Configuración de dominios personalizados con el proxy de aplicación Microsoft Entra

Al publicar una aplicación a través de proxy de aplicación de Microsoft Entra, se crea una dirección URL externa para los usuarios. Esta dirección URL obtiene el dominio predeterminado yourtenant.msappproxy.net. Por ejemplo, si publica una aplicación denominada Expenses y el inquilino se llama Contoso, la dirección URL externa es https:\//expenses-contoso.msappproxy.net. Si quiere usar su propio nombre de dominio en lugar de msappproxy.net, puede configurar un dominio personalizado para la aplicación.

Ventajas de los dominios personalizadas

Es aconsejable configurar dominios personalizados para sus aplicaciones siempre que sea posible. Entre los motivos para usar dominios personalizados se incluyen los siguientes:

  • Los vínculos entre las aplicaciones funcionan incluso fuera de la red corporativa. Sin un dominio personalizado, si la aplicación codifica vínculos internos de codificación de forma rígida a destinos fuera del proxy de aplicación y los vínculos no se pueden resolver externamente, se interrumpirán. Cuando las direcciones URL internas y externas son las mismas, se evita este problema. Si no puede usar dominios personalizados, consulte Redirección de los vínculos codificados de manera rígida para las aplicaciones publicadas con proxy de aplicación de Microsoft Entra para conocer otras formas de abordar este problema.

  • Los usuarios tienen una experiencia más sencilla, ya que acceden a la aplicación con la misma dirección URL desde dentro o fuera de la red. No necesitan conocer diferentes direcciones URL internas y externas ni realizar un seguimiento de su ubicación actual.

  • Puede controlar la personalización de marca y crear las direcciones URL que quiera. Un dominio personalizado puede ayudar a dar confianza a los usuarios, ya que estos ven y usan un nombre conocido en lugar de msappproxy.net.

  • Algunas configuraciones solo funcionan con dominios personalizados. Por ejemplo, necesita dominios personalizados para las aplicaciones que usan el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML). SAML se usa cuando se usan servicios de federación de Active Directory (AD FS), pero no se puede usar WS-Federation. Para más información, consulte Trabajo con aplicaciones para notificaciones en el proxy de aplicación.

Si no puede hacer coincidir las direcciones URL internas y externas, no es tan importante usar dominios personalizados. Pero puede seguir aprovechando las otras ventajas.

Opciones de configuración de DNS

Hay varias opciones para definir la configuración de DNS, en función de sus requisitos:

Misma dirección URL interna y externa, diferente comportamiento interno y externo

Si no quiere que los usuarios internos se dirijan a través del proxy de aplicación, puede configurar un DNS de cerebro dividido. Una infraestructura DNS dividida dirige la resolución de nombres en función de la ubicación del host. Los hosts internos se dirigen a un servidor de nombres de dominio interno, y los hosts externos a un servidor de nombres de dominio externo.

DNS de cerebro dividido

Direcciones URL internas y externas diferentes

Cuando las direcciones URL internas y externas son diferentes, no configure el comportamiento del cerebro dividido. El enrutamiento de usuarios se determina mediante la dirección URL. En este caso, solo cambiará el DNS externo y enrutará la dirección URL externa al punto de conexión del proxy de aplicación.

Al seleccionar un dominio personalizado para una dirección URL externa, en una barra de información se muestra la entrada CNAME que se debe agregar al proveedor DNS externo. Siempre puede ver esta información yendo a la página Proxy de aplicación de la aplicación.

Configuración y uso de dominios personalizados

Para configurar una aplicación local para que use un dominio personalizado, necesita un dominio personalizado de Microsoft Entra comprobado, un certificado PFX para dicho dominio y una aplicación local para configurar.

Importante

Usted es responsable de mantener los registros DNS que redirigen los dominios personalizados al dominio msappproxy.net. Si decide eliminar posteriormente la aplicación o el inquilino, asegúrese de eliminar también los registros DNS asociados para el proxy de aplicación a fin de evitar el uso indebido de registros DNS pendientes.

Creación y comprobación de un dominio personalizado

Para crear y comprobar un dominio personalizado:

  1. Inicie sesión en el centro de administración de Microsoft Entra como Administrador de aplicaciones como mínimo.
  2. Vaya a Identidad>Configuración>Nombres de dominio.
  3. Seleccione Agregar dominio personalizado.
  4. Escriba el nombre de dominio personalizado y seleccione Agregar dominio.
  5. En la página dominio, copie la información del registro TXT del dominio.
  6. Vaya al registrador de dominios y cree un nuevo registro TXT para el dominio, según la información de DNS copiada.
  7. Después de registrar el dominio, en la página del dominio en Microsoft Entra ID, seleccione Comprobar. Una vez que el estado del dominio es Comprobado, puede usar el dominio en todas las configuraciones de Microsoft Entra, incluido el proxy de aplicación.

Para instrucciones más detalladas, consulte Incorporación del nombre de dominio personalizado mediante el Centro de administración de Microsoft Entra.

Configuración de una aplicación para que use un dominio personalizado

Para publicar la aplicación a través del proxy de aplicación con un dominio personalizado:

  1. Para una nueva aplicación, en el centro de administración de Microsoft Entra, vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Proxy de aplicación.

