Поделиться через

Настройка личных доменов с помощью прокси приложения Microsoft Entra.

При публикации приложения через прокси приложения Microsoft Entra создается внешний URL-адрес для пользователей. Этот URL-адрес получает домен yourtenant.msappproxy.netпо умолчанию. Например, если вы публикуете приложение под названием Expenses в вашем арендаторе Contoso, то внешним URL-адресом будет https://expenses-contoso.msappproxy.net. Если вы хотите использовать собственное доменное имя вместо msappproxy.netэтого, можно настроить личный домен для приложения.

Преимущества личных доменов

Личные домены желательно настраивать для приложений, когда это возможно. Ниже приведены некоторые причины для использования пользовательских доменов.

  • Связи между приложениями работают даже за пределами корпоративной сети. Без личного домена, если ваше приложение жестко кодируется внутренними ссылками на целевые объекты за пределами прокси приложения, а ссылки не разрешаются извне, они прерываются. Если внутренние и внешние URL-адреса одинаковы, этой проблемы можно избежать. Если вы не можете использовать пользовательские домены, см. статью "Перенаправление жестко закодированных ссылок для приложений, опубликованных с помощью прокси приложения Microsoft Entra" для других способов решения этой проблемы.

  • Пользователи имеют более удобный интерфейс, так как они получают доступ к приложению с тем же URL-адресом изнутри или за пределами сети. Нет необходимости изучать различные внутренние и внешние URL-адреса или отслеживать их текущее расположение.

  • Вы сможете управлять своей фирменной символикой и создавать необходимые URL-адреса. Пользовательский домен может помочь укрепить уверенность пользователей, так как они видят и используют знакомое имя вместо msappproxy.net.

  • Некоторые конфигурации работают только с пользовательскими доменами. Например, вам нужны пользовательские домены для приложений, использующих язык разметки утверждений безопасности (SAML). SAML используется, когда вы используете службу федерации Active Directory (ADFS), но WS-Federation использовать невозможно. Для получения дополнительной информации см. Работа с приложениями, работающими с поддержкой утверждений, в прокси приложений.

Если вы не можете сопоставить внутренние и внешние URL-адреса, не так важно использовать личные домены. Но вы по-прежнему можете воспользоваться другими преимуществами.

Параметры конфигурации DNS

Существует несколько вариантов настройки конфигурации системы доменных имен (DNS) в зависимости от ваших требований:

Один и тот же внутренний и внешний URL, но другое поведение

Если вы не хотите, чтобы внутренние пользователи были перенаправлены через прокси приложения, можно настроить split-brain DNS. Сплит-инфраструктура DNS определяет разрешение доменных имен на основе расположения узла. Внутренние узлы направляются на внутренний сервер доменных имен и внешние узлы на внешний сервер доменных имен.

Разделенная система DNS

Разные внутренние и внешние URL-адреса

Если внутренние и внешние URL-адреса отличаются, не настраивайте поведение разбиения мозга. Маршрутизация пользователей определяется с помощью URL-адреса. В этом случае вы изменяете только внешний DNS-адрес и направляете внешний URL-адрес в конечную точку прокси приложения.

При выборе личного домена для внешнего URL-адреса на панели информации отображается запись CNAME, которую необходимо добавить к внешнему поставщику DNS. Эти сведения всегда можно просмотреть, перейдя на страницу прокси приложения.

Настройка и использование личных доменов

Чтобы настроить локальное приложение для использования личного домена, вам потребуется проверенный личный домен Microsoft Entra, сертификат EXchange (PFX) для личного домена и локальное приложение для настройки.

Внимание

Вы несете ответственность за поддержание записей DNS, которые перенаправляют ваши пользовательские домены в msappproxy.net домен. Если вы решите позднее удалить приложение или клиента, обязательно удалите связанные записи DNS для прокси приложения, чтобы предотвратить неправильное использование висячих записей DNS.

Создание и проверка личного домена

Для создания и проверки личного домена выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора приложений.
  2. Перейдите к Entra ID>доменным именам.
  3. Нажмите кнопку Добавить личный домен.
  4. Введите имя личного домена и выберите Добавить домен.
  5. На странице домена скопируйте сведения о записи TXT для своего домена.
  6. Перейдите к регистратору домена и создайте новую запись типа TXT для своего домена на основе скопированных данных DNS.
  7. После регистрации домена на странице домена в идентификаторе Microsoft Entra нажмите кнопку "Проверить". После проверки состояния домена можно использовать домен во всех конфигурациях Microsoft Entra, включая прокси приложения.

Дополнительные инструкции см. в разделе "Добавление имени личного домена" с помощью Центра администрирования Microsoft Entra.

Настройка приложения для использования личного домена

Чтобы опубликовать приложение через прокси приложения с помощью личного домена:

  1. Для нового приложения в центре администрирования Microsoft Entra перейдите к Entra ID>Enterprise apps>прокси приложений.

  2. Выберите Новое приложение. В разделе Локальные приложения выберите Добавление локального приложения.

