Руководство по Добавление локального приложения для удаленного доступа через Application Proxy в Azure Active Directory

Azure Active Directory (Azure AD) содержит службу прокси приложения, которая позволяет пользователям получать доступ к локальным приложениям при входе с использованием своей учетной записи Azure AD. Дополнительные сведения об Application Proxy см. в этой статье. В руководстве подготавливается среда для использования с прокси приложения. После подготовки среды вы будете использовать портал Azure для добавления локального приложения в свой клиент Azure AD.

Application Proxy Overview Diagram

Прежде чем приступить к работе, ознакомьтесь с концепциями управления приложениями и единого входа. Ознакомьтесь со следующими ресурсами:

Соединители являются важной составляющей Application Proxy. Дополнительные сведения о соединителях см. в статье Сведения о соединителях Application Proxy Azure AD.

В этом руководстве рассматривается:

  • Открытие портов для исходящего трафика и разрешения доступа к определенным URL-адресам.
  • Установка соединителя на сервере Windows и его регистрация с помощью прокси приложения.
  • Проверка правильности установки и регистрации соединителя.
  • Добавление локального приложения в клиент Azure AD.
  • Проверка возможности входа в приложение для тестового пользователя с помощью учетной записи Azure AD.

Предварительные требования

Чтобы добавить локальное приложение в Azure AD, вам потребуется следующее:

  • подписка Microsoft Azure AD ценовой категории "Премиум";
  • учетная запись администратора приложения.
  • Удостоверения пользователей должны быть синхронизированы из локального каталога или созданы непосредственно в клиентах Azure AD. Синхронизация удостоверений позволяет Azure AD выполнить предварительную проверку подлинности пользователей до предоставления им доступа к опубликованным приложениям Application Proxy и получить сведения об идентификаторах пользователей для выполнения единого входа (SSO).

Windows Server

Чтобы использовать Application Proxy, вам потребуется сервер под управлением Windows Server 2012 R2 или более поздней версии. Соединитель Application Proxy устанавливается на сервер. Серверу соединителя нужна возможность подключаться к службам прокси приложения в Azure, а также к локальным приложениям, которые вы планируете публиковать.

Для обеспечения высокого уровня доступности рабочей среде рекомендуем использовать несколько серверов Windows. Для этого руководства достаточно и одного сервера Windows.

Важно!

Если вы устанавливаете соединитель на Windows Server 2019, необходимо отключить поддержку протокола HTTP2 в компоненте WinHttp, чтобы ограниченное делегирование Kerberos работало правильно. В более ранних версиях поддерживаемых операционных систем она по умолчанию отключена. Добавление следующего раздела реестра и перезагрузка сервера приведет к отключению поддержки в Windows Server 2019. Обратите внимание, что этот раздел реестра действует для всего компьютера.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Ключ можно задать через PowerShell с помощью следующей команды.

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Рекомендации для сервера соединителя

  1. Физически найдите сервер соединителя рядом с серверами приложения для оптимизации производительности между соединителем и приложением. Дополнительные сведения см. в статье Оптимизация потока трафика с помощью прокси приложения Azure Active Directory.
  2. Сервер соединителя и серверы веб-приложений должны принадлежать одному домену Active Directory или диапазону доверенных доменов. Размещение серверов в одном домене или диапазоне доверенных доменов необходимо для использования единого входа с помощью встроенной проверки подлинности Windows (IWA) и ограниченного делегирования Kerberos (KCD). Если сервер соединителя и серверы веб-приложения находятся в разных доменах Active Directory, для единого входа необходимо использовать делегирование на основе ресурсов. Дополнительные сведения см. в статье Ограниченное делегирование Kerberos для поддержки единого входа в приложения с помощью прокси приложения.

Предупреждение

Если вы развернули прокси-сервер защиты паролем Azure AD, не устанавливайте Azure AD Application Proxy на одном компьютере с ним. Azure AD Application Proxy и прокси-сервер защиты паролем Azure AD устанавливают разные версии службы Azure AD Connect Agent Updater. Эти разные версии несовместимы при установке вместе на одном компьютере.

