Tutorial: Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy in Azure Active DirectoryTutorial: Add an on-premises application for remote access through Application Proxy in Azure Active Directory

Mit einem Anwendungsproxydienst in Azure Active Directory (Azure AD) können Benutzer auf lokale Anwendungen zugreifen, indem sie sich mit ihrem Azure AD-Konto anmelden.Azure Active Directory (Azure AD) has an Application Proxy service that enables users to access on-premises applications by signing in with their Azure AD account. In diesem Tutorial wird Ihre Umgebung auf die Verwendung des Anwendungsproxys vorbereitet.This tutorial prepares your environment for use with Application Proxy. Wenn Ihre Umgebung bereit ist, fügen Sie im Azure-Portal Ihrem Azure AD-Mandanten eine lokale Anwendung hinzu.Once your environment is ready, you'll use the Azure portal to add an on-premises application to your Azure AD tenant.

In diesem Tutorial wird Folgendes durchgeführt:This tutorial:

  • Öffnen von Ports für ausgehenden Datenverkehr und Zulassen des Zugriffs auf bestimmte URLsOpens ports for outbound traffic and allows access to specific URLs
  • Installieren des Connectors auf Ihrem Windows-Server und Registrierung mit dem AnwendungsproxyInstalls the connector on your Windows server, and registers it with Application Proxy
  • Überprüfen der ordnungsgemäßen Installation und Registrierung des ConnectorsVerifies the connector installed and registered correctly
  • Hinzufügen einer lokalen Anwendung zum Azure AD-MandantenAdds an on-premises application to your Azure AD tenant
  • Überprüfen, ob ein Testbenutzer sich über das Azure AD-Konto an der Anwendung anmelden kannVerifies a test user can sign on to the application by using an Azure AD account

VoraussetzungenBefore you begin

Zum Hinzufügen einer lokalen Anwendung zu Azure AD benötigen Sie Folgendes:To add an on-premises application to Azure AD, you need:

  • Ein Microsoft Azure AD-Abonnement vom Typ „Basic“ oder „Premium“A Microsoft Azure AD basic or premium subscription
  • Ein Konto als AnwendungsadministratorAn application administrator account
  • Benutzeridentitäten müssen aus einem lokalen Verzeichnis synchronisiert oder direkt in Ihren Azure AD-Mandanten erstellt werden.User identities must be synchronized from an on-premises directory or created directly within your Azure AD tenants. Mithilfe der Identitätssynchronisierung können Benutzer von Azure AD vorab authentifiziert werden, bevor ihnen Zugriff auf per Anwendungsproxy veröffentlichte Anwendungen gewährt wird. Außerdem können die benötigten Benutzer-ID-Informationen für einmaliges Anmelden (Single Sign-On, SSO) bereitgestellt werden.Identity synchronization allows Azure AD to pre-authenticate users before granting them access to App Proxy published applications and to have the necessary user identifier information to perform single sign-on (SSO).

Windows-ServerWindows server

Für die Verwendung des Anwendungsproxys benötigen Sie einen Windows-Server, auf dem Windows Server 2012 R2 oder höher ausgeführt wird.To use Application Proxy, you need a Windows server running Windows Server 2012 R2 or later. Sie müssen den Connector für den Anwendungsproxy auf dem Server installieren.You'll install the Application Proxy connector on the server. Dieser Connectorserver muss eine Verbindung mit den Anwendungsproxydiensten in Azure sowie mit den lokalen Anwendungen herstellen können, die Sie veröffentlichen möchten.This connector server needs to connect to the Application Proxy services in Azure, and the on-premises applications that you plan to publish.

Für hohe Verfügbarkeit in Ihrer Produktionsumgebung sollten Sie mehrere Windows-Server einsetzen.For high availability in your production environment, we recommend having more than one Windows server. Für dieses Tutorial reicht ein Windows-Server aus.For this tutorial, one Windows server is sufficient.

Empfehlungen für den ConnectorserverRecommendations for the connector server

  1. Platzieren Sie den Connectorserver physisch in der Nähe des Anwendungsservers, um die Leistung zwischen Connector und Anwendung zu optimieren.Physically locate the connector server close to the application servers to optimize performance between the connector and the application. Weitere Informationen finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Azure Active Directory-Anwendungsproxys.For more information, see Network topology considerations.

