Attività iniziali del proxy di applicazione e installazione del connettoreGet started with Application Proxy and install the connector

Questo articolo illustra la procedura per abilitare il proxy di applicazione di Microsoft Azure AD per la directory cloud in Azure AD.This article walks you through the steps to enable Microsoft Azure AD Application Proxy for your cloud directory in Azure AD.

Se non si conoscono ancora i vantaggi in termini di produttività e sicurezza offerti all'organizzazione dal proxy di applicazione, vedere Come fornire l'accesso remoto sicuro alle applicazioni locali.If you're not yet aware of the security and productivity benefits Application Proxy brings to your organization, learn more about How to provide secure remote access to on-premises applications.

Prerequisiti del proxy dell'applicazioneApplication Proxy prerequisites

Prima di poter abilitare e utilizzare i servizi del proxy dell'applicazione, è necessario disporre di:Before you can enable and use Application Proxy services, you need to have:

  • Una sottoscrizione di Microsoft Azure AD Basic o Premium e una directory di Azure AD di cui si è un amministratore globale.A Microsoft Azure AD basic or premium subscription and an Azure AD directory for which you are a global administrator.
  • Un server che esegue Windows Server 2012 R2 o 2016 in cui poter installare il connettore del proxy di applicazione.A server running Windows Server 2012 R2 or 2016, on which you can install the Application Proxy Connector. Il server deve potersi connettere ai servizi proxy di applicazione nel cloud e alle applicazioni locali che vengono pubblicate.The server needs to be able to connect to the Application Proxy services in the cloud, and the on-premises applications that you are publishing.
    • Per l'accesso Single Sign-On alle applicazioni pubblicate usando la delega vincolata Kerberos, è necessario che il computer sia aggiunto allo stesso dominio di AD delle applicazioni che vengono pubblicate.For single sign-on to your published applications using Kerberos Constrained Delegation, this machine should be domain-joined in the same AD domain as the applications that you are publishing. Per informazioni, vedere KCD for single sign-on with Application Proxy (KDC per l'Accesso Single Sign-On con il proxy di applicazione).For information, see KCD for single sign-on with Application Proxy.

Se l'organizzazione usa i server proxy per la connessione a Internet, vedere Usare server proxy locali esistenti per informazioni dettagliate su come configurarli prima di iniziare a usare il proxy di applicazione.If your organization uses proxy servers to connect to the internet, read Work with existing on-premises proxy servers for details on how to configure them before you get started with Application Proxy.

Aprire le porteOpen your ports

Per preparare l'ambiente per il proxy di applicazione di Azure AD, è necessario abilitare prima la comunicazione ai data center di Azure.To prepare your environment for Azure AD Application Proxy, you first need to enable communication to Azure data centers. Se nel percorso è presente un firewall, verificare che sia aperto in modo che il connettore possa inviare richieste HTTPS (TCP) al proxy di applicazione.If there is a firewall in the path, make sure that it's open so that the Connector can make HTTPS (TCP) requests to the Application Proxy.

  1. Aprire le porte seguenti al traffico in uscita:Open the following ports to outbound traffic:

    Numero della portaPort number UsoHow it's used
    8080 Download degli elenchi di revoche di certificati (CRL) durante la convalida del certificato SSLDownloading certificate revocation lists (CRLs) while validating the SSL certificate
    443443 Tutte le comunicazioni in uscita con il servizio proxy di applicazioneAll outbound communication with the Application Proxy service

    Se il firewall regola il traffico in base agli utenti di origine, aprire queste porte per il traffico proveniente da servizi di Windows in esecuzione come servizio di rete.If your firewall enforces traffic according to originating users, open these ports for traffic from Windows services that run as a Network Service.

    Importante

    La tabella contiene i requisiti relativi alle porte per le versioni del connettore 1.5.132.0 e successive.The table reflects the port requirements for connector versions 1.5.132.0 and newer. Se la versione del connettore è precedente, è anche necessario abilitare le porte seguenti oltre alla 80 e alla 443: 5671, 8080, 9090-9091, 9350, 9352, 10100-10120.If you still have an older connector version, you also need to enable the following ports in addition to 80 and 443: 5671, 8080, 9090-9091, 9350, 9352, 10100–10120.

    Per informazioni sull'aggiornamento dei connettori alla versione più recente, vedere Comprendere i connettori del proxy di applicazione di Azure AD.For information about updating your connectors to the newest version, see Understand Azure AD Application Proxy connectors.

  2. Se il firewall o il proxy consente di inserire DNS nell'elenco elementi consentiti, è possibile aggiungere connessioni a msappproxy.net e servicebus.windows.net.If your firewall or proxy allows DNS whitelisting, you can whitelist connections to msappproxy.net and servicebus.windows.net. In caso contrario, è necessario consentire l'accesso agli intervalli IP del data center di Azure che vengono aggiornati ogni settimana.If not, you need to allow access to the Azure DataCenter IP ranges, which are updated each week.

  3. Microsoft usa quattro indirizzi per verificare i certificati.Microsoft uses four addresses to verify certificates. Se non è già stato fatto per altri prodotti, consentire l'accesso agli URL seguenti:Allow access to the following URLs if you haven't done so for other products:

    • mscrl.microsoft.com:80mscrl.microsoft.com:80
    • crl.microsoft.com:80crl.microsoft.com:80
    • ocsp.msocsp.com:80ocsp.msocsp.com:80
    • www.microsoft.com:80www.microsoft.com:80
  4. Il connettore deve poter accedere a login.windows.net e login.microsoftonline.com per il processo di registrazione.Your connector needs access to login.windows.net and login.microsoftonline.com for the registration process.