Требования к TLS

Прежде чем установить этот соединитель, на сервере Windows Server нужно включить протокол TLS 1.2.

Включение протокола TLS 1.2

  1. Настройте следующие разделы реестра:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Перезапустите сервер.

Примечание

Корпорация Майкрософт обновляет службы Azure для использования TLS-сертификатов от других корневых центров сертификации (ЦС). Это изменение связано с тем, что текущие сертификаты ЦС не соответствуют одному из базовых требований организации CA/Browser Forum. Дополнительные сведения см. на странице со сведениями об изменениях TLS-сертификатов Azure.

Подготовка локальной среды

Для подготовки среды для Azure AD Application Proxy необходимо сначала установить связь с центрами обработки данных Azure. Если в сетевом пути используется брандмауэр, убедитесь, что он открыт. Открытый брандмауэр разрешает соединителю выполнять запросы HTTPS (TCP) к Application Proxy.

Важно!

Если вы устанавливаете соединитель для облака Azure для государственных организаций, выполните предварительные требования и процедуру установки. Для этого необходимо включить доступ к другому набору URL-адресов и дополнительный параметр для запуска установки.

Открытие портов

Откройте следующие порты для исходящего трафика.

Номер порта Как он используется
80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата
443 Весь исходящий обмен данными со службой прокси приложения

Если брандмауэр инициирует трафик в соответствии с отправляющими его пользователями, откройте порты 80 и 443 для трафика, поступающего от служб Windows, которые работают как сетевая служба.

Разрешение доступа к URL-адресам

Разрешите доступ к следующим URL-адресам.

URL-адрес Порт Как он используется
*.msappproxy.net
*.servicebus.windows.net
HTTPS 443 Связь между соединителем и облачной службой прокси приложения
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
HTTP 80 Соединитель использует эти URL-адреса для проверки сертификатов.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
HTTPS 443 Соединитель использует эти URL-адреса во время регистрации.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
HTTP 80 Соединитель использует эти URL-адреса во время регистрации.

Вы можете разрешить подключения к *.msappproxy.net, *.servicebus.windows.net, а также другим приведенным выше URL-адресам, если ваш брандмауэр или прокси-сервер позволяет настраивать правила доступа на основе суффиксов домена. В противном случае необходимо разрешить доступ к диапазонам IP-адресов Azure и тегам служб в общедоступном облаке. Список диапазонов IP-адресов обновляется еженедельно.

Важно!

Избегайте всех форм встроенной проверки и завершения исходящих соединений TLS между соединителями Azure AD Application Proxy и облачными службами Azure AD Application Proxy.

Разрешение DNS-имен для конечных точек Application Proxy Azure AD

Общедоступные записи DNS для конечных точек Application Proxy Azure AD — это цепочки записей CNAME, указывающих на запись A. Этим обеспечивается отказоустойчивость и гибкость. Гарантируется, что соединитель Application Proxy Azure AD всегда получает доступ к именам узлов с суффиксами домена *.msappproxy.net или *.servicebus.windows.net. Однако во время разрешения имен записи CNAME могут содержать записи DNS с разными именами узлов и суффиксами. По этой причине необходимо убедиться, что устройство (в зависимости от настройки это может быть сервер соединителя, брандмауэр, исходящий прокси-сервер) может разрешить все записи в цепочке и позволяет подключиться к разрешенным IP-адресам. Поскольку записи DNS в цепочке иногда могут изменяться, мы не можем предоставить вам список записей DNS.

Установка и регистрация соединителя

Чтобы использовать Application Proxy, необходимо установить соединитель на каждом сервере Windows, который вы используете со службой Application Proxy. Соединитель — это агент, который управляет исходящим подключением локальных серверов приложений к прокси приложения в Azure AD. Соединитель можно установить на серверах, на которых установлены также другие агенты проверки подлинности, например Azure AD Connect.

