Vanliga frågor och svar om Microsoft Entra-programproxy

Nej, följande konfigurationsobjekt används av appproxyn och bör inte ändras eller tas bort:

• Aktivera/inaktivera "Tillåt offentliga klientflöden".
• CWAP_AuthSecret (klienthemligheter).
• API-behörigheter. Om du ändrar något av ovanstående konfigurationsobjekt på sidan Appregistrering bryts förautentiseringen för Microsoft Entra-programproxy.

Nej, du bör ta bort en programproxyapp från området Företagsprogram i administrationscentret för Microsoft Entra. Om du tar bort programproxyappen från det Appregistreringar området i administrationscentret för Microsoft Entra kan det uppstå problem.

Om du vill använda Microsoft Entra-programproxy måste du ha en Microsoft Entra ID P1- eller P2-licens. Mer information om licensiering finns i Microsoft Entra-priser

Om din licens upphör att gälla inaktiveras programproxyn automatiskt. Din programinformation sparas i upp till ett år.

Kontrollera att du har minst en Microsoft Entra ID P1- eller P2-licens och en privat Nätverksanslutning för Microsoft Entra installerad. När du har installerat din första anslutningsapp aktiveras Microsoft Entra-programproxytjänsten automatiskt.

Att använda ett portgenomsökningsverktyg på offentliga slutpunkter för programproxy (msappproxy.net eller anpassade) kan visa att TCP-portarna 10200 och 10201 är öppna, förutom portarna 80 och/eller 443. Dessa portar används för intern övervakning av tjänstens hälsotillstånd. Inga kunddata är tillgängliga via dessa portar och tjänsterna bakom dem bearbetar ingen information. de svarar helt enkelt med "OK".

Ja, microsoft entra privat nätverksanslutning används av både programproxy och Microsoft Entra privatåtkomst. Mer information om anslutningsappen finns i Privat nätverksanslutning för Microsoft Entra. Information om hur du felsöker anslutningskonfiguration finns i Felsöka anslutningsappar.

Även om dessa suffix visas i suffixlistan bör du inte använda dem. Dessa domänsuffix är inte avsedda att användas med Microsoft Entra-programproxy. Om du använder dessa domänsuffix fungerar inte det skapade Microsoft Entra-programproxyprogrammet. Du kan använda antingen standarddomänsuffixet msappproxy.net eller en anpassad domän.

Microsoft Entra ID har en programproxytjänst som gör det möjligt för användare att komma åt lokala program genom att logga in med sitt Microsoft Entra-konto. Om du har installerat anslutningsappar i olika regioner kan du optimera trafiken genom att välja den närmaste molntjänstregionen för programproxy som ska användas med varje anslutningsgrupp. Mer information finns i Optimera trafikflödet med Microsoft Entra-programproxy.

När du har laddat upp SSL-certifikatet får du meddelandet "Ogiltigt certifikat, eventuellt fel lösenord" på portalen.

Här följer några tips för att felsöka det här felet:

• Kontrollera om det finns problem med certifikatet. Installera den på den lokala datorn. Om du inte får några problem är certifikatet bra.
• Kontrollera att lösenordet inte innehåller några specialtecken. Lösenordet får endast innehålla tecknen 0-9, A-Z och a-z.
• Om certifikatet skapades med Microsoft Software Key Storage Provider måste RSA-algoritmen användas.

Standardlängden är 85 sekunder. Inställningen "lång" är 180 sekunder. Tidsgränsen kan inte förlängas.

Nej, detta stöds inte för närvarande.

Klienthemligheten, som även kallas CWAP_AuthSecret, läggs automatiskt till i programobjektet (appregistrering) när Microsoft Entra-programproxyappen skapas.

Klienthemligheten är giltig i ett år. En ny ettårig klienthemlighet skapas automatiskt innan den aktuella giltiga klienthemligheten upphör att gälla. Tre CWAP_AuthSecret klienthemligheter bevaras alltid i programobjektet.

Nej, du måste använda den ursprungliga återställningsdomänen.