  2. Der Connectorserver und die Webanwendungsserver müssen derselben Active Directory-Domäne angehören bzw. vertrauenswürdige Domänen umfassen.The connector server and the web applications servers should belong to the same Active Directory domain or span trusting domains. Dass die Server zu derselben Domäne oder zu vertrauenswürdigen Domänen gehören, ist eine Voraussetzung für die Verwendung des einmaligen Anmeldens (Single Sign-On, SSO) mit integrierter Windows-Authentifizierung (IWA) und eingeschränkter Kerberos-Delegierung (Kerberos Constrained Delegation, KCD).Having the servers in the same domain or trusting domains is a requirement for using single sign-on (SSO) with Integrated Windows Authentication (IWA) and Kerberos Constrained Delegation (KCD). Wenn der Connector- und Webanwendungsserver sich in unterschiedlichen Active Directory-Domänen befinden, müssen Sie die ressourcenbasierte Delegierung für einmaliges Anmelden verwenden.If the connector server and web application servers are in different Active Directory domains, you need to use resource-based delegation for single sign-on. Weitere Informationen finden Sie unter Eingeschränkte Kerberos-Delegierung für das einmalige Anmelden mit Anwendungsproxy.For more information, see KCD for single sign-on with Application Proxy.

TLS-AnforderungenTLS requirements

Auf dem Windows-Connectorserver muss TLS 1.2 aktiviert werden, bevor Sie den Anwendungsproxyconnector installieren.The Windows connector server needs to have TLS 1.2 enabled before you install the Application Proxy connector.

So aktivieren Sie TLS 1.2To enable TLS 1.2:

  1. Legen Sie die folgenden Registrierungsschlüssel fest:Set the following registry keys:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Starten Sie den Server neu.Restart the server.

Wichtig

Zur Bereitstellung erstklassiger Verschlüsselung für unsere Kunden wird der Anwendungsproxydienst aktualisiert, um den Zugriff ausschließlich auf TLS 1.2-Protokolle zu beschränken.To provide the best-in-class encryption to our customers, we are making updates to the Application Proxy service to limit access to only TLS 1.2 protocols. Basierend auf der Kundenbereitschaft werden die Änderungen nach und nach für Kunden bereitgestellt, die ausschließlich TLS 1.2-Protokolle verwenden. Für die Kunden ist keinerlei Beeinträchtigung spürbar.Based on customer readiness changes will be gradually rolled out to customers who are only using TLS 1.2 protocols and will not see any impact from this change. TLS 1.0 und 1.1 werden am 31. August 2019 eingestellt, und Kunden erhalten eine Vorankündigung, um sich auf diese Änderung vorbereiten zu können.TLS 1.0 and 1.1 deprecation will complete on August 31, 2019 and customers will receive advance notice to prepare for this change. Vergewissern Sie sich bei der Vorbereitung auf diese Änderung, dass alle Kombinationen aus Client/Server und Browser/Server zur Verwendung von TLS 1.2 aktualisiert wurden, um die Verbindung mit dem Anwendungsproxydienst sicherzustellen.To prepare for this change make sure that all client-server and browser-server combinations are updated to use TLS 1.2 to maintain connection to Application Proxy service. Dazu gehören Clients, mit denen Ihre Benutzer auf Anwendungen zugreifen, die über den Anwendungsproxy veröffentlicht werden.These include clients your users are using to access applications published through Application Proxy. Nützliche Referenzen und Ressourcen finden Sie unter Vorbereiten der Verwendung von TLS 1.2 in Office 365.See Preparing for TLS 1.2 in Office 365 for useful references and resources.

Vorbereiten Ihrer lokalen UmgebungPrepare your on-premises environment

Ermöglichen Sie zuerst die Kommunikation mit Azure-Rechenzentren, um Ihre Umgebung für den Azure AD-Anwendungsproxy vorzubereiten.Start by enabling communication to Azure data centers to prepare your environment for Azure AD Application Proxy. Falls der Pfad eine Firewall enthält, sollten Sie sicherstellen, dass der Zugang geöffnet ist.If there's a firewall in the path, make sure it's open. Bei einer geöffneten Firewall kann der Connector HTTPS-Anforderungen (TCP) an den Anwendungsproxy senden.An open firewall allows the connector to make HTTPS (TCP) requests to the Application Proxy.

