Azure AD Uygulama Ara Sunucusu Azure AD Domain Services yönetilen bir etki alanında dağıtmaDeploy Azure AD Application Proxy on an Azure AD Domain Services managed domain

Azure Active Directory (AD) uygulama proxy 'Si, internet üzerinden erişilecek şirket içi uygulamaları yayımlayarak uzak çalışanları desteklemenize yardımcı olur.Azure Active Directory (AD) Application Proxy helps you support remote workers by publishing on-premises applications to be accessed over the internet. Azure AD Domain Services ile, artık şirket içinde çalışan eski uygulamaları Azure altyapı hizmetleri 'ne açabilir ve taşıyabilirsiniz.With Azure AD Domain Services, you can now lift-and-shift legacy applications running on-premises to Azure Infrastructure Services. Böylece, kuruluşunuzdaki kullanıcılara güvenli uzaktan erişim sağlamak için Azure AD Uygulama Ara Sunucusu kullanarak bu uygulamaları yayımlayabilirsiniz.You can then publish these applications using the Azure AD Application Proxy, to provide secure remote access to users in your organization.

Azure AD Uygulama Ara Sunucusu yeni başladıysanız, bu özellik hakkında daha fazla bilgi edinmek için aşağıdaki makaleye gidin: Şirket içi uygulamalara güvenli uzaktan erişim sağlama.If you're new to the Azure AD Application Proxy, learn more about this feature with the following article: How to provide secure remote access to on-premises applications.

Önemli

Bu makaledeki görevleri tamamlamadan önce Azure AD Domain Services için Parola karması eşitlemesini etkinleştirin.Enable password hash synchronization to Azure AD Domain Services, before you complete the tasks in this article.

Azure AD dizininizde bulunan kullanıcıların türüne bağlı olarak aşağıdaki yönergeleri izleyin.Follow the instructions below, depending on the type of users in your Azure AD directory. Azure AD dizininizde yalnızca bulutta ve eşitlenmiş Kullanıcı hesaplarının bir karışımına sahipseniz her iki yönerge kümesini de doldurun.Complete both sets of instructions if you have a mix of cloud-only and synced user accounts in your Azure AD directory. Bir B2B Konuk hesabı (örneğin, izin verdiğimiz farklı bir kimlik sağlayıcısından Gmail veya MSA) kullanmaya çalışıyorsanız aşağıdaki işlemleri gerçekleştiremeyebilirsiniz, çünkü bu kullanıcılara yönetilen etki alanı ile eşitlenen bu kullanıcılar için parola yok. , dizininde Konuk hesaplardır.You may not be able to carry out the following operations in case you are trying to use a B2B Guest account (example , your gmail or MSA from a different Identity provider which we allow) because we do not have the password for these users synced to managed domain as these are guest accounts in the directory. Bu hesaplarla ilgili olarak, parolaları da dahil olmak üzere tüm bilgiler Azure AD 'nin dışında ve bu bilgiler Azure AD 'de olmadığından, yönetilen etki alanıyla eşitlenmeyebilir.The complete information about these accounts including their passwords would be outside of Azure AD and as this information is not in Azure AD hence it does not even get synced to the managed domain.

Başlamadan önceBefore you begin

Bu makalede listelenen görevleri gerçekleştirmek için şunlar gerekir:To perform the tasks listed in this article, you need:

  1. Geçerli bir Azure aboneliği.A valid Azure subscription.
  2. Bir Azure ad dizini -şirket içi bir dizinle veya yalnızca bulut diziniyle eşitlenir.An Azure AD directory - either synchronized with an on-premises directory or a cloud-only directory.
  3. Azure AD Uygulama Ara Sunucusu kullanmak için bir Azure AD Premium Lisansı gerekir.An Azure AD Premium license is required to use the Azure AD Application Proxy.
  4. Azure AD dizini için Azure AD Domain Services etkinleştirilmelidir.Azure AD Domain Services must be enabled for the Azure AD directory. Bunu yapmadıysanız, Başlarken kılavuzundaözetlenen tüm görevleri izleyin.If you haven't done so, follow all the tasks outlined in the Getting Started guide.

