На этой странице приведены ответы на часто задаваемые вопросы о прокси приложениях Microsoft Entra.
Общие
Можно ли изменить приложение-прокси приложения на странице **Регистрация приложений** в Центре администрирования Microsoft Entra?
Нет, следующие элементы конфигурации используются прокси приложениями и не должны быть изменены или удалены:
- Включить или отключить "Разрешить потоки общедоступных клиентов".
- CWAP_AuthSecret (секреты клиента).
- Разрешения API. Изменение любого из указанных выше элементов конфигурации на странице регистрации приложений прерывает предварительную проверку подлинности для прокси приложения Microsoft Entra.
Можно ли удалить приложение-прокси приложения на странице Регистрация приложений в Центре администрирования Microsoft Entra?
Нет, следует удалить приложение-прокси приложения из области корпоративных приложений Центра администрирования Microsoft Entra. Если удалить приложение-прокси приложения из области Регистрация приложений центра администрирования Microsoft Entra, могут возникнуть проблемы.
Какая лицензия необходима для использования прокси приложения Microsoft Entra?
Чтобы использовать прокси приложения Microsoft Entra, необходимо иметь лицензию Microsoft Entra ID P1 или P2. Дополнительные сведения о лицензировании см. в ценах на Microsoft Entra
Что происходит с прокси приложения Microsoft Entra в моем клиенте, если срок действия лицензии истек?
Если срок действия лицензии истекает, прокси приложения автоматически отключается. Сведения о приложении сохраняются до одного года.
Почему кнопка "Включить прокси приложения" неактивна?
Убедитесь, что у вас установлена по крайней мере лицензия Microsoft Entra ID P1 или P2 и соединитель частной сети Microsoft Entra. После успешной установки первого соединителя служба прокси приложения Microsoft Entra включена автоматически.
Для чего используются TCP-порты 10200 и 10201?
Использование служебной программы проверки портов на общедоступных конечных точках прокси приложения (msappproxy.net или пользовательской) может показать, что tcp-порты 10200 и 10201 открыты в дополнение к портам 80 и/или 443. Эти порты используются для мониторинга работоспособности внутренних служб. Никакие данные клиента не доступны через эти порты, и службы за ними не обрабатывают никаких сведений; они просто отвечают на "ОК".
Конфигурация соединителя
Использует ли прокси приложения тот же соединитель, что и Частный доступ Microsoft Entra?
Да, соединитель частной сети Microsoft Entra используется как прокси приложения, так и Частный доступ Microsoft Entra. Дополнительные сведения о соединителе см. в статье Microsoft Entra private network connector. Сведения об устранении неполадок с конфигурацией соединителей см. в статье об устранении неполадок соединителей.
Конфигурация приложений
Можно ли использовать суффиксы домена "[имя клиента].onmicrosoft.com" или "[имя клиента].mail.onmicrosoft.com" во внешнем URL-адресе?
Хотя эти суффиксы отображаются в списке суффиксов, их не следует использовать. Эти суффиксы домена не предназначены для использования с прокси-сервером приложения Microsoft Entra. Если вы используете эти суффиксы домена, созданное приложение прокси приложения Microsoft Entra не будет работать.
Можно использовать стандартный суффикс домена msappproxy.net
или личный домен.
Поддерживает ли прокси-сервер приложения для национальных и региональных облаков?
Идентификатор Microsoft Entra имеет службу прокси приложения, которая позволяет пользователям получать доступ к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. Если у вас установлены соединители в разных регионах, можно оптимизировать трафик, выбрав ближайший регион облачной службы прокси приложения для использования с каждой группой соединителей, см. статью "Оптимизация потока трафика с помощью прокси приложения Microsoft Entra".
Я получаю ошибку о недопустимом сертификате или возможном неправильном пароле.
После передачи SSL-сертификата вы получите сообщение "Недопустимый сертификат, возможно, неверный пароль" на портале.
Ниже приведены некоторые советы по устранению этой ошибки.
- Проверьте наличие проблем с сертификатом. Установите его на локальном компьютере. Если проблем не возникает, то с сертификатом все в порядке.
- Убедитесь, что пароль не содержит специальных символов. Пароль должен содержать только символы 0-9, A-Z и a-z.
- Если сертификат был создан с помощью поставщика хранилища ключей программного обеспечения Майкрософт, необходимо использовать алгоритм RSA.
Какова длина времени ожидания серверной части по умолчанию и long? Можно ли увеличить время ожидания?
Длина по умолчанию составляет 85 секунд. "Длинное" ожидание составляет 180 секунд. Предел времени ожидания не может быть увеличен.