Öffnen von PortsOpen ports

Öffnen Sie die folgenden Ports für den ausgehenden Datenverkehr.Open the following ports to outbound traffic.

PortnummerPort number Wie diese verwendet wirdHow it's used
8080 Herunterladen der Zertifikatssperrlisten (CRL) bei der Überprüfung des SSL-ZertifikatsDownloading certificate revocation lists (CRLs) while validating the SSL certificate
443443 Gesamte ausgehende Kommunikation mit dem Webanwendungsproxy-DienstAll outbound communication with the Application Proxy service

Wenn Ihre Firewall Datenverkehr gemäß Ursprungsbenutzern erzwingt, öffnen Sie auch die Ports 80 und 443 für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.If your firewall enforces traffic according to originating users, also open ports 80 and 443 for traffic from Windows services that run as a Network Service.

Wenn Sie den Anwendungsproxy bereits verwenden, haben Sie unter Umständen eine ältere Version des Connectors installiert.You might have an older version of the connector installed if you're already using Application Proxy. Installieren Sie mithilfe dieses Tutorials die neueste Version des Connectors.Follow this tutorial to install the latest version of the connector. Ältere Versionen als 1.5.132.0 erfordern auch die folgenden offenen Ports: 5671, 8080, 9090-9091, 9350, 9352, 10100–10120.Versions earlier than 1.5.132.0 also require the following open ports: 5671, 8080, 9090-9091, 9350, 9352, 10100–10120.

Zulassen des Zugriffs auf URLsAllow access to URLs

Lassen Sie den Zugriff auf die folgenden URLs zu:Allow access to the following URLs:

URLURL Wie diese verwendet wirdHow it's used
*.msappproxy.net*.msappproxy.net
*.servicebus.windows.net*.servicebus.windows.net
Kommunikation zwischen dem Connector und dem Anwendungsproxy-ClouddienstCommunication between the connector and the Application Proxy cloud service
mscrl.microsoft.com:80mscrl.microsoft.com:80
crl.microsoft.com:80crl.microsoft.com:80
ocsp.msocsp.com:80ocsp.msocsp.com:80
www.microsoft.com:80www.microsoft.com:80
Azure verwendet diese URLs, um Zertifikate zu überprüfen.Azure uses these URLs to verify certificates.
login.windows.netlogin.windows.net
login.microsoftonline.comlogin.microsoftonline.com
secure.aadcdn.microsoftonline-p.comsecure.aadcdn.microsoftonline-p.com
Der Connector verwendet diese URLs während der Registrierung.The connector uses these URLs during the registration process.

Sie können Verbindungen mit „*.msappproxy.net“ und „*.servicebus.windows.net“ zulassen, wenn für Ihre Firewall oder Ihren Proxy die Konfiguration von DNS-Zulassungslisten möglich ist.You can allow connections to *.msappproxy.net and *.servicebus.windows.net if your firewall or proxy lets you configure DNS allow lists. Andernfalls müssen Sie den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum zulassen.If not, you need to allow access to the Azure DataCenter IP ranges. Die IP-Adressbereiche werden wöchentlich aktualisiert.The IP ranges are updated each week.

Installieren und Registrieren eines ConnectorsInstall and register a connector

Installieren Sie für die Nutzung des Anwendungsproxys einen Connector auf jedem Windows-Server, den Sie mit dem Anwendungsproxydienst verwenden.To use Application Proxy, install a connector on each Windows server you're using with the Application Proxy service. Der Connector ist ein Agent, der die aus dem lokalen Anwendungsserver ausgehende Verbindung mit dem Anwendungsproxy in Azure AD verwaltet.The connector is an agent that manages the outbound connection from the on-premises application servers to Application Proxy in Azure AD. Sie können einen Connector auf Servern installieren, auf denen auch andere Authentifizierungs-Agents wie Azure AD Connect installiert sind.You can install a connector on servers that also have other authentication agents installed such as Azure AD Connect.