Для установки соединителя:

  1. Войдите на портал Azure как администратор приложения каталога, который использует прокси приложения. Например, если домен арендатора contoso.com, администратором должен быть пользователь admin@contoso.com или другой псевдоним администратора в этом домене.

  2. В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в каталог, который использует Application Proxy. Если необходимо изменить каталоги, щелкните Переключение каталога и выберите каталог, который использует Application Proxy.

  3. В области навигации слева выберите Azure Active Directory.

  4. В разделе Управление выберите Прокси приложения.

  5. Выберите Скачать службу соединителя.

    Download connector service to see the Terms of Service

  6. Ознакомьтесь с условиями предоставления услуг. Когда вы будете готовы, выберите Accept terms & Download (Принять условия и скачать).

  7. В нижней части окна выберите Выполнить, чтобы установить соединитель. Откроется мастер установки.

  8. Следуйте указаниям мастера, чтобы установить службу. Когда будет предложено зарегистрировать соединитель с помощью прокси приложения для вашего клиента Azure AD, укажите учетные данные администратора приложения.

    • Если в Internet Explorer включенаконфигурация усиленной безопасности Internet Explorer, возможно, экран регистрации не отобразится. Чтобы получить к нему доступ, выполните указания, приведенные в сообщении об ошибке. Убедитесь, что конфигурация усиленной безопасности Internet Explorerотключена.

Общие замечания

Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. Чтобы просмотреть сведения о предыдущих версиях и изменениях в них, см. статью Azure AD Application Proxy: Version release history (Azure AD Application Proxy. Журнал выпуска версий).

Если вы выбрали несколько серверов Windows для локальных приложений, необходимо установить и зарегистрировать соединитель на каждом сервере. Соединители можно упорядочить в группы. Дополнительные сведения см. в статье Публикация приложений в отдельных сетях и расположениях с помощью групп соединителей.

Если вы установили соединители в разных регионах, вы можете оптимизировать трафик, выбрав ближайший регион облачной службы прокси приложения для использования с каждой группой соединителей; см. статью Оптимизация потока трафика с помощью прокси приложения Azure Active Directory.

Если в вашей организации для подключения к Интернету используются прокси-серверы, необходимо настроить их для Application Proxy. Дополнительные сведения см. в статье Работа с имеющимися локальными прокси-серверами.

Сведения о соединителях, поддержании их актуальности и планировании емкости см. в статье Сведения о соединителях прокси приложения Azure AD.

Проверка правильности установки и регистрации соединителя

Используйте портал Azure или сервер Windows для подтверждения того, что новый соединитель установлен правильно.

Проверка установки через портал Azure

Для подтверждения правильности установки и регистрации соединителя:

  1. Войдите в свой каталог клиента на портале Azure.

  2. В области навигации слева выберите Azure Active Directory, а затем Прокси приложения в разделе Управление. На этой странице отображаются все соединители и группы соединителей.

  3. Просмотрите соединитель, чтобы проверить сведения о нем. Соединители должны быть развернуты по умолчанию. Если соединитель, который вы хотите просмотреть, не развернут, разверните его, чтобы просмотреть сведения. Активная зеленая метка указывает на то, что соединитель может подключиться к службе. Тем не менее, несмотря на то, что метка зеленая, проблема с сетью по-прежнему может помешать соединителю получать сообщения.

    Azure AD Application Proxy Connectors

Дополнительные сведения об установке соединителя см. в статье Problem installing the Application Proxy Agent Connector (Проблемы при установке соединителя агента прокси приложения).

Проверка установки через сервер Windows

Для подтверждения правильности установки и регистрации соединителя:

  1. Откройте диспетчер служб Windows, щелкнув клавишу Windows и введя services.msc.

  2. Проверьте наличие состояния Выполняется для двух следующих служб.

    • Соединитель Microsoft AAD Application Proxy обеспечивает возможность подключения.

