Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID

  • Článek

Microsoft Entra ID má službu proxy aplikací, která uživatelům umožňuje přístup k místním aplikacím přihlášením pomocí účtu Microsoft Entra. Další informace o proxy aplikací najdete v tématu Co je proxy aplikací?. Tento kurz připraví vaše prostředí pro použití s proxy aplikací. Jakmile bude vaše prostředí připravené, přidejte do tenanta místní aplikaci pomocí Centra pro správu Microsoft Entra.

Diagram přehledu proxy aplikací

Připojení ory jsou klíčovou součástí proxy aplikací. Další informace o konektorech najdete v tématu Principy privátních síťových konektorů Microsoft Entra.

V tomto kurzu se naučíte:

  • Otevřete porty pro odchozí provoz a povolte přístup ke konkrétním adresám URL.
  • Nainstalujte konektor na windows server a zaregistruje ho pomocí proxy aplikací.
  • Ověřte, že konektor je nainstalovaný a správně zaregistrovaný.
  • Přidejte do tenanta Microsoft Entra místní aplikaci.
  • Ověřte, že se testovací uživatel může přihlásit k aplikaci pomocí účtu Microsoft Entra.

Požadavky

Pokud chcete přidat místní aplikaci do ID Microsoft Entra, potřebujete:

  • Předplatné Microsoft Entra ID P1 nebo P2.
  • Účet správce aplikace.
  • Synchronizovaná sada identit uživatelů s místním adresářem. Nebo je můžete vytvořit přímo ve vašich tenantech Microsoft Entra. Synchronizace identit umožňuje microsoftu Entra ID předvytvářením uživatelů před udělením přístupu k publikovaným aplikacím proxy aplikací. Synchronizace také poskytuje nezbytné informace o identifikátoru uživatele k provedení jednotného přihlašování (SSO).
  • Pochopení správy aplikací v Microsoft Entra najdete v tématu Zobrazení podnikových aplikací v Microsoft Entra.
  • Vysvětlení jednotného přihlašování (SSO) najdete v tématu Principy jednotného přihlašování.

Server Windows

Proxy aplikací vyžaduje Windows Server 2012 R2 nebo novější. Na server nainstalujete privátní síťový konektor. Server konektoru komunikuje se službami proxy aplikací v Microsoft Entra ID a místními aplikacemi, které plánujete publikovat.

Pro zajištění vysoké dostupnosti v produkčním prostředí použijte více než jeden server Windows. Jeden Windows Server je dostatečný pro testování.

Důležité

.NET Framework

Abyste mohli nainstalovat nebo upgradovat proxy aplikace verze 1.5.3437.0 nebo novější, musíte mít .NET verze 4.7.1 nebo novější. Windows Server 2012 R2 a Windows Server 2016 to ve výchozím nastavení nemají.

Další informace najdete v tématu Postupy: Určení nainstalovaných verzí rozhraní .NET Framework.

HTTP 2.0

Pokud instalujete konektor ve Windows Serveru 2019 nebo novějším, musíte zakázat HTTP2 podporu protokolu v komponentě WinHttp , aby omezené delegování protokolu Kerberos správně fungovalo. Tato možnost je ve výchozím nastavení zakázaná ve starších verzích podporovaných operačních systémů. Přidání následujícího klíče registru a restartování serveru ho zakáže ve Windows Serveru 2019. Všimněte si, že se jedná o klíč registru pro celý počítač.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Klíč můžete nastavit přes PowerShell pomocí následujícího příkazu:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Doporučení pro server konektoru

  • Optimalizujte výkon mezi konektorem a aplikací. Fyzicky vyhledejte server konektoru blízko aplikačních serverů. Další informace naleznete v tématu Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra.
  • Ujistěte se, že server konektoru a servery webových aplikací jsou ve stejné doméně služby Active Directory, nebo se ujistěte, že jsou důvěryhodné domény. Použití serverů ve stejné doméně nebo důvěryhodných doménách je požadavek na použití jednotného přihlašování (SSO) s integrovaným ověřováním Windows (IWA) a omezeným delegováním Kerberos (KCD). Pokud jsou server konektoru a servery webových aplikací v různých doménách služby Active Directory, použijte pro jednotné přihlašování delegování založené na prostředcích. Další informace najdete v tématu KCD pro jednotné přihlašování pomocí proxy aplikací.