Görev 1-Azure AD dizininiz için Azure AD Uygulama Ara Sunucusu EtkinleştirmeTask 1 - Enable Azure AD Application Proxy for your Azure AD directory

Azure AD dizininiz için Azure AD Uygulama Ara Sunucusu etkinleştirmek üzere aşağıdaki adımları gerçekleştirin.Perform the following steps to enable the Azure AD Application Proxy for your Azure AD directory.

  1. Azure Portalyönetici olarak oturum açın.Sign in as an administrator in the Azure portal.

  2. Dizine genel bakışı getirmek için Azure Active Directory ' a tıklayın.Click Azure Active Directory to bring up the directory overview. Kurumsal uygulamalar' a tıklayın.Click Enterprise applications.

  3. Uygulama proxy 'si' ne tıklayın.Click Application proxy.

  4. Bağlayıcıyı indirmek için bağlayıcı düğmesine tıklayın.To download the connector, click the Connector button.

  5. İndirme sayfasında, lisans koşullarını ve gizlilik sözleşmesi 'ni kabul edin ve İndir düğmesine tıklayın.On the download page, accept the license terms and privacy agreement and click the Download button.

    İndirmeyi Onayla

Görev 2-Azure AD Uygulama Ara Sunucusu bağlayıcısını dağıtmak için etki alanına katılmış Windows Server sağlamaTask 2 - Provision domain-joined Windows servers to deploy the Azure AD Application Proxy connector

Azure AD Uygulama Ara Sunucusu bağlayıcısını yükleyebileceğiniz, etki alanına katılmış Windows Server sanal makinelerine ihtiyacınız vardır.You need domain-joined Windows Server virtual machines on which you can install the Azure AD Application Proxy connector. Bazı uygulamalarda, bağlayıcının yüklendiği birden çok sunucu sağlamayı tercih edebilirsiniz.For some applications, you may choose to provision multiple servers on which the connector is installed. Bu dağıtım seçeneği, daha fazla kullanılabilirlik sağlar ve daha ağır kimlik doğrulama yüklerini işlemeye yardımcı olur.This deployment option gives you greater availability and helps handle heavier authentication loads.

Azure AD Domain Services yönetilen etki alanınızı etkinleştirdiğiniz aynı sanal ağa (veya bağlı/eşlenmiş bir sanal ağ) bağlayıcı sunucuları sağlayın.Provision the connector servers on the same virtual network (or a connected/peered virtual network), in which you have enabled your Azure AD Domain Services managed domain. Benzer şekilde, uygulama proxy 'Si aracılığıyla yayımladığınız uygulamaları barındıran sunucuların aynı Azure sanal ağına yüklenmesi gerekir.Similarly, the servers hosting the applications you publish via the Application Proxy need to be installed on the same Azure virtual network.

Bağlayıcı sunucuları sağlamak için, Windows sanal makinesini yönetilen bir etki alanına katmabaşlıklı makalede özetlenen görevleri izleyin.To provision connector servers, follow the tasks outlined in the article titled Join a Windows virtual machine to a managed domain.

Görev 3-Azure AD Uygulama Ara Sunucusu bağlayıcısını yükleyip kaydetmeTask 3 - Install and register the Azure AD Application Proxy Connector

Daha önce, bir Windows Server sanal makinesi sağladınız ve yönetilen etki alanına katıldınız.Previously, you provisioned a Windows Server virtual machine and joined it to the managed domain. Bu görevde Azure AD Uygulama Ara Sunucusu bağlayıcısını bu sanal makineye yüklersiniz.In this task, you install the Azure AD Application Proxy connector on this virtual machine.

  1. Bağlayıcı yükleme paketini Azure AD Web uygulaması proxy bağlayıcısını yüklediğiniz VM 'ye kopyalayın.Copy the connector installation package to the VM on which you install the Azure AD Web Application Proxy connector.

  2. Sanal makinede Aadapplicationproxyconnectorınstaller. exe ' yi çalıştırın.Run AADApplicationProxyConnectorInstaller.exe on the virtual machine. Yazılım lisans koşulları 'nı kabul edin.Accept the software license terms.

