Självstudie: Lägga till ett lokalt program för fjärråtkomst via programproxy i Azure Active Directory

  • Artikel
  • 12 minuter för att läsa

Azure Active Directory (Azure AD) innehåller en programproxytjänst som gör att användarna kan komma åt lokala program genom att logga in med sitt Azure AD-konto. Mer information om Programproxy finns i Vad är appproxy?. Den här självstudien förbereder din miljö för användning med programproxy. När din miljö är redo använder du Azure-portalen för att lägga till ett lokalt program till Azure AD-klientorganisationen.

Programproxy översiktsdiagram

Innan du börjar bör du känna till begreppen apphantering och Sign-On (SSO). Kolla in följande länkar:

Anslutningsappar är en viktig del av Programproxy. Mer information om anslutningsappar finns i Förstå Azure AD Programproxy-anslutningsappar.

I den här självstudien:

  • Öppnar portar för utgående trafik och ger åtkomst till specifika webbadresser
  • Installerar anslutningsprogrammet på din Windows-server och registrerar den med programproxy
  • Verifierar att anslutningsprogrammet installerats och registrerats på rätt sätt
  • Lägger till ett lokalt program till Azure AD-klientorganisationen
  • Verifierar att en testanvändare kan logga in på programmet med hjälp av ett Azure AD-konto

Förutsättningar

Om du vill lägga till ett lokalt program i Azure AD behöver du:

  • En Microsoft Azure AD Premium-prenumeration
  • Ett programadministratörskonto
  • Användaridentiteter måste synkroniseras från en lokal katalog eller skapas direkt i dina Azure AD-klienter. Identitetssynkronisering gör att Azure AD kan autentisera användare i förväg innan de beviljas åtkomst till publicerade program i App Proxy och har nödvändig information om användaridentifierare för att utföra enkel inloggning (SSO).

Windows-server

Om du vill använda programproxy behöver du en Windows-server som kör Windows Server 2012 R2 eller senare. Du installerar anslutningsappen för programproxy på servern. Anslutningsservern måste ansluta till programproxytjänsten i Azure och de lokala programmen som du har för avsikt att publicera.

Vi rekommenderar att du har mer än en Windows-server för att säkra hög tillgänglighet i produktionsmiljön. I den här självstudien räcker det med en Windows-server.

Viktigt

Om du installerar anslutningsappen på Windows Server 2019 måste du inaktivera HTTP2-protokollstöd i WinHttp-komponenten för att Kerberos-begränsad delegering ska fungera korrekt. Detta är inaktiverat som standard i tidigare versioner av operativsystem som stöds. Om du lägger till följande registernyckel och startar om servern inaktiveras den på Windows Server 2019. Observera att detta är en registernyckel för hela datorn.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Nyckeln kan anges via PowerShell med följande kommando:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Rekommendationer för anslutningsservern

  1. Placera fysiskt anslutningsservern nära programservrarna för att optimera prestandan mellan anslutningsprogrammet och programmet. Mer information finns i Optimera trafikflödet med Azure Active Directory Programproxy.
  2. Anslutningsservern och webbprogramservrarna ska tillhöra samma Active Directory-domän eller omfatta betrodda domäner. Att ha servrarna i samma domän eller betrodda domäner är ett krav för att använda enkel inloggning (SSO) med integrerad Windows-autentisering (IWA) och Kerberos-begränsad delegering (KCD). Om anslutningsservern och webbprogramservrarna är i olika Active Directory-domäner så måste du använda resursbaserad delegering för enkel inloggning. Mer information finns i KCD för enkel inloggning med programproxy.

Varning

Om du har distribuerat Azure AD-lösenordsskyddsproxy ska du inte installera Azure AD Programproxy och Azure AD-lösenordsskyddsproxy tillsammans på samma dator. Azure AD Programproxy och Azure AD Password Protection Proxy installerar olika versioner av Tjänsten Azure AD Anslut Agent Updater. Dessa olika versioner är inkompatibla när de installeras tillsammans på samma dator.

