Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy in Microsoft Entra ID

  • Artikel

Microsoft Entra ID verfügt über einen Anwendungsproxydienst, mit dem Benutzer und Benutzerinnen auf lokale Anwendungen zugreifen können, indem sie sich mit ihrem Microsoft Entra-Konto anmelden. Weitere Informationen zum Anwendungsproxy finden Sie unter Was ist der Anwendungsproxy?. In diesem Tutorial wird Ihre Umgebung auf die Verwendung des Anwendungsproxys vorbereitet. Sobald Ihre Umgebung bereit ist, verwenden Sie das Microsoft Entra Admin Center, um Ihrem Mandanten eine lokale Anwendung hinzuzufügen.

Übersichtsdiagramm für den Anwendungsproxy

Connectors sind ein wichtiger Bestandteil des Anwendungsproxys. Weitere Informationen zu Connectors finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors.

In diesem Tutorial:

  • Öffnen von Ports für ausgehenden Datenverkehr und Zulassen des Zugriffs auf bestimmte URLs
  • Installieren des Connectors auf Ihrem Windows-Server und Registrieren mit dem Anwendungsproxy
  • Überprüfen der ordnungsgemäßen Installation und Registrierung des Connectors
  • Hinzufügen einer lokalen Anwendung zum Microsoft Entra-Mandanten
  • Überprüfen, ob ein Testbenutzer sich über das Microsoft Entra-Konto bei der Anwendung anmelden kann

Voraussetzungen

Fügen Sie Microsoft Entra ID eine lokale Anwendung hinzu:

  • Ein Microsoft Entra ID P1- oder P2-Abonnement
  • Ein Konto als Anwendungsadministrator
  • Eine synchronisierte Gruppe von Benutzeridentitäten mit einem lokalen Verzeichnis. Oder erstellen Sie diese direkt in Ihren Microsoft Entra-Mandanten. Die Identitätssynchronisierung ermöglicht es Microsoft Entra ID, Benutzer und Benutzerinnen vorab zu authentifizieren, bevor ihnen Zugriff auf veröffentlichte Anwendungsproxyanwendungen gewährt wird. Die Synchronisierung stellt zudem die erforderlichen Benutzer-ID-Informationen für einmaliges Anmelden (Single Sign-On, SSO) bereit.
  • Grundlegende Informationen zur Anwendungsverwaltung in Microsoft Entra finden Sie unter Anzeigen von Unternehmensanwendungen in Microsoft Entra.
  • Grundlegende Informationen zum einmaligen Anmelden (Single Sign-On, SSO) finden Sie unter Grundlegendes zum einmaligen Anmelden.

Windows-Server

Für den Anwendungsproxy ist Windows Server 2012 R2 oder höher erforderlich. Sie installieren den privaten Netzwerkconnector auf dem Server. Dieser Connectorserver kommuniziert mit den Anwendungsproxydiensten in Microsoft Entra ID sowie mit den lokalen Anwendungen, die Sie veröffentlichen möchten.

Verwenden Sie mehrere Windows-Server in Ihrer Produktionsumgebung, um Hochverfügbarkeit zu ermöglichen. Zum Testen reicht ein Windows-Server aus.

Wichtig

.NET Framework

Sie benötigen .NET Version 4.7.1 oder höher, um den Anwendungsproxy Version 1.5.3437.0 oder höher installieren oder aktualisieren zu können. In Windows Server 2012 R2 und Windows Server 2016 ist diese Option nicht standardmäßig verfügbar.

Weitere Informationen finden Sie unter Gewusst wie: Bestimmen der installierten .NET Framework-Versionen.

