Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo na ID do Microsoft Entra

  • Artigo

O Microsoft Entra ID tem um serviço de proxy de aplicativo que permite que os usuários acessem aplicativos locais entrando com sua conta do Microsoft Entra. Para saber mais sobre proxy de aplicativo, consulte O que é proxy de aplicativo?. Este tutorial prepara seu ambiente para uso com proxy de aplicativo. Quando o ambiente estiver pronto, use o centro de administração do Microsoft Entra para adicionar um aplicativo local ao seu locatário.

Diagrama de visão geral do proxy de aplicativo

Os conectores são uma parte fundamental do proxy de aplicativo. Para saber mais sobre conectores, consulte Compreender os conectores de rede privada do Microsoft Entra.

Neste tutorial:

  • Abra portas para tráfego de saída e permita o acesso a URLs específicas.
  • Instale o conector no servidor Windows e registre-o com o proxy do aplicativo.
  • Verifique se o conector instalado e registrado corretamente.
  • Adicione um aplicativo local ao seu locatário do Microsoft Entra.
  • Verifique se um usuário de teste pode entrar no aplicativo usando uma conta do Microsoft Entra.

Pré-requisitos

Para adicionar um aplicativo local ao Microsoft Entra ID, você precisa:

  • Uma assinatura do Microsoft Entra ID P1 ou P2.
  • Uma conta de administrador de aplicativos.
  • Um conjunto sincronizado de identidades de usuário com um diretório local. Ou crie-os diretamente em seus locatários do Microsoft Entra. A sincronização de identidade permite que o Microsoft Entra ID pré-autentique os usuários antes de conceder-lhes acesso a aplicativos publicados por proxy de aplicativo. A sincronização também fornece as informações de identificador de usuário necessárias para executar o logon único (SSO).
  • Uma compreensão do gerenciamento de aplicativos no Microsoft Entra, consulte Exibir aplicativos corporativos no Microsoft Entra.
  • Uma compreensão do logon único (SSO), consulte Compreender o logon único.

Windows server

O proxy de aplicativo requer o Windows Server 2012 R2 ou posterior. Instalar o conector de rede privada no servidor. O servidor conector se comunica com os serviços de proxy de aplicativo no Microsoft Entra ID e os aplicativos locais que você planeja publicar.

Use mais de um servidor Windows para alta disponibilidade em seu ambiente de produção. Um servidor Windows é suficiente para testes.

Importante

.NET Framework

Você deve ter o .NET versão 4.7.1 ou superior para instalar ou atualizar o proxy de aplicativo versão 1.5.3437.0 ou posterior. O Windows Server 2012 R2 e o Windows Server 2016 não têm isso por padrão.

Consulte Como: Determinar quais versões do .NET Framework estão instaladas para obter mais informações.

HTTP 2.0

Se você estiver instalando o conector no Windows Server 2019 ou posterior, deverá desabilitar HTTP2 o suporte ao protocolo no componente para que a WinHttp Delegação Restrita de Kerberos funcione corretamente. Isso é desabilitado por padrão em versões anteriores de sistemas operacionais suportados. Adicionar a seguinte chave de registo e reiniciar o servidor desativa-a no Windows Server 2019. Observe que esta é uma chave do Registro em toda a máquina.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

A chave pode ser definida via PowerShell com o seguinte comando:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Recomendações para o servidor conector

  • Otimize o desempenho entre o conector e o aplicativo. Localize fisicamente o servidor conector perto dos servidores de aplicativos. Para obter mais informações, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo Microsoft Entra.
  • Verifique se o servidor conector e os servidores de aplicativos Web estão no mesmo domínio do Ative Directory ou em domínios confiáveis de extensão. Ter os servidores no mesmo domínio ou domínios confiáveis é um requisito para usar o logon único (SSO) com autenticação integrada do Windows (IWA) e delegação restrita de Kerberos (KCD). Se o servidor conector e os servidores de aplicativos Web estiverem em domínios diferentes do Ative Directory, use a delegação baseada em recursos para logon único. Para obter mais informações, consulte KCD para logon único com proxy de aplicativo.