Upozorňující

Pokud jste nasadili proxy ochranu heslem Microsoft Entra, neinstalujte proxy aplikace Microsoft Entra a Proxy ochrany heslem Microsoft Entra společně na stejném počítači. Proxy aplikace Microsoft Entra a proxy služby Microsoft Entra Password Protection nainstalují různé verze služby Microsoft Entra Připojení Agent Updater. Tyto různé verze jsou nekompatibilní, když jsou nainstalované společně na stejném počítači.

Požadavky protokolu TLS (Transport Layer Security)

Před instalací privátního síťového konektoru musí mít server konektoru Windows povolený protokol TLS 1.2.

Povolení protokolu TLS 1.2:

  1. Nastavte klíče registru.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Restartujte server.

Poznámka:

Microsoft aktualizuje služby Azure tak, aby používaly certifikáty TLS z jiné sady kořenových certifikačních autorit (CA). Tato změna se provádí, protože aktuální certifikáty certifikační autority nevyhovují některému z požadavků na standardní hodnoty pro ca/Browser Forum. Další informace najdete v tématu Změny certifikátu Azure TLS.

Příprava místního prostředí

Povolte komunikaci s datovými centry Microsoftu a připravte své prostředí na proxy aplikací Microsoft Entra. Konektor musí odesílat požadavky HTTPS (TCP) na proxy aplikace. K běžným potížím dochází v případě, že brána firewall blokuje síťový provoz.

Důležité

Pokud instalujete konektor pro cloud Azure Government, postupujte podle požadavků a kroků instalace. Cloud Azure Government vyžaduje přístup k jiné sadě adres URL a dalšímu parametru pro spuštění instalace.

Otevřené porty

Otevřete následující porty pro odchozí provoz.

Číslo portu Používání
80 Stahování seznamů odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL
443 Veškerá odchozí komunikace se službou proxy aplikací

Pokud brána firewall vynucuje provoz podle původního uživatele, otevřete také porty 80 a 443 pro provoz ze služeb Windows, které běží jako síťová služba.

Poznámka:

Při potížích se sítí dochází k chybám. Zkontrolujte, jestli jsou otevřené požadované porty. Další informace o řešení potíží souvisejících s chybami konektoru najdete v tématu Řešení potíží s konektory.

Povolit přístup k adresám URL

Povolte přístup k následujícím adresám URL:

Adresa URL Port Používání
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Komunikace mezi konektorem a cloudovou službou proxy aplikací
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Konektor používá tyto adresy URL k ověření certifikátů.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Konektor používá tyto adresy URL během procesu registrace.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP Konektor používá tyto adresy URL během procesu registrace.

Pokud brána firewall nebo proxy server umožňují konfigurovat pravidla přístupu na základě přípon domény, povolte připojení k *.msappproxy.neta *.servicebus.windows.netdalším adresám URL. Nebo povolte přístup k rozsahům IP adres Azure a značky služeb – veřejný cloud. Rozsahy IP adres se aktualizují každý týden.

Důležité

Vyhněte se všem formám vložené kontroly a ukončení odchozí komunikace TLS mezi privátními síťovými konektory Microsoft Entra a službami proxy aplikací Microsoft Entra.

DNS (Domain Name System) pro koncové body proxy aplikací Microsoft Entra

Veřejné záznamy DNS pro koncové body proxy aplikací Microsoft Entra jsou zřetězenými záznamy CNAME odkazující na záznam A. Nastavení záznamů tímto způsobem zajišťuje odolnost proti chybám a flexibilitu. Konektor privátní sítě Microsoft Entra vždy přistupuje k názvům hostitelů *.msappproxy.net s příponami domény nebo *.servicebus.windows.net. Během překladu názvů však záznamy CNAME mohou obsahovat záznamy DNS s různými názvy hostitelů a příponami. Vzhledem k rozdílu musíte zajistit, aby zařízení (v závislosti na vašem nastavení – server konektoru, brána firewall, odchozí proxy server) přeložil všechny záznamy v řetězu a umožnil připojení k přeloženým IP adresám. Vzhledem k tomu, že záznamy DNS v řetězci se můžou čas od času změnit, nemůžeme vám poskytnout žádné záznamy DNS seznamu.

Instalace a registrace konektoru

Pokud chcete použít proxy aplikace, nainstalujte konektor na každý server s Windows, který používáte se službou proxy aplikací. Konektor je agent, který spravuje odchozí připojení z místních aplikačních serverů k proxy aplikací v Microsoft Entra ID. Konektor se dá nainstalovat na servery s ověřovacími agenty, jako je Microsoft Entra Připojení.

Instalace konektoru:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.