So installieren Sie den Connector:To install the connector:

  1. Melden Sie sich beim Azure-Portal als Anwendungsadministrator des Verzeichnisses an, das den Anwendungsproxy verwendet.Sign in to the Azure portal as an application administrator of the directory that uses Application Proxy. Wenn die Mandantendomäne also beispielsweise „contoso.com“ lautet, muss sich der Administrator als admin@contoso.com oder mit einem anderen Administratoraliasnamen in dieser Domäne anmelden.For example, if the tenant domain is contoso.com, the admin should be admin@contoso.com or any other admin alias on that domain.

  2. Wählen Sie rechts oben Ihren Benutzernamen aus.Select your username in the upper-right corner. Stellen Sie sicher, dass Sie an einem Verzeichnis angemeldet sind, für das der Anwendungsproxy verwendet wird.Verify you're signed in to a directory that uses Application Proxy. Wählen Sie Verzeichnis wechseln, und wählen Sie ein Verzeichnis aus, für das der Anwendungsproxy verwendet wird, falls Sie das Verzeichnis wechseln möchten.If you need to change directories, select Switch directory and choose a directory that uses Application Proxy.

  3. Wählen Sie im Navigationsbereich auf der linken Seite die Option Azure Active Directory.In left navigation panel, select Azure Active Directory.

  4. Wählen Sie unter Verwalten die Option Anwendungsproxy.Under Manage, select Application proxy.

  5. Wählen Sie Connectordienst herunterladen.Select Download connector service.

    Herunterladen eines Connectordiensts

  6. Lesen Sie die Vertragsbedingungen.Read the Terms of Service. Wählen Sie die Option Bedingungen akzeptieren und herunterladen, wenn Sie mit dem Lesen fertig sind.When you're ready, select Accept terms & Download.

  7. Wählen Sie am unteren Rand des Fensters die Option Ausführen, um den Connector zu installieren.At the bottom of the window, select Run to install the connector. Ein Installations-Assistent wird geöffnet.An install wizard opens.

  8. Befolgen Sie im Assistenten die Anleitung zum Installieren des Diensts.Follow the instructions in the wizard to install the service. Wenn Sie aufgefordert werden, den Connector mit dem Anwendungsproxy für Ihren Azure AD-Mandanten zu registrieren, geben Sie Ihre Administratoranmeldeinformationen für die Anwendung ein.When you're prompted to register the connector with the Application Proxy for your Azure AD tenant, provide your application administrator credentials.

    • Falls beim Internet Explorer (IE) Verstärkte Sicherheitskonfiguration für IE auf Ein festgelegt ist, wird der Registrierungsbildschirm unter Umständen nicht anzeigt.For Internet Explorer (IE), if IE Enhanced Security Configuration is set to On, you may not see the registration screen. Befolgen Sie die Anweisungen in der Fehlermeldung, um Zugriff zu erhalten.To get access, follow the instructions in the error message. Stellen Sie sicher, dass Verstärkte Sicherheitskonfiguration für Internet Explorer auf Aus festgelegt ist.Make sure that Internet Explorer Enhanced Security Configuration is set to Off.

Allgemeine HinweiseGeneral remarks

Wenn Sie bereits einen Connector installiert haben, installieren Sie ihn neu, um die neueste Version zu erhalten.If you've previously installed a connector, reinstall to get the latest version. Informationen zu zuvor veröffentlichten Versionen und den damit verbundenen Änderungen finden Sie unter Azure AD-Anwendungsproxy: Verlauf der Versionsveröffentlichungen.To see information about previously released versions and what changes they include, see Application Proxy: Version Release History.

Wenn Sie mehrere Windows-Server für Ihre lokalen Anwendungen einsetzen möchten, müssen Sie den Connector auf jedem Server installieren und registrieren.If you choose to have more than one Windows server for your on-premises applications, you'll need to install and register the connector on each server. Sie können die Connectors in Connectorgruppen organisieren.You can organize the connectors into connector groups. Weitere Informationen finden Sie unter Veröffentlichen von Anwendungen in getrennten Netzwerken und an getrennten Standorten mithilfe von Connectorgruppen.For more information, see Connector groups.

Wenn Ihre Organisation für Verbindungen mit dem Internet Proxyserver verwendet, müssen Sie diese für den Anwendungsproxy konfigurieren.If your organization uses proxy servers to connect to the internet, you need to configure them for Application Proxy. Weitere Informationen finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.For more information, see Work with existing on-premises proxy servers.

