Freigeben über

Konfigurieren von benutzerdefinierten Domänen mit dem Microsoft Entra-Anwendungsproxy

Wenn Sie eine Anwendung über den Microsoft Entra-Anwendungsproxy veröffentlichen, erstellen Sie eine externe URL für Ihre Benutzer*innen. Diese URL ruft die Standarddomäne yourtenant.msappproxy.net ab. Wenn Sie beispielsweise eine App mit dem Namen "Ausgaben" in Ihrem Mandanten namens "Contoso" veröffentlichen, lautet https://expenses-contoso.msappproxy.netdie externe URL . Wenn Sie anstatt von msappproxy.net Ihren eigenen Domainnamen verwenden möchten, können Sie eine benutzerdefinierte Domäne für Ihre Anwendung konfigurieren.

Vorteile von benutzerdefinierten Domänen

Es empfiehlt sich, nach Möglichkeit immer benutzerdefinierte Domänen für Ihre Apps einzurichten. Gründe für die Verwendung von benutzerdefinierten Domänen sind:

  • Links zwischen Apps funktionieren auch außerhalb des Unternehmensnetzwerks. Wenn Ihre Anwendung ohne eine benutzerdefinierte Domäne interne Links zu Zielen außerhalb des Anwendungsproxys hart kodiert und die Links nicht extern auflösbar sind, funktionieren sie nicht. Dieses Problem wird vermieden, wenn Ihre internen und externen URLs identisch sind. Wenn Sie keine benutzerdefinierten Domänen verwenden können, sehen Sie Weiterleitung von hartcodierten Links für Apps, die mit dem Microsoft Entra-Anwendungsproxy veröffentlicht wurden, um andere Möglichkeiten zur Behebung dieses Problems zu finden.

  • Ihre Benutzer haben es leichter, denn sie gelangen mit derselben URL von innerhalb oder außerhalb Ihres Netzwerks zur Anwendung. Es ist nicht nötig, verschiedene interne und externe URLs zu lernen oder ihren aktuellen Speicherort nachzuverfolgen.

  • Sie selbst können Ihr Branding steuern und die gewünschten URLs erstellen. Eine benutzerdefinierte Domäne kann dazu beitragen, das Vertrauen Ihrer Benutzer zu stärken, da die Benutzer einen vertrauten Namen sehen und verwenden, anstatt von msappproxy.net.

  • Einige Konfigurationen funktionieren nur mit benutzerdefinierten Domänen. Sie benötigen beispielsweise benutzerdefinierte Domänen für Anwendungen, die Security Assertion Markup Language (SAML) verwenden. SAML wird verwendet, wenn Sie Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) verwenden, aber WS-Verbund nicht verwenden können. Weitere Informationen finden Sie unter Arbeiten mit anspruchsfähigen Apps im Anwendungsproxy.

Wenn Sie nicht in der Lage sind, die internen und externen URLs abzugleichen, ist es nicht so wichtig, benutzerdefinierte Domänen zu verwenden. Sie können aber trotzdem die anderen Vorteile nutzen.

DNS-Konfigurationsoptionen

Je nach Ihren Anforderungen gibt es mehrere Optionen zum Einrichten Ihrer DNS-Konfiguration (Domain Name System):

Gleiche interne und externe URL, aber ein anderes Verhalten

Wenn Sie nicht möchten, dass Ihre internen Benutzer über den Anwendungsproxy geleitet werden, können Sie ein Split-Brain-DNS einrichten. Eine geteilte DNS-Infrastruktur leitet die Namensauflösung basierend auf dem Hostspeicherort an. Interne Hosts werden an einen internen Domänennamenserver und externe Hosts an einen externen Domänennamenserver weitergeleitet.

Split-Brain-DNS

Unterschiedliche interne und externe URLs

Wenn interne und externe URLs unterschiedlich sind, sollten Sie kein Split-Brain-Verhalten konfigurieren. Das Benutzerrouting wird mithilfe der URL bestimmt. In diesem Fall ändern Sie nur das externe DNS und leiten die externe URL an den Endpunkt des Anwendungsproxys weiter.

Bei Auswahl einer benutzerdefinierten Domäne für eine externe URL wird in einer Informationsleiste der CNAME-Eintrag angezeigt, den Sie dem externen DNS-Anbieter hinzufügen müssen. Sie können diese Informationen immer anzeigen, indem Sie zur Anwendungsproxyseite der App wechseln.

Einrichten und Verwenden von benutzerdefinierten Domänen

Um eine lokale App für die Verwendung einer benutzerdefinierten Domäne zu konfigurieren, benötigen Sie eine überprüfte benutzerdefinierte Microsoft Entra-Domäne, ein PFXchange-Zertifikat (Personal Information eXchange) für die benutzerdefinierte Domäne und eine lokale App zum Konfigurieren.