  2. Seleccione Nueva aplicación. En la sección Aplicaciones locales, seleccione Incorporación de una aplicación local.

    En el caso de una aplicación que ya esté en Aplicaciones empresariales, selecciónela en la lista y luego seleccione Proxy de la aplicación en el panel de navegación de la izquierda.

  3. En la página de configuración del proxy de aplicación, escriba un Nombre si va a agregar su propia aplicación local.

  4. En el campo Dirección URL interna, escriba la dirección URL interna de la aplicación.

  5. En el campo Dirección URL externa, despliegue la lista y seleccione el dominio personalizado que desee usar.

  6. Seleccione Agregar.

    Selección de un dominio personalizado

  7. Si el dominio ya tiene un certificado, el campo Certificado mostrará la información de dicho certificado. En caso contrario, seleccione el campo Certificado.

    Haga clic para cargar un certificado.

  8. En la página Certificados SSL, busque y seleccione el archivo de certificado PFX. Escriba la contraseña del certificado y seleccione Cargar certificado. Para más información sobre los certificados, consulte la sección Certificados para dominios personalizados. Si el certificado no es válido o hay un problema con la contraseña, se ve un mensaje de error. Las preguntas frecuentes acerca del proxy de aplicación contienen algunos pasos de solución de problemas que puede probar.

    Carga del certificado

    Sugerencia

    Un dominio personalizado solo necesita cargar su certificado una vez. Después, el certificado cargado se aplica automáticamente al usar el dominio personalizado para otras aplicaciones.

  9. Si agregó un certificado, en la página Proxy de aplicación, seleccione Guardar.

  10. En la barra de información de la página Proxy de aplicación, tenga en cuenta la entrada CNAME que debe agregar a la zona DNS.

    Incorporación de la entrada CNAME para DNS

  11. Siga las instrucciones que se indican en Administración de registros y conjuntos de registros DNS mediante el Centro de administración de Microsoft Entra para agregar un registro DNS que redirija la nueva dirección URL externa al dominio msappproxy.net en Azure DNS. Si se usa otro proveedor DNS, póngase en contacto con el proveedor para obtener las instrucciones.

    Importante

    Asegúrese de que utiliza correctamente un registro CNAME que apunta al dominio msappproxy.net. No apunte registros a direcciones IP o nombres DNS de servidor, ya que no son estáticos y pueden afectar a la resistencia del servicio.

  12. Para comprobar que el registro DNS está configurado correctamente, use el comando nslookup para confirmar que la dirección URL externa es accesible y que el dominio msapproxy.net aparece como un alias.

Ahora la aplicación está configurada para usar el dominio personalizado. Asegúrese de asignar usuarios a la aplicación antes de probarla o liberarla.

Para cambiar el dominio de una aplicación, seleccione otro dominio en la lista desplegable en Dirección URL externa en la página Proxy de aplicación de la aplicación. Cargue un certificado para el dominio actualizado, si es necesario, y actualice el registro de DNS. Si no ve el dominio personalizado que desea en la lista desplegable en Dirección URL externa, es posible que no se haya comprobado.

Para obtener instrucciones más detalladas sobre el proxy de aplicación, consulte Tutorial: Adición de una aplicación local para el acceso remoto a través del proxy de aplicación en Microsoft Entra ID.

Certificados para dominios personalizados

Un certificado crea la conexión TLS segura para el dominio personalizado.

Formatos de certificado

Debe usar un certificado PFX para asegurarse de que se incluyen todos los certificados intermedios necesarios. El certificado debe incluir la clave privada.

Se admiten los métodos de firma de certificado más comunes, como el nombre alternativo del firmante (SAN).

Puede usar certificados comodín siempre y cuando el carácter comodín coincida con la dirección URL externa. Debe utilizar certificados comodín para aplicaciones comodín. Si desea utilizar el certificado para acceder también a los subdominios, debe agregar los caracteres comodín de subdominio como nombres alternativos del firmante en el mismo certificado. Por ejemplo, un certificado para *.adventure-works.com no funcionará para *.apps.adventure-works.com a menos que agregue *.apps.adventure-works.com como un nombre alternativo del firmante.

Puede usar los certificados emitidos por su propia infraestructura de clave pública (PKI) si la cadena de certificados está instalada en los dispositivos cliente. Microsoft Intune puede implementar estos certificados en dispositivos administrados. En el caso de los dispositivos no administrados, debe instalar estos certificados manualmente.

No se recomienda usar una entidad de certificación raíz privada (CA), ya que la entidad de certificación raíz privada también tendría que insertarse en las máquinas cliente, lo que puede suponer numerosos desafíos.

Administración de certificados

Toda la administración de certificados se realiza a través de las páginas individuales de la aplicación. Vaya a la página Proxy de aplicación de la aplicación para acceder al campo Certificado.

Si carga un certificado, nuevas aplicaciones la usan. Siempre que estén configuradas para usarlos. Sin embargo, debe volver a cargar el certificado para las aplicaciones que ya estaban allí al cargarlo.

Cuando un certificado expire, recibirá una advertencia que le indicará que cargue otro certificado. Si se revoca el certificado, los usuarios pueden ver una advertencia de seguridad al acceder a la aplicación. Para actualizar el certificado para una aplicación, vaya a la página Proxy de aplicación de la aplicación, seleccione Certificado y cargue un certificado nuevo. Los certificado antiguos que no estén usando otras aplicaciones se eliminan automáticamente.

Pasos siguientes