Informationen zu Connectors, deren Aktualisierung und Kapazitätsplanung finden Sie unter Grundlegendes zu Azure AD-Anwendungsproxyconnectors.For information about connectors, capacity planning, and how they stay up-to-date, see Understand Azure AD Application Proxy connectors.

Überprüfen der ordnungsgemäßen Installation und Registrierung des ConnectorsVerify the connector installed and registered correctly

Sie können mithilfe des Azure-Portals oder Ihres Windows-Servers sicherstellen, dass ein neuer Connector ordnungsgemäß installiert ist.You can use the Azure portal or your Windows server to confirm that a new connector installed correctly.

Überprüfen der Installation im Azure-PortalVerify the installation through Azure portal

So überprüfen Sie, ob der Connector ordnungsgemäß installiert und registriert ist:To confirm the connector installed and registered correctly:

  1. Melden Sie sich bei Ihrem Mandantenverzeichnis im Azure-Portal an.Sign in to your tenant directory in the Azure portal.

  2. Wählen Sie im Navigationsbereich auf der linken Seite die Option Azure Active Directory und dann im Abschnitt Verwalten die Option Anwendungsproxy.In the left navigation panel, select Azure Active Directory, and then select Application Proxy under the Manage section. Alle Connectors und Connectorgruppen werden auf dieser Seite angezeigt.All of your connectors and connector groups appear on this page.

  3. Wählen Sie einen Connector aus, um die Details zu überprüfen.View a connector to verify its details. Die Connectors sollten standardmäßig erweitert sein.The connectors should be expanded by default. Falls der gewünschte zu überprüfende Connector nicht erweitert ist, können Sie ihn erweitern, um die Details anzuzeigen.If the connector you want to view isn't expanded, expand the connector to view the details. Eine aktive grüne Beschriftung gibt an, dass Ihr Connector eine Verbindung mit dem Dienst herstellen kann.An active green label indicates that your connector can connect to the service. Jedoch auch wenn die Beschriftung grün ist, könnte ein Netzwerkproblem immer noch den Nachrichtenempfang des Connectors blockieren.However, even though the label is green, a network issue could still block the connector from receiving messages.

    Azure AD-Anwendungsproxyconnectors

Weitere Hilfe zur Installation eines Connectors finden Sie unter Problem beim Installieren des Anwendungsproxy-Agent-Connectors.For more help with installing a connector, see Problem installing the Application Proxy Connector.

Überprüfen der Installation über Ihren Windows-ServerVerify the installation through your Windows server

So überprüfen Sie, ob der Connector ordnungsgemäß installiert und registriert ist:To confirm the connector installed and registered correctly:

  1. Öffnen Sie den Windows-Dienst-Manager, indem Sie auf die Windows-Taste klicken und services.msc eingeben.Open the Windows Services Manager by clicking the Windows key and entering services.msc.

  2. Überprüfen Sie, ob die folgenden beiden Dienste den Status Wird ausgeführt haben.Check to see if the status for the following two services is Running.

    • Die Konnektivität wird per Microsoft AAD-Anwendungsproxyconnector ermöglicht.Microsoft AAD Application Proxy Connector enables connectivity.

    • Die Aktualisierung des Microsoft AAD-Anwendungsproxyconnectors ist ein automatischer Aktualisierungsdienst.Microsoft AAD Application Proxy Connector Updater is an automated update service. Der Dienst sucht nach neuen Versionen des Connectors und aktualisiert den Connector bei Bedarf.The updater checks for new versions of the connector and updates the connector as needed.

      Anwendungsproxy-Connectordienste – Screenshot

  3. Wenn die Dienste nicht den Status Wird ausgeführt haben, müssen Sie mit der rechten Maustaste auf jeden Dienst klicken und die Option Starten wählen.If the status for the services isn't Running, right-click to select each service and choose Start.

Hinzufügen einer lokalen App zu Azure ADAdd an on-premises app to Azure AD

Nun haben Sie Ihre Umgebung vorbereitet, einen Connector installiert und sind bereit, Azure AD lokale Anwendungen hinzuzufügen.Now that you've prepared your environment and installed a connector, you're ready to add on-premises applications to Azure AD.

