Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Прокси приложения Microsoft Entra — это безопасное и экономичное решение удаленного доступа для локальных приложений. Он предоставляет немедленный путь перехода для организаций Cloud First для управления доступом к устаревшим локальным приложениям, которые еще не способны использовать современные протоколы. Дополнительные сведения см. в разделе "Что такое прокси приложения".
Прокси приложения рекомендуется предоставить удаленным пользователям доступ к внутренним ресурсам. Прокси приложения заменяет потребность в VPN или обратном прокси-сервере для этих вариантов использования удаленного доступа. Он не предназначен для пользователей, которые находятся в корпоративной сети. Эти пользователи, использующие прокси приложения для доступа к интрасети, могут столкнуться с нежелательными проблемами с производительностью.
В этой статье содержатся ресурсы, необходимые для планирования, эксплуатации и управления прокси-сервером приложения Microsoft Entra.
Планирование реализации
В следующем разделе представлен общий обзор ключевых элементов планирования, которые помогут вам подготовиться к эффективному развертыванию.
Необходимые компоненты
Прежде чем приступить к внедрению, необходимо выполнить следующие предварительные требования. Дополнительные сведения о настройке среды, включая эти предварительные требования, см. в руководстве.
Соединители. Это простые агенты, которые можно развернуть на:
- физическом оборудовании в локальной среде;
- Виртуальная машина, размещенная в любом решении гипервизора
- Виртуальная машина, размещенная в Azure, для включения исходящего подключения к службе прокси приложения.
Дополнительные сведения см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".
Перед установкой соединителей, машины соединителей необходимо включить для протокола TLS 1.2.
По возможности разверните соединители в той же сети и сегменте, что и серверы внутренних веб-приложений. Рекомендуется развертывать соединители после завершения обнаружения приложений.
Для обеспечения высокого уровня доступности и масштабирования в каждой группе соединителей рекомендуется использовать по крайней мере два соединителя. Наличие трех соединителей оптимально для обслуживания компьютера в любой момент. Просмотрите таблицу емкости соединителя, чтобы решить, какой тип машины выбрать для соединителя.
Параметры сетевого доступа: соединители частной сети Microsoft Entra подключаются к Azure через HTTPS (TCP-порт 443) и HTTP (TCP-порт 80).
Запрещено завершение трафика TLS соединителем, что предотвращает установление соединителями безопасного канала с их соответствующими конечными точками приложений-прокси Microsoft Entra.
Избегайте всех форм встроенной проверки исходящих соединений TLS между соединителями и Azure. Внутренняя проверка соединений между соединителем и внутренними приложениями возможна, но это может привести к снижению удобства работы пользователей, поэтому не рекомендуется.
Балансировка нагрузки самих соединителей также не поддерживается или даже не требуется.
Важные рекомендации перед настройкой прокси приложения Microsoft Entra
Для настройки и реализации прокси приложения Microsoft Entra необходимо выполнить следующие основные требования.
Подключение Azure. Перед развертыванием прокси приложения удостоверения пользователей должны быть синхронизированы из локального каталога или созданы непосредственно в клиентах Microsoft Entra. Синхронизация удостоверений позволяет Microsoft Entra ID предварительно аутентифицировать пользователей перед предоставлением им доступа к приложениям, опубликованным с использованием прокси, и иметь необходимые сведения об идентификаторе пользователя для выполнения единого входа (SSO).
Требования к условному доступу: мы не рекомендуем использовать прокси приложения для доступа к интрасети, так как это добавляет задержку, которая влияет на пользователей. Мы рекомендуем использовать прокси приложения с предварительной проверку подлинности и политиками условного доступа для удаленного доступа из Интернета. Подход к предоставлению условного доступа для использования интрасети заключается в модернизации приложений, чтобы они могли напрямую проходить проверку подлинности с помощью идентификатора Microsoft Entra. Дополнительные сведения см. в разделе "Ресурсы" для переноса приложений в идентификатор Microsoft Entra.