Artikel som nämns i fråga: Lägg till och ersätt din onmicrosoft.com reservdomän i Microsoft 365

Från sidan Programregistreringar kan du ändra startsidans URL till önskad extern URL för landningssidan. Den angivna sidan läses in när programmet startas från Mina appar eller Office 365-portalen. Konfigurationssteg finns i Ange en anpassad startsida för publicerade appar med hjälp av Microsoft Entra-programproxy

Om Microsoft Entra-förautentisering har konfigurerats och program-URL:en innehåller ett "#"-tecken när du försöker komma åt programmet för första gången omdirigeras du till Microsoft Entra-ID (login.microsoftonline.com) för autentiseringen. När du har slutfört autentiseringen omdirigeras du till URL-delen före tecknet "#" och allt som kommer efter "#" verkar ignoreras/tas bort. Om URL:en till exempel är https://www.contoso.com/#/home/index.htmlomdirigeras användaren till https://www.contoso.com/när Microsoft Entra-autentiseringen är klar. Det här beteendet beror avsiktligt på hur tecknet "#" hanteras av webbläsaren.

Möjliga lösningar/alternativ:

• Konfigurera en omdirigering från https://www.contoso.com till https://contoso.com/#/home/index.html. Användaren måste först komma åt https://www.contoso.com.
• Den URL som används för det första åtkomstförsöket måste innehålla tecknet "#" i kodat formulär (%23). Den publicerade servern kanske inte accepterar detta.
• Konfigurera förautentiseringstyp för genomströmning (rekommenderas inte).

Nej, det finns inget IIS-krav för program som publiceras. Du kan publicera webbprogram som körs på andra servrar än Windows Server. Du kanske dock inte kan använda förautentisering med en icke-Windows Server, beroende på om webbservern stöder Negotiate (Kerberos-autentisering). IIS krävs inte på servern där anslutningsappen är installerad.

Programproxy lägger inte automatiskt till HTTP Strict-Transport-Security-huvudet i HTTPS-svar, men det behåller huvudet om det finns i det ursprungliga svaret som skickades av det publicerade programmet. Att bevisa en inställning för att aktivera den här funktionen finns i översikten.

Nej, om protokollet http har konfigurerats i den externa URL:en godkänner Microsoft Entra-programproxyslutpunkten inkommande begäran på port TCP 80, om protokollet https sedan finns på port TCP 443.

Ja, några exempel på interna URL:er, inklusive portar: http://app.contoso.local:8888/, https://app.contoso.local:8080/, https://app.contoso.local:8081/test/.

Vissa svar som skickas av de publicerade webbprogrammen kan innehålla hårdkodade URL:er. I det här fallet måste det säkerställas med hjälp av en länköversättningslösning att klienten alltid använder rätt URL. Länköversättningslösningar kan vara komplexa och fungerar kanske inte i alla scenarier. Här hittar du våra dokumenterade lösningar för länköversättning.

Vi rekommenderar att du använder identiska externa och interna URL:er. Externa och interna URL:er anses vara identiska, om i protocol://hostname:port/path/ båda URL:erna är identiska.

Detta kan uppnås med hjälp av funktionen Anpassade domäner .

Exempel:

Identisk:

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com/test/

Inte identisk:

External URL: https://app1.contoso.com/test/
Internal URL: http://app1.contoso.com/test/

External URL: https://app1.contoso.com/test/
Internal URL: https://app1.contoso.com:8080/test/

External URL: https://app1.msappproxy.net/test/
Internal URL: https://app1.contoso.com:/test/

Det går inte att göra externa och interna URL:er identiska alls, om den interna URL:en innehåller en port som inte är standard (förutom TCP 80/443).

I vissa scenarier måste ändringar göras i konfigurationen av webbappen.

Metoden PrincipalsAllowedToDelegateToAccount används när anslutningsservrar finns i en annan domän än webbprogramtjänstkontot. Det kräver användning av resursbaserad begränsad delegering. Om anslutningsservrarna och webbprogramtjänstkontot finns i samma domän kan du använda Active Directory - användare och datorer för att konfigurera delegeringsinställningarna för vart och ett av anslutningsdatorkontona, så att de kan delegera till mål-SPN.

Om anslutningsservrarna och webbprogramtjänstkontot finns i olika domäner används resursbaserad delegering. Delegeringsbehörigheterna konfigureras på målwebbservern och webbprogramtjänstkontot. Den här metoden för begränsad delegering är relativt ny. Metoden introducerades i Windows Server 2012, som stöder delegering mellan domäner genom att tillåta resursägaren (webbtjänsten) att styra vilken dator och vilka tjänstkonton som kan delegeras till den. Det finns inget användargränssnitt som hjälper dig med den här konfigurationen, så du måste använda PowerShell. Mer information finns i faktabladet Förstå Kerberos-begränsad delegering med programproxy.

