Aggiungere un'applicazione locale per l'accesso remoto tramite proxy applicazione in Microsoft Entra ID

Microsoft Entra ID ha un servizio proxy di applicazione che consente agli utenti di accedere alle applicazioni locali accedendo con il proprio account Microsoft Entra. Per altre informazioni sul proxy dell'applicazione, vedere Che cos'è il proxy dell'applicazione?. Questa esercitazione prepara l'ambiente per l'uso con il proxy dell'applicazione. Quando l'ambiente è pronto, usare l'interfaccia di amministrazione di Microsoft Entra per aggiungere un'applicazione locale al tenant.

In questa esercitazione:

• Installare e verificare il connettore nel server Windows e registrarlo con il proxy dell'applicazione.
• Aggiungere un'applicazione locale al tenant di Microsoft Entra.
• Verificare che un utente di test possa accedere all'applicazione usando un account Microsoft Entra.

Prerequisiti

Per aggiungere un'applicazione locale a Microsoft Entra ID, è necessario:

• Sottoscrizione di Microsoft Entra ID P1 o P2.
• Un account amministratore dell'applicazione.
• Set sincronizzato di identità utente con una directory locale. Oppure crearli direttamente nei tenant di Microsoft Entra. La sincronizzazione delle identità consente a Microsoft Entra ID di preautenticare gli utenti prima di concedere loro l'accesso alle applicazioni pubblicate dal proxy di applicazione. La sincronizzazione fornisce anche le informazioni necessarie sull'identificatore utente per eseguire l'accesso Single Sign-On (SSO).
• Informazioni sulla gestione delle applicazioni in Microsoft Entra, vedere Visualizzare le applicazioni aziendali in Microsoft Entra.
• Informazioni sull'accesso Single Sign-On (SSO), vedere Informazioni sull'accesso Single Sign-On.

Installare e verificare il connettore di rete privata Microsoft Entra

Il proxy dell'applicazione usa lo stesso connettore di Accesso privato Microsoft Entra. Il connettore è denominato connettore di rete privata Microsoft Entra. Per informazioni su come installare e verificare un connettore, vedere Come configurare i connettori.

Osservazioni generali

I record DNS pubblici per gli endpoint proxy dell'applicazione Microsoft Entra sono record CNAME concatenati che puntano a un record A. La configurazione dei record in questo modo garantisce la tolleranza di errore e la flessibilità. Il connettore di rete privata Microsoft Entra accede sempre ai nomi host con i suffissi *.msappproxy.net di dominio o *.servicebus.windows.net. Tuttavia, durante la risoluzione dei nomi i record CNAME potrebbero contenere record DNS con nomi host e suffissi diversi. A causa della differenza, è necessario assicurarsi che il dispositivo (a seconda dell'installazione, del server connettore, del firewall, del proxy in uscita) possa risolvere tutti i record nella catena e consentire la connessione agli indirizzi IP risolti. Poiché i record DNS nella catena potrebbero essere modificati di tanto in tanto, non è possibile fornire alcun elenco di record DNS.

Se si installano connettori in aree diverse, è consigliabile ottimizzare il traffico selezionando l'area del servizio cloud proxy applicazione più vicina con ogni gruppo di connettori. Per altre informazioni, vedere Ottimizzare il flusso del traffico con il proxy dell'applicazione Microsoft Entra.

Se l'organizzazione usa server proxy per connettersi a Internet, è necessario configurarli per il proxy dell'applicazione. Per altre informazioni, vedere Uso di server proxy locali esistenti.

Aggiungere un'app locale a Microsoft Entra ID

Aggiungere applicazioni locali all'ID Microsoft Entra.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali.

3. Selezionare Nuova applicazione.

4. Selezionare Aggiungi un'applicazione locale, visualizzata a metà pagina nella sezione Applicazioni locali. In alternativa, è possibile selezionare Crea un'applicazione personalizzata nella parte superiore della pagina e quindi selezionare Configura proxy applicazione per l'accesso remoto sicuro a un'applicazione locale.

