Platzhalteranwendungen im Microsoft Entra-Anwendungsproxy

In Microsoft Entra ID kann die Konfiguration einer großen Anzahl von lokalen Anwendungen schnell unüberschaubar werden. Die Folge sind unnötige Risiken aufgrund von Konfigurationsfehlern, wenn viele der Anwendungen die gleichen Einstellungen erfordern. Mit Microsoft Entra-Anwendungsproxy können Sie dieses Problem mithilfe einer Platzhalteranwendung umgehen, mit der Sie viele Anwendungen gleichzeitig veröffentlichen und verwalten können. Diese Lösung bietet Ihnen folgende Möglichkeiten:

  • Vereinfachen des Verwaltungsaufwands
  • Verringern der Anzahl potenzieller Konfigurationsfehler
  • Ermöglichen eines sicheren Benutzerzugriffs auf weitere Ressourcen

In diesem Artikel erhalten Sie alle erforderlichen Informationen über die Konfiguration für die Veröffentlichung von Platzhalteranwendungen in Ihrer Umgebung.

Erstellen einer Platzhalteranwendung

Sie können eine Platzhalteranwendung (*) erstellen, wenn Sie über eine Gruppe von Anwendungen mit der gleichen Konfiguration verfügen. Potenzielle Kandidaten für eine Platzhalteranwendung sind Anwendungen, die die folgenden Einstellungen gemeinsam haben:

  • Die Gruppe von Benutzern, die darauf Zugriff haben
  • Die SSO-Methode
  • Das Zugriffsprotokoll (HTTP, HTTPS)

Sie können Anwendungen mit Platzhaltern veröffentlichen, wenn sowohl interne als auch externe URLs im folgenden Format vorliegen:

http(s)://*.<Domäne>

Beispiel: http(s)://*.adventure-works.com.

Obwohl die internen und externen URLs unterschiedliche Domänen verwenden können, hat es sich bewährt, wenn diese identisch sind. Beim Veröffentlichen der Anwendung wird ein Fehler angezeigt, wenn eine der URLs keinen Platzhalter aufweist.

Die Erstellung einer Platzhalteranwendung basiert auf demselben Ablauf für die Anwendungsveröffentlichung, der auch für alle anderen Anwendungen gilt. Der einzige Unterschied besteht darin, dass Sie einen Platzhalter in den URLs und ggf. in der SSO-Konfiguration verwenden.

Voraussetzungen

Stellen Sie zunächst sicher, dass Sie diese Anforderungen erfüllen.

Benutzerdefinierte Domänen

Während benutzerdefinierte Domänen für alle anderen Anwendungen optional sind, stellen Sie eine Voraussetzung für Platzhalteranwendungen dar. Zum Erstellen benutzerdefinierter Domänen müssen Sie die folgenden Schritte ausführen:

  1. Erstellen Sie eine überprüfte Domäne in Azure.
  2. Laden Sie ein TLS/SSL-Zertifikat im PFX-Format in Ihren Anwendungsproxy hoch.

Erwägen Sie die Verwendung eines Platzhalterzertifikats für die Anwendung, die Sie erstellen möchten.

Aus Sicherheitsgründen ist dies eine zwingende Anforderung, und es werden keine Platzhalter für Anwendungen unterstützt, die keine benutzerdefinierte Domäne für die externe URL verwenden.

DNS-Updates

Wenn Sie benutzerdefinierte Domänen verwenden, müssen Sie einen DNS-Eintrag mit einem CNAME-Eintrag für die externe URL (z. b. *.adventure-works.com) erstellen, der auf die externe URL des Endpunktes der Anwendungsproxy zeigt. Bei Wildcard-Anwendungen muss der CNAME-Eintrag auf die entsprechende externe URL zeigen:

<yourAADTenantId>.tenant.runtime.msappproxy.net

Um sicherzustellen, dass Sie den CNAME-Eintrag ordnungsgemäß konfiguriert haben, können Sie nslookup für einen der Zielendpunkte, z.B. expenses.adventure-works.com, ausführen. Die Antwort sollte den bereits erwähnten Alias (<yourAADTenantId>.tenant.runtime.msappproxy.net) enthalten.

Verwenden von Connectorgruppen, die einer anderen Region für den Anwendungsproxy-Clouddienst als die Standardregion zugewiesen sind

Wenn Sie Konnektoren in Regionen installiert haben, die sich von Ihrer Standard-Mandantenregion unterscheiden, ist es von Vorteil, die Region zu ändern, für die Ihre Konnektorgruppe optimiert ist, um die Leistung beim Zugriff auf diese Anwendungen zu verbessern. Weitere Informationen finden Sie unter Optimieren von Connectorgruppen zur Verwendung des nächstgelegenen Anwendungsproxy-Clouddiensts.