    Yüklenmek üzere koşulları kabul et

  3. Yükleme sırasında, bağlayıcıyı Azure AD dizininizin uygulama proxy 'Si ile kaydetmeniz istenir.During installation, you are prompted to register the connector with the Application Proxy of your Azure AD directory.

    • Azure AD uygulama Yöneticisi kimlik bilgilerinizisağlayın.Provide your Azure AD application administrator credentials. Uygulama Yöneticisi kiracınız Microsoft Azure kimlik bilgilerinizle farklı olabilir.Your application administrator tenant may be different from your Microsoft Azure credentials.

    • Bağlayıcıyı kaydetmek için kullanılan yönetici hesabı, uygulama ara sunucusu hizmetini etkinleştirdiğiniz dizine ait olmalıdır.The administrator account used to register the connector must belong to the same directory where you enabled the Application Proxy service. Örneğin, kiracı etki alanı contoso.com ise, yönetici admin@contoso.com bu etki alanında veya diğer geçerli bir diğer ad olmalıdır.For example, if the tenant domain is contoso.com, the admin should be admin@contoso.com or any other valid alias on that domain.

    • Bağlayıcıyı yüklemekte olduğunuz sunucu için IE artırılmış güvenlik yapılandırması açıksa, kayıt ekranı engellenebilir.If IE Enhanced Security Configuration is turned on for the server where you are installing the connector, the registration screen might be blocked. Erişime izin vermek için hata iletisindeki yönergeleri uygulayın.To allow access, follow the instructions in the error message. Internet Explorer Artırılmış Güvenlik seçeneğinin devre dışı olduğundan emin olun.Make sure that Internet Explorer Enhanced Security is off.

    • Bağlayıcı kaydı başarısız olursa bkz. Uygulama Proxy’si Sorunlarını Giderme.If connector registration does not succeed, see Troubleshoot Application Proxy.

      Bağlayıcı yüklendi

  4. Bağlayıcının düzgün çalıştığından emin olmak için Azure AD Uygulama Ara Sunucusu Bağlayıcısı sorun gidericisini çalıştırın.To ensure the connector works properly, run the Azure AD Application Proxy Connector Troubleshooter. Sorun gidericiyi çalıştırdıktan sonra başarılı bir rapor görmeniz gerekir.You should see a successful report after running the troubleshooter.

    Sorun giderici başarısı

  5. Yeni yüklenen bağlayıcıyı Azure AD dizininizin uygulama proxy 'si sayfasında görmeniz gerekir.You should see the newly installed connector listed on the Application proxy page in your Azure AD directory.

    Azure portal, yüklü bağlayıcı kullanılabilir olarak gösterilir

Not

Azure AD Uygulama Ara Sunucusu aracılığıyla yayımlanan uygulamaların kimlik doğrulaması için yüksek kullanılabilirlik sağlamak üzere bağlayıcıları birden çok sunucuya yüklemeyi tercih edebilirsiniz.You may choose to install connectors on multiple servers to guarantee high availability for authenticating applications published through the Azure AD Application Proxy. Bağlayıcıyı, yönetilen etki alanına katılmış diğer sunuculara yüklemek için yukarıda listelenen adımların aynısını gerçekleştirin.Perform the same steps listed above to install the connector on other servers joined to your managed domain.

Sonraki AdımlarNext Steps

Azure AD Uygulama Ara Sunucusu ayarlamış ve Azure AD Domain Services yönetilen etki alanınız ile tümleştirmiş olabilirsiniz.You have set up the Azure AD Application Proxy and integrated it with your Azure AD Domain Services managed domain.

  • Uygulamalarınızı Azure sanal makinelerine geçirin: Şirket içi sunuculardan uygulamalarınızı, yönetilen etki alanına katılmış Azure sanal makinelerine açabilir ve taşıyabilirsiniz.Migrate your applications to Azure virtual machines: You can lift-and-shift your applications from on-premises servers to Azure virtual machines joined to your managed domain. Bunun yapılması, şirket içi sunucuları çalıştırmanın altyapı maliyetlerinden kurtuya yardımcı olur.Doing so helps you get rid of the infrastructure costs of running servers on-premises.