TLS-krav

Windows-anslutningsservern måste ha TLS 1.2 aktiverat innan du installerar anslutningsprogrammet för programproxyn.

Aktivera TLS 1.2:

  1. Ange följande registernycklar:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Starta om servern.

Anteckning

Microsoft uppdaterar Azure-tjänster för att använda TLS-certifikat från en annan uppsättning rotcertifikatutfärdare (CAs). Den här ändringen görs eftersom de aktuella CA-certifikaten inte uppfyller något av ca/webbläsarforumens baslinjekrav. Mer information finns i Ändringar av Azure TLS-certifikat.

Förbered din lokala miljö

Börja med att aktivera kommunikation till Azure-datacenter för att förbereda din miljö för Azure AD-Programproxy. Om det finns en brandvägg i sökvägen kontrollerar du att den är öppen. Med en öppen brandvägg kan anslutningsappen göra HTTPS-begäranden (TCP) till Programproxy.

Viktigt

Om du installerar anslutningsprogrammet för Azure Government molnet följer du förutsättningarna och installationsstegen. Detta kräver att du aktiverar åtkomst till en annan uppsättning URL:er och en ytterligare parameter för att köra installationen.

Öppna portar

Öppna följande portar för utgående trafik.

Portnummer Hur den används
80 Ladda ned listor över återkallade certifikat (CRL) vid validering av TLS-/SSL-certifikatet
443 All utgående kommunikation med programproxytjänsten

Om brandväggstrafiken hanteras baserat på användarna som genererar den ska du även öppna portarna 80 och 443 för trafik som kommer från Windows-tjänster som körs som en nätverkstjänst.

Tillåt åtkomst till webbadresser

Tillåt åtkomst till följande webbadresser:

URL Port Hur den används
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Kommunikation mellan anslutningsprogrammet och molntjänsten för programproxy
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Anslutningsappen använder dessa URL:er för att verifiera certifikat.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Anslutningsprogrammet använder dessa webbadresser under registreringen.
ctldl.windowsupdate.com 80/HTTP Anslutningsappen använder den här URL:en under registreringsprocessen.

Du kan tillåta anslutningar till , och andra URL:er ovan om brandväggen eller proxyservern tillåter att du konfigurerar åtkomstregler baserat *.msappproxy.net *.servicebus.windows.net på domänsuffix. Om inte måste du tillåta åtkomst till Azures IP-intervall och tjänsttaggar – offentligt moln. IP-adressintervallen uppdateras varje vecka.

Viktigt

Undvik alla former av infogade kontroller och avslutningar vid utgående TLS-kommunikation mellan Azure AD Programproxy-anslutningsappar och Azure AD Programproxy Cloud Services.

DNS-namnmatchning för Azure AD Programproxy slutpunkter

Offentliga DNS-poster för Azure AD Programproxy-slutpunkter är CNAME-poster som pekar på en A-post. Detta säkerställer feltolerans och flexibilitet. Det är garanterat att Azure AD Programproxy Connector alltid har åtkomst till värdnamn med domänsuffixen *.msappproxy.net eller *.servicebus.windows.net . Under namnmatchning kan dock CNAME-posterna innehålla DNS-poster med olika värdnamn och suffix. På grund av detta måste du se till att enheten (beroende på din konfiguration – anslutningsserver, brandvägg, utgående proxy) kan matcha alla poster i kedjan och tillåter anslutning till de lösta IP-adresserna. Eftersom DNS-posterna i kedjan kan ändras då och då kan vi inte ge dig några DNS-poster i listan.

Installera och registrera ett anslutningsprogram

Om du Programproxy en anslutningsapp på varje Windows-server som du använder med Programproxy tjänsten. Anslutningsprogrammet är en agent som hanterar den utgående anslutningen från lokala programservrar till programproxy i Azure Active Directory. Du kan installera ett anslutningsprogram på servrar som även har andra autentiseringsagenter installerade, till exempel Azure Active Directory Connect.