Может ли субъект-служба управлять прокси приложениями с помощью API PowerShell или Microsoft Graph?
Нет, в настоящее время такая возможность не поддерживается.
Что произойдет, если удалить CWAP_AuthSecret (секрет клиента) в регистрации приложения?
Секрет клиента, также называемый CWAP_AuthSecret, автоматически добавляется в объект приложения (регистрация приложения) при создании прокси-приложения Microsoft Entra.
Секрет клиента действителен в течение одного года. Новый секрет клиента в течение одного года создается автоматически до истечения срока действия текущего действительного секрета клиента. Три CWAP_AuthSecret секреты клиента всегда хранятся в объекте приложения.
Внимание
Удаление CWAP_AuthSecret прерывает предварительную проверку подлинности для прокси приложения Microsoft Entra. Не удаляйте CWAP_AuthSecret.
Я использую или хочу использовать прокси приложения Microsoft Entra. Можно ли заменить резервный домен onmicrosoft.com клиента в Microsoft 365, как показано в статье "Добавление и замена резервного домена onmicrosoft.com в Microsoft 365"?
Нет, необходимо использовать исходный резервный домен.
Статья, упоминаемая в вопросе: добавление и замена резервного домена onmicrosoft.com в Microsoft 365
Как изменить целевую страницу, с которой загружается приложение?
На странице регистрации приложений можно изменить URL-адрес домашней страницы на требуемый внешний URL-адрес целевой страницы. Указанная страница загружается при запуске приложения с Мои приложения или портала Office 365. Инструкции по настройке см. в разделе "Настройка пользовательской домашней страницы для опубликованных приложений с помощью прокси приложения Microsoft Entra"
Почему меня перенаправляют на усеченный URL-адрес при попытке доступа к опубликованному приложению, когда URL-адрес содержит символ # (хэштег)?
Если настроена предварительная проверка подлинности Microsoft Entra, а URL-адрес приложения содержит символ "#" при попытке доступа к приложению в первый раз, вы будете перенаправлены на идентификатор Microsoft Entra (login.microsoftonline.com) для проверки подлинности. После завершения проверки подлинности вы будете перенаправлены на URL-часть до символа "#" и все, что происходит после "#", кажется, игнорируется или удалено. Например, если URL-адрес указан https://www.contoso.com/#/home/index.html
, после завершения проверки подлинности Microsoft Entra пользователь перенаправляется в https://www.contoso.com/
.
Это поведение обусловлено тем, как символ # обрабатывается браузером.
Возможные решения и альтернативы:
- Настройка перенаправления из
https://www.contoso.com
https://contoso.com/#/home/index.html
. Пользователь должен сначала получить доступ кhttps://www.contoso.com
. - URL-адрес, используемый для первой попытки доступа, должен содержать символ # в кодированной форме (%23). Опубликованный сервер может не принять это.
- Настройте тип предварительной проверки подлинности (не рекомендуется).
Можно ли публиковать только приложения на основе IIS? Как насчет веб-приложений, работающих на веб-серверах, отличных от Windows? Нужно ли устанавливать соединитель на сервере с установленными службами IIS?
Нет, для опубликованных приложений не требуется IIS. Можно публиковать веб-приложения, работающие на серверах, отличных от Windows Server. Однако вы не сможете использовать предварительную проверку подлинности с windows Server, в зависимости от того, поддерживает ли веб-сервер согласование (проверка подлинности Kerberos). Службы IIS не требуются на сервере, на котором установлен соединитель.
Можно ли настроить прокси приложения для добавления заголовка HSTS?
Прокси приложения не добавляет автоматически заголовок HTTP Strict-Transport-Security в ответы HTTPS, но сохраняет заголовок, если он находится в исходном ответе, отправленном опубликованным приложением. Предоставление параметра для включения этой функции входит в дальнейшие планы.
Можно ли использовать пользовательский номер порта во внешнем URL-адресе?
Нет, если протокол http
настроен во внешнем URL-адресе, то конечная точка прокси приложения Microsoft Entra принимает входящие запросы по TCP 80 порта, если протокол https
затем на tcp-порте 443.
Можно ли использовать пользовательский номер порта во внутреннем URL-адресе?
Да. Вот некоторые примеры внутренних URL-адресов, включая порты: http://app.contoso.local:8888/
, https://app.contoso.local:8080/
, https://app.contoso.local:8081/test/
.
Какие возникают проблемы, если внешние и внутренние URL-адреса отличаются?
