Veelgestelde vragen over Microsoft Entra-toepassingsproxy

Nee, de volgende configuratie-items worden gebruikt door de app-proxy en mogen niet worden gewijzigd of verwijderd:

• Schakel 'Openbare clientsstromen toestaan' in of uit.
• CWAP_AuthSecret (clientgeheimen).
• API-machtigingen. Als u een van de bovenstaande configuratie-items op de pagina App-registratie wijzigt, wordt de verificatie vooraf uitgevoerd voor de Microsoft Entra-toepassingsproxy.

Nee, u moet een toepassingsproxy-app verwijderen uit het gebied Bedrijfstoepassingen van het Microsoft Entra-beheercentrum. Als u de toepassingsproxy-app verwijdert uit het App-registraties gebied van het Microsoft Entra-beheercentrum, kunt u problemen ondervinden.

Als u de Microsoft Entra-toepassingsproxy wilt gebruiken, moet u een Microsoft Entra ID P1- of P2-licentie hebben. Zie Prijzen voor Microsoft Entra voor meer informatie over licenties

Als uw licentie verloopt, wordt de toepassingsproxy automatisch uitgeschakeld. Uw toepassingsgegevens worden maximaal één jaar opgeslagen.

Zorg ervoor dat u ten minste een Microsoft Entra ID P1- of P2-licentie hebt en dat er een Microsoft Entra-privénetwerkconnector is geïnstalleerd. Nadat u uw eerste connector hebt geïnstalleerd, wordt de proxyservice van de Microsoft Entra-toepassing automatisch ingeschakeld.

Ja, microsoft Entra private network connector wordt gebruikt door zowel de toepassingsproxy als Microsoft Entra-privétoegang. Zie Microsoft Entra Private Network Connector voor meer informatie over de connector. Als u problemen met de configuratie van de connector wilt oplossen, raadpleegt u connectors.

Hoewel deze achtervoegsels worden weergegeven in de lijst met achtervoegsels, moet u deze niet gebruiken. Deze domeinachtervoegsels zijn niet bedoeld om te worden gebruikt met de Microsoft Entra-toepassingsproxy. Als u deze domeinachtervoegsels gebruikt, werkt de gemaakte Microsoft Entra-toepassingsproxytoepassing niet. U kunt het standaarddomeinachtervoegsel msappproxy.net of een aangepast domein gebruiken.

Microsoft Entra ID heeft een toepassingsproxyservice waarmee gebruikers toegang kunnen krijgen tot on-premises toepassingen door zich aan te melden met hun Microsoft Entra-account. Als u connectors in verschillende regio's hebt geïnstalleerd, kunt u verkeer optimaliseren door de dichtstbijzijnde cloudserviceregio voor de toepassingsproxy te selecteren die u voor elke connectorgroep wilt gebruiken. Zie Verkeersstroom optimaliseren met Microsoft Entra-toepassingsproxy.

Nadat u het SSL-certificaat hebt geüpload, ontvangt u het bericht 'Ongeldig certificaat, mogelijk onjuist wachtwoord' in de portal.

Hier zijn enkele tips voor het oplossen van deze fout:

• Controleer op problemen met het certificaat. Installeer het op uw lokale computer. Als u geen problemen ervaart, is het certificaat goed.
• Zorg ervoor dat het wachtwoord geen speciale tekens bevat. Het wachtwoord mag alleen de tekens 0-9, A-Z en a-z bevatten.
• Als het certificaat is gemaakt met de sleutelarchiefprovider van Microsoft, moet het RSA-algoritme worden gebruikt.

De standaardlengte is 85 seconden. De instelling 'lang' is 180 seconden. De time-outlimiet kan niet worden verlengd.

Nee, dit wordt momenteel niet ondersteund.

Het clientgeheim, ook wel CWAP_AuthSecret genoemd, wordt automatisch toegevoegd aan het toepassingsobject (app-registratie) wanneer de Microsoft Entra-toepassingsproxy-app wordt gemaakt.

Het clientgeheim is één jaar geldig. Er wordt automatisch een nieuw clientgeheim van één jaar gemaakt voordat het huidige geldige clientgeheim verloopt. Drie CWAP_AuthSecret clientgeheimen worden altijd in het toepassingsobject bewaard.

Nee, u moet het oorspronkelijke terugvaldomein gebruiken.

Artikel in kwestie: Uw onmicrosoft.com terugvaldomein toevoegen en vervangen in Microsoft 365

Op de pagina Toepassingsregistraties kunt u de startpagina-URL wijzigen in de gewenste externe URL van de landingspagina. De opgegeven pagina wordt geladen wanneer de toepassing wordt gestart vanuit Mijn apps of de Office 365-portal. Zie Een aangepaste startpagina instellen voor gepubliceerde apps met behulp van de Microsoft Entra-toepassingsproxy voor configuratiestappen

Als Microsoft Entra-verificatie vooraf is geconfigureerd en de toepassings-URL een #-teken bevat wanneer u de toepassing voor het eerst probeert te openen, wordt u omgeleid naar De Microsoft Entra-id (login.microsoftonline.com) voor de verificatie. Nadat u de verificatie hebt voltooid, wordt u omgeleid naar het URL-onderdeel vóór het teken '#' en alles wat na het '#' komt, lijkt te worden genegeerd/verwijderd. Als de URL bijvoorbeeld is https://www.contoso.com/#/home/index.html, zodra de Microsoft Entra-verificatie is uitgevoerd, wordt de gebruiker omgeleid naar https://www.contoso.com/. Dit gedrag is standaard vanwege de manier waarop het teken '#' door de browser wordt verwerkt.

Mogelijke oplossingen/alternatieven:

• Stel een omleiding in van https://www.contoso.com naar https://contoso.com/#/home/index.html. De gebruiker moet eerst toegang hebben.https://www.contoso.com
• De URL die wordt gebruikt voor de eerste toegangspoging, moet het teken '#' bevatten in gecodeerde vorm (%23). De gepubliceerde server accepteert dit mogelijk niet.
• Configureer het type passthrough-verificatie vooraf (niet aanbevolen).

Nee, er is geen IIS-vereiste voor toepassingen die worden gepubliceerd. U kunt webtoepassingen publiceren die worden uitgevoerd op andere servers dan Windows Server. Mogelijk kunt u echter geen verificatie vooraf gebruiken met een niet-Windows-server, afhankelijk van of de webserver Negotiate (Kerberos-verificatie) ondersteunt. IIS is niet vereist op de server waarop de connector is geïnstalleerd.

De toepassingsproxy voegt niet automatisch de HTTP Strict-Transport-Security-header toe aan HTTPS-antwoorden, maar onderhoudt de header als deze zich in het oorspronkelijke antwoord bevindt dat door de gepubliceerde toepassing wordt verzonden. Bewijzen dat een instelling voor het inschakelen van deze functionaliteit op de roadmap staat.

Nee, als het protocol http is geconfigureerd in de externe URL, accepteert het microsoft Entra-toepassingsproxy-eindpunt binnenkomende aanvragen op poort TCP 80, als het protocol https dan op de poort TCP 443.

Ja, enkele voorbeelden voor interne URL's, waaronder poorten, http://app.contoso.local:8888/, https://app.contoso.local:8080/. https://app.contoso.local:8081/test/

Sommige antwoorden die door de gepubliceerde webtoepassingen worden verzonden, bevatten mogelijk in code vastgelegde URL's. In dit geval moet worden gegarandeerd met behulp van een oplossing voor koppelingsvertaling dat de client altijd de juiste URL gebruikt. Koppelingsomzettingsoplossingen zijn mogelijk complex en werken mogelijk niet in alle scenario's. Hier vindt u onze gedocumenteerde oplossingen voor koppelingsomzetting.

Het wordt aanbevolen om identieke externe en interne URL's te gebruiken. Externe en interne URL's worden beschouwd als identiek, als de protocol://hostname:port/path/ url's in beide URL's identiek zijn.

Dit kan worden bereikt met behulp van de functie Aangepaste domeinen .

Voorbeelden:

Identiek:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

Niet identiek:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

Het is helemaal niet mogelijk om de externe en interne URL's identiek te maken, als de interne URL een niet-standaardpoort bevat (anders dan TCP 80/443).

In sommige scenario's moeten wijzigingen worden aangebracht in de configuratie van de web-app.

De methode PrincipalsAllowedToDelegateToAccount wordt gebruikt wanneer connectorservers zich in een ander domein bevinden dan het serviceaccount van de webtoepassing. Hiervoor is het gebruik van beperkte delegatie op basis van resources vereist. Als de connectorservers en het account van de webtoepassingsservice zich in hetzelfde domein bevinden, kunt u Active Directory gebruiken om de delegeringsinstellingen voor elk van de connectorcomputeraccounts te configureren, zodat ze delegeren aan de doel-SPN.

Als de connectorservers en het webtoepassingsserviceaccount zich in verschillende domeinen bevinden, wordt delegering op basis van resources gebruikt. De delegatiemachtigingen worden geconfigureerd op de doelwebserver en het serviceaccount van de webtoepassing. Deze methode van beperkte delegering is relatief nieuw. De methode is geïntroduceerd in Windows Server 2012, die ondersteuning biedt voor overdracht tussen domeinen door de eigenaar van de resource (webservice) te laten bepalen welke computer- en serviceaccounts hieraan kunnen delegeren. Er is geen gebruikersinterface voor hulp bij deze configuratie, dus u moet PowerShell gebruiken. Zie het technisch document Over beperkte Kerberos-delegering met toepassingsproxy voor meer informatie.

NTLM-verificatie kan niet worden gebruikt als een methode voor verificatie vooraf of eenmalige aanmelding. NTLM-verificatie kan alleen worden gebruikt wanneer deze rechtstreeks tussen de client en de gepubliceerde webtoepassing kan worden onderhandeld. Als u NTLM-verificatie gebruikt, wordt meestal een aanmeldingsprompt weergegeven in de browser.

Nee, dit werkt niet, omdat een gastgebruiker in Microsoft Entra ID niet beschikt over het kenmerk dat is vereist voor een van de hierboven genoemde aanmeldingsidentiteiten.

In dit geval is er een terugval naar 'User principal name'. Lees B2B-gebruikers verlenen in Microsoft Entra ID-toegang tot uw on-premises toepassingen voor meer informatie over het B2B-scenario.

Beleid voor voorwaardelijke toegang wordt alleen afgedwongen voor vooraf geverifieerde gebruikers in Microsoft Entra-id. PassThrough-verificatie activeert geen Microsoft Entra-verificatie, dus beleid voor voorwaardelijke toegang kan niet worden afgedwongen. Met passthrough-verificatie moet MFA-beleid worden geïmplementeerd op de on-premises server, indien mogelijk, of door verificatie vooraf in te schakelen met de Microsoft Entra-toepassingsproxy.

Nee, dit scenario wordt niet ondersteund omdat de toepassingsproxy TLS-verkeer beëindigt.

Raadpleeg Extern bureaublad publiceren met microsoft Entra-toepassingsproxy.

Nee, dit scenario wordt niet ondersteund.

Ja, het wordt verwacht. Voor het scenario voor verificatie vooraf is een ActiveX-besturingselement vereist. Dit wordt niet ondersteund in browsers van derden.

Ja, dit scenario is momenteel beschikbaar als openbare preview. Raadpleeg Extern bureaublad publiceren met microsoft Entra-toepassingsproxy.

Ja, het wordt verwacht. Als de computer van de gebruiker lid is van Microsoft Entra, meldt de gebruiker zich automatisch aan bij Microsoft Entra ID. De gebruiker moet alleen hun referenties opgeven op het aanmeldingsformulier RDWeb.

Met deze optie kan de gebruiker het RDP-bestand downloaden en gebruiken door een andere RDP-client (buiten de Extern bureaublad-webclient). Normaal gesproken kunnen andere RDP-clients (zoals de Microsoft Extern bureaublad-client) de verificatie vooraf niet zelf verwerken. Daarom werkt het scenario niet.

Raadpleeg Externe toegang tot SharePoint inschakelen met microsoft Entra-toepassingsproxy.

De mobiele SharePoint-app biedt momenteel geen ondersteuning voor Microsoft Entra-verificatie.

Nee, Microsoft Entra-toepassingsproxy is ontworpen om te werken met Microsoft Entra-id en voldoet niet aan de vereisten om te fungeren als een AD FS-proxy.

Nee, dit wordt niet ondersteund.

Toepassingen die gebruikmaken van het WebSocket-protocol, zoals QlikSense en Remote Desktop Web Client (HTML5), worden nu ondersteund. Hier volgen bekende beperkingen:

• De toepassingsproxy negeert de cookie die is ingesteld op het serverantwoord tijdens het openen van de WebSocket-verbinding.
• Er is geen eenmalige aanmelding toegepast op de WebSocket-aanvraag.
• Functies (Eventlogs, PowerShell en Extern bureaublad-services) in het Windows Beheer Center (WAC) werken niet via de Microsoft Entra-toepassingsproxy.

De WebSocket-toepassing heeft geen unieke publicatievereisten en kan op dezelfde manier worden gepubliceerd als al uw andere toepassingsproxytoepassingen.

Ja. De omzetting van koppelingen is van invloed op de prestaties. De toepassingsproxyservice scant de toepassing op in code vastgelegde koppelingen en vervangt deze door hun respectieve, gepubliceerde externe URL's voordat ze aan de gebruiker worden weergegeven.

Voor de beste prestaties raden we u aan identieke interne en externe URL's te gebruiken door aangepaste domeinen te configureren. Als het gebruik van aangepaste domeinen niet mogelijk is, kunt u de prestaties van koppelingsvertaling verbeteren met behulp van de Mijn apps Secure Sign in Extension of Microsoft Edge Browser op mobiele apparaten. Zie In code vastgelegde koppelingen omleiden voor apps die zijn gepubliceerd met de Microsoft Entra-toepassingsproxy.

Dit scenario wordt niet rechtstreeks ondersteund. Uw opties voor dit scenario zijn:

1. Publiceer zowel de HTTP- als HTTPS-URL's als afzonderlijke toepassingen met een jokerteken, maar geef ze elk een ander aangepast domein. Deze configuratie werkt omdat ze verschillende externe URL's hebben.

2. Publiceer de HTTPS-URL via een jokertekentoepassing. Publiceer de HTTP-toepassingen afzonderlijk met behulp van deze PowerShell-cmdlets voor de toepassingsproxy:

   • Toepassingsproxybeheer
   • beheer van privénetwerkconnector