Distribuire il proxy di applicazione di Azure AD in un dominio gestito di Azure AD Domain ServicesDeploy Azure AD Application Proxy on an Azure AD Domain Services managed domain

Il proxy dell'applicazione di Azure Active Directory (AD) consente di supportare lavoratori remoti pubblicando applicazioni locali in modo che siano accessibili tramite Internet.Azure Active Directory (AD) Application Proxy helps you support remote workers by publishing on-premises applications to be accessed over the internet. Azure AD Domain Services ora consente di trasferire in modalità lift-and-shift le applicazioni legacy in esecuzione in locale nei servizi di infrastruttura di Azure.With Azure AD Domain Services, you can now lift-and-shift legacy applications running on-premises to Azure Infrastructure Services. È quindi possibile pubblicare queste applicazioni con il proxy di applicazione di Azure AD per garantire l'accesso remoto sicuro agli utenti dell'organizzazione.You can then publish these applications using the Azure AD Application Proxy, to provide secure remote access to users in your organization.

Per altre informazioni su questa funzionalità, vedere Come fornire l'accesso remoto sicuro alle applicazioni locali, se non si ha familiarità con il proxy di applicazione di Azure AD.If you're new to the Azure AD Application Proxy, learn more about this feature with the following article: How to provide secure remote access to on-premises applications.

Prima di iniziareBefore you begin

Per eseguire le attività elencate in questo articolo sono necessari gli elementi seguenti:To perform the tasks listed in this article, you need:

  1. Una sottoscrizione di Azurevalida.A valid Azure subscription.
  2. Una directory di Azure AD sincronizzata con una directory locale o con una directory solo cloud.An Azure AD directory - either synchronized with an on-premises directory or a cloud-only directory.
  3. Per usare il proxy di applicazione di Azure AD è necessaria una licenza Basic o Premium di Azure AD.An Azure AD Basic or Premium license is required to use the Azure AD Application Proxy.
  4. Servizi di dominio Azure AD devono essere abilitati per la directory di Azure AD.Azure AD Domain Services must be enabled for the Azure AD directory. Se non è stato fatto, eseguire tutte le attività descritte nella guida introduttiva.If you haven't done so, follow all the tasks outlined in the Getting Started guide.


Attività 1: Abilitare il proxy di applicazione di Azure AD per la directory di Azure ADTask 1 - Enable Azure AD Application Proxy for your Azure AD directory

Per abilitare il proxy di applicazione di Azure AD per la directory di Azure AD, seguire questa procedura.Perform the following steps to enable the Azure AD Application Proxy for your Azure AD directory.

  1. Accedere come amministratore al portale di Azure.Sign in as an administrator in the Azure portal.

  2. Fare clic su Azure Active Directory per visualizzare la panoramica della directory.Click Azure Active Directory to bring up the directory overview. Fare clic su Applicazioni aziendali.Click Enterprise applications.

    Selezionare la directory di Azure AD

  3. Fare clic su Proxy di applicazione.Click Application proxy. Se non è disponibile una sottoscrizione di Azure AD Basic o Azure AD Premium, viene visualizzata un'opzione per attivare una versione di valutazione.If you do not have an Azure AD Basic or Azure AD Premium subscription, you see an option to enable a trial. Impostare Abilitare il proxy di applicazione? su Abilita e fare clic su Salva.Toggle Enable Application Proxy? to Enable and click Save.

    Abilitare il proxy di applicazione

  4. Per scaricare il connettore, fare clic sul pulsante Connettore.To download the connector, click the Connector button.

    Scaricare il connettore

  5. Nella pagina di download accettare le condizioni di licenza e l'informativa sulla privacy e fare clic sul pulsante Scarica.On the download page, accept the license terms and privacy agreement and click the Download button.

    Confermare il download

Attività 2: Effettuare il provisioning di server Windows aggiunti a un dominio per distribuire il connettore del proxy di applicazione di Azure ADTask 2 - Provision domain-joined Windows servers to deploy the Azure AD Application Proxy connector

È necessario avere a disposizione macchine virtuali Windows Server aggiunte a un dominio in cui installare il connettore del proxy di applicazione di Azure AD.You need domain-joined Windows Server virtual machines on which you can install the Azure AD Application Proxy connector. Per alcune applicazioni è possibile scegliere di effettuare il provisioning di più server in cui è installato il connettore.For some applications, you may choose to provision multiple servers on which the connector is installed. Questa opzione di distribuzione offre maggiore disponibilità e permette di gestire carichi di lavoro di autenticazione più gravosi.This deployment option gives you greater availability and helps handle heavier authentication loads.