Wichtig

Sie sind für die Aufrechterhaltung von DNS-Einträgen verantwortlich, die Ihre benutzerdefinierten Domänen an die msappproxy.net Domäne umleiten. Wenn Sie Ihre Anwendung oder Ihren Mandanten später löschen möchten, stellen Sie sicher, dass Sie auch zugeordnete DNS-Einträge für den Anwendungsproxy löschen, um eine falsche Verwendung verbleibender DNS-Einträge zu verhindern.

Erstellen und Überprüfen einer benutzerdefinierten Domäne

Erstellen und überprüfen Sie eine benutzerdefinierte Domäne wie folgt:

  1. Melden Sie sich mindestens als Anwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Domänennamen.
  3. Wählen Sie "Benutzerdefinierte Domäne hinzufügen" aus.
  4. Geben Sie Ihren benutzerdefinierten Domänennamen ein, und wählen Sie "Domäne hinzufügen" aus.
  5. Kopieren Sie auf der Domänenseite die Informationen zum TXT-Eintrag Ihrer Domäne.
  6. Navigieren Sie zu Ihrer Domänenregistrierungsstelle, und erstellen Sie basierend auf den kopierten DNS-Informationen einen neuen TXT-Eintrag für Ihre Domäne.
  7. Nachdem Sie die Domäne registriert haben, wählen Sie auf der Seite der Domäne in der Microsoft Entra-ID "Überprüfen" aus. Nachdem der Domänenstatus überprüft wurde, können Sie die Domäne für alle Ihre Microsoft Entra-Konfigurationen verwenden, einschließlich Anwendungsproxy.

Ausführlichere Anweisungen finden Sie unter Hinzufügen Ihres benutzerdefinierten Domänennamens mithilfe des Microsoft Entra Admin Centers.

Konfigurieren einer App für die Verwendung einer benutzerdefinierten Domäne

Veröffentlichen Sie Ihre App wie folgt per Anwendungsproxy mit einer benutzerdefinierten Domäne:

  1. Navigieren Sie im Microsoft Entra Admin-Center für eine neue App zu Entra ID>Enterprise-Apps>Anwendungsproxy.

  2. Wählen Sie "Neue Anwendung" aus. Wählen Sie im Abschnitt "Lokale Anwendungen" die Option "Lokale Anwendung hinzufügen" aus.

    Wählen Sie für eine App, die sich bereits in Unternehmensanwendungen befindet, sie aus der Liste aus, und wählen Sie dann in der linken Navigation Anwendungsproxy aus.

  3. Geben Sie auf der Seite mit den Anwendungsproxyeinstellungen einen Namen ein, wenn Sie Ihre eigene lokale Anwendung hinzufügen.

  4. Geben Sie im Feld "Interne URL " die interne URL für Ihre App ein.

  5. Wählen Sie im Feld "Externe URL " die Liste aus, und wählen Sie die benutzerdefinierte Domäne aus, die Sie verwenden möchten.

  6. Wählen Sie "Hinzufügen" aus.

    Benutzerdefinierte Domäne auswählen

  7. Wenn die Domäne bereits über ein Zertifikat verfügt, zeigt das Feld "Zertifikat " die Zertifikatinformationen an. Wählen Sie andernfalls das Feld "Zertifikat " aus.

    Klicken Sie hier, um ein Zertifikat hochzuladen.

  8. Navigieren Sie auf der Seite "SSL-Zertifikat " zu Ihrer PFX-Zertifikatdatei, und wählen Sie sie aus. Geben Sie das Kennwort für das Zertifikat ein, und wählen Sie "Zertifikat hochladen" aus. Weitere Informationen zu Zertifikaten finden Sie im Abschnitt " Zertifikate für benutzerdefinierte Domänen ". Wenn das Zertifikat ungültig ist oder es ein Problem mit dem Kennwort gibt, wird eine Fehlermeldung angezeigt. Die häufig gestellten Fragen zum Anwendungsproxy enthalten einige Schritte zur Problembehandlung, die Sie ausprobieren können.

    Zertifikat hochladen

    Tipp

    Für eine benutzerdefinierte Domäne muss das Zertifikat nur einmal hochgeladen werden. Danach wird das hochgeladene Zertifikat automatisch angewendet, wenn Sie die benutzerdefinierte Domäne für andere Apps verwenden.

  9. Wenn Sie ein Zertifikat hinzugefügt haben, wählen Sie auf der Anwendungsproxyseite " Speichern" aus.

  10. Notieren Sie sich in der Informationsleiste auf der Anwendungsproxyseite den CNAME-Eintrag, den Sie Ihrer DNS-Zone hinzufügen müssen.

    Hinzufügen eines CNAME-DNS-Eintrags

  11. Befolgen Sie die Anweisungen unter Verwalten von DNS-Einträgen und Datensatzsätzen mithilfe des Microsoft Entra Admin Centers , um einen DNS-Eintrag hinzuzufügen, der die neue externe URL zur msappproxy.net Domäne in Azure DNS umleitet. Wenn Sie einen anderen DNS-Anbieter verwenden, wenden Sie sich an den Anbieter, um die entsprechenden Anweisungen zu erhalten.