Некоторые ответы, отправленные опубликованными веб-приложениями, могут содержать жестко заданные URL-адреса. В этом случае с помощью решения для преобразования ссылок необходимо обеспечить, чтобы клиент всегда использовал правильный URL-адрес. Решения для преобразования ссылок могут быть сложными и могут работать не во всех сценариях. Здесь можно найти наши задокументированные решения для преобразования ссылок.
Рекомендуется использовать идентичные внешние и внутренние URL-адреса. Внешние и внутренние URL-адреса считаются идентичными, если protocol://hostname:port/path/
в обоих URL-адресах идентичны.
Это можно сделать с помощью функции Личные домены.
Примеры:
Идентичны:
External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/
Не идентичны:
External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/
External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/
External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/
Сделать внешние и внутренние URL-адреса идентичными вообще невозможно, если внутренний URL-адрес содержит нестандартный порт (кроме TCP 80 /443).
В некоторых сценариях изменения нужно вносить в конфигурацию веб-приложения.
Встроенная проверка подлинности Windows
Когда следует использовать метод PrincipalsAllowedToDelegateToAccount при настройке ограниченного делегирования Kerberos (KCD)?
Метод PrincipalsAllowedToDelegateToAccount используется, когда серверы соединителей находятся в разных доменах из учетной записи службы веб-приложений. Он требует использования ограниченного делегирования на основе ресурсов. Если серверы соединителей и учетная запись службы веб-приложения находятся в одном домене, можно использовать Active Directory — пользователи и компьютеры для настройки параметров делегирования на каждой учетной записи компьютера соединителя, что позволяет им делегировать целевому имени субъекта-службы.
Если серверы соединителей и учетная запись службы веб-приложения находятся в разных доменах, используется делегирование на основе ресурсов. Разрешения на делегирование настраиваются на целевом веб-сервере и в учетной записи службы веб-приложений. Этот метод ограниченного делегирования является относительно новым. Этот метод появился в Windows Server 2012, который поддерживает делегирование между доменами, позволяя владельцу ресурса (веб-службе) управлять тем, какие компьютеры и учетные записи служб могут быть делегированы. В этой конфигурации нет пользовательского интерфейса, поэтому необходимо использовать PowerShell. Дополнительные сведения см. в описании ограниченного делегирования Kerberos с прокси приложениями.
Работает ли проверка подлинности NTLM с прокси приложения Microsoft Entra?
Проверка подлинности NTLM не может использоваться в качестве метода предварительной проверки подлинности или единого входа. Проверку подлинности NTLM можно использовать только в том случае, если ее можно согласовать непосредственно между клиентом и опубликованным веб-приложением. Использование проверки подлинности NTLM обычно приводит к отображению запроса на вход в браузере.
Можно ли использовать удостоверение входа "Локальное имя участника-пользователя" или "Имя локальной учетной записи SAM" в сценарии единого входа B2B IWA?
Нет, это не будет работать, так как гостевой пользователь в идентификаторе Microsoft Entra ID не имеет атрибута, который требуется любому из удостоверений входа, упомянутых выше.
В этом случае имеется резервная строка "Имя участника-пользователя". Дополнительные сведения о сценарии B2B см. в статье Grant B2B users in Microsoft Entra ID access to your on-premises applications.
Сквозная предварительная проверка подлинности
Можно ли использовать политики условного доступа для приложений, опубликованных с сквозной предварительной аутентификацией?
Политики условного доступа применяются только для успешно прошедших проверку подлинности пользователей в идентификаторе Microsoft Entra. Сквозная предварительная проверка подлинности не активирует проверку подлинности Microsoft Entra, поэтому политики условного доступа не могут быть применены. При сквозной предварительной проверке подлинности политики MFA должны быть реализованы на локальном сервере, если это возможно, или путем включения предварительной проверки подлинности идентификатора Microsoft Entra с помощью прокси приложения Microsoft Entra.
Можно ли опубликовать веб-приложение с требованием проверки подлинности сертификата клиента?
Нет, этот сценарий не поддерживается, так как прокси приложения завершает трафик TLS.
Публикация шлюза удаленных рабочих столов
Как опубликовать шлюз удаленных рабочих столов через прокси приложения Microsoft Entra?
Сведения о публикации удаленного рабочего стола с помощью прокси приложения Microsoft Entra.
Можно ли использовать ограниченное делегирование Kerberos (единый вход — встроенная проверка подлинности Windows) в сценарии публикации шлюза удаленных рабочих столов?
Нет, этот сценарий не поддерживается.
Мои пользователи не используют Internet Explorer 11, а сценарий предварительной проверки подлинности не работает для них. Так и должно быть?