HTTP 2.0

Wenn Sie den Connector unter Windows Server 2019 oder höher installieren, müssen Sie die HTTP2-Protokollunterstützung in der WinHttp-Komponente deaktivieren, damit die eingeschränkte Kerberos-Delegierung ordnungsgemäß funktioniert. Diese Einstellung ist in früheren Versionen unterstützter Betriebssysteme standardmäßig deaktiviert. Wenn Sie den folgenden Registrierungsschlüssel hinzufügen und den Server neu starten, wird die Einstellung unter Windows Server 2019 deaktiviert. Beachten Sie, dass es sich hierbei um einen computerweiten Registrierungsschlüssel handelt.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Der Schlüssel kann über PowerShell mit dem folgenden Befehl festgelegt werden:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Empfehlungen für den Connectorserver

  • Optimieren Sie die Leistung zwischen dem Connector und der Anwendung. Platzieren Sie den Connectorserver physisch in der Nähe der Anwendungsserver. Für weitere Details siehe Optimieren des Datenverkehrsflusses mit dem Microsoft Entra-Anwendungsproxy.
  • Stellen Sie sicher, dass der Connectorserver und die Webanwendungsserver derselben Active Directory-Domäne angehören bzw. vertrauenswürdige Domänen umfassen. Dass die Server zu derselben Domäne oder zu vertrauenswürdigen Domänen gehören, ist eine Voraussetzung für die Verwendung des einmaligen Anmeldens (Single Sign-On, SSO) mit integrierter Windows-Authentifizierung (IWA) und eingeschränkter Kerberos-Delegierung (Kerberos Constrained Delegation, KCD). Wenn sich der Connectorserver und die Webanwendungsserver in unterschiedlichen Active Directory-Domänen befinden, verwenden Sie die ressourcenbasierte Delegierung für einmaliges Anmelden. Weitere Informationen finden Sie unter KCD für das einmalige Anmelden mit Anwendungsproxy.

Warnung

Wenn Sie Microsoft Entra Kennwortschutzproxy bereitgestellt haben, installieren Sie nicht Microsoft Entra Anwendungsproxy und Microsoft Entra Kennwortschutzproxy zusammen auf demselben Computer. Microsoft Entra Anwendungsproxy und Microsoft Entra Kennwortschutzproxys werden verschiedene Versionen des Microsoft Entra Connect Agent Updater-Diensts installiert. Diese unterschiedlichen Versionen sind nicht kompatibel, wenn sie auf demselben Computer installiert werden.

TLS-Anforderungen (Transport Layer Security)

Auf dem Windows-Connectorserver muss TLS 1.2 aktiviert werden, bevor Sie den privaten Netzwerkconnector installieren.

So aktivieren Sie TLS 1.2

  1. Legen Sie die Registrierungsschlüssel fest.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Starten Sie den Server neu.

Hinweis

Microsoft aktualisiert Azure-Dienste für die Verwendung von TLS-Zertifikaten aus einer anderen Gruppe von Stammzertifizierungsstellen (Certificate Authorities, CAs). Diese Änderung wird vorgenommen, da die aktuellen Zertifizierungsstellenzertifikate eine der grundlegenden Anforderungen des Zertifizierungsstellen-/Browserforums nicht erfüllen. Weitere Informationen finden Sie unter TLS-Zertifikatänderungen für Azure.

Vorbereiten Ihrer lokalen Umgebung

Ermöglichen Sie die Kommunikation mit Microsoft-Rechenzentren, um Ihre Umgebung für den Microsoft Entra-Anwendungsproxy vorzubereiten. Der Connector muss HTTPS-Anforderungen (TCP) an den Anwendungsproxy senden. Ein häufiges Problem tritt auf, wenn eine Firewall den Netzwerkdatenverkehr blockiert.

Wichtig

Wenn Sie den Connector für die Azure Government-Cloud installieren, beachten Sie die Voraussetzungen und Installationsschritte. Die Azure Government-Cloud erfordert zum Ausführen der Installation den Zugriff auf einen anderen Satz von URLs und einen zusätzlichen Parameter.

Öffnen von Ports

Öffnen Sie die folgenden Ports für den ausgehenden Datenverkehr.

Portnummer Verwenden
80 Herunterladen der Zertifikatsperrlisten (CRLs) bei der Überprüfung des TLS/SSL-Zertifikats
443 Gesamte ausgehende Kommunikation mit dem Web-Anwendungsproxydienst

Wenn Ihre Firewall Datenverkehr gemäß Ursprungsbenutzern erzwingt, öffnen Sie auch die Ports 80 und 443 für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

Hinweis

Bei einem Netzwerkproblem treten Fehler auf. Überprüfen Sie, ob die erforderlichen Ports geöffnet sind. Weitere Informationen zur Problembehandlung im Zusammenhang mit Connectorfehlern finden Sie unter Behandeln von Anwendungsproxyproblemen und Fehlermeldungen.

Zulassen des Zugriffs auf URLs

Lassen Sie den Zugriff auf die folgenden URLs zu:

URL Port Zweck
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Kommunikation zwischen dem Connector und dem Anwendungsproxy-Clouddienst
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Der Connector verwendet diese URLs, um Zertifikate zu überprüfen.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Der Connector verwendet diese URLs während der Registrierung.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP Der Connector verwendet diese URLs während der Registrierung.

Lassen Sie Verbindungen mit *.msappproxy.net, *.servicebus.windows.net und anderen URLs zu, wenn Ihre Firewall oder Ihr Proxy die Konfiguration von Zugriffsregeln basierend auf Domänensuffixen ermöglicht. Oder lassen Sie den Zugriff auf die Datei Azure IP Ranges and Service Tags – Public Cloud zu. Die IP-Adressbereiche werden wöchentlich aktualisiert.

Wichtig

Vermeiden Sie jegliche Art von Inline-Untersuchung und -Beendigung der ausgehenden TLS-Kommunikation zwischen privaten Microsoft Entra-Netzwerkconnectors und Diensten des Microsoft Entra-Anwendungsproxys.

DNS (Domain Name System) für Microsoft Entra-Anwendungsproxyendpunkte

Öffentliche DNS-Einträge für Microsoft Entra-Anwendungsproxy-Endpunkte sind verkettete CNAME-Einträge, die auf einen A-Datensatz verweisen. Indem Sie die Einträge auf diese Weise einrichten, stellen Sie Fehlertoleranz und Flexibilität sicher. Der private Microsoft Entra-Netzwerkconnector greift immer auf Hostnamen mit den Domänensuffixen *.msappproxy.net oder *.servicebus.windows.net zu. Bei der Namensauflösung können die CNAME-Einträge allerdings DNS-Einträge mit anderen Hostnamen und Suffixen enthalten. Aufgrund des Unterschieds müssen Sie sicherstellen, dass das Gerät (je nach Setup: Connectorserver, Firewall, Proxy für ausgehenden Datenverkehr) alle Einträge in der Kette auflösen kann und eine Verbindung mit den aufgelösten IP-Adressen zulässt. Da die DNS-Einträge in der Kette ggf. gelegentlich geändert werden, können wir keine Liste mit DNS-Einträgen bereitstellen.

Installieren und Registrieren eines Connectors

Installieren Sie für die Nutzung des Anwendungsproxys einen Connector auf jedem Windows-Server, den Sie mit dem Anwendungsproxydienst verwenden. Der Connector ist ein Agent, der die aus dem lokalen Anwendungsserver ausgehende Verbindung mit dem Anwendungsproxy in Microsoft Entra ID verwaltet. Der Connector kann auf Servern mit Authentifizierungs-Agents wie Microsoft Entra Connect installiert werden.

So installieren Sie den Connector

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Wählen Sie rechts oben Ihren Benutzernamen aus. Stellen Sie sicher, dass Sie an einem Verzeichnis angemeldet sind, für das der Anwendungsproxy verwendet wird. Wenn Sie das Verzeichnis wechseln möchten, wählen Sie Verzeichnis wechseln und anschließend ein Verzeichnis aus, für das der Anwendungsproxy verwendet wird.

  3. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Anwendungsproxy.

  4. Wählen Sie Connectordienst herunterladen.

  5. Lesen Sie die Vertragsbedingungen. Wählen Sie die Option Bedingungen akzeptieren und herunterladen, wenn Sie mit dem Lesen fertig sind.

  6. Wählen Sie am unteren Rand des Fensters die Option Ausführen, um den Connector zu installieren. Ein Installations-Assistent wird geöffnet.

  7. Installieren Sie den Dienst, indem Sie die Anweisungen im Assistenten befolgen. Wenn Sie aufgefordert werden, den Connector mit dem Anwendungsproxy für Ihren Microsoft Entra-Mandanten zu registrieren, geben Sie Ihre Administratoranmeldeinformationen für die Anwendung ein.

    • Wenn in Internet Explorer (IE) Verstärkte Sicherheitskonfiguration für IE auf Ein festgelegt ist, wird der Registrierungsbildschirm nicht anzeigt. Befolgen Sie die Anweisungen in der Fehlermeldung, um Zugriff zu erhalten. Stellen Sie sicher, dass Verstärkte Sicherheitskonfiguration für Internet Explorer auf Aus festgelegt ist.

Allgemeine Hinweise

Wenn Sie bereits einen Connector installiert haben, installieren Sie diesen neu, um die neueste Version zu erhalten. Informationen zu zuvor veröffentlichten Versionen und Änderungen, die sie umfassen, finden Sie unter Anwendungsproxy – Versionsgeschichte.

Wenn Sie mehrere Windows-Server für Ihre lokalen Anwendungen einsetzen möchten, müssen Sie den Connector auf jedem Server installieren und registrieren. Sie können die Connectors in Connectorgruppen organisieren. Weitere Informationen finden Sie unter Veröffentlichen von Anwendungen in getrennten Netzwerken und an getrennten Standorten mithilfe von Connectorgruppen.

Wenn Sie Connectors in verschiedenen Regionen installieren, sollten Sie den Datenverkehr optimieren, indem Sie für jede Connectorgruppe die nächstgelegene Anwendungsproxy-Clouddienstregion auswählen. Weitere Informationen finden Sie unter Optimieren des Datenverkehrsflusses mit dem Microsoft Entra-Anwendungsproxy.

Wenn Ihre Organisation Proxyserver für Internetverbindungen verwendet, müssen Sie diese für den Anwendungsproxy konfigurieren. Weitere Informationen finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.

Informationen zu Connectors, deren Aktualisierung und Kapazitätsplanung finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors.

Überprüfen der ordnungsgemäßen Installation und Registrierung des Connectors

Sie können mithilfe des Microsoft Entra Admin Centers oder Ihres Windows-Servers sicherstellen, dass ein neuer Connector ordnungsgemäß installiert ist. Informationen zur Behandlung von Problemen mit dem Anwendungsproxy finden Sie unter Debuggen von Problemen mit Anwendungsproxyanwendungen.

Überprüfen der Installation über Microsoft Entra Admin Center

So überprüfen Sie, ob der Connector ordnungsgemäß installiert und registriert ist:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Wählen Sie rechts oben Ihren Benutzernamen aus. Stellen Sie sicher, dass Sie an einem Verzeichnis angemeldet sind, für das der Anwendungsproxy verwendet wird. Wenn Sie das Verzeichnis wechseln möchten, wählen Sie Verzeichnis wechseln und anschließend ein Verzeichnis aus, für das der Anwendungsproxy verwendet wird.

  3. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Anwendungsproxy.

  4. Überprüfen Sie die Details des Connectors. Die Connectors sollten standardmäßig erweitert sein. Eine aktive grüne Beschriftung gibt an, dass Ihr Connector eine Verbindung mit dem Dienst herstellen kann. Selbst wenn die Bezeichnung grün ist, könnte ein Netzwerkproblem den Nachrichtenempfang des Connectors blockieren.

    Private Microsoft Entra-Netzwerkconnectors

Weitere Hilfe zur Installation eines Connectors finden Sie unter Problem beim Installieren des privaten Netzwerkconnectors.

Überprüfen der Installation über Ihren Windows-Server

So überprüfen Sie, ob der Connector ordnungsgemäß installiert und registriert ist:

  1. Öffnen Sie den Windows-Dienst-Manager, indem Sie auf die Windows-Taste klicken und services.msc eingeben.

  2. Überprüfen Sie, ob die folgenden beiden Dienste den Status Wird ausgeführt haben.