  1. Melden Sie sich als Administrator beim Azure-Portal an.Sign in as an administrator in the Azure portal.

  2. Wählen Sie im Navigationsbereich auf der linken Seite die Option Azure Active Directory.In the left navigation panel, select Azure Active Directory.

  3. Wählen Sie Unternehmensanwendungen und dann Neue Anwendung.Select Enterprise applications, and then select New application.

  4. Wählen Sie Lokale Anwendung aus.Select On-premises application.

  5. Geben Sie im Abschnitt Fügen Sie Ihre eigene lokale Anwendung hinzu die folgenden Informationen zu Ihrer Anwendung an:In the Add your own on-premises application section, provide the following information about your application:

    FeldField BESCHREIBUNGDescription
    NameName Der Name der Anwendung, der im Zugriffsbereich und im Azure-Portal angezeigt wird.The name of the application that will appear on the access panel and in the Azure portal.
    Interne URLInternal URL Die URL zum Zugreifen auf die Anwendung innerhalb Ihres privaten Netzwerks.The URL for accessing the application from inside your private network. Sie können einen bestimmten Pfad auf dem Back-End-Server für die Veröffentlichung angeben, während der Rest des Servers nicht veröffentlicht wird.You can provide a specific path on the backend server to publish, while the rest of the server is unpublished. Auf diese Weise können Sie unterschiedliche Websites auf demselben Server als unterschiedliche Apps veröffentlichen und jeweils einen eigenen Namen und Zugriffsregeln vergeben.In this way, you can publish different sites on the same server as different apps, and give each one its own name and access rules.

    Stellen Sie beim Veröffentlichen eines Pfads sicher, dass er alle erforderlichen Bilder, Skripts und Stylesheets für Ihre Anwendung enthält.If you publish a path, make sure that it includes all the necessary images, scripts, and style sheets for your application. Wenn sich die App beispielsweise unter „https://yourapp/app“ befindet und Bilder unter „https://yourapp/media“ genutzt werden, sollten Sie „https://yourapp/“ als Pfad veröffentlichen.For example, if your app is at https://yourapp/app and uses images located at https://yourapp/media, then you should publish https://yourapp/ as the path. Diese interne URL verfügt nicht über die Zielseite, die den Benutzern angezeigt wird.This internal URL doesn't have to be the landing page your users see. Weitere Informationen finden Sie unter Festlegen einer benutzerdefinierten Startseite für veröffentlichte Apps.For more information, see Set a custom home page for published apps.
    Externe URLExternal URL Die Adresse für den Benutzerzugriff auf die App von außerhalb Ihres Netzwerks.The address for users to access the app from outside your network. Wenn Sie die Anwendungsproxy-Standarddomäne nicht verwenden möchten, lesen Sie Benutzerdefinierte Domänen im Azure AD-Anwendungsproxy.If you don't want to use the default Application Proxy domain, read about custom domains in Azure AD Application Proxy.
    VorauthentifizierungPre Authentication Gibt das Verfahren an, wie der Anwendungsproxy Benutzer überprüft, bevor diese Zugriff auf Ihre Anwendung erhalten.How Application Proxy verifies users before giving them access to your application.

    Azure Active Directory: Der Anwendungsproxy leitet Benutzer an die Anmeldung mit Azure AD um. Hierbei werden deren Berechtigungen für das Verzeichnis und die Anwendung authentifiziert.Azure Active Directory - Application Proxy redirects users to sign in with Azure AD, which authenticates their permissions for the directory and application. Es wird empfohlen, diese Option als Standardwert aktiviert zu lassen, damit Sie Azure AD-Sicherheitsfunktionen wie bedingten Zugriff und Multi-Factor Authentication nutzen können.We recommend keeping this option as the default so that you can take advantage of Azure AD security features like conditional access and Multi-Factor Authentication. Azure Active Directory ist erforderlich, um die Anwendung mit Microsoft Cloud App Security zu überwachen.Azure Active Directory is required for monitoring the application with Microsoft Cloud Application Security.