Wenn die der Platzhalteranwendung zugewiesene Connector-Gruppe eine andere Region als Ihre Standardregionverwendet, müssen Sie den CNAME-Eintrag aktualisieren, damit er auf eine regionalspezifische externe URL verweist. Verwenden Sie die folgende Tabelle, um die entsprechende URL zu ermitteln:

Der Connector zugewiesene Region Externe URL
Asia <yourAADTenantId>.asia.tenant.runtime.msappproxy.net
Australien <yourAADTenantId>.aus.tenant.runtime.msappproxy.net
Europa <yourAADTenantId>.eur.tenant.runtime.msappproxy.net
Nordamerika <yourAADTenantId>.nam.tenant.runtime.msappproxy.net

Überlegungen

Die folgenden Überlegungen sollten Sie im Hinblick auf Platzhalteranwendungen berücksichtigen.

Zulässige Formate

Bei Platzhalteranwendungen muss die interne URL das Format http(s)://*.<domain> aufweisen.

Verwenden Sie für interne URLs das folgende Format: http(s)://*.<Domäne>

Beim Konfigurieren einer externen URL müssen Sie folgendes Format verwenden: https://*.<custom domain>

Verwenden Sie für externe URLs das folgende Format: https://*.<benutzerdefinierte Domäne>

Andere Positionen des Platzhalters, mehrere Platzhalter oder andere RegEx-Zeichenfolgen werden nicht unterstützt und verursachen Fehler.

Ausschließen von Anwendungen aus dem Platzhalter

Sie können eine Anwendung aus der Platzhalteranwendung wie folgt ausschließen:

  • Veröffentlichen der Ausnahmeanwendung als normale Anwendung
  • Aktivieren das Platzhalters nur für bestimmte Anwendungen über die DNS-Einstellungen

Das Veröffentlichen einer Anwendung als normale Anwendung ist die bevorzugte Methode, um eine Anwendung aus einem Platzhalter auszuschließen. Veröffentlichen Sie die ausgeschlossenen Anwendungen vor den Platzhalteranwendungen, um sicherzustellen, dass Ihre Ausnahmen von Anfang an erzwungen werden. Die spezifischste Anwendung hat immer Vorrang – eine als budgets.finance.adventure-works.com veröffentlichte Anwendung hat Vorrang vor der Anwendung *.finance.adventure-works.com, die wiederum Vorrang vor der Anwendung *.adventure-works.com hat.

Außerdem können Sie den Platzhalter über Ihre DNS-Verwaltung so einschränken, dass dieser nur für bestimmte Anwendungen funktioniert. Als bewährte Methode sollten Sie einen CNAME-Eintrag erstellen, der einen Platzhalter enthält und dem Format der von Ihnen festgelegten externen URL entspricht. Stattdessen können Sie auch bestimmte Anwendungs-URLs auf die Platzhalter verweisen lassen. Anstelle von *.adventure-works.com lassen Sie beispielsweise hr.adventure-works.com, expenses.adventure-works.com und travel.adventure-works.com individually auf 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net verweisen.

Wenn Sie diese Option verwenden, benötigen Sie ggf. einen weiteren CNAME-Eintrag für den Wert AppId.domain, z.B. 00001111-aaaa-2222-bbbb-3333cccc4444.adventure-works.com, der auch auf das gleiche Ziel verweist. Sie finden die AppId auf der Seite mit den Anwendungseigenschaften der Wildcardanwendung.

Festlegen der Homepage-URL für das MyApps-Panel

Die Platzhalteranwendung wird im MyApps-Panel mit nur einer Kachel dargestellt. Diese Kachel ist standardmäßig ausgeblendet. So blenden Sie die Kachel ein und weisen Benutzern eine bestimmte Zielseite zu:

  1. Befolgen Sie die Richtlinien zum Festlegen einer Homepage-URL.
  2. Setzen Sie Anwendung anzeigen auf der Eigenschaftenseite für die Anwendung auf true.

Eingeschränkte Kerberos-Delegierung

Für Anwendungen, welche die Eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) als SSO-Methode verwenden, muss der für die SSO-Methode angegebene SPN einen Platzhalter enthalten. Der SPN kann z.B. wie folgt aussehen: HTTP/*.adventure-works.com. Zudem müssen die einzelnen SPNs auf Ihren Back-End-Servern konfiguriert sein (z.B. HTTP/expenses.adventure-works.com and HTTP/travel.adventure-works.com).

Szenario 1: Allgemeine Platzhalteranwendung

In diesem Szenario gibt es drei verschiedene Anwendungen, die Sie veröffentlichen möchten:

  • expenses.adventure-works.com
  • hr.adventure-works.com
  • travel.adventure-works.com

Für alle drei Anwendungen gilt Folgendes:

  • Sie werden von allen Benutzern verwendet.
  • Sie verwenden die integrierte Windows-Authentifizierung.
  • Sie haben die gleichen Eigenschaften.

