在 entra ID Microsoft 中通过应用程序代理添加用于远程访问的本地应用程序

Microsoft Entra ID 具有应用程序代理服务，它允许用户使用其Microsoft Entra 帐户登录来访问本地应用程序。若要了解有关应用程序代理的详细信息，请参阅什么是应用程序代理？本教程是针对使用应用程序代理而准备环境的指南。环境准备就绪后，使用 Microsoft Entra 管理中心将本地应用程序添加到租户。

在本教程中，你将：

在 Windows 服务器上安装并验证连接器，然后将其注册到应用代理。
将本地应用程序添加到 Microsoft Entra 租户。
验证测试用户是否可以使用 Microsoft Entra 帐户登录到应用程序。

先决条件

若要将本地应用程序添加到 Microsoft Entra ID，需要：

Microsoft Entra ID P1 或 P2 订阅。
一个应用程序管理员帐户。
一组同步的用户标识与本地目录。也可以直接在你的 Microsoft Entra 租户中创建它们。标识同步允许Microsoft Entra ID 在授予用户对应用程序代理已发布应用程序的访问权限之前对用户进行预身份验证。同步还提供执行单一登录（SSO）所需的用户标识符信息。
了解 Microsoft Entra 中的应用程序管理，请参阅 Microsoft Entra 中的“查看企业应用程序”。
了解单一登录（SSO），请参阅了解单一登录。

安装和验证 Microsoft Entra 专用网络连接器

应用程序代理使用与 Microsoft Entra Private Access 相同的连接器。连接器称为Microsoft Entra 专用网络连接器。

一般备注

Microsoft Entra 应用程序代理终结点的公共域名系统 (DNS) 记录是链式 CNAME 记录，指向 A 记录。这样设置记录可确保容错和灵活性。 Microsoft Entra 专用网络连接器始终使用域后缀 *.msappproxy.net 或 *.servicebus.chinacloudapi.cn访问主机名。但是，在名称解析期间，CNAME 记录可能包含具有不同主机名和后缀的 DNS 记录。由于差异，必须确保设备（具体取决于设置 - 连接器服务器、防火墙、出站代理）可以解析链中的所有记录，并允许连接到解析的 IP 地址。由于链中的 DNS 记录可能会不时更改，因此我们无法提供任何列表 DNS 记录。

如果在不同区域中安装连接器，则应通过选择具有每个连接器组的最近的应用程序代理云服务区域来优化流量。若要了解详细信息，请参阅使用 Microsoft Entra 应用程序代理优化流量流。

如果组织使用代理服务器连接到 Internet，则需要为应用程序代理配置它们。有关详细信息，请参阅使用现有的本地代理服务器。

将本地应用添加到 Microsoft Entra ID

将本地应用程序添加到 Microsoft Entra ID。

至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用。
选择“新建应用程序”。
选择“ 添加本地应用程序 ”按钮，该按钮大约显示在“ 本地应用程序 ”部分中的页面的一半处。或者，可以在页面顶部选择“ 创建自己的应用程序 ”，然后选择“ 配置应用程序代理”以安全远程访问本地应用程序。

在 “添加自己的本地应用程序 ”部分中，提供有关应用程序的以下信息：

领域	Description
名称	显示在“我的应用”和Microsoft Entra 管理中心的应用程序的名称。
维护模式	选择是否要启用维护模式并暂时禁用所有用户对应用程序的访问。
内部 URL	用于从专用网络内部访问应用程序的 URL。可以在后端服务器上提供要发布的特定路径，而服务器的其余部分可以不发布。这样，就可以将不同的站点发布到与不同应用相同的服务器上，并为每个站点提供自己的名称和访问规则。如果发布路径，请确保它包含应用程序所需的所有图像、脚本和样式表。例如，如果您的应用位于 `https://yourapp/app` 并使用位于 `https://yourapp/media` 的图像，那么您应该将 `https://yourapp/` 发布为路径。此内部 URL 不必是用户看到的登陆页面。有关详细信息，请参阅设置已发布应用的自定义主页。
外部 URL	用户从网络外部访问应用的地址。如果不想使用默认应用程序代理域，请阅读 Microsoft Entra 应用程序代理中的自定义域。
预身份验证	应用程序代理在授予用户对应用程序的访问权限之前如何验证用户。 Microsoft Entra ID - 应用程序代理将用户重定向到使用 Microsoft Entra ID 登录，该 ID 对目录和应用程序的权限进行身份验证。建议将此选项保留为默认值，以便可以利用条件访问和多重身份验证等 Microsoft Entra 安全功能。使用 Microsoft Defender for Cloud Apps 监视应用程序时，需要 Microsoft Entra ID。直通 - 用户无需通过 Microsoft Entra ID 进行身份验证即可访问应用程序。你仍然可以在后端设置身份验证要求。
连接器组	连接器处理对应用程序的远程访问，连接器组可帮助你按区域、网络或目的组织连接器和应用。如果尚未创建任何连接器组，则应用将分配到 “默认”。如果应用程序使用 WebSocket 进行连接，则组中的所有连接器必须是版本 1.5.612.0 或更高版本。