5. Nella sezione Aggiungi applicazione locale personalizzata fornire le informazioni seguenti sull'applicazione:

   Campo	Descrizione
   Nome	Nome dell'applicazione visualizzata in App personali e nell'interfaccia di amministrazione di Microsoft Entra.
   Modalità manutenzione	Selezionare se si vuole abilitare la modalità di manutenzione e disabilitare temporaneamente l'accesso per tutti gli utenti all'applicazione.
   URL interno	URL per accedere all'applicazione dall'interno della rete privata. È possibile indicare un percorso specifico nel server back-end per la pubblicazione, mentre il resto del server non è pubblicato. In questo modo, si possono pubblicare siti diversi nello stesso server come app differenti, assegnando a ognuno un nome e regole di accesso specifici. Se si pubblica un percorso, verificare che includa tutte le immagini, gli script e i fogli di stile necessari per l'applicazione. Se ad esempio l'app si trova in https://yourapp/app e usa le immagini che si trovano in https://yourapp/media, come percorso si dovrà pubblicare https://yourapp/. Questo URL interno non deve necessariamente corrispondere alla pagina di destinazione visualizzata dagli utenti. Per altre informazioni, vedere Impostare una home page personalizzata per le app pubblicate tramite il proxy applicazione di Azure AD.
   URL esterno:	L'indirizzo per gli utenti per accedere all'app dall'esterno della rete. Se non si vuole usare il dominio proxy dell'applicazione predefinito, leggere informazioni sui domini personalizzati nel proxy dell'applicazione Microsoft Entra.
   Preautenticazione	Come il proxy dell'applicazione verifica gli utenti prima di concedere loro l'accesso all'applicazione. Microsoft Entra ID : il proxy dell'applicazione reindirizza gli utenti ad accedere con Microsoft Entra ID, che autentica le relative autorizzazioni per la directory e l'applicazione. È consigliabile mantenere questa opzione come predefinita in modo da poter sfruttare le funzionalità di sicurezza di Microsoft Entra, ad esempio l'accesso condizionale e l'autenticazione a più fattori. Microsoft Entra ID è necessario per il monitoraggio dell'applicazione con Microsoft Defender per il cloud Apps. Pass-through : gli utenti non devono eseguire l'autenticazione con Microsoft Entra ID per accedere all'applicazione. È comunque possibile configurare i requisiti di autenticazione sul back-end.
   Gruppo di connettori	I connettori elaborano l'accesso remoto all'applicazione, mentre i gruppi di connettori aiutano a organizzare connettori e app in base all'area geografica, alla rete o allo scopo. Se ancora non si dispone di tutti i gruppi connettore creati, l'app viene assegnata a Impostazione predefinita. Se l'applicazione usa WebSocket per la connessione, la versione di tutti i connettori nel gruppo deve essere 1.5.612.0 o versione successiva.

6. Se necessario, configurare le impostazioni aggiuntive. Per la maggior parte delle applicazioni, è consigliabile mantenere queste impostazioni nei rispettivi stati predefiniti.

   Campo	Descrizione
   Timeout applicazione back-end	Impostare questo valore su Lungo solo se l'applicazione è lenta nell'autenticazione e nella connessione. Per impostazione predefinita, il timeout dell'applicazione back-end ha una durata di 85 secondi. Se impostato su un valore troppo lungo, il timeout back-end viene aumentato a 180 secondi.
   Usa cookie solo HTTP	Selezionare questa opzione per fare in modo che i cookie del proxy dell'applicazione includano il flag HTTPOnly nell'intestazione della risposta HTTP. Se si usano Servizi Desktop remoto, mantenere deselezionata l'opzione .
   Usa cookie persistente	Mantenere deselezionata l'opzione. Usare questa impostazione solo per le applicazioni che non possono condividere cookie tra processi. Per altre informazioni sulle impostazioni dei cookie, vedere Impostazioni dei cookie per l'accesso alle applicazioni locali in Microsoft Entra ID.
   Convertire l'URL nelle intestazioni	Mantenere selezionata l'opzione a meno che l'applicazione non richieda l'intestazione host originale nella richiesta di autenticazione.
   Convertire gli URL nel corpo dell'applicazione	Mantenere l'opzione deselezionata a meno che i collegamenti HTML non siano hardcoded in altre applicazioni locali e non usino domini personalizzati. Per altre informazioni, vedere Collegare la traduzione con il proxy dell'applicazione. Selezionare se si prevede di monitorare questa applicazione con Microsoft Defender per il cloud App. Per altre informazioni, vedere Configurare il monitoraggio dell'accesso alle applicazioni in tempo reale con app Microsoft Defender per il cloud e Microsoft Entra ID.
   Convalidare il certificato TLS/SSL back-end	Selezionare questa opzione per abilitare la convalida del certificato TLS/SSL back-end per l'applicazione.