Die zum Veröffentlichen der Platzhalteranwendung erforderlichen Schritte finden Sie unter Veröffentlichen von Anwendungen mit Microsoft Entra-Anwendungsproxy. Annahmen für dieses Szenario:

  • Ein Mandant mit der folgenden ID: aaaabbbb-0000-cccc-1111-dddd2222eeee
  • Eine überprüfte Domäne namens adventure-works.com wurde konfiguriert.
  • Ein CNAME-Eintrag, der *.adventure-works.com auf 00001111-aaaa-2222-bbbb-3333cccc4444.tenant.runtime.msappproxy.net verweist, wurde erstellt.

Erstellen Sie entsprechend der dokumentierten Schritte eine neue Anwendungsproxyanwendung in Ihrem Mandanten. In diesem Beispiel ist der Platzhalter in den folgenden Feldern enthalten:

  • Interne URL:

    Beispiel: Platzhalter in interner URL

  • Externe URL:

    Beispiel: Platzhalter in externer URL

  • Interner Anwendungs-SPN:

    Beispiel: Platzhalter in der SPN-Konfiguration

Durch die Veröffentlichung der Platzhalteranwendung können Sie jetzt auf Ihre drei Anwendungen zugreifen, indem Sie zu den gewohnten URLs navigieren (z.B. travel.adventure-works.com).

Bei der Konfiguration wird die folgende Struktur implementiert:

Zeigt die Struktur, die von der Beispielkonfiguration implementiert wird

Color BESCHREIBUNG
Blau Anwendungen, die explizit im Microsoft Entra Admin Center veröffentlicht wurden und dort sichtbar sind.
Grau Anwendungen, auf die Sie über die übergeordnete Anwendung zugreifen können.

Szenario 2: Allgemeine Platzhalteranwendung mit Ausnahme

In diesem Szenario steht Ihnen neben den drei allgemeinen Anwendungen eine weitere Anwendung, finance.adventure-works.com, zur Verfügung, die nur für die Finanzabteilung zugänglich sein soll. Mit der aktuellen Anwendungsstruktur ist der Zugriff auf die Finanzanwendung über die Platzhalteranwendung und durch alle Mitarbeiter möglich. Um dies zu ändern, schließen Sie Ihre Anwendung aus Ihrem Platzhalter aus, indem Sie „finance“ als separate Anwendung mit einschränkenderen Berechtigungen konfigurieren.

Stellen Sie sicher, dass ein CNAME-Eintrag vorhanden ist, der finance.adventure-works.com an den anwendungsspezifischen Endpunkt verweist, der auf der Seite „Anwendungsproxy“ für die Anwendung angegeben ist. In diesem Szenario verweist finance.adventure-works.com auf https://finance-awcycles.msappproxy.net/.

Entsprechend der dokumentierten Schritte sind für dieses Szenario die folgenden Einstellungen erforderlich:

  • Legen Sie im Feld Interne URL die Finanzabteilung finance anstelle eines Platzhalters fest.

    Beispiel: Im Feld „Interne URL“ „finance“ anstelle eines Platzhalters festlegen

  • Legen Sie im Feld Externe URL die Finanzabteilung finance anstelle eines Platzhalters fest.

    Beispiel: Im Feld „Externe URL“ „finance“ anstelle eines Platzhalters festlegen

  • Legen Sie für den internen Anwendungs-SPN die Finanzabteilung finance anstelle eines Platzhalters fest.

    Beispiel: Für die SPN-Konfiguration „finance“ anstelle eines Platzhalters festlegen

Bei dieser Konfiguration wird das folgende Szenario implementiert:

Zeigt die vom Beispielszenario implementierte Konfiguration

Die URL finance.adventure-works.com ist spezifisch. Die URL *.adventure-works.com ist nicht spezifisch. Die spezifischere URL hat Vorrang. Benutzern, die zu finance.adventure-works.com navigieren, werden die in der Finanzressourcenanwendung festgelegten Optionen angezeigt. In diesem Fall können ausschließlich Mitarbeiter der Finanzabteilung auf finance.adventure-works.com zugreifen.

Wenn Sie für die Finanzabteilung mehrere Anwendungen veröffentlicht haben und finance.adventure-works.com als überprüfte Domäne vorhanden ist, könnten Sie eine weitere Platzhalteranwendung *.finance.adventure-works.com veröffentlichen. Da diese spezifischer als die allgemeine *.adventure-works.com ist, hat sie Vorrang, wenn ein Benutzer auf eine Anwendung in der „finance“-Domäne zugreift.

Nächste Schritte