Effettuare il provisioning di server del connettore nella stessa rete virtuale o in una rete virtuale connessa/associata in cui è stato abilitato il dominio gestito di Azure AD Domain Services.Provision the connector servers on the same virtual network (or a connected/peered virtual network), in which you have enabled your Azure AD Domain Services managed domain. Analogamente, i server che ospitano le applicazioni pubblicate tramite il proxy di applicazione devono essere installati nella stessa rete virtuale di Azure.Similarly, the servers hosting the applications you publish via the Application Proxy need to be installed on the same Azure virtual network.

Per effettuare il provisioning dei server del connettore, seguire la procedura illustrata nell'articolo Aggiungere una macchina virtuale Windows Server a un dominio gestito.To provision connector servers, follow the tasks outlined in the article titled Join a Windows virtual machine to a managed domain.

Attività 3: Installare e registrare il connettore del proxy di applicazione di Azure ADTask 3 - Install and register the Azure AD Application Proxy Connector

In precedenza è stato effettuato il provisioning di una macchina virtuale Windows Server, poi aggiunta al dominio gestito.Previously, you provisioned a Windows Server virtual machine and joined it to the managed domain. In questa attività il connettore del proxy di applicazione di Azure AD viene installato in tale macchina virtuale.In this task, you install the Azure AD Application Proxy connector on this virtual machine.

  1. Copiare il pacchetto di installazione di connettore nella macchina virtuale in cui va installato il connettore del proxy applicazione Web di Azure AD.Copy the connector installation package to the VM on which you install the Azure AD Web Application Proxy connector.

  2. Eseguire AADApplicationProxyConnectorInstaller.exe nella macchina virtuale.Run AADApplicationProxyConnectorInstaller.exe on the virtual machine. Accettare le condizioni di licenza software.Accept the software license terms.

    Accettare le condizione per l'installazione

  3. Durante l'installazione viene richiesto di registrare il connettore con il proxy di applicazione della directory di Azure AD.During installation, you are prompted to register the connector with the Application Proxy of your Azure AD directory.

    • Specificare le credenziali di amministratore globale di Azure AD.Provide your Azure AD global administrator credentials. Il tenant di amministratore globale può essere diverso dalle credenziali di Microsoft Azure.Your global administrator tenant may be different from your Microsoft Azure credentials.
    • L'account amministratore usato per registrare il connettore deve trovarsi nella stessa directory in cui è stato abilitato il servizio proxy dell'applicazione.The administrator account used to register the connector must belong to the same directory where you enabled the Application Proxy service. Se il dominio del tenant è contoso.com, ad esempio, l'amministratore deve essere admin@contoso.com o qualsiasi altro alias valido di tale dominio.For example, if the tenant domain is contoso.com, the admin should be admin@contoso.com or any other valid alias on that domain.
    • Se la Sicurezza avanzata di Internet Explorer è abilitata per il server in cui si vuole installare il connettore, la schermata di registrazione potrebbe essere bloccata.If IE Enhanced Security Configuration is turned on for the server where you are installing the connector, the registration screen might be blocked. Per consentire l'accesso, seguire le istruzioni contenute nel messaggio di errore.To allow access, follow the instructions in the error message. Verificare che Internet Explorer Enhanced Security Context sia disabilitato.Make sure that Internet Explorer Enhanced Security is off.
    • Se la registrazione del connettore non riesce, vedere Risolvere i problemi del Proxy applicazione.If connector registration does not succeed, see Troubleshoot Application Proxy.

      Connettore installato

  4. Per garantire il corretto funzionamento del connettore, eseguire lo strumento di risoluzione dei problemi del connettore del proxy di applicazione di Azure AD.To ensure the connector works properly, run the Azure AD Application Proxy Connector Troubleshooter. Dopo l'esecuzione dello strumento di risoluzione dei problemi verrà visualizzato un report relativo all'esito positivo dell'operazione.You should see a successful report after running the troubleshooter.

    Esito positivo dello strumento di risoluzione dei problemi

  5. Il connettore appena installato viene elencato nella pagina del proxy di applicazione nella directory di Azure AD.You should see the newly installed connector listed on the Application proxy page in your Azure AD directory.

Nota

È possibile scegliere di installare i connettori in più server per garantire la disponibilità elevata per l'autenticazione di applicazioni pubblicate tramite il proxy di applicazione di Azure AD.You may choose to install connectors on multiple servers to guarantee high availability for authenticating applications published through the Azure AD Application Proxy. Seguire la stessa procedura appena illustrata per installare il connettore in altri server aggiunti al dominio gestito.Perform the same steps listed above to install the connector on other servers joined to your managed domain.