  2. Vyberte své uživatelské jméno v pravém horním rohu. Ověřte, že jste přihlášení k adresáři, který používá proxy aplikace. Pokud potřebujete změnit adresáře, vyberte Přepnout adresář a zvolte adresář, který používá proxy aplikace.

  3. Přejděte na proxy aplikace podnikové aplikace>identit>>.

  4. Vyberte Stáhnout službu konektoru.

  5. Přečtěte si podmínky služby. Až budete připraveni, vyberte Přijmout podmínky a stáhnout.

  6. V dolní části okna vyberte Spustit a nainstalujte konektor. Otevře se průvodce instalací.

  7. Nainstalujte službu podle pokynů v průvodci. Po zobrazení výzvy k registraci konektoru u proxy aplikace pro vašeho tenanta Microsoft Entra zadejte přihlašovací údaje správce aplikace.

    • Pokud je v Internet Exploreru (IE) nastavená konfigurace rozšířeného zabezpečení internet exploreru (IE), obrazovka registrace se nezobrazuje. Pokud chcete získat přístup, postupujte podle pokynů v chybové zprávě. Ujistěte se, že je konfigurace rozšířeného zabezpečení aplikace Internet Explorer nastavená na vypnuto.

Obecné poznámky

Pokud jste konektor už nainstalovali, nainstalujte ho znovu, abyste získali nejnovější verzi. Informace o dříve vydaných verzích a o tom, jaké změny zahrnují, najdete v tématu Proxy aplikace: Historie verzí.

Pokud se rozhodnete mít více než jeden server Windows pro místní aplikace, musíte konektor nainstalovat a zaregistrovat na každém serveru. Konektory můžete uspořádat do skupin konektorů. Další informace najdete v tématu Připojení uskupování.

Pokud instalujete konektory v různých oblastech, měli byste optimalizovat provoz výběrem nejbližší oblasti cloudové služby proxy aplikací s každou skupinou konektorů. Další informace najdete v tématu Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra.

Pokud vaše organizace k připojení k internetu používá proxy servery, musíte je nakonfigurovat pro proxy aplikací. Další informace najdete v tématu Práce se stávajícími místními proxy servery.

Informace o konektorech, plánování kapacity a o tom, jak jsou aktuální, najdete v tématu Principy privátních síťových konektorů Microsoft Entra.

Ověření správné instalace a registrace konektoru

K potvrzení správné instalace nového konektoru můžete použít Centrum pro správu Microsoft Entra nebo server Windows. Informace o řešení potíží s proxy aplikací naleznete v tématu Ladění problémů s aplikací proxy aplikací.

Ověření instalace prostřednictvím Centra pro správu Microsoft Entra

Pokud chcete ověřit, že konektor je nainstalovaný a správně zaregistrovaný:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.

  2. Vyberte své uživatelské jméno v pravém horním rohu. Ověřte, že jste přihlášení k adresáři, který používá proxy aplikace. Pokud potřebujete změnit adresáře, vyberte Přepnout adresář a zvolte adresář, který používá proxy aplikace.

  3. Přejděte na proxy aplikace podnikové aplikace>identit>>.

  4. Ověřte podrobnosti o konektoru. Konektory by měly být ve výchozím nastavení rozbalené. Aktivní zelený popisek označuje, že se váš konektor může připojit ke službě. I když je ale popisek zelený, problém se sítí může konektoru zablokovat příjem zpráv.

    Konektory privátní sítě Microsoft Entra

Další nápovědu k instalaci konektoru najdete v tématu Problém s instalací privátního síťového konektoru.

Ověření instalace prostřednictvím windows serveru

Pokud chcete ověřit, že konektor je nainstalovaný a správně zaregistrovaný:

  1. Otevřete Správce služeb systému Windows kliknutím na klíč systému Windows a zadáním services.msc.

  2. Zkontrolujte, jestli je stav následujících dvou služeb spuštěný.

    • Konektor privátní sítě Microsoft Entra umožňuje připojení.
    • Microsoft Entra Private Network Connector Updater je automatizovaná aktualizační služba. Aktualizátor zkontroluje nové verze konektoru a podle potřeby aktualizuje konektor.

  3. Pokud stav služeb není spuštěný, kliknutím pravým tlačítkem vyberte jednotlivé služby a zvolte Spustit.

Přidání místní aplikace do ID Microsoft Entra

Přidejte místní aplikace do Microsoft Entra ID.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.