    • Средство обновления соединителя прокси приложения Microsoft AAD выполняет роль службы автоматического обновления. Средство обновления проверяет наличие новых версий соединителя и обновляет его по мере необходимости.

      App Proxy Connector services - screenshot

  3. Если состояние службы не Выполняется, щелкните правой кнопкой мыши каждую службу и выберите Запустить.

Добавление локального приложения в Azure AD

Теперь, когда вы подготовили среду и установили соединитель, вы готовы добавить локальные приложения в Azure AD.

  1. Войдите на портал Azure с учетной записью администратора.

  2. В области навигации слева выберите Azure Active Directory.

  3. Перейдите в колонку Корпоративные приложения и выберите Новое приложение.

  4. Нажмите кнопку Добавление локального приложения, которая отображается примерно в середине страницы в разделе Локальные приложения. Как вариант, вы можете выбрать элемент Создать собственное приложение вверху страницы и щелкнуть Настройка прокси-сервера приложений для безопасного удаленного доступа к локальному приложению.

  5. В разделе Добавление локального приложения укажите следующие сведения о приложении.

    Поле Описание
    имя; Имя приложения, которое будет отображаться в разделе "Мои приложения" и на портале Azure.
    Внутренний URL-адрес URL-адрес для доступа к приложению в частной сети. Для публикации можно указать только конкретный адрес на внутреннем сервере; при этом другие адреса сервера не публикуются. Это позволяет публиковать на одном сервере разные сайты, назначая каждому из них отдельное имя и правила доступа.

    Если вы публикуете путь, он должен включать в себя все необходимые изображения, скрипты и таблицы стилей для вашего приложения. Например, если приложение размещено по адресу https://yourapp/app и использует образы, размещенные по адресу https://yourapp/media, опубликуйте https://yourapp/ в качестве пути. Этот внутренний URL-адрес не должен отображаться на целевой странице, которую видят пользователи. Дополнительные сведения см. в разделе Настройка пользовательской домашней страницы для опубликованных приложений с помощью прокси приложения Azure AD.
    Внешний URL-адрес Адрес для пользователей, чтобы получить доступ к приложению за пределами вашей сети. Если вы не хотите использовать домен прокси приложения по умолчанию, прочитайте сведения о личных доменах в прокси приложения Azure AD.
    Предварительная проверка подлинности Здесь указывается метод проверки пользователей, который использует прокси приложения, прежде чем предоставить доступ к приложению.

    Azure Active Directory — прокси приложения перенаправляет пользователей на страницу входа в Azure AD, где будет выполняться проверка подлинности их разрешений для каталога и приложения. Мы советуем оставить значение этого параметра по умолчанию, чтобы воспользоваться преимуществами функций безопасности Azure AD, например условным доступом и Многофакторной идентификацией. Служба Azure Active Directory необходима для мониторинга приложения с помощью Microsoft Cloud Application Security.

    Сквозной режим — пользователям для доступа к приложению не нужно выполнять аутентификацию в Azure AD. Вы по-прежнему можете настроить требования к аутентификации на серверной стороне.
    Группа соединителей Соединители обрабатывают удаленный доступ к приложению, а группы соединителей позволяют упорядочивать соединители и приложения по регионам, сетям и назначению. Если вы еще не создали какие-либо группы соединителей, приложение назначается в группу по умолчанию.

    Если ваше приложение использует WebSocket для подключения, все соединители в группе должны быть версии 1.5.612.0 или более поздней.
  6. При необходимости настройте дополнительные параметры. Для большинства приложений следует сохранить значения этих параметров по умолчанию.

