Lägga till ett lokalt program för fjärråtkomst via programproxy i Microsoft Entra-ID

Microsoft Entra ID har en programproxytjänst som gör det möjligt för användare att komma åt lokala program genom att logga in med sitt Microsoft Entra-konto. Mer information om programproxy finns i Vad är programproxy?. Den här självstudien förbereder din miljö för användning med programproxy. När din miljö är klar använder du administrationscentret för Microsoft Entra för att lägga till ett lokalt program i din klientorganisation.

Application proxy Overview Diagram

Anslut orer är en viktig del av programproxyn. Mer information om anslutningsappar finns i Förstå Anslutningsappar för Microsoft Entra-programproxy.

I den här kursen får du:

  • Öppna portar för utgående trafik och ge åtkomst till specifika URL:er.
  • Installera anslutningsappen på Windows-servern och registrera den med programproxy.
  • Kontrollera att anslutningsappen har installerats och registrerats korrekt.
  • Lägg till ett lokalt program i din Microsoft Entra-klientorganisation.
  • Kontrollera att en testanvändare kan logga in på programmet med hjälp av ett Microsoft Entra-konto.

Förutsättningar

Om du vill lägga till ett lokalt program i Microsoft Entra-ID behöver du:

  • En Microsoft Entra ID P1- eller P2-prenumeration.
  • Ett administratörskonto för programmet.
  • En synkroniserad uppsättning användaridentiteter med en lokal katalog. Eller skapa dem direkt i dina Microsoft Entra-klienter. Med identitetssynkronisering kan Microsoft Entra-ID förautentisera användare innan de får åtkomst till programproxypublicerade program. Synkronisering ger också nödvändig information om användaridentifierare för att utföra enkel inloggning (SSO).
  • Information om programhantering i Microsoft Entra finns i Visa företagsprogram i Microsoft Entra.
  • En förståelse för enkel inloggning (SSO) finns i Förstå enkel inloggning.

Windows-server

Programproxy kräver Windows Server 2012 R2 eller senare. Du installerar programproxyanslutningsappen på servern. Anslutningsservern kommunicerar med programproxytjänsterna i Microsoft Entra-ID och de lokala program som du planerar att publicera.

Använd mer än en Windows-server för hög tillgänglighet i produktionsmiljön. En Windows-server räcker för testning.

Viktigt!

.NET Framework

Du måste ha .NET version 4.7.1 eller senare för att installera eller uppgradera programproxyversion 1.5.3437.0 eller senare. Windows Server 2012 R2 och Windows Server 2016 har inte detta som standard.

Mer information finns i Så här avgör du vilka .NET Framework-versioner som är installerade .

HTTP 2.0

Om du installerar anslutningsappen på Windows Server 2019 eller senare måste du inaktivera HTTP2 protokollstöd i komponenten WinHttp för att Kerberos-begränsad delegering ska fungera korrekt. Detta är inaktiverat som standard i tidigare versioner av operativsystem som stöds. Om du lägger till följande registernyckel och startar om servern inaktiveras den på Windows Server 2019. Observera att det här är en datoromfattande registernyckel.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Nyckeln kan anges via PowerShell med följande kommando:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Rekommendationer för anslutningsservern

  • Optimera prestanda mellan anslutningsappen och programmet. Leta fysiskt upp anslutningsservern nära programservrarna. Mer information finns i Optimera trafikflödet med Microsoft Entra-programproxy.
  • Kontrollera att anslutningsservern och webbprogramservrarna finns i samma Active Directory-domän eller omfattar betrodda domäner. Att ha servrarna i samma domän eller betrodda domäner är ett krav för att använda enkel inloggning (SSO) med integrerad Windows-autentisering (IWA) och Kerberos-begränsad delegering (KCD). Om anslutningsservern och webbprogramservrarna finns i olika Active Directory-domäner använder du resursbaserad delegering för enkel inloggning. Mer information finns i KCD för enkel inloggning med programproxy.

Varning

Om du har distribuerat Microsoft Entra-lösenordsskyddsproxy ska du inte installera Microsoft Entra-programproxyn och Microsoft Entra-lösenordsskyddsproxyn på samma dator. Microsoft Entra-programproxy och Microsoft Entra Password Protection Proxy installerar olika versioner av Microsoft Entra Anslut Agent Updater-tjänsten. Dessa olika versioner är inkompatibla när de installeras tillsammans på samma dator.