Ограничения служб. Для защиты от чрезмерного использования ресурсов отдельными клиентами существуют ограничения регулирования для каждого приложения и клиента. Чтобы просмотреть эти ограничения, обратитесь к ограничениям и ограничениям службы Microsoft Entra. Эти ограничения на регулирование основаны на эталонном показателе, превышающем типичный объем использования, и обеспечивают достаточный запас для большинства внедрений.
Общедоступный сертификат: если вы используете имена пользовательских доменов, необходимо приобрести сертификат TLS. В зависимости от требований организации получение сертификата может занять некоторое время, и мы рекомендуем начать этот процесс как можно раньше. Прокси приложения Azure поддерживает стандартные, подстановочные знаки или сертификаты на основе SAN. Дополнительные сведения см. в разделе "Настройка пользовательских доменов с помощью прокси приложения Microsoft Entra".
Требования к домену. Чтобы использовать ограниченное делегирование Kerberos (KCD) для единого входа, убедитесь, что сервер соединителя и сервер приложений присоединены к домену и в одном домене или в доверенных доменах. Служба соединителя выполняется под учетной записью локальной системы и не должна использовать пользовательское удостоверение. См. раздел KCD для единого входа для получения дополнительной информации.
Записи DNS для URL-адресов
Перед использованием пользовательских доменов в прокси-приложении необходимо создать запись CNAME в общедоступной системе доменных имен (DNS), которая позволит клиентам разрешать определяемый пользователем внешний URL-адрес на определенный прокси-адрес приложения. Не удается создать запись CNAME для приложения, использующего личный домен, не позволяет удаленным пользователям подключаться к приложению. Действия, необходимые для добавления записей CNAME, могут отличаться от поставщика DNS к поставщику, поэтому узнайте, как управлять записями DNS и наборами записей с помощью Центра администрирования Microsoft Entra.
Аналогичным образом узлы соединителей должны уметь преобразовывать внутренний URL-адрес публикуемых приложений.
Административные права и роли
Для установки соединителя требуются права локального администратора для сервера Windows, на котором он устанавливается. Кроме того, для проверки подлинности и регистрации экземпляра соединителя в клиенте Microsoft Entra требуется минимальная роль администратора приложений.
Для публикации и администрирования приложений требуется роль администратора приложений. Администраторы приложений могут управлять всеми приложениями в каталоге, включая регистрации, параметры единого входа, назначения пользователей и групп и лицензирование, параметры прокси приложения и согласие. Она не предоставляет прав на управление условным доступом. Роль администратора облачных приложений имеет все возможности администратора приложений , за исключением того, что она не позволяет управлять параметрами прокси приложения.
Лицензирование: прокси приложения доступен через подписку Microsoft Entra ID P1 или P2. Ознакомьтесь со страницей цен Microsoft Entra, чтобы получить полный список параметров лицензирования и функций.
Обнаружение приложений
Скомпилируйте инвентаризацию всех приложений в области, публикуемых через прокси приложения, собирая следующие сведения:
| Тип сведений | Собираемые сведения |
|---|---|
| Тип службы | Например, SharePoint, SAP, CRM, настраиваемое веб-приложение, API |
| Платформа приложений | Например: Службы Windows Internet Information Services (IIS), Apache на Linux, Tomcat, NGINX |
| Членство в домене | Полное доменное имя (FQDN) веб-сервера |
| Расположение приложения | Место расположения веб-сервера или фермы в вашей инфраструктуре |
| Внутренний доступ | Точный URL-адрес, используемый при внутреннем доступе к приложению. Какой тип балансировки нагрузки используется для фермы? Получает ли приложение содержимое из других источников, кроме самого себя. Определите, работает ли приложение через WebSockets. |
| Внешний доступ | Решение поставщика, через которое приложение уже может быть доступно извне. URL-адрес, который вы хотите использовать для внешнего доступа. Если SharePoint, убедитесь, что сопоставления альтернативного доступа настроены в соответствии с рекомендациями. В противном случае необходимо определить внешние URL-адреса. |
| Общедоступный сертификат | При использовании личного домена приобретите сертификат с соответствующим именем субъекта. Если сертификат существует, запишите его серийный номер и расположение, откуда его можно получить. |
| Тип аутентификации | Тип аутентификации, поддерживаемый приложением, например Базовая, Встроенная проверка подлинности Windows, на основе формы, на основе заголовка и утверждения. Если приложение настроено для работы с определенной учетной записью домена, примите во внимание полное доменное имя (FQDN) учетной записи службы. Если проверка основана на SAML, примите во внимание идентификатор и URL-адрес ответа. Если проверка основана на заголовке, примите во внимание решение поставщика и конкретные требования для обработки типа аутентификации. |
| Имя группы соединителей | Логическое имя группы коннекторов, назначенных для обеспечения канала и единой системы входа в серверное приложение. |
| Доступ пользователей и групп | Пользователи или группы пользователей, которым предоставлен внешний доступ к приложению. |
| Дополнительные требования | Обратите внимание на все дополнительные требования к удаленному доступу или безопасности, которые следует учесть при публикации приложения. |
Вы можете скачать электронную таблицу инвентаризации приложений для инвентаризации приложений.