    Поле Описание
    Время ожидания серверного приложения Задайте для этого параметра значение Длинный, только если приложение медленно выполняет проверку подлинности и подключение. По умолчанию время ожидания серверного приложения составляет 85 секунд. Когда установлено значение "Длинный", время ожидания сервера увеличивается до 180 секунд.
    Use HTTP-Only Cookie (Использовать файл cookie только HTTP-Only) Задайте для этого параметра значение Да, чтобы файлы cookie прокси приложения содержали флаг HTTPOnly в заголовке ответа HTTP. Если используете службы удаленных рабочих столов, задайте значение Нет.
    Использовать безопасный файл cookie Установите значение Да, чтобы файлы cookie передавались по защищенному каналу, как например зашифрованный HTTPS-запрос.
    Сохранять файлы сookie Для этого параметра оставьте значение Нет. Этот параметр нужно использовать только для приложений, в которых файлы cookie не используются совместно между процессами. Дополнительные сведения о параметрах файлов cookie см. в статье Cookie settings for accessing on-premises applications in Azure Active Directory (Параметры файлов cookie для доступа к локальным приложениям в Azure Active Directory).
    Translate URLs in Headers (Преобразование URL-адресов в заголовках) Оставьте значением этого параметра Да, если только приложению не требуется исходный заголовок узла в запросе на аутентификацию.
    Translate URLs in Application Body (Преобразовывать URL-адреса в коде приложения) Только если вы используете жестко закодированные ссылки HTML на другие локальные приложения и не используете личные домены, следует изменить значение этого параметра по умолчанию на Нет. Дополнительные сведения см. в статье Перенаправление встроенных ссылок для приложений, опубликованных с помощью прокси приложения Azure AD.

    Установите значение Да, если вы планируете осуществлять мониторинг этого приложения с помощью Microsoft Defender for Cloud Apps. Дополнительные сведения см. в статье Настройка мониторинга доступа к приложениям в режиме реального времени с помощью Microsoft Defender for Cloud Apps и Azure Active Directory.
  7. Выберите Добавить.

Тестирование приложения

Все готово к тестированию правильности добавления приложения. На следующих этапах добавьте учетную запись пользователя в приложение и попробуйте войти.

Добавление пользователя для тестирования

Прежде чем добавить пользователя к приложению, убедитесь, что у учетной записи есть разрешения на доступ к приложению из корпоративной сети.

Чтобы добавить тестового пользователя:

  1. Щелкните Корпоративные приложения и выберите приложение, которое необходимо проверить.
  2. Щелкните Приступая к работе и выберите Assign a user for testing (Назначение пользователя для тестирования).
  3. В разделе Пользователи и группы выберите Добавление пользователя.
  4. В разделе Добавление назначения выберите Пользователи и группы. Появится раздел Пользователи и группы.
  5. Выберите учетную запись, которую вы хотите добавить.
  6. Щелкните Выбрать, а затем выберите Назначить.

Проверка единого входа

Для тестирования единого входа в приложение:

  1. В приложении, которое необходимо протестировать, выберите Application Proxy.
  2. В верхней части страницы выберите Тестировать приложение, чтобы запустить тест в приложении и проверить наличие проблем с конфигурацией.
  3. Сначала запустите приложение, чтобы проверить функцию входа в приложение, а затем скачайте диагностический отчет, чтобы просмотреть рекомендации по устранению обнаруженных проблем.

Сведения об устранении неполадок вы найдете здесь.

Очистка ресурсов

Удалите все ресурсы, созданные при работе с этим руководством, если они вам больше не нужны.

Дальнейшие действия

В этом руководстве вы подготовили локальную среду для работы с прокси приложения, а затем установили и зарегистрировали соединитель прокси приложения. После этого вы добавили приложение в клиент Azure AD. Проверили возможность входа в приложение для тестового пользователя с помощью учетной записи Azure AD.

Вы выполнили такие действия:

  • Открыли порты для исходящего трафика и разрешили доступ к определенным URL-адресам.
  • Установили соединитель на сервере Windows и зарегистрировали его с помощью прокси приложения.
  • Проверили правильность установки и регистрации соединителя.
  • Добавили локальное приложение в клиент Azure AD.
  • Проверили возможность входа в приложение для тестового пользователя с помощью учетной записи Azure AD.

Все готово для настройки единого входа. Используйте следующую ссылку, чтобы выбрать способ единого входа и найти руководства по его настройке.