    • Der private Microsoft Entra-Netzwerkconnector ermöglicht Konnektivität.
    • Der Updater für private Microsoft Entra-Netzwerkconnectors ist ein automatisierter Aktualisierungsdienst. Der Dienst sucht nach neuen Versionen des Connectors und aktualisiert den Connector bei Bedarf.

  3. Wenn die Dienste nicht den Status Wird ausgeführt haben, müssen Sie mit der rechten Maustaste auf jeden Dienst klicken und die Option Starten wählen.

Hinzufügen einer lokalen App zu Microsoft Entra ID

Fügen Sie lokale Anwendungen zu Microsoft Entra ID hinzu.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  3. Wählen Sie Neue Anwendung aus.

  4. Wählen Sie die Schaltfläche Lokale Anwendung hinzufügen aus, die etwa in der Mitte der Seite im Abschnitt Lokale Anwendungen angezeigt wird. Alternativ können Sie oben auf der Seite die Option Eigene Anwendung erstellen und dann Anwendungsproxy für sicheren Remotezugriff auf eine lokale Anwendung konfigurieren auswählen.

  5. Geben Sie im Abschnitt Fügen Sie Ihre eigene lokale Anwendung hinzu die folgenden Informationen zu Ihrer Anwendung an:

    Feld Beschreibung des Dataflows
    Name Der Name der Anwendung, der auf Meine Apps und im Microsoft Entra Admin Center angezeigt wird.
    Wartungsmodus Wählen Sie aus, ob Sie den Wartungsmodus aktivieren und den Zugriff für alle Benutzer auf die Anwendung vorübergehend deaktivieren möchten.
    Interne URL Die URL zum Zugreifen auf die Anwendung innerhalb Ihres privaten Netzwerks. Sie können einen bestimmten Pfad auf dem Back-End-Server für die Veröffentlichung angeben, während der Rest des Servers nicht veröffentlicht wird. Auf diese Weise können Sie unterschiedliche Websites auf demselben Server als unterschiedliche Apps veröffentlichen und jeweils einen eigenen Namen und Zugriffsregeln vergeben.

    Stellen Sie beim Veröffentlichen eines Pfads sicher, dass er alle erforderlichen Bilder, Skripts und Stylesheets für Ihre Anwendung enthält. Wenn sich Ihre App beispielsweise unter https://yourapp/app befindet und Bilder nutzt, die unter https://yourapp/media gespeichert sind, sollten Sie https://yourapp/ als Pfad veröffentlichen. Diese interne URL verfügt nicht über die Zielseite, die den Benutzern angezeigt wird. Weitere Informationen finden Sie unter Festlegen einer benutzerdefinierten Startseite für veröffentlichte Apps.
    Externe URL Die Adresse für den Benutzerzugriff auf die App von außerhalb Ihres Netzwerks. Wenn Sie die Anwendungsproxy-Standarddomäne nicht verwenden möchten, lesen Sie Benutzerdefinierte Domänen im Microsoft Entra-Anwendungsproxy.
    Vorauthentifizierung Gibt an, wie der Anwendungsproxy Benutzer oder Benutzerinnen überprüft, bevor diese Zugriff auf Ihre Anwendung erhalten.

    Microsoft Entra ID: Der Anwendungsproxy leitet Benutzer und Benutzerinnen an die Anmeldung mit Microsoft Entra ID um. Hierbei werden deren Berechtigungen für das Verzeichnis und die Anwendung authentifiziert. Es wird empfohlen, diese Option als Standardwert aktiviert zu lassen, damit Sie Microsoft Entra-Sicherheitsfunktionen wie bedingten Zugriff und Multi-Faktor-Authentifizierung nutzen können. Microsoft Entra ID ist erforderlich, um die Anwendung mit Microsoft Defender for Cloud Apps zu überwachen.