NTLM-autentisering kan inte användas som en förautentiserings- eller enkel inloggningsmetod. NTLM-autentisering kan endast användas när det kan förhandlas direkt mellan klienten och det publicerade webbprogrammet. Om du använder NTLM-autentisering visas vanligtvis en inloggningsprompt i webbläsaren.

Nej, detta fungerar inte eftersom en gästanvändare i Microsoft Entra-ID inte har det attribut som krävs av någon av de inloggningsidentiteter som nämns ovan.

I det här fallet finns det en återställning till "Användarens huvudnamn". Mer information om B2B-scenariot finns i Bevilja B2B-användare i Microsoft Entra ID-åtkomst till dina lokala program.

Principer för villkorlig åtkomst tillämpas endast för förautentiserade användare i Microsoft Entra-ID. Förautentisering med genomströmning utlöser inte Microsoft Entra-autentisering, så principer för villkorlig åtkomst kan inte tillämpas. Med förautentisering genomströmning måste MFA-principer implementeras på den lokala servern, om möjligt, eller genom att aktivera Microsoft Entra ID-förautentisering med Microsoft Entra-programproxy.

Nej, det här scenariot stöds inte eftersom programproxyn avslutar TLS-trafik.

Se Publicera fjärrskrivbord med Microsoft Entra-programproxy.

Nej, det här scenariot stöds inte.

Ja, det är väntat. Förautentiseringsscenariot kräver en ActiveX-kontroll som inte stöds i webbläsare från tredje part.

Ja, det här scenariot är för närvarande i offentlig förhandsversion. Se Publicera fjärrskrivbord med Microsoft Entra-programproxy.

Ja, det är väntat. Om användarens dator är Microsoft Entra-ansluten loggar användaren in på Microsoft Entra-ID automatiskt. Användaren behöver endast ange sina autentiseringsuppgifter i inloggningsformuläret RDWeb.

Med det här alternativet kan användaren ladda ned rdp-filen och använda den av en annan RDP-klient (utanför fjärrskrivbordswebbklienten). Normalt kan inte andra RDP-klienter (som Microsoft Fjärrskrivbord-klienten) hantera förautentiseringen internt. Det är därför scenariot inte fungerar.

Se Aktivera fjärråtkomst till SharePoint med Microsoft Entra-programproxy.

SharePoint-mobilappen har för närvarande inte stöd för Microsoft Entra-förautentisering.

Nej, Microsoft Entra-programproxyn är utformad för att fungera med Microsoft Entra-ID och uppfyller inte kraven för att fungera som en AD FS-proxy.

Nej, det här stöds inte.

Program som använder WebSocket-protokollet, till exempel QlikSense och Fjärrskrivbordswebbklient (HTML5), stöds nu. Följande är kända begränsningar:

• Programproxyn tar bort den cookie som anges på serversvaret när webSocket-anslutningen öppnas.
• Ingen enkel inloggning tillämpas på WebSocket-begäran.
• Funktioner (Eventlogs, PowerShell och Fjärrskrivbordstjänster) i Windows Admin Center (WAC) fungerar inte via Microsoft Entra-programproxy.

WebSocket-programmet har inga unika publiceringskrav och kan publiceras på samma sätt som alla andra programproxyprogram.

Ja. Länköversättning påverkar prestanda. Programproxytjänsten söker igenom programmet efter hårdkodade länkar och ersätter dem med respektive publicerade externa URL:er innan de presenteras för användaren.

För bästa prestanda rekommenderar vi att du använder identiska interna och externa URL:er genom att konfigurera anpassade domäner. Om det inte går att använda anpassade domäner kan du förbättra prestanda för länköversättning med hjälp av Mina appar Secure Sign in Extension eller Microsoft Edge Browser på mobilen. Se Omdirigera hårdkodade länkar för appar som publicerats med Microsoft Entra-programproxy.

Det här scenariot stöds inte direkt. Alternativen för det här scenariot är:

1. Publicera både HTTP- och HTTPS-URL:er som separata program med jokertecken, men ge var och en av dem en egen domän. Den här konfigurationen fungerar eftersom de har olika externa URL:er.

2. Publicera HTTPS-URL:en via ett jokerteckenprogram. Publicera HTTP-programmen separat med hjälp av dessa PowerShell-cmdletar för programproxy:

   • Programproxyprogramhantering
   • hantering av privata nätverksanslutningar