Aviso

Se você implantou o Proxy de Proteção por Senha do Microsoft Entra, não instale o proxy de aplicativo do Microsoft Entra e o Proxy de Proteção por Senha do Microsoft Entra juntos na mesma máquina. O proxy de aplicativo Microsoft Entra e o Microsoft Entra Password Protection Proxy instalam versões diferentes do serviço Microsoft Entra Connect Agent Updater. Estas diferentes versões são incompatíveis quando instaladas em conjunto na mesma máquina.

Requisitos de TLS (Transport Layer Security, segurança da camada de transporte)

O servidor conector do Windows deve ter o TLS 1.2 habilitado antes de instalar o conector de rede privada.

Para ativar o TLS 1.2:

  1. Defina chaves do Registro.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Reinicie o servidor.

Nota

A Microsoft está atualizando os serviços do Azure para usar certificados TLS de um conjunto diferente de Autoridades de Certificação (CAs) Raiz. Essa alteração está sendo feita porque os certificados de autoridade de certificação atuais não estão em conformidade com um dos requisitos de linha de base do CA/Browser Forum. Para obter mais informações, consulte Alterações de certificado TLS do Azure.

Prepare seu ambiente local

Habilite a comunicação com os data centers da Microsoft para preparar seu ambiente para o proxy de aplicativo Microsoft Entra. O conector deve fazer solicitações HTTPS (TCP) para o proxy do aplicativo. Um problema comum ocorre quando um firewall está bloqueando o tráfego de rede.

Importante

Se você estiver instalando o conector para a nuvem do Azure Government, siga os pré-requisitos e as etapas de instalação. A nuvem do Azure Government requer acesso a um conjunto diferente de URLs e um parâmetro adicional para executar a instalação.

Portas abertas

Abra as seguintes portas para o tráfego de saída.

Número da porta Utilizar
80 Download de listas de revogação de certificados (CRLs) ao validar o certificado TLS/SSL
443 Toda a comunicação de saída com o serviço de proxy de aplicativo

Se o firewall impõe o tráfego de acordo com os usuários de origem, abra também as portas 80 e 443 para o tráfego dos serviços do Windows executados como um Serviço de Rede.

Nota

Os erros ocorrem quando há um problema de rede. Verifique se as portas necessárias estão abertas. Para obter mais informações sobre como solucionar problemas relacionados a erros de conectores, consulte Solucionar problemas de conectores.

Permitir acesso a URLs

Permita acesso aos seguintes URLs:

URL Porta Utilizar
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Comunicação entre o conector e o serviço de nuvem de proxy de aplicativo.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP O conector usa essas URLs para verificar certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS O conector usa essas URLs durante o processo de registro.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP O conector usa essas URLs durante o processo de registro.

Permita conexões com *.msappproxy.net, *.servicebus.windows.nete outras URLs se seu firewall ou proxy permitir que você configure regras de acesso com base em sufixos de domínio. Ou permita o acesso aos intervalos de IP do Azure e às Etiquetas de Serviço - Public Cloud. Os intervalos de IP são atualizados a cada semana.

Importante

Evite todas as formas de inspeção e terminação em linha em comunicações TLS de saída entre conectores de rede privada do Microsoft Entra e serviços de proxy de aplicativo Microsoft Entra.

DNS (Sistema de Nomes de Domínio) para pontos de extremidade de proxy de aplicativo Microsoft Entra

Os registros DNS públicos para pontos de extremidade de proxy de aplicativo Microsoft Entra são registros CNAME encadeados apontando para um registro A. Configurar os registos desta forma garante tolerância a falhas e flexibilidade. O conector de rede privada Microsoft Entra sempre acessa nomes de host com os sufixos *.msappproxy.net de domínio ou *.servicebus.windows.net. No entanto, durante a resolução de nomes, os registros CNAME podem conter registros DNS com nomes de host e sufixos diferentes. Devido à diferença, você deve garantir que o dispositivo (dependendo da sua configuração - servidor conector, firewall, proxy de saída) pode resolver todos os registros na cadeia e permite a conexão com os endereços IP resolvidos. Como os registros DNS na cadeia podem ser alterados de tempos em tempos, não podemos fornecer nenhum registro DNS de lista.

Instalar e registrar um conector

Para usar o proxy de aplicativo, instale um conector em cada servidor Windows que você está usando com o serviço de proxy de aplicativo. O conector é um agente que gerencia a conexão de saída dos servidores de aplicativos locais para o proxy de aplicativo no Microsoft Entra ID. O conector pode ser instalado em servidores com agentes de autenticação, como o Microsoft Entra Connect.

Para instalar o conector:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

  2. Selecione seu nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa proxy de aplicativo. Se você precisar alterar diretórios, selecione Alternar diretório e escolha um diretório que use proxy de aplicativo.

  3. Navegue até Identity>Applications>Enterprise applications>Application proxy.

  4. Selecione Baixar serviço de conector.

  5. Leia os Termos de Serviço. Quando estiver pronto, selecione Aceitar termos e Download.

  6. Na parte inferior da janela, selecione Executar para instalar o conector. Um assistente de instalação é aberto.

  7. Instale o serviço seguindo as instruções do assistente. Quando você for solicitado a registrar o conector com o proxy do aplicativo para seu locatário do Microsoft Entra, forneça suas credenciais de administrador do aplicativo.

    • Se a Configuração de Segurança Reforçada do IE estiver definida como Ativado no Internet Explorer (IE), a tela de registro não estará visível. Para obter acesso, siga as instruções na mensagem de erro. Certifique-se de que a Configuração de Segurança Reforçada do Internet Explorer está definida como Desativado.

Observações gerais

Se já tiver instalado um conector, reinstale-o para obter a versão mais recente. Para ver informações sobre versões lançadas anteriormente e quais alterações elas incluem, consulte Proxy de aplicativo: histórico de lançamento de versão.

Se você optar por ter mais de um servidor Windows para seus aplicativos locais, precisará instalar e registrar o conector em cada servidor. Você pode organizar os conectores em grupos de conectores. Para obter mais informações, consulte Grupos de conectores.

Se você instalar conectores em regiões diferentes, deverá otimizar o tráfego selecionando a região de serviço de nuvem de proxy de aplicativo mais próxima com cada grupo de conectores. Para saber mais, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo Microsoft Entra.

Se sua organização usa servidores proxy para se conectar à Internet, você precisará configurá-los para proxy de aplicativo. Para obter mais informações, consulte Trabalhar com servidores proxy locais existentes.

Para obter informações sobre conectores, planejamento de capacidade e como eles se mantêm atualizados, consulte Compreender os conectores de rede privada do Microsoft Entra.

Verifique se o conector instalado e registrado corretamente

Você pode usar o centro de administração do Microsoft Entra ou o servidor Windows para confirmar se um novo conector foi instalado corretamente. Para obter informações sobre como solucionar problemas de proxy de aplicativo, consulte Depurar problemas de aplicativo de proxy de aplicativo.

Verifique a instalação através do centro de administração do Microsoft Entra

Para confirmar o conector instalado e registrado corretamente:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

  2. Selecione seu nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa proxy de aplicativo. Se você precisar alterar diretórios, selecione Alternar diretório e escolha um diretório que use proxy de aplicativo.

  3. Navegue até Identity>Applications>Enterprise applications>Application proxy.

  4. Verifique os detalhes do conector. Os conectores devem ser expandidos por padrão. Uma etiqueta verde ativa indica que o conector pode se conectar ao serviço. No entanto, mesmo que o rótulo esteja verde, um problema de rede ainda pode impedir que o conector receba mensagens.

    Conectores de rede privada Microsoft Entra

Para obter mais ajuda com a instalação de um conector, consulte Problema ao instalar o conector de rede privada.

Verificar a instalação através do servidor Windows

Para confirmar o conector instalado e registrado corretamente:

  1. Abra o Gerenciador de Serviços do Windows clicando na tecla Windows e inserindo services.msc.

  2. Verifique se o status dos dois serviços a seguir está em execução.

    • O conector de rede privada Microsoft Entra permite a conectividade.
    • Microsoft Entra private network connector Updater é um serviço de atualização automatizado. O atualizador verifica se há novas versões do conector e atualiza o conector conforme necessário.

  3. Se o status dos serviços não for Em execução, clique com o botão direito do mouse para selecionar cada serviço e escolha Iniciar.

Adicionar um aplicativo local à ID do Microsoft Entra

Adicione aplicativos locais ao Microsoft Entra ID.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

  3. Selecione Nova aplicação.

  4. Selecione Adicionar um botão de aplicativo local, que aparece na metade da página na seção Aplicativos locais. Como alternativa, você pode selecionar Criar seu próprio aplicativo na parte superior da página e, em seguida, selecionar Configurar proxy de aplicativo para acesso remoto seguro a um aplicativo local.

  5. Na seção Adicionar seu próprio aplicativo local, forneça as seguintes informações sobre seu aplicativo:

    Campo Descrição
    Nome O nome do aplicativo que aparece em Meus Aplicativos e no Centro de administração do Microsoft Entra.
    Modo de Manutenção Selecione se deseja ativar o modo de manutenção e desativar temporariamente o acesso de todos os usuários ao aplicativo.
    URL interna O URL para aceder à aplicação a partir da sua rede privada. Pode fornecer um caminho específico no servidor de back-end para publicação, enquanto o resto do servidor não é publicado. Dessa forma, você pode publicar sites diferentes no mesmo servidor como aplicativos diferentes e dar a cada um seu próprio nome e regras de acesso.

    Se publicar um caminho, certifique-se de que inclui todas as imagens, scripts e folhas de estilo necessários para a sua aplicação. Por exemplo, se seu aplicativo estiver em https://yourapp/app e usar imagens localizadas em https://yourapp/media, você deverá publicar https://yourapp/ como o caminho. Esse URL interno não precisa ser a página de destino que seus usuários veem. Para obter mais informações, consulte Definir uma home page personalizada para aplicativos publicados.
    URL externa O endereço para os usuários acessarem o aplicativo de fora da rede. Se você não quiser usar o domínio de proxy de aplicativo padrão, leia sobre domínios personalizados no proxy de aplicativo do Microsoft Entra.
    Pré-autenticação Como o proxy de aplicativo verifica os usuários antes de dar-lhes acesso ao seu aplicativo.

    Microsoft Entra ID - O proxy de aplicativo redireciona os usuários para entrar com o Microsoft Entra ID, que autentica suas permissões para o diretório e o aplicativo. Recomendamos manter essa opção como padrão para que você possa aproveitar os recursos de segurança do Microsoft Entra, como Acesso Condicional e autenticação multifator. O Microsoft Entra ID é necessário para monitorar o aplicativo com o Microsoft Defender for Cloud Apps.

    Passagem - Os usuários não precisam se autenticar no Microsoft Entra ID para acessar o aplicativo. Você ainda pode configurar requisitos de autenticação no back-end.
    Grupo de conectores Os conectores processam o acesso remoto ao seu aplicativo e os grupos de conectores ajudam a organizar conectores e aplicativos por região, rede ou finalidade. Se você ainda não tiver nenhum grupo de conectores criado, seu aplicativo será atribuído a Padrão.

    Se seu aplicativo usa WebSockets para se conectar, todos os conectores no grupo devem ser a versão 1.5.612.0 ou posterior.

  6. Se necessário, defina Configurações adicionais. Para a maioria dos aplicativos, você deve manter essas configurações em seus estados padrão.

    Campo Descrição
    Tempo limite do aplicativo de back-end Defina esse valor como Long somente se seu aplicativo for lento para autenticar e se conectar. Por padrão, o tempo limite do aplicativo de back-end tem um comprimento de 85 segundos. Quando definido muito longo, o tempo limite de back-end é aumentado para 180 segundos.
    Usar cookie somente HTTP Selecione para que os cookies de proxy de aplicativo incluam o sinalizador HTTPOnly no cabeçalho de resposta HTTP. Se estiver a utilizar os Serviços de Ambiente de Trabalho Remoto, mantenha a opção desmarcada.
    Usar cookie persistente Mantenha a opção desmarcada. Utilize esta definição apenas para aplicações que não podem partilhar cookies entre processos. Para obter mais informações sobre configurações de cookies, consulte Configurações de cookies para acessar aplicativos locais no Microsoft Entra ID.
    Traduzir URLs em cabeçalhos Mantenha a opção selecionada, a menos que seu aplicativo exija o cabeçalho de host original na solicitação de autenticação.
    Traduzir URLs no corpo do aplicativo Mantenha a opção desmarcada, a menos que os links HTML sejam codificados para outros aplicativos locais e não usem domínios personalizados. Para obter mais informações, consulte Vincular tradução com proxy de aplicativo.

    Selecione se você planeja monitorar este aplicativo com o Microsoft Defender for Cloud Apps. Para obter mais informações, consulte Configurar o monitoramento de acesso a aplicativos em tempo real com o Microsoft Defender for Cloud Apps e o Microsoft Entra ID.
    Validar certificado TLS/SSL de back-end Selecione esta opção para habilitar a validação de certificado TLS/SSL de back-end para o aplicativo.

  7. Selecione Adicionar.

Testar a aplicação

Você está pronto para testar se o aplicativo foi adicionado corretamente. Nas etapas a seguir, você adiciona uma conta de usuário ao aplicativo e tenta entrar.

Adicionar um usuário para teste

Antes de adicionar um usuário ao aplicativo, verifique se a conta de usuário já tem permissões para acessar o aplicativo de dentro da rede corporativa.

Para adicionar um usuário de teste:

  1. Selecione Aplicativos corporativos e, em seguida, selecione o aplicativo que deseja testar.
  2. Selecione Introdução e, em seguida, selecione Atribuir um usuário para teste.
  3. Em Usuários e grupos, selecione Adicionar usuário.
  4. Em Adicionar atribuição, selecione Usuários e grupos. A seção Usuário e grupos é exibida.
  5. Escolha a conta que deseja adicionar.
  6. Escolha Selecionar e, em seguida, selecione Atribuir.

Testar o início de sessão

Para testar a autenticação no aplicativo:

  1. No aplicativo que você deseja testar, selecione proxy de aplicativo.
  2. Na parte superior da página, selecione Test Application para executar um teste no aplicativo e verificar se há problemas de configuração.
  3. Certifique-se de iniciar primeiro o aplicativo para testar a entrada no aplicativo e, em seguida, baixe o relatório de diagnóstico para revisar as diretrizes de resolução para quaisquer problemas detetados.

Para solucionar problemas, consulte Solucionar problemas de proxy de aplicativo e mensagens de erro.

Clean up resources (Limpar recursos)

Não se esqueça de excluir qualquer um dos recursos que você criou neste tutorial quando terminar.

Resolução de Problemas

Saiba mais sobre problemas comuns e como resolvê-los.

Criar o aplicativo/definir as URLs

Verifique os detalhes do erro para obter informações e sugestões sobre como corrigir o aplicativo. A maioria das mensagens de erro inclui uma correção sugerida. Para evitar erros comuns, verifique:

  • Você é um administrador com permissão para criar um aplicativo proxy de aplicativo
  • O URL interno é único
  • O URL externo é exclusivo
  • Os URLs começam com http ou https, e terminam com um "/"
  • O URL deve ser um nome de domínio, não um endereço IP

A mensagem de erro deve ser exibida no canto superior direito quando você cria o aplicativo. Você também pode selecionar o ícone de notificação para ver as mensagens de erro.

Configurar conectores/grupos de conectores

Se você estiver tendo dificuldades para configurar seu aplicativo devido a avisos sobre os conectores e grupos de conectores, consulte as instruções sobre como habilitar o proxy de aplicativo para obter detalhes sobre como baixar conectores. Se quiser saber mais sobre conectores, consulte a documentação dos conectores.

Se os conectores estiverem inativos, eles não conseguirão acessar o serviço. Muitas vezes porque todas as portas necessárias não estão abertas. Para ver uma lista de portas necessárias, consulte a seção de pré-requisitos da documentação de habilitação do proxy do aplicativo.

Carregar certificados para domínios personalizados

Os Domínios Personalizados permitem-lhe especificar o domínio dos seus URLs externos. Para usar domínios personalizados, você precisa carregar o certificado para esse domínio. Para obter informações sobre como usar domínios e certificados personalizados, consulte Trabalhando com domínios personalizados no proxy de aplicativo do Microsoft Entra.

Se você estiver encontrando problemas ao carregar seu certificado, procure as mensagens de erro no portal para obter informações adicionais sobre o problema com o certificado. Os problemas comuns de certificado incluem:

  • Certificado expirado
  • O certificado é auto-assinado
  • O certificado está faltando a chave privada

A mensagem de erro é exibida no canto superior direito enquanto você tenta carregar o certificado. Você também pode selecionar o ícone de notificação para ver as mensagens de erro.

Próximos passos