Passaggi successiviNext Steps

È stato configurato il proxy di applicazione di Azure AD ed è stato integrato con il dominio gestito di Azure AD Domain Services.You have set up the Azure AD Application Proxy and integrated it with your Azure AD Domain Services managed domain.

  • Migrare applicazioni in macchine virtuali di Azure: è possibile trasferire in modalità lift-and-shift le applicazioni da server locali in macchine virtuali di Azure aggiunte al dominio gestito.Migrate your applications to Azure virtual machines: You can lift-and-shift your applications from on-premises servers to Azure virtual machines joined to your managed domain. Questo permette di eliminare i costi di infrastruttura legati all'esecuzione di server locali.Doing so helps you get rid of the infrastructure costs of running servers on-premises.

  • Pubblicare applicazioni con il proxy di applicazione di Azure AD: è possibile pubblicare le applicazioni in esecuzione nelle macchine virtuali di Azure usando il proxy di applicazione di Azure AD.Publish applications using Azure AD Application Proxy: Publish applications running on your Azure virtual machines using the Azure AD Application Proxy. Per altre informazioni, vedere l'articolo relativo alla pubblicazione di applicazioni con il proxy di applicazione di Azure AD.For more information, see publish applications using Azure AD Application Proxy

Nota di distribuzione: pubblicare applicazioni con l'autenticazione integrata di Windows usando il proxy di applicazione di Azure ADDeployment note - Publish IWA (Integrated Windows Authentication) applications using Azure AD Application Proxy

Abilitare l'accesso Single Sign-On alle applicazioni che usano l'autenticazione integrata di Windows concedendo ai connettori del proxy di applicazione l'autorizzazione a rappresentare gli utenti e a inviare e ricevere token per loro conto.Enable single sign-on to your applications using Integrated Windows Authentication (IWA) by granting Application Proxy Connectors permission to impersonate users, and send and receive tokens on their behalf. Configurare la delega vincolata Kerberos (KCD) per il connettore per concedere le autorizzazioni necessarie per accedere alle risorse nel dominio gestito.Configure Kerberos constrained delegation (KCD) for the connector to grant the required permissions to access resources on the managed domain. Usare il meccanismo della delega vincolata Kerberos basata su risorse nei domini gestiti per una maggiore sicurezza.Use the resource-based KCD mechanism on managed domains for increased security.

Abilitare la delega vincolata Kerberos basata su risorse per il connettore del proxy di applicazione di Azure ADEnable resource-based Kerberos constrained delegation for the Azure AD Application Proxy connector

Il connettore del proxy di applicazione Azure deve essere configurato per la delega vincolata Kerberos (KCD), in modo che possa rappresentare gli utenti nel dominio gestito.The Azure Application Proxy connector should be configured for Kerberos constrained delegation (KCD), so it can impersonate users on the managed domain. In un dominio gestito di Azure AD Domain Services non si hanno privilegi di amministratore di dominio.On an Azure AD Domain Services managed domain, you do not have domain administrator privileges. Di conseguenza, non è possibile configurare la delega vincolata Kerberos tradizionale a livello di account in un dominio gestito.Therefore, traditional account-level KCD cannot be configured on a managed domain.

Usare la delega vincolata Kerberos basata su risorse, come illustrato in questo articolo.Use resource-based KCD as described in this article.

Nota

Per poter amministrare il dominio gestito usando i cmdlet di Azure AD PowerShell, è necessario essere un membro del gruppo "AAD DC Administrators".You need to be a member of the 'AAD DC Administrators' group, to administer the managed domain using AD PowerShell cmdlets.

Usare il cmdlet di PowerShell Get-ADComputer per recuperare le impostazioni del computer in cui è installato il connettore del proxy di applicazione di Azure AD.Use the Get-ADComputer PowerShell cmdlet to retrieve the settings for the computer on which the Azure AD Application Proxy connector is installed.

$ConnectorComputerAccount = Get-ADComputer -Identity contoso100-proxy.contoso100.com

Successivamente, usare il cmdlet Set-ADComputer per impostare la delega vincolata Kerberos basata su risorse per il server delle risorse.Thereafter, use the Set-ADComputer cmdlet to set up resource-based KCD for the resource server.

Set-ADComputer contoso100-resource.contoso100.com -PrincipalsAllowedToDelegateToAccount $ConnectorComputerAccount

Se sono stati distribuiti più connettori del proxy di applicazione nel dominio gestito, è necessario configurare la delega vincolata Kerberos basata su risorse per ogni istanza di tale connettore.If you have deployed multiple Application Proxy connectors on your managed domain, you need to configure resource-based KCD for each such connector instance.