7. Selezionare Aggiungi.

Testare l'applicazione

È ora possibile testare se l'applicazione è stata aggiunta correttamente. Nei passaggi seguenti si aggiunge un account utente all'applicazione e si prova ad accedere.

Aggiungere utente per il test

Prima di aggiungere un utente all'applicazione, verificare che l'account utente abbia già le autorizzazioni per accedere all'applicazione dall'interno della rete aziendale.

Per aggiungere un utente di test:

1. Selezionare Applicazioni aziendali e quindi selezionare l'applicazione da testare.
2. Selezionare Attività iniziali e quindi selezionare Assegna utente per il test.
3. In Utenti e gruppi selezionare Aggiungi utente.
4. In Aggiungi assegnazione selezionare Utenti e gruppi. Viene visualizzata la sezione Utenti e gruppi.
5. Scegliere l'account da aggiungere.
6. Scegliere Seleziona e quindi selezionare Assegna.

Testare l'accesso

Per testare l'autenticazione all'applicazione:

1. Dall'applicazione che si vuole testare selezionare proxy applicazione.
2. Nella parte superiore della pagina selezionare Test dell'applicazione per eseguire un test dell'applicazione e verificare la presenza di eventuali problemi di configurazione.
3. Assicurarsi di avviare prima l'applicazione per testare l'accesso alla stessa, quindi scaricare il report di diagnostica per esaminare le istruzioni per la risoluzione di eventuali problemi rilevati.

Per la risoluzione dei problemi, vedere Risolvere i problemi del proxy dell'applicazione e i messaggi di errore.

Pulire le risorse

Non dimenticare di eliminare tutte le risorse create in questa esercitazione al termine.

Risoluzione dei problemi

Informazioni sui problemi comuni e su come risolverli.

Creare l'applicazione/impostazione degli URL

Controllare i dettagli dell'errore per informazioni e suggerimenti su come correggere l'applicazione. La maggior parte dei messaggi di errore include una correzione suggerita. Per evitare errori comuni, verificare quanto segue:

• Si è un amministratore con l'autorizzazione per creare un'applicazione proxy di applicazione
• L'URL interno è univoco
• L'URL esterno è univoco
• Gli URL iniziano con http o https e terminano con un carattere "/"
• L'URL deve essere un nome di dominio e non un indirizzo IP

Il messaggio di errore dovrebbe essere visualizzato nell'angolo superiore destro quando si crea l'applicazione. È anche possibile selezionare l'icona di notifica per visualizzare i messaggi di errore.

Caricare certificati per domini personalizzati

I domini personalizzati consentono di specificare il dominio degli URL esterni. Per usare un dominio personalizzato, è necessario caricare il certificato per tale dominio. Per informazioni sull'uso di domini e certificati personalizzati, vedere Uso di domini personalizzati in Microsoft Entra application proxy.

Se si verificano problemi durante il caricamento del certificato, cercare i messaggi di errore nel portale per altre informazioni sul problema con il certificato. Problemi comuni relativi ai certificati:

• Certificato scaduto
• Certificato autofirmato
• Certificato privo di chiave privata

Il messaggio di errore viene visualizzato nell'angolo superiore destro durante il caricamento del certificato. È anche possibile selezionare l'icona di notifica per visualizzare i messaggi di errore.

Passaggi successivi

• Che cos'è l'accesso sicuro globale?