  5. Usare lo strumento per il test delle porte del connettore Proxy di applicazione Azure AD per verificare che il connettore possa raggiungere il servizio Proxy di applicazione.Use the Azure AD Application Proxy Connector Ports Test Tool to verify that your connector can reach the Application Proxy service. Assicurarsi almeno che l'area Stati Uniti centrali e l'area più vicina all'utente abbiano segni di spunta verdi.At a minimum, make sure that the Central US region and the region closest to you have all green checkmarks. La presenza di più segni di spunta verdi indica una maggiore resilienza.Beyond that, more green checkmarks means greater resiliency.

Installare e registrare un connettoreInstall and register a connector

  1. Accedere come amministratore al portale di Azure.Sign in as an administrator in the Azure portal.
  2. La directory corrente viene visualizzata sotto il nome utente nell'angolo superiore destro.Your current directory appears under your username in the top right corner. Se è necessario cambiare directory, selezionare questa icona.If you need to change directories, select that icon.
  3. Passare a Azure Active Directory > Proxy dell'applicazione.Go to Azure Active Directory > Application Proxy.

    Accedere a Proxy di applicazione

  4. Selezionare Scarica connettore.Select Download Connector.

    Scaricare il connettore

  5. Eseguire AADApplicationProxyConnectorInstaller.exe nel server preparato in base ai prerequisiti.Run AADApplicationProxyConnectorInstaller.exe on the server you prepared according to the prerequisites.

  6. Seguire le istruzioni della procedura guidata da installare.Follow the instructions in the wizard to install. Durante l'installazione viene richiesto di registrare il connettore con il proxy di applicazione del tenant di Azure AD.During installation, you are prompted to register the connector with the Application Proxy of your Azure AD tenant.

    • Fornire le credenziali di amministratore globale di Azure AD.Provide your Azure AD global administrator credentials. Il tenant di amministratore globale può essere diverso dalle credenziali di Microsoft Azure.Your global administrator tenant may be different from your Microsoft Azure credentials.
    • Verificare che l'amministratore che registra il connettore si trovi nella stessa directory in cui è stato abilitato il servizio proxy dell'applicazione.Make sure the admin who registers the connector is in the same directory where you enabled the Application Proxy service. Se il dominio del tenant è contoso.com, ad esempio, l'amministratore deve essere admin@contoso.com o qualsiasi altro alias di tale dominio.For example, if the tenant domain is contoso.com, the admin should be admin@contoso.com or any other alias on that domain.
    • Se l'opzione Configurazione sicurezza avanzata IE è**** attivata nel server in cui si sta installando il connettore, potrebbe non venire visualizzata la schermata di registrazione.If IE Enhanced Security Configuration is set to On on the server where you are installing the connector, you may not see the registration screen. Per ottenere l'accesso, seguire le istruzioni contenute nel messaggio di errore.To get access, follow the instructions in the error message. Verificare che Internet Explorer Enhanced Security Context sia disabilitato.Make sure that Internet Explorer Enhanced Security is off.

Per ottenere una disponibilità elevata, è consigliabile distribuire almeno due connettori.For high availability purposes, you should deploy at least two connectors. Ogni connettore deve essere registrato separatamente.Each connector must be registered separately.

Testare che il connettore sia installato correttamenteTest that the connector installed correctly

È possibile verificare che un nuovo connettore sia installato correttamente controllando nel portale di Azure o nel server.You can confirm that a new connector installed correctly by checking for it in either the Azure portal or on your server.

Nel portale di Azure accedere al tenant e passare a Azure Active Directory > Proxy dell'applicazione.In the Azure portal, sign in to your tenant and navigate to Azure Active Directory > Application Proxy. Tutti i connettori e i gruppi di connettori vengono visualizzati in questa pagina.All of your connectors and connector groups appear on this page. Selezionare un connettore per visualizzarne i dettagli o spostarlo in un gruppo di connettori diverso.Select a connector to see its details or move it into a different connector group.

Nel server controllare l'elenco dei servizi attivi per il connettore e lo strumento di aggiornamento del connettore.On your server, check the list of active services for the connector and the connector updater. I due servizi dovrebbero avviarsi immediatamente. In caso contrario, attivarli:The two services should start running immediately, but if not, turn them on:

  • Microsoft AAD Application Proxy Connector abilita la connettività.Microsoft AAD Application Proxy Connector enables connectivity

  • Microsoft AAD Application Proxy Connector Updater è un servizio di aggiornamento automatico.Microsoft AAD Application Proxy Connector Updater is an automated update service. Lo strumento di aggiornamento controlla la presenza di nuove versioni del connettore e aggiorna il connettore in base alle esigenze.The updater checks for new versions of the connector and updates the connector as needed.

    Servizi del connettore proxy di applicazione - Screenshot

Per informazioni sui connettori e su come vengono mantenuti aggiornati, vedere Comprendere i connettori del proxy applicazione Azure AD.For information about connectors and how they stay up to date, see Understand Azure AD Application Proxy connectors.

Passaggi successiviNext steps

È ora possibile pubblicare applicazioni con il proxy di applicazione.You are now ready to Publish applications with Application Proxy.

Se ci sono applicazioni in reti separate o posizioni diverse, usare gruppi di connettori per organizzare i diversi connettori in unità logiche.If you have applications that are on separate networks or different locations, use connector groups to organize the different connectors into logical units. Per altre informazioni, vedere Pubblicare applicazioni in reti e posizioni separate tramite i gruppi di connettori.Learn more about Working with Application Proxy connectors.