Så här installerar du anslutningsprogrammet:

  1. Logga in på Azure-portalen som programadministratör för den katalog som använder programproxy. Om klientdomänen till exempel är bör administratören vara eller något contoso.com admin@contoso.com annat administratörsalias på domänen.

  2. Välj ditt användarnamn i det övre högra hörnet. Kontrollera att du är inloggad i en katalog som använder Programproxy. Om du behöver ändra kataloger väljer du Växla katalog och väljer en katalog som använder Programproxy.

  3. I det vänstra navigeringsfönstret väljer du Azure Active Directory.

  4. Under Hantera väljer du Programproxy.

  5. Välj Hämta anslutningstjänsten.

    Ladda ned anslutningstjänsten för att se användningsvillkoren

  6. Läs användningsvillkoren. När du är klar väljer du Godkänn villkoren och & Hämta.

  7. Längst ned i fönstret väljer du Kör för att installera anslutningsappen. Installationsguiden öppnas.

  8. Installera tjänsten genom att följa anvisningarna i guiden. När du uppmanas att registrera anslutningsprogrammet med programproxyn för Azure AD-klientorganisationen anger du autentiseringsuppgifterna för programadministratören.

    • Om IE Förbättrad säkerhetskonfiguration är satt till för Internet Explorer (IE) kanske inte registreringsskärmen visas. Följ instruktionerna i felmeddelandet för att få åtkomst. Kontrollera att Internet Explorer Förbättrad säkerhetskonfiguration är inställt på Av.

Allmänna anmärkningar

Om du tidigare har installerat ett anslutningsprogram måste du installera om för att hämta den senaste versionen. Information om tidigare versioner och vilka ändringar de inkluderar finns i Programproxy: Versionshistorik.

Väljer du att ha mer än en Windows-server för dina lokala program måste du installera och registrera anslutningsprogrammet på varje server. Du kan ordna anslutningsprogrammen i anslutningsgrupper. Mer information finns i anslutningsgrupper.

Om du har installerat anslutningsappar i olika regioner kan du optimera trafiken genom att välja den närmaste Programproxy-molntjänstregionen som ska användas med varje anslutningsgrupp. Mer information finns i Optimera trafikflöde med Azure Active Directory Programproxy

Om din organisation använder proxyservrar för att ansluta till internet måste du konfigurera dem för programproxy. Mer information finns i Arbeta med befintliga lokala proxyservrar.

Information om anslutningsprogram, kapacitetsplanering och hur de håller sig uppdaterade finns i avsnittet Förstå anslutningsprogram för Azure AD programproxy.

Verifiera att anslutningsprogrammet installerats och registrerats på rätt sätt

Du kan använda Azure-portalen eller din Windows-server för att bekräfta att ett nytt anslutningsprogram har installerats.

Verifiera installationen via Azure Portal

Så här bekräftar du att anslutningsprogrammet installerats och registrerats på rätt sätt:

  1. Logga in på din klientkatalog i Azure-portalen.

  2. I det vänstra navigeringsfönstret väljer du Azure Active Directory och väljer sedan Programproxy under avsnittet Hantera. Alla dina anslutningsprogram och anslutningsgrupper visas på den här sidan.

  3. Visa en anslutningsapp för att verifiera dess information. Anslutningsapparna bör utökas som standard. Om anslutningsappen som du vill visa inte är expanderad expanderar du anslutningsappen för att visa information. En aktiv grön etikett innebär att ditt anslutningsprogram kan ansluta till tjänsten. Även om etiketten är grön kan dock ett nätverksproblem fortfarande blockera anslutningsprogrammet från att ta emot meddelanden.

    Azure AD Programproxy Connectors

Mer hjälp med att installera en anslutningsapp finns i Problem med att installera Programproxy Connector.