  2. Přejděte k podnikovým aplikacím> identit.>

  3. Vyberte Nová aplikace.

  4. Vyberte Tlačítko Přidat místní aplikaci , které se zobrazí přibližně v polovině stránky v části Místní aplikace . Případně můžete v horní části stránky vybrat Možnost Vytvořit vlastní aplikaci a pak vybrat Konfigurovat proxy aplikací pro zabezpečený vzdálený přístup k místní aplikaci.

  5. V části Přidat vlastní místní aplikaci zadejte následující informace o vaší aplikaci:

    Pole Popis
    Jméno Název aplikace, která se zobrazí na Moje aplikace a v Centru pro správu Microsoft Entra.
    Režim údržby Vyberte, jestli chcete povolit režim údržby a dočasně zakázat přístup pro všechny uživatele k aplikaci.
    Interní adresa URL Adresa URL pro přístup k aplikaci z vaší privátní sítě. Můžete zadat konkrétní cestu na beck-endovém serveru, kterou chcete publikovat, zatímco zbytek serveru publikovaný nebude. Tímto způsobem můžete publikovat různé weby na stejném serveru jako různé aplikace a každému dát vlastní název a pravidla přístupu.

    Pokud publikujete cestu, ujistěte se, že zahrnuje všechny nezbytné obrázky, skripty a šablony stylů pro vaši aplikaci. Pokud je vaše aplikace například na https://yourapp/app místě a používá obrázky umístěné na https://yourapp/mediaadrese , měli byste ji publikovat https://yourapp/ jako cestu. Tato interní adresa URL nemusí být cílovou stránkou, které vidí vaši uživatelé. Další informace najdete v tématu Nastavení vlastní domovské stránky pro publikované aplikace.
    Externí adresa URL Adresa, na kterou mají uživatelé přístup k aplikaci mimo vaši síť. Pokud nechcete používat výchozí doménu proxy aplikací, přečtěte si informace o vlastních doménách v proxy aplikací Microsoft Entra.
    Předběžné ověřování Jak proxy aplikace ověřuje uživatele, než jim udělí přístup k vaší aplikaci.

    Microsoft Entra ID – Proxy aplikace přesměruje uživatele, aby se přihlásili pomocí MICROSOFT Entra ID, které ověřuje jejich oprávnění pro adresář a aplikaci. Tuto možnost doporučujeme ponechat jako výchozí, abyste mohli využívat funkce zabezpečení Microsoft Entra, jako je podmíněný přístup a vícefaktorové ověřování. K monitorování aplikace v programu Microsoft Defender for Cloud Apps se vyžaduje ID Microsoft Entra.

    Předávání – Uživatelé se nemusí ověřovat na základě ID Microsoft Entra pro přístup k aplikaci. Požadavky na ověřování můžete nastavit i v back-endu.
    skupina Připojení or Připojení otory zpracovávají vzdálený přístup k aplikaci a skupiny konektorů pomáhají uspořádat konektory a aplikace podle oblasti, sítě nebo účelu. Pokud ještě nemáte vytvořené žádné skupiny konektorů, přiřadí se vaše aplikace k výchozímu nastavení.

    Pokud vaše aplikace používá k připojení protokol WebSockets, musí být všechny konektory ve skupině verze 1.5.612.0 nebo novější.

  6. V případě potřeby nakonfigurujte další nastavení. U většiny aplikací byste měli tato nastavení ponechat ve výchozím stavu.

    Pole Popis
    Časový limit back-endové aplikace Tuto hodnotu nastavte na Hodnotu Long , pouze pokud je aplikace pomalá k ověření a připojení. Ve výchozím nastavení má časový limit back-endové aplikace délku 85 sekund. Pokud nastavíte příliš dlouho, časový limit back-endu se zvýší na 180 sekund.
    Použití souboru cookie pouze protokolu HTTP Vyberte, jestli chcete, aby soubory cookie proxy aplikací obsahovaly příznak HTTPOnly v hlavičce odpovědi HTTP. Pokud používáte Vzdálenou plochu, ponechte možnost nevybranou.
    Použití trvalého souboru cookie Ponechte možnost nevybranou. Toto nastavení použijte jenom pro aplikace, které nemůžou sdílet soubory cookie mezi procesy. Další informace o nastavení souborů cookie naleznete v tématu Nastavení souborů cookie pro přístup k místním aplikacím v Microsoft Entra ID.
    Překlad adres URL v záhlavích Ponechte vybranou možnost, pokud vaše aplikace v žádosti o ověření nepožaduje původní hlavičku hostitele.
    Překlad adres URL v textu aplikace Ponechte tuto možnost nevybranou, pokud nejsou odkazy HTML pevně zakódované na jiné místní aplikace a nepoužívají vlastní domény. Další informace najdete v tématu Propojení překladu s proxy aplikací.