Определение требований организации
Ниже перечислены области, для которых необходимо определить бизнес-требования организации. Для каждой области приведены примеры требований
Открыть
Удаленные пользователи с присоединенными к домену устройствами или устройства, присоединенные к Microsoft Entra, могут безопасно получать доступ к опубликованным приложениям с простым единым входом (SSO).
Удаленные пользователи с утвержденными личными устройствами могут безопасно получать доступ к опубликованным приложениям, если они зарегистрированы в MFA и зарегистрированы приложение Microsoft Authenticator на мобильном телефоне в качестве метода проверки подлинности.
Система управления
- Администраторы могут определять и отслеживать жизненный цикл назначений пользователей приложениям, опубликованным через прокси приложения.
Безопасность
- Доступ к этим приложениям могут получить только пользователи, назначенные приложениям вследствие членства в группе или отдельно.
Производительность
- Производительность приложения не ухудшается по сравнению с доступом к приложению из внутренней сети.
Взаимодействие с пользователем
- Пользователи знают, как получить доступ к своим приложениям, используя знакомые URL-адреса компании на любой платформе устройства.
Аудит
- Администраторы могут проводить аудит действий доступа пользователей.
Рекомендации по пилотным проектам
Определите количество времени и трудозатраты, необходимые, чтобы полностью подготовить к работе одно приложение для удаленного доступа с единым входом (SSO). Это можно сделать, запустив пилотный проект, который предусматривает его первичное обнаружение, публикацию и общее тестирование. Использование простого веб-приложения на основе IIS, которое уже предварительно настроено для интегрированной проверки подлинности Windows (IWA), поможет установить базовый план, так как программа установки требует минимальных усилий для успешного пилотного удаленного доступа и единого входа.
Следующие элементы проектирования должны способствовать успешной реализации пилотного проекта непосредственно в рабочем клиенте.
Управление соединителем:
Соединители играют ключевую роль в предоставлении локального канала для приложений. Использование группы соединителей по умолчанию подходит для первоначального пилотного тестирования опубликованных приложений перед их вводом в рабочую среду. Успешно протестированные приложения можно переместить в рабочие группы соединителей.
Управление приложениями:
Скорее всего, ваши рабочие ресурсы запомнят привычный и релевантный внешний URL-адрес. Избегайте публикации приложения с помощью предопределенных msappproxy.net или onmicrosoft.com суффиксов. Вместо этого предоставьте привычный проверенный домен верхнего уровня с префиксом логического имени узла, например intranet.<customers_domain>.com.
Ограничьте видимость значка пилотного приложения в пилотную группу, скрывая его значок запуска на портале Azure MyApps. Когда вы будете готовы к рабочей среде, приложение можно ограничить соответствующей целевой аудиторией либо в том же клиенте предварительной подготовки, либо опубликовать приложение в рабочем клиенте.
Параметры единого входа. Некоторые параметры единого входа обладают определенными зависимостями, для настройки которых может потребоваться время, поэтому следует избегать задержек в управлении изменениями и заранее устанавливать зависимости. Этот процесс включает узлы соединителя присоединения к домену для выполнения единого входа с помощью ограниченного делегирования Kerberos (KCD) и ухода за другими временными действиями.
