新增內部部署應用程式,以便透過 Microsoft Entra ID 的應用程式 Proxy 進行遠端存取
Microsoft Entra ID 有一項應用程式 Proxy 服務,可讓使用者使用其 Microsoft Entra 帳戶登入來存取內部部署應用程式。 若要深入了解應用程式 Proxy,請參閱什麼是應用程式 Proxy?。 本教學課程會準備環境以便與應用程式 Proxy 搭配使用。 環境準備就緒後,請使用 Microsoft Entra 系統管理中心,將內部部署應用程式新增至您的租用戶。
在本教學課程中,您已:
- 在 Windows 伺服器上安裝並驗證連接器,並向應用程式 Proxy 註冊。
- 將內部部署應用程式新增至 Microsoft Entra 租用戶。
- 確認測試使用者可以使用 Microsoft Entra 帳戶登入應用程式。
必要條件
若要將內部部署應用程式新增至 Microsoft Entra ID,您需要:
- Microsoft Entra ID P1 或 P2 訂用帳戶。
- 應用程式系統管理員帳戶。
- 一組與內部部署目錄同步的使用者身分識別。 或直接在您的 Microsoft Entra 租用戶中建立這些身分識別。 身分識別同步處理可讓 Microsoft Entra ID 預先驗證使用者,再將應用程式 Proxy 已發佈應用程式的存取權授與使用者。 同步處理也會提供必要的使用者識別碼資訊來執行單一登入 (SSO)。
- 了解 Microsoft Entra 中的應用程式管理,請參閱在 Microsoft Entra 中檢視企業應用程式。
- 了解單一登入 (SSO),請參閱了解單一登入。
安裝和驗證 Microsoft Entra 私人網路連接器
應用程式 Proxy 使用與 Microsoft Entra 私人存取相同的連接器。 連接器稱為 Microsoft Entra 私人網路連接器。 若要了解如何安裝和驗證連接器,請參閱如何設定連接器。
一般備註
Microsoft Entra 應用程式 Proxy 端點的公用 DNS 記錄是指向 A 記錄的鏈結 CNAME 記錄。 以這種方式設定記錄可確保容錯和彈性。 Microsoft Entra 私人網路連接器一律會存取含有網域尾碼 *.msappproxy.net
或 *.servicebus.windows.net
的主機名稱。 不過在名稱解析期間,CNAME 記錄可能包含具有不同主機名稱和尾碼的 DNS 記錄。 由於存在差異,您必須確定裝置 (取決於您自己的設定:連接器伺服器、防火牆、連出 Proxy) 可解析鏈結中的所有記錄並允許與解析的 IP 位址連線。 由於鏈結中的 DNS 記錄可能隨時會變更,因此無法向您提供任何的清單 DNS 記錄。
若在不同區域中安裝連接器,則應該選取與每個連接器群組最接近的應用程式 Proxy 雲端服務區域,將流量最佳化。 若要深入了解,請參閱使用 Microsoft Entra 應用程式 Proxy 將流量流程最佳化。
若您組織使用 Proxy 伺服器連線到網際網路,您需要為應用程式 Proxy 設定 Proxy 伺服器。 如需詳細資訊,請參閱使用現有的內部部署 Proxy 伺服器。
將內部部署應用程式新增至 Microsoft Entra ID
將內部部署應用程式新增至 Microsoft Entra ID。
以至少應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式]。
選取 [新增應用程式]。
選取會出現在頁面中段 [內部部署應用程式] 區段的 [新增內部部署應用程式] 按鈕。 您也可以選取頁面頂端的 [建立您自己的應用程式],再選取 [設定應用程式 Proxy 以安全地從遠端存取內部部署應用程式]。
在 [新增自己的內部部署應用程式] 區段中,提供您應用程式的下列資訊:
欄位 描述 名稱 出現在 [我的應用程式] 和 Microsoft Entra 系統管理中心的應用程式名稱。 維護模式 若要啟用維護模式,並暫時停用所有使用者對應用程式的存取,請選取此選項。 內部 URL 用於從私用網路內部存取應用程式的 URL。 您可以提供後端伺服器上要發佈的特定路徑,而伺服器的其餘部分則不發佈。 如此一來,您可以在相同的伺服器上將不同網站發佈為不同應用程式,並給予各自的名稱和存取規則。
如果您發佈路徑,請確定其中包含您的應用程式的所有必要映像、指令碼和樣式表。 例如,如果您的應用程式位於https://yourapp/app
並使用位於https://yourapp/media
的映像,您應該發佈https://yourapp/
作為路徑。 此內部 URL 不一定是您使用者所看見的登陸頁面。 如需詳細資訊,請參閱針對發佈應用程式設定自訂的首頁。外部 URL 可讓使用者從網路外部存取應用程式的位址。 若不想使用預設的應用程式 Proxy 網域,請參閱 Microsoft Entra 應用程式 Proxy 中的自訂網域。 預先驗證 應用程式 Proxy 在授與您的應用程式存取權前,用來驗證使用者的方式。