    Для приложения, которое уже находится в Корпоративных приложениях, выберите его из списка, а затем выберите Прокси приложения в левой области навигации.

  3. На странице параметров прокси приложения введите имя , если вы добавляете собственное локальное приложение.

  4. В поле Внутренний URL-адрес введите внутренний URL-адрес приложения.

  5. В поле Внешний URL-адрес раскройте список и выберите личный домен, который хотите использовать.

  6. Выберите Добавить.

    Выбор личного домена

  7. Если у домена уже есть сертификат, то поле Сертификат отображает сведения об этом сертификате. В ином случае выберите поле Сертификат.

    Щелкните, чтобы передать сертификат.

  8. На странице SSL-сертификат перейдите к файлу сертификата PFX и выберите его. Введите пароль для сертификата и выберите Отправить сертификат. Дополнительные сведения о сертификатах см. в разделе Сертификаты для личных доменов. Если сертификат недействителен или возникла проблема с паролем, появится сообщение об ошибке. Вопросы и ответы по прокси приложениям содержат некоторые действия по устранению неполадок, которые можно попробовать.

    Передача сертификата

    Совет

    Личному домену требуется только однократная отправка сертификата. После этого переданный сертификат применяется автоматически при использовании личного домена для других приложений.

  9. Если вы добавили сертификат, на странице Прокси приложения выберите Сохранить.

  10. На панели информации страницы Прокси приложения обратите внимание на запись CNAME, которую необходимо добавить в зону DNS.

    Добавление записи CNAME DNS

  11. Следуйте инструкциям по управлению записями DNS и наборами записей с помощью Центра администрирования Microsoft Entra, чтобы добавить запись DNS, которая перенаправляет новый внешний URL-адрес в msappproxy.net домен в Azure DNS. Если используется другой поставщик DNS, обратитесь к поставщику за инструкциями.

    Внимание

    Убедитесь, что вы правильно используете запись CNAME, указывающую на msappproxy.net домен. Не указывайте записи на IP-адреса или DNS-имена сервера, так как они не являются статическими и могут повлиять на устойчивость службы.

  12. Чтобы убедиться, что запись DNS настроена правильно, используйте команду nslookup , чтобы убедиться, что внешний URL-адрес доступен, и msappproxy.net домен отображается как псевдоним.

Теперь приложение настроено для использования личного домена. Не забудьте назначить пользователей приложению перед его тестированием или выпуском.

Чтобы изменить домен для приложения, выберите другой домен из раскрывающегося списка Внешний URL-адрес на странице Прокси приложения. При необходимости отправьте сертификат для обновленного домена и обновите его запись DNS. Если вы не видите личный домен в раскрывающемся списке Внешний URL-адрес, он может быть не проверен.

Дополнительные инструкции по прокси приложения см. в руководстве «Добавление локального приложения для удаленного доступа через прокси приложения» в Microsoft Entra ID.

Сертификаты для личных доменов

Сертификат создает безопасное подключение TLS для пользовательского домена.

Форматы сертификатов

Для обеспечения включения всех необходимых промежуточных сертификатов необходимо использовать сертификат PFX. Сертификат должен включать закрытый ключ.

Система поддерживает распространенные методы подписания сертификатов, например альтернативное имя субъекта (SAN).

Можно использовать подстановочные сертификаты, если подстановочный знак соответствует внешнему URL-адресу. Для приложений с подстановочными знаками необходимо использовать сертификаты с подстановочными знаками. Если вы хотите также использовать сертификат для доступа к поддоменам, необходимо добавить подстановочные знаки поддоменов в качестве альтернативных имен субъектов в том же сертификате. Например, сертификат для *.adventure-works.com не будет действителен для *.apps.adventure-works.com, если вы не добавите *.apps.adventure-works.com в качестве дополнительного имени субъекта.

Вы можете использовать сертификаты, выданные собственной инфраструктурой открытых ключей (PKI), если цепочка сертификатов установлена на клиентских устройствах. Microsoft Intune может развернуть эти сертификаты на управляемых устройствах. Для неуправляемых устройств необходимо вручную установить эти сертификаты.

Мы не рекомендуем использовать частный корневой центр сертификации (ЦС), так как частный корневой ЦС также потребуется отправить на клиентские компьютеры, что может привести к множеству проблем.

Управление сертификатами

Все управление сертификатами осуществляется через страницы отдельных приложений. Перейдите на страницу Прокси приложения для доступа к полю Сертификат.

При отправке сертификата новые приложения используют его. Если они настроены для использования этой функции. Однако необходимо снова отправить сертификат для приложений, которые уже были там при отправке.

По истечении срока действия сертификата вы получите предупреждение о том, что необходимо передать другой сертификат. Если сертификат отозван, пользователи могут увидеть предупреждение системы безопасности при доступе к приложению. Чтобы обновить сертификат для приложения, перейдите на страницу Прокси приложения для этого приложения, выберите Сертификат и отправьте новый сертификат. Старые сертификаты, которые не используются другими приложениями, автоматически удаляются.

Следующие шаги

  • Last updated on