Verifiera installationen via din Windows server

Så här bekräftar du att anslutningsprogrammet installerats och registrerats på rätt sätt:

  1. Öppna Hanteraren för Windows-tjänster genom att klicka på nyckeln Windows och ange services.msc.

  2. Kontrollera om statusen för följande två tjänster är Körs.

    • Microsoft AAD Programproxy Connector aktiverar anslutning.

    • Microsoft AAD Application Proxy Connector Updater är en tjänst för automatiska uppdateringar. Uppdateringsverktyget söker efter nya versioner av anslutningsprogrammet och uppdaterar det efter behov.

      Application Proxy Connector-tjänster – skärmbild

  3. Om statusen för tjänsterna inte är Körs högerklickar du för att markera varje tjänst och väljer Starta.

Lägg till ett lokalt program till Azure Active Directory

Nu när du har förberett din miljö och installerat ett anslutningsprogram är du redo att lägga till lokala program till Azure Active Directory.

  1. Logga in som administratör i Azure-portalen.

  2. I det vänstra navigeringsfönstret väljer du Azure Active Directory.

  3. Välj Företagsprogram och välj sedan Nytt program.

  4. Välj knappen Lägg till ett lokalt program som visas ungefär halvvägs ned på sidan i avsnittet Lokala program. Du kan också välja Skapa ditt eget program överst på sidan och sedan välja Konfigurera Programproxy för säker fjärråtkomst till ett lokalt program.

  5. I avsnittet Lägg till ett eget lokalt program anger du följande information om ditt program:

    Fält Beskrivning
    Namn Namnet på programmet som visas på Mina appar och i Azure Portal.
    Intern webbadress Det här är webbadressen för att komma åt programmet från inuti ditt privata nätverk. Du kan ange en specifik sökväg på backend-servern som du vill publicera, medan resten av servern är opublicerad. På så sätt kan du publicera olika webbplatser på samma server som olika program och ge varje webbplats sitt eget namn och sina egna åtkomstregler.

    Om du publicerar en sökväg, så se till att den innehåller alla bilder, skript och formatmallar som krävs för ditt program. Om din app exempelvis finns i https://yourapp/app och använder bilder på https://yourapp/media så kan du publicera https://yourapp/ som sökvägen. Den interna webbadressen måste inte vara landningssidan som användarna ser. Mer information finns i Ange en anpassad startsida för publicerade program.
    Extern webbadress Adressen som ger användare åtkomst till programmet från utanför ditt nätverk. Om du inte vill använda standarddomänen för programproxy kan du läsa om anpassade domäner i Azure AD Application Proxy.
    Förautentisering Hur programproxyn verifierar användare innan de ges åtkomst till ditt program.

    Azure Active Directory – Programproxyn omdirigerar användarna till att logga in med Azure AD, som autentiserar deras katalog- och programbehörigheter. Vi rekommenderar att du behåller det här alternativet som standard så att du kan dra nytta av Azure AD-säkerhetsfunktioner som villkorsstyrd åtkomst och multifaktorautentisering. Azure Active Directory krävs för övervakning av program med Microsoft Cloud Application Security.

    Genomströmning – Användarna behöver inte autentisera mot Azure AD för att få åtkomst till programmet. Du kan fortfarande konfigurera autentiseringskrav från serverdelen.
    Anslutningsgrupp Anslutningsprogram bearbetar fjärråtkomsten till programmet och anslutningsgrupper hjälper dig att organisera anslutningsprogram och program efter region, nätverk eller syfte. Om du inte har skapat några anslutningsgrupper än kommer programmet att tilldelas Standard.

    Om ditt program använder WebSockets för att ansluta måste alla anslutningsprogram i gruppen vara version 1.5.612.0 eller senare.

  6. Om det behövs konfigurerar du Ytterligare inställningar. De flesta programmen bör behålla dessa inställningarna i standardtillstånden.