    Wichtig

    Stellen Sie sicher, dass Sie einen CNAME-Eintrag ordnungsgemäß verwenden, der auf die msappproxy.net Domäne verweist. Verweisen Sie keine Einträge auf IP-Adressen oder Server-DNS-Namen, da sie nicht statisch sind und sich möglicherweise auf die Resilienz des Diensts auswirken.

  12. Um zu überprüfen, ob der DNS-Eintrag ordnungsgemäß konfiguriert ist, verwenden Sie den Befehl "nslookup ", um zu bestätigen, dass Ihre externe URL erreichbar ist und die msappproxy.net Domäne als Alias angezeigt wird.

Ihre Anwendung ist jetzt für die Verwendung der benutzerdefinierten Domäne eingerichtet. Achten Sie darauf, dass Sie Ihrer Anwendung Benutzer zuweisen, bevor Sie diese testen oder freigeben.

Um die Domäne für eine App zu ändern, wählen Sie eine andere Domäne aus der Dropdownliste in der externen URL auf der Anwendungsproxyseite der App aus. Laden Sie bei Bedarf ein Zertifikat für die aktualisierte Domäne hoch, und aktualisieren Sie den DNS-Eintrag. Wenn die gewünschte benutzerdefinierte Domäne in der Dropdownliste in der externen URL nicht angezeigt wird, wird sie möglicherweise nicht überprüft.

Ausführlichere Anweisungen für Anwendungsproxys finden Sie im Tutorial: Hinzufügen einer lokalen Anwendung für den Remotezugriff über Anwendungsproxy in Microsoft Entra ID.

Zertifikate für benutzerdefinierte Domänen

Ein Zertifikat erstellt die TLS-Verbindung (Secure Transport Layer Security) für Ihre benutzerdefinierte Domäne.

Zertifikatformate

Sie müssen ein PFX-Zertifikat verwenden, um sicherzustellen, dass alle erforderlichen Zwischenzertifikate enthalten sind. Das Zertifikat muss den privaten Schlüssel enthalten.

Die gängigsten Zertifikatsignaturmethoden wie alternative Antragstellernamen (Subject Alternative Names, SANs) werden unterstützt.

Sie können Platzhalterzertifikate verwenden, solange der Platzhalter mit der externen URL übereinstimmt. Sie müssen Wildcardzertifikate für Wildcardanwendungen verwenden. Wenn Sie das Zertifikat auch zum Zugreifen auf Unterdomänen verwenden möchten, müssen Sie die Unterdomänen-Platzhalter als alternative Antragstellernamen demselben Zertifikat hinzufügen. Beispielsweise schlägt ein Zertifikat für *.adventure-works.com für *.apps.adventure-works.com fehl, es sei denn, Sie fügen *.apps.adventure-works.com einen alternativen Subjektnamen hinzu.

Sie können von Ihrer eigenen Public Key-Infrastruktur (PKI) ausgestellte Zertifikate verwenden, wenn die Zertifikatkette auf Ihren Clientgeräten installiert ist. Microsoft Intune kann diese Zertifikate auf verwalteten Geräten bereitstellen. Bei nicht verwalteten Geräten müssen Sie diese Zertifikate manuell installieren.

Es wird nicht empfohlen, eine private Stammzertifizierungsstelle (Root Certificate Authority, CA) zu verwenden, da die private Stammzertifizierungsstelle auch an Clientcomputer übertragen werden muss, was möglicherweise viele Herausforderungen darstellt.

Zertifikatverwaltung

Die gesamte Zertifikatverwaltung erfolgt über einzelne Anwendungsseiten. Wechseln Sie zur Anwendungsproxyseite der Anwendung, um auf das Feld "Zertifikat " zuzugreifen.

Wenn Sie ein Zertifikat hochladen, verwenden neue Apps es. Solange sie für die Verwendung konfiguriert sind. Allerdings müssen Sie das Zertifikat für Anwendungen, die bereits vorhanden waren, als Sie es hochgeladen haben, erneut hochladen.

Bei Ablauf eines Zertifikats erhalten Sie eine Warnung mit der Aufforderung, ein anderes Zertifikat hochzuladen. Wenn das Zertifikat widerrufen wird, wird benutzern beim Zugriff auf die App möglicherweise eine Sicherheitswarnung angezeigt. Um das Zertifikat für eine App zu aktualisieren, navigieren Sie zur Anwendungsproxyseite für die App, wählen Sie "Zertifikat" aus, und laden Sie ein neues Zertifikat hoch. Alte Zertifikate, die nicht von anderen Anwendungen verwendet werden, werden automatisch gelöscht.

Nächste Schritte

  • Last updated on