TLS между узлом соединителя и целевым приложением. Поскольку безопасность имеет первостепенное значение, необходимо всегда использовать TLS между узлом соединителя и целевыми приложениями. Это в частности необходимо, если веб-приложение настроено для аутентификации на основе форм (FBA), так как учетные данные пользователя фактически передаются в виде открытого текста.
Постепенная реализация и тестирование на каждом этапе. Выполните базовое функциональное тестирование после публикации приложения, чтобы убедиться, что выполнены все требования пользователя и бизнеса:
Тестирование и проверка общего доступа к веб-приложению с отключенной предварительной проверкой подлинности. В случае успешного выполнения включите предварительную проверку подлинности и назначьте пользователей и группы. Затем протестируйте и подтвердите доступ. Затем добавьте метод единого входа для приложения и повторите проверку доступа. Наконец, при необходимости примените политики условного доступа и MFA. Протестируйте и проверьте доступ.
Средства устранения неполадок. Начните устранять неполадки, проверяя доступ к опубликованному приложению непосредственно из браузера на узле соединителя. Убедитесь, что приложение работает должным образом. Упростите настройку, чтобы изолировать проблемы, такие как использование одного соединителя и отключение единого входа. Такие инструменты, как Fiddler Telerik, могут помочь отлаживать проблемы с доступом или контентом путем трассировки трафика, в том числе для мобильных платформ, таких как iOS и Android. Дополнительные сведения см. в руководстве по устранению неполадок.
Внедрение решения
Развертывание прокси приложения
Действия по развертыванию прокси приложения рассматриваются в руководстве по добавлению локального приложения для удаленного доступа. Если установка не выполнена, выберите "Устранение неполадок прокси приложения" на портале или используйте руководство по устранению неполадок при установке соединителя агента прокси приложения.
Публикация приложений с помощью прокси приложения
При публикации приложений предполагается, что выполнены все предварительные требования, и на странице прокси-сервера приложения отображаются несколько соединителей, зарегистрированных и активных.
Вы также можете публиковать приложения с помощью PowerShell.
Рекомендации по публикации приложения:
Используйте группы соединителей: назначьте группу соединителей, которая предназначена для публикации каждого соответствующего приложения. Для обеспечения высокого уровня доступности и масштабирования в каждой группе соединителей рекомендуется использовать по крайней мере два соединителя. Наличие трех соединителей оптимально в случае, если вам нужно обслуживать компьютер в любой момент. Кроме того, ознакомьтесь с разделом "Общие сведения о группах соединителей частной сети Microsoft Entra", чтобы узнать, как можно также использовать группы соединителей для сегментирования соединителей по сети или расположению.
Установка времени ожидания серверного приложения. Параметр полезен в сценариях, когда приложению может потребоваться более 75 секунд для обработки клиентской транзакции. Например, когда клиент отправляет запрос в веб-приложение, которое выступает в качестве внешнего интерфейса в базу данных. Интерфейс отправляет запрос на внутренний сервер базы данных и ожидает ответа, но тем временем, когда он получает ответ, клиентская сторона беседы заканчивается. Установление длительного времени ожидания предусматривает 180 секунд для завершения длительных транзакций.
Используйте соответствующие типы файлов cookie
HTTP-Only cookie: обеспечивает дополнительную безопасность, указав прокси-сервер приложения флаг HTTPOnly в заголовках ответа HTTP set-cookie. Этот параметр помогает устранить такие эксплойты, как межсайтовые скрипты (XSS). Оставьте значение "Нет" для клиентов или агентов пользователей, которым требуется доступ к файлу cookie сеанса. Например, клиент RDP/MTC, подключающийся к шлюзу удаленных рабочих столов, опубликованным через прокси приложения.
Безопасный файл cookie: если файл cookie задан с помощью безопасного атрибута, агент пользователя (клиентское приложение) включает только файл cookie в HTTP-запросах, если запрос передается по защищенному каналу TLS. Этот параметр помогает снизить риск компрометации cookie через незащищенные текстовые каналы, поэтому его следует включить.