    Fält Beskrivning
    Tidsgränsen för serverdels-programmet Ställ endast in värdet på Lång om programmet autentiserar och ansluter långsamt. Som standard har tidsgränsen för backend-programmet en längd på 85 sekunder. När den är inställd på lång ökas tidsgränsen för backend till 180 sekunder.
    Använd endast HTTP-cookie Ställ in värdet på Ja för att programproxycookies ska inkluderas i HTTPOnly-flaggan i HTTP-svarsrubriken. Ställ in värdet på Nej om du använder fjärrskrivbordstjänster.
    Använd säker cookie Ställ in värdet på Ja för att skicka cookies via en säker kanal, som en krypterad HTTPS-begäran.
    Använd beständig cookie Behåll det här värdet inställt på Nej. Använd bara den här inställningen för program som inte kan dela cookies mellan processer. Mer information om cookie-inställningar finns i Cookieinställningar för åtkomst till lokala program i Azure Active Directory.
    Översätt webbadresser i rubriker Behåll det här värdet som Ja såvida inte programmets ursprungliga värdrubrik krävs i autentiseringsbegäran.
    Översätt webbadresser i brödtext för program Behåll det här värdet som Nej om du inte har hårdkodade HTML-länkar till andra lokala program och inte använder anpassade domäner. Mer information finns i Länka översättning med programproxy.

    Ställ in det här värdet på Ja om du planerar att övervaka det här programmet med Microsoft Defender för Molnappar. Mer information finns i Konfigurera övervakning av programåtkomst i realtid med Microsoft Defender för Cloud Apps och Azure Active Directory.

  7. Välj Lägg till.

Testa programmet

Du är redo att testa om programmet har lagts till korrekt. I följande steg kan du lägga till ett användarkonto i programmet och försöka logga in.

Lägg till en användare för testning

Verifiera att användarkontot redan har behörighet att komma åt programmet inifrån företagsnätverket innan du lägger till en användare till programmet.

Lägga till en testanvändare:

  1. Välj Företagsprogram och välj sedan det program som du vill testa.
  2. Välj Komma igång och välj sedan Tilldela en användare för att testa.
  3. Under Användare och grupper väljer du Lägg till användare.
  4. Under Lägg till tilldelning väljer du Användare och grupper. Avsnittet Användare och grupper visas.
  5. Välj det konto som du vill lägga till.
  6. Välj Välj och välj sedan Tilldela.

Testa inloggningen

Så här testar du inloggningen till programmet:

  1. Från det program som du vill testa väljer du Programproxy.
  2. Längst upp på sidan väljer du Testa program för att köra ett test på programmet och söker efter eventuella konfigurationsproblem.
  3. Se till att först starta programmet för att testa inloggningen till programmet och ladda sedan ned diagnostikrapporten för att granska lösningsvägledningen för eventuella identifierade problem.

Mer information om felsökning finns i Felsöka problem med programproxyn och felmeddelanden.

Rensa resurser

Ta bort de resurser som du skapade i den här självstudien när de inte längre behövs.

Nästa steg

I den här självstudien förberedde du din lokala miljö för arbete med programproxy och installerade och registrerade sedan anslutningsprogrammet för programproxy. Sedan la du till ett program till din Azure AD-klientorganisation. Du verifierade att en användare kan logga in på programmet med hjälp av ett Azure AD-konto.

Du gjorde detta:

  • Öppnade portar för utgående trafik och gav åtkomst till specifika webbadresser
  • Installerade anslutningsprogrammet på din Windows-server och registrerade den med programproxy
  • Verifierade att anslutningsprogrammet installerats och registrerats på rätt sätt
  • Lade till ett lokalt program till Azure AD-klientorganisationen
  • Verifierat att en testanvändare kan logga in på programmet med hjälp av ett Azure AD-konto

Nu är du redo att konfigurera programmet för enkel inloggning. Använd följande länk för att välja en metod för enkel inloggning och för att hitta självstudier för enkel inloggning.

Konfigurera enkel inloggning