TLS-krav (Transport Layer Security)

Windows-anslutningsservern måste ha TLS 1.2 aktiverat innan du installerar anslutningsappen för programproxyn.

Aktivera TLS 1.2:

  1. Ange registernycklar.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Starta om servern.

Kommentar

Microsoft uppdaterar Azure-tjänster för att använda TLS-certifikat från en annan uppsättning rotcertifikatutfärdare (CA). Den här ändringen görs eftersom de aktuella CA-certifikaten inte uppfyller något av kraven för CA/Browser-forumets baslinje. Mer information finns i Ändringar i Azure TLS-certifikat.

Förbered din lokala miljö

Aktivera kommunikation till Microsofts datacenter för att förbereda din miljö för Microsoft Entra-programproxy. Anslutningsappen måste göra HTTPS-begäranden (TCP) till programproxyn. Ett vanligt problem uppstår när en brandvägg blockerar nätverkstrafik.

Viktigt!

Om du installerar anslutningsappen för Azure Government-molnet följer du kraven och installationsstegen. Azure Government-molnet kräver åtkomst till en annan uppsättning URL:er och ytterligare en parameter för att köra installationen.

Öppna portar

Öppna följande portar för utgående trafik.

Portnummer Använd
80 Ladda ned listor över återkallade certifikat (CRL: er) vid validering av TLS/SSL-certifikatet
443 All utgående kommunikation med programproxytjänsten

Om brandväggstrafiken hanteras baserat på användarna som genererar den ska du även öppna portarna 80 och 443 för trafik som kommer från Windows-tjänster som körs som en nätverkstjänst.

Kommentar

Fel uppstår när det uppstår ett nätverksproblem. Kontrollera om de portar som krävs är öppna. Mer information om felsökning av problem som rör anslutningsfel finns i Felsöka problem med programproxy och felmeddelanden.

Tillåt åtkomst till webbadresser

Tillåt åtkomst till följande webbadresser:

webbadress Port Använd
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Kommunikation mellan anslutningsappen och molntjänsten för programproxy.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP Anslutningsappen använder dessa URL:er för att verifiera certifikat.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS Anslutningsprogrammet använder dessa webbadresser under registreringen.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP Anslutningsprogrammet använder dessa webbadresser under registreringen.

Tillåt anslutningar till *.msappproxy.net, *.servicebus.windows.netoch andra URL:er om brandväggen eller proxyn låter dig konfigurera åtkomstregler baserat på domänsuffix. Du kan också tillåta åtkomst till Azure IP-intervall och tjänsttaggar – offentligt moln. IP-adressintervallen uppdateras varje vecka.

Viktigt!

Undvik alla former av infogad inspektion och avslutning av utgående TLS-kommunikation mellan Microsoft Entra-programproxyanslutningar och Microsoft Entra-programproxytjänster.

Dns (Domain Name System) för Microsoft Entra-programproxyslutpunkter

Offentliga DNS-poster för Microsoft Entra-programproxyslutpunkter är länkade CNAME-poster som pekar på en A-post. Om du konfigurerar posterna på det här sättet säkerställs feltolerans och flexibilitet. Microsoft Entra-programproxyanslutningsappen har alltid åtkomst till värdnamn med domänsuffixen *.msappproxy.net eller *.servicebus.windows.net. Men under namnmatchningen kan CNAME-posterna innehålla DNS-poster med olika värdnamn och suffix. På grund av skillnaden måste du se till att enheten (beroende på din konfiguration – anslutningsserver, brandvägg, utgående proxy) kan matcha alla poster i kedjan och tillåter anslutning till de lösta IP-adresserna. Eftersom DNS-posterna i kedjan kan ändras då och då kan vi inte ge dig några DNS-poster i listan.

Installera och registrera ett anslutningsprogram

Om du vill använda programproxy installerar du en anslutningsapp på varje Windows-server som du använder med programproxytjänsten. Anslutningsappen är en agent som hanterar den utgående anslutningen från de lokala programservrarna till programproxyn i Microsoft Entra-ID. Anslutningsappen kan installeras på servrar med autentiseringsagenter som Microsoft Entra Anslut.