Да, это ожидаемо. Для сценария предварительной проверки подлинности требуется элемент activeX, который не поддерживается в сторонних браузерах.
Поддерживается ли веб-клиент удаленного рабочего стола (HTML5)?
Да, этот сценарий сейчас находится в общедоступной предварительной версии. Сведения о публикации удаленного рабочего стола с помощью прокси приложения Microsoft Entra.
После настройки сценария предварительной проверки подлинности пользователь должен пройти проверку подлинности дважды: сначала в форме входа Microsoft Entra, а затем в форме входа в RDWeb. Так и должно быть? Как можно сократить это до единого входа?
Да, так и должно быть. Если компьютер пользователя присоединен к Microsoft Entra, пользователь автоматически войдет в идентификатор Microsoft Entra. Пользователь должен предоставить свои учетные данные только в форме входа RDWeb.
Можно ли использовать параметр "Метод запуска ресурсов" "Скачать файл rdp" в разделе "Параметры" на портале веб-клиента удаленного рабочего стола в сценарии предварительной проверки подлинности Microsoft Entra?
Этот параметр позволяет пользователю загрузить RDP-файл и использовать его другим клиентом RDP (кроме веб клиента удаленного рабочего стола). Как правило, другие клиенты RDP (например, клиент Удаленный рабочий стол (Майкрософт)) не могут обрабатывать предварительную проверку подлинности в собственном коде. Поэтому сценарий не работает.
Публикация SharePoint
Как опубликовать SharePoint через прокси приложения Microsoft Entra?
Сведения о включении удаленного доступа к SharePoint с помощью прокси приложения Microsoft Entra.
Можно ли использовать мобильное приложение SharePoint (iOS и Android) для доступа к опубликованному серверу SharePoint?
Мобильное приложение SharePoint в настоящее время не поддерживает предварительную проверку подлинности Microsoft Entra.
Развертывание на основе служб федерации Active Directory (AD FS)
Можно ли использовать прокси приложения Microsoft Entra в качестве прокси-сервера AD FS (например, прокси веб-приложения)?
Нет, прокси приложения Microsoft Entra предназначен для работы с идентификатором Microsoft Entra ИД и не соответствует требованиям, которые необходимо выполнить в качестве прокси-сервера AD FS.
Можно ли использовать прокси приложения Microsoft Entra для публикации любой конечной точки AD FS (например, /adfs/portal/updatepassword/)?
Нет, это не поддерживается.
WebSocket
Поддерживает ли прокси приложения Microsoft Entra протокол WebSocket?
Теперь поддерживаются приложения, использующие протокол WebSocket, например QlikSense и веб-клиент удаленного рабочего стола (HTML5). Ниже известные ограничения:
- Прокси приложения отменяет файл cookie, заданный в ответе сервера, при открытии соединения WebSocket.
- Единый вход не применяется к запросу WebSocket.
- Функции (журналы событий, PowerShell и службы удаленных рабочих столов) в Центре администрирования Windows (WAC) не работают через прокси приложения Microsoft Entra.
Приложение WebSocket не имеет уникальных требований к публикации и может быть опубликовано так же, как и все другие приложения-прокси приложения.
Преобразование ссылок
Влияет ли преобразование ссылок на производительность?
Да. Преобразование ссылок влияет на производительность. Служба прокси приложения сканирует приложение на наличие жестких кодированных ссылок и заменяет их соответствующими, опубликованными внешними URL-адресами, прежде чем представить их пользователю.
Для лучшей производительности рекомендуется использовать идентичные внутренние и внешние URL-адреса, настроив личные домены. Если использование личных доменов невозможно, можно улучшить производительность преобразования ссылок с помощью расширения для безопасного входа в Мои приложения или браузера Microsoft Edge на мобильных устройствах. См . статью "Перенаправление жестко закодированных ссылок" для приложений, опубликованных с помощью прокси приложения Microsoft Entra.
Подстановочные знаки
Как использовать подстановочные знаки для публикации двух приложений с одним и тем же именем личного домена, но с разными протоколами — одним для HTTP и одним для HTTPS?
Этот сценарий не поддерживается напрямую. Варианты для этого сценария таковы:
Опубликуйте URL-адреса HTTP и HTTPS как отдельные приложения с подстановочным знаком, но присвойте каждому из них особый личный домен. Эта конфигурация работает, так как они имеют разные внешние URL-адреса.
Опубликуйте URL-адрес HTTPS с помощью приложения с подстановочными знаками. Публикация HTTP-приложений отдельно с помощью этих командлетов PowerShell прокси приложения: