公司存取應用程式的疑難排解
本文可協助您針對 Microsoft Entra 應用程式 Proxy 應用程式上 This corporate app can't be accessed
錯誤的常見問題進行疑難排解。
概觀
看見此錯誤時,請在錯誤頁面尋找狀態代碼。 狀態碼可能是下列其中一個狀態碼:
- 閘道逾時:應用程式 Proxy 服務無法觸達連接器。 此錯誤通常表示連接器指派、連接器本身,或連接器相關的網路規則有問題。
- 不正確的閘道︰ 連接器無法連線到後端應用程式。 此錯誤表示應用程式的設定不正確。
- 禁止︰使用者未獲授權存取應用程式。 當使用者未在 Microsoft Entra ID 中指派給應用程式時,就可能發生此錯誤。 如果使用者沒有存取後端應用程式的權限,也可能會發生此錯誤。
若要尋找狀態碼,請查看錯誤訊息左下方 Status Code
欄位的文字。
閘道逾時錯誤
當服務嘗試連線到連接器時,若無法在逾時時間範圍內連線,即發生閘道逾時。 當應用程式已指派給沒有運作中連接器的連接器群組時,就會看到此錯誤。 若未開啟必要的連接埠,也會看到此錯誤。
閘道錯誤
不正確的閘道是指連接器無法連線到後端應用程式。 造成此錯誤的常見過失︰
- 打字錯誤或內部 URL 不正確
- 未發佈應用程式的根目錄。 例如,發佈的是
http://expenses/reimbursement
,但嘗試存取http://expenses
- Kerberos 限制委派 (KCD) 組態有問題
- 後端應用程式有問題
禁止錯誤
如果您看到禁止錯誤,則表示使用者並未指派給該應用程式。 此錯誤可能在 Microsoft Entra ID 或後端應用程式。
若要了解如何將使用者指派至 Azure 中的應用程式,請參閱組態文件。
檢查應用程式的內部 URL
第一個快速步驟就是反覆檢查內部 URL 並加以修正,做法是透過 [企業應用程式] 開啟應用程式,然後選取 [應用程式 Proxy] 功能表。 確認應用程式的內部 URL 就是內部網路上使用的 URL。
確認應用程式已指派給運作中的連接器群組
您必須確認應用程式已指派給運作中的連接器群組。 如需詳細資訊,請參閱教學課程:在 Microsoft Entra ID 中新增可透過應用程式 Proxy 從遠端存取的內部部署應用程式。
檢查所有必要的連接埠都已開啟
確認所有必要的連接埠都已開啟。 關於必要的連接埠,請參閱教學課程:在 Microsoft Entra ID 中新增可透過應用程式 Proxy 從遠端存取的內部部署應用程式的「開啟連接埠」一節。 如果所有必要連接埠皆已開啟,請移至下一節。
檢查是否有其他連接器錯誤
尋找連接器本身的問題或錯誤。 如需常見錯誤的詳細資訊,請參閱應用程式 Proxy 疑難排解。
直接查看連接器記錄,以找出任何錯誤。 許多錯誤訊息會提供具體的程式修正建議。 若要檢視記錄,請參閱私人網路連接器。
常見的解決方案
如果應用程式設定為使用整合式 Windows 驗證 (IWA),請在無單一登入的情況下測試應用程式。 若要在未單一登入的情況下檢查應用程式,請透過 [企業應用程式] 開啟您的應用程式,然後移至 [單一登入] 功能表。 將下拉式清單從 [整合式 Windows 驗證] 變更為 [Microsoft Entra 單一登入已停用]。
現在開啟瀏覽器,然後再次嘗試存取應用程式。 系統應該會提示您輸入驗證並進入應用程式。 如果您可以完成驗證,則問題出在啟用單一登入的 Kerberos 限制委派 (KCD) 組態。
如果您繼續看到此錯誤,請移到已安裝連接器的電腦,開啟瀏覽器,並嘗試連線到應用程式使用的內部 URL。 連接器就像同一台電腦中的另一個用戶端。 如果您無法連線到應用程式,請調查為何該電腦無法連線到應用程式,或在伺服器上使用能夠存取應用程式的連接器。