу по умолчанию.

    Если ваше приложение использует WebSocket для подключения, все соединители в группе должны быть версии 1.5.612.0 или более поздней.

  6. При необходимости настройте дополнительные параметры. Для большинства приложений следует сохранить значения этих параметров по умолчанию.

    Поле Описание:
    Время ожидания серверного приложения Задайте для этого параметра значение Длинный, только если приложение медленно выполняет проверку подлинности и подключение. По умолчанию время ожидания серверного приложения составляет 85 секунд. Если задано слишком долго, время ожидания серверной части увеличивается до 180 секунд.
    Use HTTP-Only Cookie (Использовать файл cookie только HTTP-Only) Выберите, чтобы файлы cookie прокси приложения включали флаг HTTPOnly в заголовок ответа HTTP. При использовании служб удаленных рабочих столов сохраните параметр без выбора.
    Использовать постоянные файлы cookie Сохраните параметр без выбора. Этот параметр нужно использовать только для приложений, в которых файлы cookie не используются совместно между процессами. Дополнительные сведения о параметрах cookie см. в разделе "Параметры cookie" для доступа к локальным приложениям в идентификаторе Microsoft Entra.
    Translate URLs in Headers (Преобразование URL-адресов в заголовках) Оставьте параметр выбранным, если только ваше приложение не требует исходного заголовка узла в запросе аутентификации.
    Translate URLs in Application Body (Преобразовывать URL-адреса в коде приложения) Не выбирайте этот параметр, если HTML-ссылки жестко встроены в другие локальные приложения и не используют пользовательские домены. Дополнительные сведения см. в разделе "Перевод ссылок с прокси приложениями".

    Выберите, планируете ли вы отслеживать это приложение с помощью Microsoft Defender для облака Приложений. Дополнительные сведения см. в разделе "Настройка мониторинга доступа к приложениям в режиме реального времени" с помощью Microsoft Defender для облака Apps и идентификатора Microsoft Entra.
    Проверка внутреннего TLS/SSL-сертификата Выберите, чтобы включить проверку сертификатов TLS/SSL для приложения.

  7. Выберите Добавить.

Тестирование приложения

Вы готовы протестировать корректность добавления приложения. В следующих шагах вы добавите учетную запись пользователя в приложение и попробуйте войти.

Добавление пользователя для тестирования

Прежде чем добавить пользователя к приложению, убедитесь, что у учетной записи есть разрешения на доступ к приложению из корпоративной сети.

Чтобы добавить тестового пользователя:

  1. Щелкните Корпоративные приложения и выберите приложение, которое необходимо проверить.
  2. Щелкните Приступая к работе и выберите Assign a user for testing (Назначение пользователя для тестирования).
  3. В разделе Пользователи и группы выберите Добавление пользователя.
  4. В разделе Добавление назначения выберите Пользователи и группы. Появится раздел Пользователи и группы.
  5. Выберите учетную запись, которую вы хотите добавить.
  6. Щелкните Выбрать, а затем выберите Назначить.

Проверка входа

Чтобы проверить проверку подлинности в приложении, выполните следующие действия.

  1. В приложении, которое вы хотите протестировать, выберите прокси приложения.
  2. В верхней части страницы выберите Тестировать приложение, чтобы запустить тест в приложении и проверить наличие проблем с конфигурацией.
  3. Сначала запустите приложение, чтобы проверить функцию входа в приложение, а затем скачайте диагностический отчет, чтобы просмотреть рекомендации по устранению обнаруженных проблем.

Сведения об устранении неполадок см. в разделе "Устранение неполадок прокси приложения" и сообщений об ошибках.

Очистка ресурсов

Не забудьте удалить все ресурсы, созданные в этом руководстве, по завершении работы.

Устранение неполадок

Узнайте о распространенных проблемах и их устранении.

Создание приложения/Настройка URL-адресов

Проверьте сведения об ошибке и рекомендации по исправлению приложения. Большинство сообщений об ошибках включают в себя предлагаемое исправление. Чтобы избежать распространенных ошибок, проверьте следующее:

  • Вы являетесь администратором с разрешением на создание приложения-прокси.
  • Внутренний URL-адрес является уникальным.
  • Внешний URL-адрес является уникальным.
  • URL-адрес начинается с http или https и заканчивается на "/".
  • URL-адрес должен включать имя домена, а не IP-адрес.

Сообщение об ошибке при создании приложения должно отображаться в правом верхнем углу. Для просмотра сообщений об ошибках также можно выбрать значок уведомления.

Отправка сертификатов для пользовательских доменов

В качестве пользовательских доменов можно указать домен для внешних URL-адресов. Чтобы использовать пользовательские домены, необходимо отправить сертификат для этого домена. Сведения об использовании пользовательских доменов и сертификатов см. в статье "Работа с пользовательскими доменами" в прокси приложениях Microsoft Entra.

Если возникают проблемы с отправкой сертификата, найдите сообщения об ошибках на портале, чтобы получить дополнительные сведения о проблеме с сертификатом. Распространенные проблемы, связанные с сертификатами, включают следующие:

  • Срок действия сертификата истек.
  • Сертификат самоподписан.
  • Отсутствует закрытый ключ сертификата.

При попытке отправить сертификат в правом верхнем углу отображается сообщение об ошибке. Для просмотра сообщений об ошибках также можно выбрать значок уведомления.

Следующие шаги