用於存取 Microsoft Entra 識別碼中內部部署應用程式的 Cookie 設定
Microsoft Entra ID 具有存取權和會話 Cookie,可透過應用程式 Proxy 存取內部部署應用程式。 瞭解如何使用應用程式 Proxy Cookie 設定。
什麼是 Cookie 設定?
應用程式 Proxy 會使用下列存取和會話 Cookie 設定。
| Cookie 設定 | 預設 | 描述 | 建議 |
|---|---|---|---|
| 使用僅限 HTTP 的 Cookie | 否 | 是 可讓應用程式 Proxy 在 HTTP 回應標頭中包含 HTTPOnly 旗標。 此旗標提供額外的安全性優點,例如,它可防止用戶端腳本 (CSS) 複製或修改 Cookie。 在支援僅限 HTTP 設定之前,應用程式 Proxy 會透過安全的傳輸層安全性 (TLS) 通道加密和傳輸 Cookie,以防止修改。 |
因為額外的安全性優點,所以請使用 [是 ]。 對於需要存取會話 Cookie 的用戶端或使用者代理程式,請使用 [否 ]。 例如,針對透過應用程式 Proxy 連線到遠端桌面閘道伺服器的遠端桌面通訊協定 (RDP) 或 Microsoft 終端機服務用戶端 (MTSC) 使用 [否 ]。 |
| 使用安全 Cookie | 是 | 是 可讓應用程式 Proxy 在 HTTP 回應標頭中包含 Secure 旗標。 透過 HTTPS 等 TLS 安全通道傳輸 Cookie 來增強安全性。 TLS 會防止以純文本傳輸 Cookie。 | 因為額外的安全性優點,所以請使用 [是 ]。 |
| 使用永續性 Cookie | 否 | 是 可讓應用程式 Proxy 在關閉網頁瀏覽器時,將其存取 Cookie 設定為不會過期。 持續性會持續到存取令牌到期,或直到使用者手動刪除持續性 Cookie 為止。 | 使用 否 ,因為與保持使用者驗證相關聯的安全性風險。 我們建議只針對無法在進程之間共用 Cookie 的舊版應用程式使用 [是 ]。 最好更新應用程式來處理進程之間的共用 Cookie,而不是使用持續性 Cookie。 例如,您可能需要持續性 Cookie,才能讓使用者從 SharePoint 網站在總管檢視中開啟 Office 檔。 如果沒有持續性 Cookie,如果瀏覽器、總管進程和 Office 進程之間未共用存取 Cookie,此作業可能會失敗。 |
SameSite Cookies
未指定 SameSite 屬性的 Cookie 會被視為設定為 SameSite=Lax。 屬性 SameSite 會宣告 Cookie 應如何限制為相同網站內容。 當設定為 Lax時,Cookie 只會傳送至相同網站要求或最上層導覽。 不過,應用程式 Proxy 要求這些 Cookie 會保留在第三方內容中,以便讓使用者在會話期間正確登入。 由於需求,已進行更新:
- 將 SameSite 屬性設定為 None。 應用程式 Proxy 會話 Cookie 會在第三方內容中正確傳送。
- 將 [ 使用安全 Cookie ] 設定設為使用 [是 ] 作為預設值。 Chrome 會拒絕不使用 旗標的
SecureCookie。 此變更適用於透過應用程式 Proxy 發行的所有現有應用程式。 應用程式 Proxy 存取 Cookie 會設定為 [安全],且只會透過 HTTPS 傳輸。 變更僅適用於會話 Cookie。
此外,如果您的後端應用程式具有需要第三方內容的Cookie,您必須將應用程式變更為使用 SameSite=None來明確選擇加入。 應用程式 Proxy 會將 Set-Cookie 標頭轉譯為其URL,並遵守設定。
設定 Cookie 設定 - Microsoft Entra 系統管理中心
若要使用 Microsoft Entra 系統管理中心來設定 Cookie 設定:
- 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式>企業應用程式>] 應用程式 Proxy。
- 在 [其他 設定] 下,將 Cookie 設定設為 [是] 或 [否]。
- 選取儲存套用變更。
檢視目前的 Cookie 設定 - PowerShell
若要查看應用程式的目前 Cookie 設定,請使用下列 PowerShell 命令:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
設定 Cookie 設定 - PowerShell
在下列 PowerShell 命令中, <ObjectId> 是應用程式的 ObjectId。
僅限 Http 的 Cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
安全 Cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
持續性 Cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false