Постоянный файл cookie: позволяет файлу cookie сеанса прокси приложения сохраняться между закрытием браузера, оставаясь допустимым до истечения срока действия или удаления. Используется для сценариев, когда полнофункциональные приложения, такие как office, обращаются к документу в опубликованном веб-приложении без повторной подготовки пользователя к проверке подлинности. Включите с осторожностью, так как постоянные файлы cookie могут оставить службу под угрозой несанкционированного доступа, если их не использовать совместно с другими усложненными элементами управления. Этот параметр нужно использовать только для старых приложений, в которых процессы не могут использовать файлы cookie совместно. Лучше обновить приложение для обработки обмена файлами cookie между процессами, а не с помощью параметра.
Преобразование URL-адресов в заголовках: включите параметр для сценариев, в которых внутренний DNS не может быть настроен для соответствия общедоступному пространству имен организации (известно как Split DNS). Если приложению не требуется исходный заголовок узла в запросе клиента, оставьте значение "Да". В качестве альтернативы необходимо, чтобы соединитель использовал полное доменное имя во внутреннем URL-адресе для маршрутизации фактического трафика и полное доменное имя во внешнем URL-адресе в качестве заголовка узла. В большинстве случаев альтернатива должна позволить приложению работать как обычно при удалённом доступе, но пользователи теряют преимущества единства URL-адресов для внутреннего и внешнего доступа.
Преобразовывайте URL-адреса в коде приложения. Включите преобразование ссылок в коде приложения, если нужно, чтобы ссылки из этого приложения преобразовывались в ответах, возвращаемых клиенту. Если эта функция включена, функция обеспечивает лучшую попытку перевода всех внутренних ссылок, которые прокси приложения находит в ответах HTML и CSS, возвращаемых клиентам. Полезно при публикации приложений, содержащих жёстко закодированные абсолютные или короткие ссылки NetBIOS на содержимое, или приложений с содержимым, которое ссылается на другие внутренние приложения.
Для сценариев, в которых опубликованное приложение ссылается на другие опубликованные приложения, включите преобразование ссылок для каждого приложения, чтобы получить контроль над взаимодействием с пользователем на уровне каждого приложения.
Например, предположим, что у вас есть три приложения, опубликованные через прокси приложения, которые связаны друг с другом: Преимущества, расходы и путешествия, а также четвертое приложение, отзыв, который не публикуется через прокси приложения.
Если для приложения "Преимущества" включен перевод ссылок, ссылки на приложения Expenses и Travel перенаправляются на внешние URL-адреса, позволяя внешним пользователям получать доступ к ним. Однако ссылки из expenses and Travel back to Benefits не работают, если перевод ссылок также не включен для этих приложений. Ссылка на приложение отзывов не перенаправляется, так как он не имеет внешнего URL-адреса, предотвращая доступ внешних пользователей через приложение "Преимущества". Дополнительные сведения см. в параметрах перевода ссылок и перенаправления.
Получение доступа к приложению.
Управление доступом к опубликованным ресурсам прокси приложения путем выбора оптимального подхода, подходящего для вашего сценария и масштабируемости. Распространенные методы включают синхронизацию локальных групп через Microsoft Entra Connect, создание динамических групп в идентификаторе Microsoft Entra на основе атрибутов пользователей, включение групп самообслуживания, управляемых владельцами ресурсов, или объединение этих стратегий. Изучите связанные ресурсы, чтобы понять преимущества каждого метода.
Самый простой способ назначения пользователям доступа к приложению — перейти в параметры Пользователи и группы в левой области опубликованного приложения и напрямую назначить группы или отдельных пользователей.
Вы также можете разрешить пользователям самостоятельный доступ к приложению, назначив группу, в которую они в настоящее время не входят, и настроив параметры самостоятельного доступа.
Если это включено, пользователи входят в портал MyApps, чтобы запросить доступ. Они автоматически утверждены и добавляются в группу самообслуживания или требуют утверждения от назначенного утверждающего.
Гостевые пользователи также могут быть приглашены на доступ к внутренним приложениям, опубликованным через прокси приложения через Microsoft Entra B2B.