Microsoft Entra ID:應用程式 Proxy 會重新導向使用者以使用 Microsoft Entra ID 登入,進而驗證目錄和應用程式的權限。 建議您將這個選項保持為預設值,以便運用諸如條件式存取及多重要素驗證等 Microsoft Entra 安全性功能。 利用 Microsoft Defender for Cloud Apps 監視應用程式時需要 Microsoft Entra ID。
即時通行:使用者不必向 Microsoft Entra ID 進行驗證即可存取應用程式。 您還是可以在後端設定驗證需求。連接器群組 連接器會處理針對應用程式的遠端存取,連接器群組可協助您依區域、網路或用途組織連接器和應用程式。 如果您尚未建立任何連接器群組,您的應用程式就會指派給 [預設]。
如果應用程式使用 WebSocket 進行連線,群組中的所有連接器必須是 1.5.612.0 版或更新版本。如有必要,請設定 [其他設定]。 對於大部分的應用程式,您應該在其預設狀態中保留這些設定。
欄位 描述 後端應用程式逾時 只有當您的應用程式太慢而無法驗證和連線時,才將此值設定為 [長]。 在預設情況下,後端應用程式的逾時長度為 85 秒。 設定得太長時,後端逾時會增加到 180 秒。 使用僅限 HTTP Cookie 選取這個選項可讓應用程式 Proxy Cookie 在 HTTP 回應標頭中包含 HTTPOnly 旗標。 如果使用遠端桌面服務,請將此選項保持未選取狀態。 使用永續性 Cookie 將此選項保持未選取狀態。 請只對無法在程序之間共用 Cookie 的應用程式使用此設定。 如需 Cookie 設定的詳細資訊,請參閱 Microsoft Entra ID 中用來存取內部部署應用程式的 Cookie 設定。 轉譯標頭中的 URL 除非您的應用程式需要驗證要求中的原始主機標頭,否則請將此選項保持已選取狀態。 轉譯應用程式主體中的 URL 除非 HTML 連結硬式編碼至其他內部部署應用程式,且未使用自訂網域,否則請將此選項保持未選取狀態。 如需詳細資訊,請參閱使用應用程式 Proxy 連結轉譯。
若打算使用 Microsoft Defender for Cloud Apps 來監視此應用程式,請選取此選項。 如需詳細資訊,請參閱使用 Microsoft Defender for Cloud Apps 與 Microsoft Entra ID 來設定即時的應用程式存取監視。驗證後端 TLS/SSL 憑證 選取此選項可為應用程式啟用後端 TLS/SSL 憑證驗證。 選取 [新增]。
測試應用程式
您準備好測試應用程式是否已正確新增。 在下列步驟中,您會將使用者帳戶新增至應用程式,然後嘗試登入。
新增測試使用者
在將使用者新增至應用程式之前,請確認使用者帳戶已經有權限可存取公司網路內部的應用程式。
若要新增測試使用者:
- 選取 [企業應用程式],然後選取您想要測試的應用程式。
- 選取 [開始使用],然後選取 [指派測試使用者]。
- 在 [使用者和群組] 底下,選取 [新增使用者]。
- 在 [新增指派] 底下,選取 [使用者和群組]。 [使用者和群組] 區段隨即會出現。
- 選擇您想要新增的帳戶。
- 選擇 [選取],然後選取 [指派]。
測試登入
若要測試應用程式的驗證,請執行下列動作:
- 從您想要測試的應用程式中,選取 [應用程式 Proxy]。
- 在頁面頂端,選取 [測試應用程式] 以在應用程式上執行測試,並檢查是否有任何設定問題。
- 請務必先啟動應用程式來測試是否能登入應用程式,然後再下載診斷報告來檢閱所偵測到問題的解決指引。
如需疑難排解,請參閱針對應用程式 Proxy 問題和錯誤訊息進行疑難排解。
清除資源
完成後,別忘了刪除您在本教學課程中建立的任何資源。
疑難排解
了解常見問題,以及如何對其進行疑難排解。
建立應用程式/設定 URL
如需如何修正應用程式的資訊和建議,請查看錯誤詳細資料。 大部分的錯誤訊息都包含建議的修正。 若要避免常見的錯誤,請確認:
- 您是有權建立應用程式 Proxy 應用程式的系統管理員
- 內部 URL 是唯一的
- 外部 URL 是唯一的
- URL 開頭為 http 或 https,且結尾為 “/”
- URL 應該是網域名稱,而非 IP 位址
當您建立應用程式時,錯誤訊息應該會顯示在右上角。 您也可以選取通知圖示來查看錯誤訊息。
上傳自訂網域的憑證
自訂網域可讓您指定外部 URL 的網域。 若要使用自訂網域,您需要上傳該網域的憑證。 如需使用自訂網域和憑證的詳細資訊,請參閱使用 Microsoft Entra 應用程式 Proxy 中的自訂網域。
若在上傳憑證時遇到問題,請尋找入口網站中的錯誤訊息以取得憑證問題的其他資訊。 常見的憑證問題包括:
- 過期的憑證
- 憑證為自我簽署
- 憑證沒有私密金鑰
當您嘗試上傳憑證時,錯誤訊息會顯示在右上角。 您也可以選取通知圖示來查看錯誤訊息。