    Passthrough: Benutzer müssen sich nicht bei Azure AD authentifizieren, um Zugriff auf die Anwendung zu erhalten.Passthrough - Users don't have to authenticate against Azure AD to access the application. Sie können weiterhin Authentifizierungsanforderungen auf dem Back-End einrichten.You can still set up authentication requirements on the backend.
    ConnectorgruppeConnector Group Connectors verarbeiten den Remotezugriff auf Ihre Anwendung, und Connectorgruppen helfen Ihnen, Connectors und Apps nach Region, Netzwerk oder Zweck zu organisieren.Connectors process the remote access to your application, and connector groups help you organize connectors and apps by region, network, or purpose. Wenn Sie noch keine Connectorgruppen erstellt haben, wird Ihre App zu Standard zugewiesen.If you don't have any connector groups created yet, your app is assigned to Default.

    Wenn Ihre Anwendung WebSockets verwendet, um eine Verbindung herzustellen, muss die Version aller Connectors in der Gruppe 1.5.612.0 oder höher sein.If your application uses WebSockets to connect, all connectors in the group must be version 1.5.612.0 or later.
  6. Konfigurieren Sie bei Bedarf die Einstellungen unter Zusätzliche Einstellungen.If necessary, configure Additional settings. Für die meisten Anwendungen sollten Sie diese Einstellungen im Standardzustand belassen.For most applications, you should keep these settings in their default states.

    FeldField BESCHREIBUNGDescription
    Timeout der Back-End-AnwendungBackend Application Timeout Legen Sie diesen Wert nur auf Lang fest, wenn Ihre Anwendung bei der Authentifizierung und dem Verbinden langsam ist.Set this value to Long only if your application is slow to authenticate and connect.
    Nur-HTTP-Cookie verwendenUse HTTP-Only Cookie Legen Sie diesen Wert auf Ja fest, damit Anwendungsproxycookies das Flag HTTPOnly im HTTP-Antwortheader enthalten.Set this value to Yes to have Application Proxy cookies include the HTTPOnly flag in the HTTP response header. Wenn Sie Remotedesktopdienste verwenden, sollten Sie diese Option auf Nein festlegen.If using Remote Desktop Services, set this value to No.
    Sicheres Cookie verwendenUse Secure Cookie Legen Sie diesen Wert auf Ja fest, um Cookies über einen sicheren Kanal zu übertragen, z.B. eine verschlüsselte HTTPS-Anforderung.Set this value to Yes to transmit cookies over a secure channel such as an encrypted HTTPS request.
    Beständiges Cookie verwendenUse Persistent Cookie Behalten Sie für diesen Wert die Einstellung Nein bei.Keep this value set to No. Verwenden Sie diese Einstellung nur für Anwendungen, bei denen Cookies übergreifend für Prozesse genutzt werden können.Only use this setting for applications that can't share cookies between processes. Weitere Informationen zu Cookieeinstellungen finden Sie unter Cookieeinstellungen für den Zugriff auf lokale Anwendungen in Azure Active Directory.For more information about cookie settings, see Cookie settings for accessing on-premises applications in Azure Active Directory.
    URLs in Headern übersetzenTranslate URLs in Headers Behalten Sie für diesen Wert Ja bei, wenn Ihre Anwendung den ursprünglichen Hostheader nicht in der Authentifizierungsanforderung erfordert.Keep this value as Yes unless your application required the original host header in the authentication request.
    URLs im Hauptteil der Anwendung übersetzenTranslate URLs in Application Body Behalten Sie für diesen Wert Nein bei, wenn Sie nicht über hartcodierte HTML-Links zu anderen lokalen Anwendungen verfügen, und verwenden Sie keine benutzerdefinierten Domänen.Keep this value as No unless you have hardcoded HTML links to other on-premises applications and don't use custom domains. Weitere Informationen finden Sie unter Linkübersetzung mit dem Anwendungsproxy.For more information, see Link translation with Application Proxy.

    Legen Sie diesen Wert auf Ja fest, wenn Sie diese Anwendung mit Microsoft Cloud App Security (MCAS) überwachen möchten.Set this value to Yes if you plan to monitor this application with Microsoft Cloud App Security (MCAS). Weitere Informationen finden Sie unter Konfigurieren der Echtzeitüberwachung des Anwendungszugriffs mit Microsoft Cloud App Security und Azure Active Directory.For more information, see Configure real-time application access monitoring with Microsoft Cloud App Security and Azure Active Directory.
  7. Wählen Sie Hinzufügen.Select Add.