Så här installerar du anslutningsprogrammet:

  1. Logga in på administrationscentret för Microsoft Entra som minst programadministratör.

  2. Välj ditt användarnamn i det övre högra hörnet. Kontrollera att du är inloggad i en katalog som använder programproxy. Om du behöver ändra kataloger väljer du Växla katalog och väljer en katalog som använder programproxy.

  3. Bläddra till Programproxy för Identity>Applications>Enterprise-program.>

  4. Välj Ladda ned anslutningstjänsten.

  5. Läs användningsvillkoren. När du är klar väljer du Acceptera villkor och Ladda ned.

  6. Längst ned i fönstret väljer du Kör för att installera anslutningsappen. Installationsguiden öppnas.

  7. Installera tjänsten genom att följa anvisningarna i guiden. När du uppmanas att registrera anslutningsappen med programproxyn för din Microsoft Entra-klientorganisation anger du autentiseringsuppgifterna för programadministratören.

    • Om IE Enhanced Security Configuration är inställt på På i Internet Explorer (IE) visas inte registreringsskärmen. Följ instruktionerna i felmeddelandet för att få åtkomst. Kontrollera att Internet Explorer Enhanced Security Configuration är inställt på Av.

Allmänna anmärkningar

Om du redan har installerat en anslutningsapp installerar du om den för att hämta den senaste versionen. Information om tidigare utgivna versioner och vilka ändringar de innehåller finns i Programproxy: Versionshistorik för version.

Om du väljer att ha fler än en Windows-server för dina lokala program måste du installera och registrera anslutningsappen på varje server. Du kan ordna anslutningsprogrammen i anslutningsgrupper. Mer information finns i anslutningsgrupper.

Om du installerar anslutningsappar i olika regioner bör du optimera trafiken genom att välja den närmaste molntjänstregionen för programproxy med varje anslutningsgrupp. Mer information finns i Optimera trafikflödet med Microsoft Entra-programproxy.

Om din organisation använder proxyservrar för att ansluta till Internet måste du konfigurera dem för programproxy. Mer information finns i Arbeta med befintliga lokala proxyservrar.

Information om anslutningsappar, kapacitetsplanering och hur de håller sig uppdaterade finns i Förstå Anslutningsappar för Microsoft Entra-programproxy.

Verifiera att anslutningsprogrammet installerats och registrerats på rätt sätt

Du kan använda administrationscentret för Microsoft Entra eller Windows-servern för att bekräfta att en ny anslutningsapp är korrekt installerad. Information om hur du felsöker problem med programproxy finns i Felsöka programproxyprogramproblem.

Verifiera installationen via administrationscentret för Microsoft Entra

Så här bekräftar du att anslutningsprogrammet installerats och registrerats på rätt sätt:

  1. Logga in på administrationscentret för Microsoft Entra som minst programadministratör.

  2. Välj ditt användarnamn i det övre högra hörnet. Kontrollera att du är inloggad i en katalog som använder programproxy. Om du behöver ändra kataloger väljer du Växla katalog och väljer en katalog som använder programproxy.

  3. Bläddra till Programproxy för Identity>Applications>Enterprise-program.>

  4. Kontrollera informationen om anslutningsappen. Anslutningsapparna bör expanderas som standard. En aktiv grön etikett innebär att ditt anslutningsprogram kan ansluta till tjänsten. Men även om etiketten är grön kan ett nätverksproblem fortfarande blockera anslutningsappen från att ta emot meddelanden.

    Microsoft Entra application proxy connectors

Mer hjälp med att installera en anslutningsapp finns i Problem med att installera anslutningsappen för programproxy.

Verifiera installationen via Windows-servern

Så här bekräftar du att anslutningsprogrammet installerats och registrerats på rätt sätt:

  1. Öppna Hanteraren för Windows-tjänster genom att klicka på nyckeln Windows och ange services.msc.

  2. Kontrollera om statusen för följande två tjänster är Körs.

    • Microsoft Entra-programproxyanslutning möjliggör anslutning.
    • Uppdateringstjänsten för Microsoft Entra-programproxyanslutningsappen är en automatiserad uppdateringstjänst. Uppdateringsverktyget söker efter nya versioner av anslutningsprogrammet och uppdaterar det efter behov.
  3. Om statusen för tjänsterna inte körs högerklickar du för att välja varje tjänst och väljer Starta.