如有必要，请配置 其他设置。对于大多数应用程序，应将这些设置保留为其默认状态。

领域	Description
后端应用程序超时	仅当应用程序进行身份验证和连接速度缓慢时，才将此值设置为 Long 。默认情况下，后端应用程序超时的长度为 85 秒。设置太长时，后端超时将增加到 180 秒。
使用 HTTP-Only Cookie	选择让应用程序代理 Cookie 在 HTTP 响应标头中包含 HTTPOnly 标志。如果使用远程桌面服务，请取消选中该选项。
使用持久性 Cookie	使选项保持未选中状态。仅对无法在进程之间共享 Cookie 的应用程序使用此设置。有关 Cookie 设置的详细信息，请参阅用于访问Microsoft Entra ID 中的本地应用程序的 Cookie 设置。
翻译标头中的 URL	除非应用程序在身份验证请求中需要原始主机标头，否则请保留该选项。
在应用程序正文中翻译 URL	除非将 HTML 链接硬编码到其他本地应用程序且不使用自定义域，否则请保持未选中的选项。有关详细信息，请参阅使用应用程序代理进行链接转换。选择是否打算使用 Microsoft Defender for Cloud Apps 监视此应用程序。有关详细信息，请参阅使用 Microsoft Defender for Cloud Apps 和 Microsoft Entra ID 配置实时应用程序访问监视。
验证后端 TLS 证书	选择此选项可为应用程序启用后端传输层安全性（TLS）证书验证。

选择 并添加。

测试应用程序

您已准备好测试应用程序是否已正确添加。在以下步骤中，将用户帐户添加到应用程序，然后尝试登录。

添加用于测试的用户

在将用户添加到应用程序之前，请验证用户帐户是否已经有权从企业网络内部访问应用程序。

添加测试用户：

选择 “企业应用程序”，然后选择要测试的应用程序。
选择 “入门”，然后选择“ 分配用户进行测试”。
在 “用户”和“组”下，选择“ 添加用户”。
在 “添加分配”下，选择“ 用户和组”。此时会显示 “用户和组” 部分。
选择要添加的帐户。
选择 “选择”，然后选择“ 分配”。

测试登录

若要测试对应用程序的身份验证，请执行以下作：

从要测试的应用程序中选择 应用程序代理。
在页面顶部，选择 “测试应用程序 ”以在应用程序上运行测试，并检查是否存在任何配置问题。
请确保首先启动应用程序以测试登录到应用程序，然后下载诊断报告，查看针对任何检测到的问题的解决方案指南。

有关故障排除，请参阅排查应用程序代理问题和错误消息。

清理资源

完成后，不要忘记删除在本教程中创建的任何资源。

Troubleshooting

了解常见问题以及如何对其进行故障排除。

创建应用程序/设置 URL

查看错误详细信息，获取有关如何修复应用程序的信息和建议。大多数错误消息包括建议的修补程序。若要避免常见错误，请验证：

你是有权创建应用程序代理应用程序的管理员
内部 URL 是唯一的
外部 URL 是唯一的
URL 以 http 或 https 开头，以“/”结尾
URL 应为域名，而不是 IP 地址

创建应用程序时，错误消息应显示在右上角。还可以选择通知图标以查看错误消息。

上传自定义域的证书

自定义域名允许您指定外部 URL 的域名。若要使用自定义域，需要上传该域的证书。有关使用自定义域和证书的信息，请参阅使用 Microsoft Entra 应用程序代理中的自定义域。

如果在上传证书时遇到问题，请在门户中查找错误消息，了解有关证书问题的其他信息。常见的证书问题包括：

证书已过期
该证书为自签名
证书缺少私钥

尝试上传证书时，右上角会显示错误消息。还可以选择通知图标以查看错误消息。

Last updated on 2025-12-03

Compartir a través de