Testen der AnwendungTest the application

Sie können nun testen, ob die Anwendung richtig hinzugefügt wurde.You're ready to test the application is added correctly. Mit den folgenden Schritten fügen Sie der Anwendung ein Benutzerkonto hinzu und probieren aus, ob Sie sich anmelden können.In the following steps, you'll add a user account to the application, and try signing in.

Hinzufügen eines Benutzers zu TestzweckenAdd a user for testing

Bevor Sie der Anwendung einen Benutzer hinzufügen, stellen Sie sicher, dass das Benutzerkonto bereits über Berechtigungen zum Zugriff auf die Anwendung aus dem Unternehmensnetzwerk heraus verfügt.Before adding a user to the application, verify the user account already has permissions to access the application from inside the corporate network.

So fügen Sie einen Testbenutzer hinzu:To add a test user:

  1. Wählen Sie die Option Unternehmensanwendungen, und wählen Sie dann die zu testende Anwendung aus.Select Enterprise applications, and then select the application you want to test.
  2. Wählen Sie Erste Schritte und dann Zuweisen eines Benutzers zu Testzwecken.Select Getting started, and then select Assign a user for testing.
  3. Wählen Sie unter Benutzer und Gruppen die Option Benutzer hinzufügen.Under Users and groups, select Add user.
  4. Wählen Sie unter Zuweisung hinzufügen die Option Benutzer und Gruppen.Under Add assignment, select Users and groups. Der Abschnitt Benutzer und Gruppen wird angezeigt.The User and groups section appears.
  5. Wählen Sie das Konto aus, das Sie hinzufügen möchten.Choose the account you want to add.
  6. Wählen Sie die Option Auswählen und dann Zuweisen.Choose Select, and then select Assign.

Testen des AnmeldensTest the sign-on

Testen Sie wie folgt das Anmelden an der Anwendung:To test the sign-on to the application:

  1. Navigieren Sie in Ihrem Browser zur externen URL, die Sie beim Veröffentlichen konfiguriert haben.In your browser, navigate to the external URL that you configured during the publish step. Der Startbildschirm sollte angezeigt werden.You should see the start screen.
  2. Melden Sie sich als der Benutzer an, den Sie im vorherigen Abschnitt erstellt haben.Sign in as the user you created in the previous section.

Informationen zur Problembehandlung finden Sie unter Beheben von Problemen mit Anwendungsproxys und Fehlermeldungen.For troubleshooting, see Troubleshoot Application Proxy problems and error messages.

Nächste SchritteNext steps

In diesem Tutorial haben Sie Ihre lokale Umgebung auf den Einsatz des Anwendungsproxys vorbereitet und dann den Anwendungsproxyconnector installiert und registriert.In this tutorial, you prepared your on-premises environment to work with Application Proxy, and then installed and registered the Application Proxy connector. Als Nächstes fügen Sie Ihrem Azure AD-Mandanten eine Anwendung hinzu.Next, you added an application to your Azure AD tenant. Sie haben überprüft, ob ein Testbenutzer sich über das Azure AD-Konto bei der Anwendung anmelden kann.You verified that a user can sign on to the application by using an Azure AD account.

Sie haben folgende Schritte ausgeführt:You did these things:

  • Öffnen von Ports für ausgehenden Datenverkehr und Zulassen des Zugriffs auf bestimmte URLsOpened ports for outbound traffic and allowed access to specific URLs
  • Installieren des Connectors auf Ihrem Windows-Server und Registrierung mit dem AnwendungsproxyInstalled the connector on your Windows server, and registered it with Application Proxy
  • Überprüfen der ordnungsgemäßen Installation und Registrierung des ConnectorsVerified the connector installed and registered correctly
  • Hinzufügen einer lokalen Anwendung zum Azure AD-MandantenAdded an on-premises application to your Azure AD tenant
  • Überprüfen, ob ein Testbenutzer sich über das Azure AD-Konto bei der Anwendung anmelden kannVerified a test user can sign on to the application by using an Azure AD account

Sie können die Anwendung jetzt für einmaliges Anmelden konfigurieren.You're ready to configure the application for single sign-on. Verwenden Sie den folgenden Link, um eine Anmeldemethode auszuwählen und auf Tutorials zum einmaligen Anmelden zuzugreifen.Use the following link to choose a single sign-on method and to find single sign-on tutorials.