    Vyberte, jestli chcete tuto aplikaci monitorovat pomocí programu Microsoft Defender for Cloud Apps. Další informace najdete v tématu Konfigurace monitorování přístupu k aplikacím v reálném čase pomocí programu Microsoft Defender for Cloud Apps a Microsoft Entra ID.
    Ověření certifikátu TLS/SSL back-endu Vyberte, pokud chcete pro aplikaci povolit ověřování certifikátu TLS/SSL back-endu.

  7. Vyberte Přidat.

Testování aplikace

Jste připraveni aplikaci správně otestovat. V následujících krocích přidáte do aplikace uživatelský účet a zkusíte se přihlásit.

Přidání uživatele pro testování

Před přidáním uživatele do aplikace ověřte, že uživatelský účet už má oprávnění pro přístup k aplikaci z podnikové sítě.

Přidání testovacího uživatele:

  1. Vyberte Podnikové aplikace a pak vyberte aplikaci, kterou chcete otestovat.
  2. Vyberte Začínáme a pak vyberte Přiřadit uživatele k testování.
  3. V části Uživatelé a skupiny vyberte Přidat uživatele.
  4. V části Přidat přiřazení vyberte Uživatelé a skupiny. Zobrazí se oddíl Uživatelé a skupiny .
  5. Zvolte účet, který chcete přidat.
  6. Zvolte Vybrat a pak vyberte Přiřadit.

Otestování přihlašování

Otestování ověřování pro aplikaci:

  1. V aplikaci, kterou chcete otestovat, vyberte proxy aplikace.
  2. V horní části stránky vyberte Testovací aplikace a spusťte test v aplikaci a zkontrolujte případné problémy s konfigurací.
  3. Nejprve spusťte aplikaci, abyste otestovali přihlášení k aplikaci, a pak si stáhněte diagnostickou sestavu a projděte si pokyny k řešení případných zjištěných problémů.

Informace o řešení potíží najdete v tématu Řešení potíží s proxy aplikací a chybovými zprávami.

Vyčištění prostředků

Nezapomeňte odstranit všechny prostředky, které jste vytvořili v tomto kurzu, až budete hotovi.

Řešení problému

Přečtěte si o běžných problémech a jejich řešení.

Vytvoření aplikace nebo nastavení adres URL

V podrobnostech o chybě najdete informace a návrhy, jak aplikaci opravit. Většina chybových zpráv obsahuje navrženou opravu. Pokud se chcete vyhnout běžným chybám, ověřte následující:

  • Jste správce s oprávněním k vytvoření aplikace proxy aplikací.
  • Interní adresa URL je jedinečná.
  • Externí adresa URL je jedinečná.
  • Adresy URL začínají řetězcem http nebo https a končí řetězcem /.
  • Adresa URL by měla být název domény, ne IP adresa.

Chybová zpráva by se měla při vytváření aplikace zobrazit v pravém horním rohu. Můžete také vybrat ikonu oznámení a zobrazit chybové zprávy.

Konfigurace konektorů nebo skupin konektorů

Pokud máte potíže s konfigurací aplikace kvůli upozornění na konektory a skupiny konektorů, přečtěte si pokyny k povolení proxy aplikací, kde najdete podrobnosti o tom, jak stáhnout konektory. Další informace o konektorech najdete v dokumentaci ke konektorům.

Pokud jsou vaše konektory neaktivní, nemůžou se spojit se službou. Často proto, že všechny požadované porty nejsou otevřené. Seznam požadovaných portů najdete v části Požadavky v dokumentaci k povolení proxy aplikací.

Nahrání certifikátů pro vlastní domény

Vlastní domény umožňují zadat doménu externích adres URL. Pokud chcete použít vlastní domény, musíte nahrát certifikát pro danou doménu. Informace o používání vlastních domén a certifikátů naleznete v tématu Práce s vlastními doménami v proxy aplikace Microsoft Entra.

Pokud máte problémy s nahráváním certifikátu, vyhledejte na portálu další informace o problému s certifikátem. Mezi běžné problémy s certifikáty patří:

  • Prošlý certifikát
  • Certifikát je podepsaný svým držitelem
  • Chybí privátní klíč certifikátu.

Při pokusu o nahrání certifikátu se v pravém horním rohu zobrazí chybová zpráva. Můžete také vybrat ikonu oznámení a zobrazit chybové zprávy.

Další kroky