Konfigurera anpassade domäner med Microsoft Entra-programproxy

När du publicerar ett program via Microsoft Entra-programproxy skapar du en extern URL för dina användare. Den här URL:en hämtar standarddomänen yourtenant.msappproxy.net. Om du till exempel publicerar en app med namnet Utgifter i din klientorganisation med namnet Contoso är https:\//expenses-contoso.msappproxy.netden externa URL:en . Om du vill använda ditt eget domännamn i stället för msappproxy.netkan du konfigurera en anpassad domän för ditt program.

Fördelar med anpassade domäner

Det är en bra idé att konfigurera anpassade domäner för dina appar när det är möjligt. Några orsaker till att använda anpassade domäner är:

  • Länkar mellan appar fungerar även utanför företagsnätverket. Utan en anpassad domän, om din app hårdkodar interna länkar till mål utanför programproxyn, och länkarna inte kan matchas externt, bryts de. När dina interna och externa URL:er är desamma undviker du det här problemet. Om du inte kan använda anpassade domäner kan du läsa Omdirigering av hårdkodade länkar för appar som publicerats med Microsoft Entra-programproxy för andra sätt att åtgärda problemet.

  • Användarna har en enklare upplevelse eftersom de kommer till appen med samma URL inifrån eller utanför nätverket. Du behöver inte lära dig olika interna och externa URL:er eller spåra deras aktuella plats.

  • Du kan styra din varumärkesanpassning och skapa de URL:er du vill ha. En anpassad domän kan hjälpa dig att skapa användarnas förtroende eftersom användarna ser och använder ett välbekant namn i stället för msappproxy.net.

  • Vissa konfigurationer fungerar bara med anpassade domäner. Du behöver till exempel anpassade domäner för appar som använder SAML (Security Assertion Markup Language). SAML används när du använder Active Directory usluge za ujedinjavanje (AD FS) men inte kan använda WS-Federation. Mer information finns i Arbeta med anspråksmedvetna appar i programproxy.

Om du inte kan matcha interna och externa URL:er är det inte lika viktigt att använda anpassade domäner. Men du kan fortfarande dra nytta av de andra fördelarna.

DNS-konfigurationsalternativ

Det finns flera alternativ för att konfigurera DNS-konfigurationen, beroende på dina krav:

Samma interna och externa URL, olika interna och externa beteenden

Om du inte vill att dina interna användare ska dirigeras via programproxyn kan du konfigurera en DNS med delad hjärna. En delad DNS-infrastruktur dirigerar namnmatchning baserat på värdplats. Interna värdar dirigeras till en intern domännamnsserver och externa värdar till en extern domännamnsserver.

DNS med delad hjärna

Olika interna och externa URL:er

När interna och externa URL:er skiljer sig åt ska du inte konfigurera beteende för delad hjärna. Användarroutning bestäms med hjälp av URL:en. I det här fallet ändrar du bara den externa DNS och dirigerar den externa URL:en till programproxyslutpunkten.

När du väljer en anpassad domän för en extern URL visar ett informationsfält den CNAME-post som du behöver lägga till i den externa DNS-providern. Du kan alltid se den här informationen genom att gå till appens programproxysida .

Konfigurera och använda anpassade domäner

Om du vill konfigurera en lokal app för en anpassad domän behöver du en verifierad anpassad Microsoft Entra-domän, ett PFX-certifikat för den anpassade domänen och en lokal app att konfigurera.

Viktigt!

Du ansvarar för att underhålla DNS-poster som omdirigerar dina anpassade domäner till domänen msappproxy.net . Om du väljer att senare ta bort ditt program eller din klientorganisation ska du även ta bort associerade DNS-poster för programproxy för att förhindra missbruk av dinglande DNS-poster.

Skapa och verifiera en anpassad domän

Så här skapar och verifierar du en anpassad domän:

  1. Logga in på administrationscentret för Microsoft Entra som minst programadministratör.
  2. Bläddra till Identitetsinställningar>>Domännamn.
  3. Välj Lägg till en anpassad domän.
  4. Ange ditt anpassade domännamn och välj Lägg till domän.
  5. På domänsidan kopierar du TXT-postinformationen för din domän.
  6. Gå till domänregistratorn och skapa en ny TXT-post för din domän baserat på din kopierade DNS-information.
  7. När du har registrerat domänen väljer du Verifiera på domänens sida i Microsoft Entra-ID. När domänstatusen har verifierats kan du använda domänen i alla dina Microsoft Entra-konfigurationer, inklusive programproxy.

Mer detaljerade instruktioner finns i Lägga till ditt anpassade domännamn med hjälp av administrationscentret för Microsoft Entra.

Konfigurera en app för att använda en anpassad domän

Så här publicerar du din app via programproxy med en anpassad domän:

  1. För en ny app i administrationscentret för Microsoft Entra bläddrar du till Programproxy för Identity>Applications>Enterprise-program.>

  2. Välj Nytt program. I avsnittet Lokala program väljer du Lägg till ett lokalt program.

    För en app som redan finns i Företagsprogram väljer du den i listan och väljer sedan Programproxy i det vänstra navigeringsfältet.