    Passthrough: Benutzer müssen sich nicht bei Microsoft Entra ID authentifizieren, um Zugriff auf die Anwendung zu erhalten. Sie können weiterhin Authentifizierungsanforderungen auf dem Back-End einrichten.
    Connectorgruppe Connectors verarbeiten den Remotezugriff auf Ihre Anwendung, und Connectorgruppen helfen Ihnen, Connectors und Apps nach Region, Netzwerk oder Zweck zu organisieren. Wenn Sie noch keine Connectorgruppen erstellt haben, wird Ihre App zu Standard zugewiesen.

    Wenn Ihre Anwendung WebSockets verwendet, um eine Verbindung herzustellen, muss die Version aller Connectors in der Gruppe 1.5.612.0 oder höher sein.

  6. Konfigurieren Sie bei Bedarf die Einstellungen unter Zusätzliche Einstellungen. Für die meisten Anwendungen sollten Sie diese Einstellungen im Standardzustand belassen.

    Feld BESCHREIBUNG
    Timeout der Back-End-Anwendung Legen Sie diesen Wert nur auf Lang fest, wenn Ihre Anwendung bei der Authentifizierung und dem Verbinden langsam ist. Standardmäßig beträgt das Timeout der Back-End-Anwendung 85 Sekunden. Wenn ein zu langer Wert festgelegt wird, wird das Back-End-Timeout auf 180 Sekunden erhöht.
    Nur-HTTP-Cookie verwenden Wählen Sie die entsprechende Option aus, sodass die Anwendungsproxycookies das HTTPOnly-Flag im HTTP-Antwortheader enthalten. Wenn Sie Remotedesktopdienste verwenden, lassen Sie die Option deaktiviert.
    Beständiges Cookie verwenden Lassen Sie die Option deaktiviert. Verwenden Sie diese Einstellung nur für Anwendungen, bei denen Cookies übergreifend für Prozesse genutzt werden können. Weitere Informationen zu Cookieeinstellungen finden Sie unter Cookieeinstellungen für den Zugriff auf lokale Anwendungen in Microsoft Entra ID.
    URLs in Headern übersetzen Lassen Sie die Option aktiviert, es sei denn, Ihre Anwendung benötigt den ursprünglichen Hostheader in der Authentifizierungsanforderung.
    URLs im Hauptteil der Anwendung übersetzen Lassen Sie die Option deaktiviert, es sei denn, HTML-Links zu anderen lokalen Anwendungen sind hartcodiert und verwenden keine benutzerdefinierten Domänen. Weitere Informationen finden Sie unter Linkübersetzung mit dem Anwendungsproxy.

    Wählen Sie aus, ob Sie diese Anwendung mit Microsoft Defender for Cloud-Apps überwachen möchten. Weitere Informationen finden Sie unter Konfigurieren der Echtzeitüberwachung des Anwendungszugriffs mit Microsoft Defender for Cloud Apps und Microsoft Entra ID.
    Überprüfen des Back-End-TLS-/SSL-Zertifikats Wählen Sie diese Option aus, um die Back-End-TLS-/SSL-Zertifikatüberprüfung für die Anwendung zu aktivieren.

  7. Wählen Sie Hinzufügen aus.

Testen der Anwendung

Sie können nun testen, ob die Anwendung richtig hinzugefügt wurde. Mit den folgenden Schritten fügen Sie der Anwendung ein Benutzerkonto hinzu und probieren aus, ob Sie sich anmelden können.

Hinzufügen eines Benutzers zu Testzwecken

Bevor Sie der Anwendung einen Benutzer hinzufügen, stellen Sie sicher, dass das Benutzerkonto bereits über Berechtigungen zum Zugriff auf die Anwendung aus dem Unternehmensnetzwerk heraus verfügt.

So fügen Sie einen Testbenutzer hinzu:

  1. Wählen Sie die Option Unternehmensanwendungen, und wählen Sie dann die zu testende Anwendung aus.
  2. Wählen Sie Erste Schritte und dann Zuweisen eines Benutzers zu Testzwecken.
  3. Wählen Sie unter Benutzer und Gruppen die Option Benutzer hinzufügen.
  4. Wählen Sie unter Zuweisung hinzufügen die Option Benutzer und Gruppen. Der Abschnitt Benutzer und Gruppen wird angezeigt.
  5. Wählen Sie das Konto aus, das Sie hinzufügen möchten.
  6. Wählen Sie die Option Auswählen und dann Zuweisen.