Lägga till en lokal app i Microsoft Entra-ID

Lägg till lokala program i Microsoft Entra-ID.

  1. Logga in på administrationscentret för Microsoft Entra som minst programadministratör.

  2. Bläddra till Identity>Applications Enterprise-program.>

  3. Välj Nytt program.

  4. Välj knappen Lägg till ett lokalt program , som visas ungefär halvvägs ned på sidan i avsnittet Lokala program . Du kan också välja Skapa ett eget program överst på sidan och sedan välja Konfigurera programproxy för säker fjärråtkomst till ett lokalt program.

  5. I avsnittet Lägg till ditt eget lokala program anger du följande information om ditt program:

    Fält Beskrivning
    Namn Namnet på programmet som visas på Mina appar och i administrationscentret för Microsoft Entra.
    Underhållsläge Välj om du vill aktivera underhållsläge och tillfälligt inaktivera åtkomst för alla användare till programmet.
    Intern webbadress Det här är webbadressen för att komma åt programmet från inuti ditt privata nätverk. Du kan ange en specifik sökväg på backend-servern som du vill publicera, medan resten av servern är opublicerad. På så sätt kan du publicera olika webbplatser på samma server som olika program och ge varje webbplats sitt eget namn och sina egna åtkomstregler.

    Om du publicerar en sökväg, så se till att den innehåller alla bilder, skript och formatmallar som krävs för ditt program. Om din app exempelvis finns i https://yourapp/app och använder bilder på https://yourapp/media så kan du publicera https://yourapp/ som sökvägen. Den interna webbadressen måste inte vara landningssidan som användarna ser. Mer information finns i Ange en anpassad startsida för publicerade program.
    Extern webbadress Adressen som ger användare åtkomst till programmet från utanför ditt nätverk. Om du inte vill använda standarddomänen för programproxy läser du om anpassade domäner i Microsoft Entra-programproxy.
    Förautentisering Hur programproxy verifierar användare innan de får åtkomst till ditt program.

    Microsoft Entra-ID – Programproxy omdirigerar användare att logga in med Microsoft Entra-ID, vilket autentiserar deras behörigheter för katalogen och programmet. Vi rekommenderar att du behåller det här alternativet som standard så att du kan dra nytta av Microsoft Entra-säkerhetsfunktioner som villkorlig åtkomst och multifaktorautentisering. Microsoft Entra-ID krävs för övervakning av programmet med Microsoft Defender för molnet-appar.

    Genomströmning – Användare behöver inte autentisera mot Microsoft Entra-ID för att få åtkomst till programmet. Du kan fortfarande konfigurera autentiseringskrav från serverdelen.
    Anslutningsgrupp Anslutningsprogram bearbetar fjärråtkomsten till programmet och anslutningsgrupper hjälper dig att organisera anslutningsprogram och program efter region, nätverk eller syfte. Om du inte har skapat några anslutningsgrupper än kommer programmet att tilldelas Standard.

    Om ditt program använder WebSockets för att ansluta måste alla anslutningsprogram i gruppen vara version 1.5.612.0 eller senare.
  6. Konfigurera ytterligare inställningar om det behövs. De flesta programmen bör behålla dessa inställningarna i standardtillstånden.

    Fält beskrivning
    Tidsgränsen för serverdels-programmet Ställ endast in värdet på Lång om programmet autentiserar och ansluter långsamt. Som standard har tidsgränsen för serverdelsprogrammet en längd på 85 sekunder. Vid för lång tid ökas tidsgränsen för serverdelen till 180 sekunder.
    Använd endast HTTP-cookie Välj om du vill att programproxycookies ska innehålla flaggan HTTPOnly i HTTP-svarshuvudet. Om du använder Fjärrskrivbordstjänster behåller du alternativet avmarkerat.
    Använd beständig cookie Behåll alternativet avmarkerat. Använd endast den här inställningen för program som inte kan dela cookies mellan processer. Mer information om cookieinställningar finns i Cookieinställningar för åtkomst till lokala program i Microsoft Entra-ID.
    Översätt webbadresser i rubriker Behåll alternativet markerat om inte programmet krävde det ursprungliga värdhuvudet i autentiseringsbegäran.
    Översätt webbadresser i brödtext för program Behåll alternativet avmarkerat om inte HTML-länkar hårdkodas till andra lokala program och inte använder anpassade domäner. Mer information finns i Länka översättning med programproxy.