  3. På sidan inställningar för programproxy anger du ett Namn om du lägger till ett eget lokalt program.

  4. I fältet Intern URL anger du den interna URL:en för din app.

  5. I fältet Extern URL listar du listan och väljer den anpassade domän som du vill använda.

  6. Markera Lägga till.

    Välj anpassad domän

  7. Om domänen redan har ett certifikat visas certifikatinformationen i fältet Certifikat . Annars väljer du fältet Certifikat .

    Klicka för att ladda upp ett certifikat

  8. På sidan SSL-certifikat bläddrar du till och väljer PFX-certifikatfilen. Ange lösenordet för certifikatet och välj Ladda upp certifikat. Mer information om certifikat finns i avsnittet Certifikat för anpassade domäner . Om certifikatet inte är giltigt eller om det finns ett problem med lösenordet visas ett felmeddelande. Vanliga frågor och svar om programproxy innehåller några felsökningssteg som du kan prova.

    Ladda upp certifikat

    Dricks

    En anpassad domän behöver bara laddas upp ett certifikat en gång. Därefter tillämpas det uppladdade certifikatet automatiskt när du använder den anpassade domänen för andra appar.

  9. Om du har lagt till ett certifikat går du till sidan Programproxy och väljer Spara.

  10. I informationsfältet på sidan Programproxy noterar du den CNAME-post som du behöver lägga till i DNS-zonen.

    Lägg till CNAME DNS-post

  11. Följ anvisningarna i Hantera DNS-poster och postuppsättningar med hjälp av administrationscentret för Microsoft Entra för att lägga till en DNS-post som omdirigerar den nya externa URL:en till domänen msappproxy.net i Azure DNS. Om en annan DNS-provider används kontaktar du leverantören för anvisningarna.

    Viktigt!

    Kontrollera att du använder en CNAME-post som pekar på domänen msappproxy.net korrekt. Peka inte poster på IP-adresser eller server-DNS-namn eftersom dessa inte är statiska och kan påverka tjänstens återhämtning.

  12. Om du vill kontrollera att DNS-posten är korrekt konfigurerad använder du kommandot nslookup för att bekräfta att din externa URL kan nås och att domänen msapproxy.net visas som ett alias.

Ditt program har nu konfigurerats för att använda den anpassade domänen. Se till att tilldela användare till ditt program innan du testar eller släpper det.

Om du vill ändra domänen för en app väljer du en annan domän från listrutan i extern URL på appens programproxysida . Ladda upp ett certifikat för den uppdaterade domänen om det behövs och uppdatera DNS-posten. Om du inte ser den anpassade domän som du vill använda i listrutan i den externa URL:en kanske den inte verifieras.

Mer detaljerade instruktioner för programproxy finns i Självstudie: Lägga till ett lokalt program för fjärråtkomst via programproxy i Microsoft Entra-ID.

Certifikat för anpassade domäner

Ett certifikat skapar den säkra TLS-anslutningen för din anpassade domän.

Certifikatformat

Du måste använda ett PFX-certifikat för att säkerställa att alla nödvändiga mellanliggande certifikat ingår. Certifikatet måste innehålla den privata nyckeln.

De vanligaste metoderna för certifikatsignatur stöds, till exempel Alternativt namn på certifikatmottagare (SAN).

Du kan använda jokerteckencertifikat så länge jokertecknet matchar den externa URL:en. Du måste använda jokerteckencertifikat för jokerteckenprogram. Om du vill använda certifikatet för att även komma åt underdomäner måste du lägga till underdomänens jokertecken som alternativa ämnesnamn i samma certifikat. Till exempel misslyckas ett certifikat för *.adventure-works.com för *.apps.adventure-works.com om du inte lägger till *.apps.adventure-works.com som ett alternativt ämnesnamn.

Du kan använda certifikat som utfärdats av din egen offentliga nyckelinfrastruktur (PKI) om certifikatkedjan är installerad på dina klientenheter. Microsoft Intune kan distribuera dessa certifikat till hanterade enheter. För icke-hanterade enheter måste du installera dessa certifikat manuellt.

Vi rekommenderar inte att du använder en privat rotcertifikatutfärdare (CA) eftersom den privata rotcertifikatutfärdare också skulle behöva push-överföras till klientdatorer, vilket kan medföra många utmaningar.

Certifikathantering

All certifikathantering sker via de enskilda programsidorna. Gå till programmets programproxysida för att komma åt fältet Certifikat .

Om du laddar upp ett certifikat använder nya appar det. Så länge de är konfigurerade för att använda den. Du måste dock ladda upp certifikatet igen för appar som redan fanns där när du laddade upp det.

När ett certifikat upphör att gälla får du en varning om att du ska ladda upp ett annat certifikat. Om certifikatet återkallas kan användarna se en säkerhetsvarning när de ansluter till appen. Om du vill uppdatera certifikatet för en app går du till sidan Programproxy för appen, väljer Certifikat och laddar upp ett nytt certifikat. Gamla certifikat som inte används av andra appar tas bort automatiskt.

Nästa steg