Для локальных приложений, которые обычно доступны анонимно, требуя проверки подлинности, может потребоваться отключить параметр, расположенный в свойствах приложения.
Если задать значение "Нет", пользователи могут получить доступ к локальному приложению через прокси приложения Microsoft Entra без разрешений, поэтому используйте с осторожностью.
Чтобы получить доступ к опубликованному приложению, нужно ввести его внешний URL-адрес в браузере или воспользоваться значком в https://myapps.microsoft.com.
Включение предварительной проверки подлинности
Убедитесь, что приложение доступно через прокси приложения, обращающееся к нему через внешний URL-адрес.
Перейдите к Entra ID>корпоративным приложениям>Все приложения и выберите приложение, которое вы хотите управлять.
Выберите прокси приложения.
В поле предварительной проверки подлинности используйте раскрывающийся список, чтобы выбрать идентификатор Microsoft Entra и нажмите кнопку "Сохранить". При включенной предаутентификации Microsoft Entra ID сначала проверяет подлинность пользователей. Если единый вход настроен, серверное приложение также проверяет пользователя перед предоставлением доступа. Переключение режима предварительной проверки подлинности с сквозного руководства на идентификатор Microsoft Entra защищает внешний URL-адрес с помощью HTTPS, гарантируя, что любое приложение изначально использует HTTPS.
Включение единого входа
Единый вход улучшает взаимодействие с пользователем и безопасностью, позволяя пользователям входить один раз с идентификатором Microsoft Entra. После предварительной проверки подлинности соединитель частной сети подключается к локальному приложению для пользователя, создавая видимость, что пользователь вошел напрямую.
Выбор параметра passthrough позволяет пользователям получать доступ к опубликованному приложению без необходимости проходить проверку подлинности в идентификаторе Microsoft Entra.
Чтобы включить единый вход, приложение должно предварительно пройти проверку подлинности пользователей с идентификатором Microsoft Entra. Без предварительной проверки подлинности параметры единого входа недоступны.
Чтение единого входа в приложения в приложениях в идентификаторе Microsoft Entra, чтобы помочь вам выбрать наиболее подходящий метод единого входа при настройке приложений.
Работа с приложениями других типов
Прокси приложения Microsoft Entra поддерживает приложения, созданные с помощью библиотеки проверки подлинности Майкрософт (MSAL). Он обрабатывает собственные клиентские приложения с помощью маркеров идентификатора Microsoft Entra в заголовках запросов клиента для предварительной проверки подлинности пользователей.
Узнайте о доступных конфигурациях прокси приложения. Чтение собственных и мобильных клиентских приложений и приложенийна основе утверждений.
Повышение безопасности с помощью условного доступа
Безопасность приложений требует расширенного набора средств безопасности, которые могут обеспечить защиту от сложных угроз в локальной и облачной среде и реагировать на них. Используйте политики условного доступа для управления доступом к приложениям на основе многих условий, таких как расположение, риск, тип устройства, соответствие устройств и многое другое. Примеры политик, которые можно развернуть, см. в статье шаблонов условного доступа.
Для поддержки прокси приложения Microsoft Entra можно использовать следующие возможности:
Условный доступ на основе пользователя и расположения. Обеспечьте защиту конфиденциальных данных, ограничивая доступ пользователей на основе географического расположения или IP-адреса с помощью политик условного доступа на основе расположения.
Условный доступ на основе устройства. Позаботьтесь о том, чтобы только зарегистрированные, одобренные и соответствующие требованиям устройства могли получать доступ к корпоративным данным с помощью условного доступа на основе устройства.
Условный доступ на основе приложения. Работа не должна останавливаться, когда пользователь не находится в корпоративной сети. Обеспечьте безопасный доступ к корпоративным облачным и локальным приложениям и сохраняйте контроль над ним с помощью условного доступа.
Условный доступ на основе рисков. Защитите свои данные от хакеров с помощью политики условного доступа на основе рисков, которая может применяться ко всем приложениям и пользователям как в локальной, так и облачной среде.