    Välj om du planerar att övervaka det här programmet med Microsoft Defender för molnet-appar. Mer information finns i Konfigurera övervakning av programåtkomst i realtid med Microsoft Defender för molnet-appar och Microsoft Entra-ID.
    Verifiera TLS/SSL-certifikat för serverdelen Välj för att aktivera TLS/SSL-certifikatverifiering för programmet.
  7. Markera Lägga till.

Testa programmet

Du är redo att testa om programmet har lagts till korrekt. I följande steg lägger du till ett användarkonto i programmet och försöker logga in.

Lägg till en användare för testning

Verifiera att användarkontot redan har behörighet att komma åt programmet inifrån företagsnätverket innan du lägger till en användare till programmet.

Lägga till en testanvändare:

  1. Välj Företagsprogram och välj sedan det program som du vill testa.
  2. Välj Komma igång och välj sedan Tilldela en användare för testning.
  3. Under Användare och grupper väljer du Lägg till användare.
  4. Under Lägg till tilldelning väljer du Användare och grupper. Avsnittet Användare och grupper visas.
  5. Välj det konto som du vill lägga till.
  6. Välj Välj och välj sedan Tilldela.

Testa inloggningen

Så här testar du autentisering till programmet:

  1. Från det program som du vill testa väljer du programproxy.
  2. Längst upp på sidan väljer du Testprogram för att köra ett test i programmet och söker efter eventuella konfigurationsproblem.
  3. Se till att först starta programmet för att testa inloggningen till programmet och ladda sedan ned diagnostikrapporten för att granska lösningsvägledningen för eventuella identifierade problem.

Felsökning finns i Felsöka problem med programproxy och felmeddelanden.

Rensa resurser

Glöm inte att ta bort någon av de resurser som du skapade i den här självstudien när du är klar.

Felsökning

Lär dig mer om vanliga problem och hur du felsöker dem.

Skapa programmet/ange URL:er

Kontrollera felinformationen för information och förslag för hur du åtgärdar programmet. De flesta felmeddelanden innehåller en föreslagen korrigering. Kontrollera om du vill undvika vanliga fel:

  • Du är administratör med behörighet att skapa ett programproxyprogram
  • Den interna URL:en är unik
  • Den externa URL:en är unik
  • URL:erna börjar med http eller https och slutar med "/"
  • URL:en ska vara ett domännamn, inte en IP-adress

Felmeddelandet bör visas i det övre högra hörnet när du skapar programmet. Du kan också välja meddelandeikonen för att se felmeddelandena.

Konfigurera anslutningsappar/anslutningsgrupper

Om du har problem med att konfigurera programmet på grund av varning om anslutningsappar och anslutningsgrupper kan du läsa anvisningarna om hur du aktiverar programproxy för mer information om hur du laddar ned anslutningsappar. Om du vill veta mer om anslutningsappar kan du läsa dokumentationen om anslutningsappar.

Om dina anslutningsappar är inaktiva kan de inte nå tjänsten. Ofta eftersom alla nödvändiga portar inte är öppna. En lista över nödvändiga portar finns i avsnittet krav i dokumentationen för aktivering av programproxy.

Ladda upp certifikat för anpassade domäner

Med anpassade domäner kan du ange domänen för dina externa URL:er. Om du vill använda anpassade domäner måste du ladda upp certifikatet för den domänen. Information om hur du använder anpassade domäner och certifikat finns i Arbeta med anpassade domäner i Microsoft Entra-programproxy.

Om du stöter på problem med att ladda upp certifikatet letar du efter felmeddelandena i portalen för ytterligare information om problemet med certifikatet. Vanliga certifikatproblem är:

  • Certifikatet har upphört att gälla
  • Certifikatet är självsignerat
  • Certifikatet saknar den privata nyckeln

Felmeddelandet visas i det övre högra hörnet när du försöker ladda upp certifikatet. Du kan också välja meddelandeikonen för att se felmeddelandena.

Nästa steg