  • Azure AD Uygulama Ara Sunucusu kullanarak uygulama yayımlama: Azure AD Uygulama Ara Sunucusu kullanarak Azure sanal makinelerinizde çalışan uygulamalar yayımlayın.Publish applications using Azure AD Application Proxy: Publish applications running on your Azure virtual machines using the Azure AD Application Proxy. Daha fazla bilgi için bkz. Azure kullanarak uygulama yayımlama ad uygulama ara sunucusuFor more information, see publish applications using Azure AD Application Proxy

Dağıtım notunun-Azure AD Uygulama Ara Sunucusu kullanarak ıWA (tümleşik Windows kimlik doğrulaması) uygulamalarını yayımlayınDeployment note - Publish IWA (Integrated Windows Authentication) applications using Azure AD Application Proxy

Uygulama ara sunucusu bağlayıcılarını kullanıcılara taklit etmek için izin vererek ve kendi adına belirteçler alıp alarak tümleşik Windows kimlik doğrulaması (ıWA) kullanarak uygulamalarınızda çoklu oturum açmayı etkinleştirin.Enable single sign-on to your applications using Integrated Windows Authentication (IWA) by granting Application Proxy Connectors permission to impersonate users, and send and receive tokens on their behalf. Yönetilen etki alanındaki kaynaklara erişmek için gerekli izinleri vermek üzere bağlayıcı için Kerberos kısıtlanmış temsilcisini (KCD) yapılandırın.Configure Kerberos constrained delegation (KCD) for the connector to grant the required permissions to access resources on the managed domain. Daha yüksek güvenlik için yönetilen etki alanlarında kaynak tabanlı KCD mekanizmasını kullanın.Use the resource-based KCD mechanism on managed domains for increased security.

Azure AD Uygulama Ara Sunucusu Bağlayıcısı için kaynak tabanlı Kerberos kısıtlı temsilcisini etkinleştirmeEnable resource-based Kerberos constrained delegation for the Azure AD Application Proxy connector

Azure uygulama proxy Bağlayıcısı, Kerberos kısıtlanmış temsil (KCD) için yapılandırılmalıdır, bu nedenle yönetilen etki alanındaki kullanıcıların kimliğine bürünebilir.The Azure Application Proxy connector should be configured for Kerberos constrained delegation (KCD), so it can impersonate users on the managed domain. Azure AD Domain Services yönetilen bir etki alanında etki alanı yöneticisi ayrıcalıklarına sahip değilsiniz.On an Azure AD Domain Services managed domain, you do not have domain administrator privileges. Bu nedenle, yönetilen bir etki alanında geleneksel hesap düzeyi KCD yapılandırılamaz.Therefore, traditional account-level KCD cannot be configured on a managed domain.

Bu makaledeaçıklandığı gibi kaynak tabanlı KCD 'yi kullanın.Use resource-based KCD as described in this article.

Not

AD PowerShell cmdlet 'lerini kullanarak yönetilen etki alanını yönetmek için ' AAD DC Administrators ' grubunun bir üyesi olmanız gerekir.You need to be a member of the 'AAD DC Administrators' group, to administer the managed domain using AD PowerShell cmdlets.

Azure AD Uygulama Ara Sunucusu bağlayıcısının yüklü olduğu bilgisayarın ayarlarını almak için Get-ADComputer PowerShell cmdlet 'ini kullanın.Use the Get-ADComputer PowerShell cmdlet to retrieve the settings for the computer on which the Azure AD Application Proxy connector is installed.

$ConnectorComputerAccount = Get-ADComputer -Identity contoso-proxy.contoso.com

Bundan sonra, Resource Server için kaynak tabanlı KCD 'yi ayarlamak için set-ADComputer cmdlet 'ini kullanın.Thereafter, use the Set-ADComputer cmdlet to set up resource-based KCD for the resource server.

Set-ADComputer contoso-resource.contoso.com -PrincipalsAllowedToDelegateToAccount $ConnectorComputerAccount

Yönetilen etki alanında birden çok uygulama proxy Bağlayıcısı dağıttıysanız, bu tür bağlayıcı örnekleri için kaynak tabanlı KCD 'yi yapılandırmanız gerekir.If you have deployed multiple Application Proxy connectors on your managed domain, you need to configure resource-based KCD for each such connector instance.