Microsoft Entra Мои приложения. С развернутой службой прокси приложения и приложениями, которые безопасно публикуются, предлагают пользователям простой центр для обнаружения и доступа ко всем приложениям. Повысьте производительность, предоставив возможности для самообслуживания, например возможность запрашивать доступ к новым приложениям и группам или управлять доступом к этим ресурсам от лица других пользователей, с помощью My Apps.
Управление реализацией
Обязательные роли
Корпорация Майкрософт выступает за предоставление наименьших возможных привилегий для выполнения необходимых задач с идентификатором Microsoft Entra. Ознакомьтесь с различными доступными ролями Azure и выберите нужную из них, чтобы удовлетворить потребности каждого пользователя. Некоторые роли должны быть временно применены и удалены после завершения развертывания.
| Бизнес-роль | Бизнес-задачи | Роли Microsoft Entra |
|---|---|---|
| Администратор службы поддержки | Обрабатывает основные задачи поддержки пользователей, такие как сброс паролей, недопустимые маркеры обновления и проверка работоспособности службы. | Администратор службы технической поддержки |
| Администратор удостоверений | Чтение отчетов входа Microsoft Entra и журналов аудита для отладки проблем, связанных с прокси приложениями. | Читатель сведений о безопасности |
| Владелец приложения | Создание и контроль всех аспектов корпоративных приложений, регистраций приложений, а также параметров прокси приложения. | Администратор приложений |
| Администратор инфраструктуры | Владелец смены сертификатов | Администратор приложений |
Минимизация числа людей, имеющих доступ к защищенной информации или ресурсам, помогает снизить вероятность получения несанкционированного доступа злоумышленника или авторизованного пользователя, непреднамеренного влияния на конфиденциальный ресурс.
Для эффективного управления административным доступом и обеспечения правильного аудита рекомендуется использовать JIT-доступ с привилегированным управлением удостоверениями. Этот подход обеспечивает привилегированный доступ к ресурсам Azure и идентификатору Microsoft Entra только при необходимости.
Создание отчетов и мониторинг
Идентификатор Microsoft Entra предоставляет дополнительные сведения об использовании приложений и работоспособности вашей организации с помощью журналов аудита и отчетов. Прокси приложения также упрощает мониторинг соединителей из Центра администрирования Microsoft Entra и журналов событий Windows.
Журналы аудита приложений
Эти журналы содержат подробные сведения о входах в приложения, настроенные с помощью прокси приложения и устройства и пользователя, обращаюющегося к приложению. Журналы аудита находятся в Центре администрирования Microsoft Entra и в API аудита для экспорта. Кроме того, отчеты об использовании и аналитике также доступны для вашего приложения.
Мониторинг соединителя частной сети
Соединители и служба отвечают за выполнение задач, связанных с высоким уровнем доступности. Вы можете отслеживать состояние соединителей на странице прокси приложения в Центре администрирования Microsoft Entra. Дополнительные сведения о обслуживании соединителей см. в разделе "Общие сведения о соединителях частной сети Microsoft Entra".
Журналы событий Windows и счетчики производительности
Для соединителей настроены журнал администратора и журнал сеансов. В журналах администратора регистрируются основные события и соответствующие ошибки. В журналах сеансов содержатся все транзакции и подробные сведения об их обработке. Журналы и счетчики находятся в журналах событий Windows. Дополнительные сведения см. в статье "Общие сведения о соединителях частной сети Microsoft Entra". Следуйте инструкциям по настройке источников данных журнала событий в Azure Monitor.
Руководство и действия по устранению неполадок
С более подробными сведениями о распространенных проблемах и способах их устранения можно ознакомиться в нашем руководстве по устранению причин сообщений об ошибках.
Связанный контент
В следующих статьях рассматриваются распространенные сценарии, которые также можно использовать для создания руководств по устранению неполадок для организации поддержки.
- Устранение неполадок с неработающими ссылками на странице приложения
- Открытие портов для приложения
- Настройка единого входа
- Настройка ограниченного делегирования Kerberos
- Настройка с использованием PingAccess
- Устранение неполадок с доступом к корпоративному приложению
- Устранение неполадок при установке коннектора агента приложения-прокси
- Устранение неполадок при входе