Testen des Anmeldens

So testen Sie die Authentifizierung bei der Anwendung

  1. Wählen Sie in der zu testenden Anwendung Anwendungsproxy aus.
  2. Wählen Sie oben auf der Seite Anwendung testen aus, um einen Test für die Anwendung auszuführen und Konfigurationsprobleme zu ermitteln.
  3. Starten Sie unbedingt zuerst die Anwendung, um die Anmeldung zu testen, und laden Sie anschließend den Diagnosebericht herunter, um den Leitfaden zur Problemlösung für ermittelte Probleme anzuzeigen.

Informationen zur Problembehandlung finden Sie unter Beheben von Problemen mit Anwendungsproxys und Fehlermeldungen.

Bereinigen von Ressourcen

Vergessen Sie nicht, nach Abschluss dieses Tutorials alle Ressourcen zu löschen, die Sie im Rahmen des Tutorials erstellt haben.

Problembehandlung

Informieren Sie sich über häufige Probleme und deren Problembehandlung.

Erstellen der Anwendung/Festlegen der URLs

Überprüfen Sie die Fehlerdetails, um Informationen und Vorschläge zur Fehlerbehebung in der Anwendung zu erhalten. Die meisten Fehlermeldungen enthalten eine empfohlene Problemlösung. Stellen Sie Folgendes sicher, um häufige Fehler zu vermeiden:

  • Sie sind Administrator mit der Berechtigung zum Erstellen einer Anwendungsproxyanwendung.
  • Die interne URL ist eindeutig.
  • Die externe URL ist eindeutig.
  • Die URLs beginnen mit „http“ oder „https“ und enden mit einem „/“.
  • Die URL muss ein Domänenname, keine IP-Adresse sein.

Die Fehlermeldung sollte beim Erstellen der Anwendung in der oberen rechten Ecke angezeigt werden. Sie können auch das Benachrichtigungssymbol auswählen, um die Fehlermeldungen anzuzeigen.

Konfigurieren von Connectors/Connectorgruppen

Wenn Sie aufgrund einer Warnung zu Connectors oder Connectorgruppen Probleme beim Konfigurieren einer Anwendung haben, finden Sie weitere Informationen zum Herunterladen von Connectors in den Anweisungen zum Aktivieren des Anwendungsproxys. Weitere Informationen zu Connectors finden Sie in der Connectors-Dokumentation.

Wenn Ihre Connectors inaktiv sind, können sie den Dienst nicht erreichen. Häufig ist dies so, weil keiner der erforderlichen Ports geöffnet ist. Eine Liste der erforderlichen Ports finden Sie im Abschnitt „Voraussetzungen“ der Dokumentation zum Aktivieren des Anwendungsproxys.

Hochladen von Zertifikaten für benutzerdefinierte Domänen

Benutzerdefinierte Domänen bieten Ihnen die Möglichkeit, die Domäne Ihrer externen URLs anzugeben. Sie müssen das Zertifikat für diese Domäne hochladen, damit Sie benutzerdefinierte Domänen verwenden können. Informationen zu benutzerdefinierten Domänen und Zertifikaten finden Sie unter Arbeiten mit benutzerdefinierten Domänen im Microsoft Entra-Anwendungsproxy.

Wenn Probleme beim Hochladen des Zertifikats auftreten, suchen Sie im Portal nach den Fehlermeldungen, um weitere Informationen zu den Problemen mit dem Zertifikat zu erhalten. Allgemeine Zertifikatprobleme umfassen Folgendes:

  • Abgelaufenes Zertifikat
  • Selbstsigniertes Zertifikat
  • Fehlender privater Schlüssel für Zertifikat

Die Fehlermeldung wird in der oberen rechten Ecke angezeigt, während Sie versuchen, das Zertifikat hochzuladen. Sie können auch das Benachrichtigungssymbol auswählen, um die Fehlermeldungen anzuzeigen.

Nächste Schritte