Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as etapas que você pode executar para solucionar problemas e mensagens de erro no proxy de aplicativo do Microsoft Entra.
Antes de começar
A primeira coisa a verificar é o conector. Para saber como depurar um conector de rede privado, consulte Depurar problemas de conector de rede privada. Se você ainda tiver problemas para se conectar ao seu aplicativo, retorne a este artigo para solucionar problemas do aplicativo.
Se um usuário encontrar um erro ao acessar ou publicar um aplicativo, use estas etapas para verificar se o proxy de aplicativo do Microsoft Entra está funcionando corretamente:
Abra o console Serviços no Windows. Verifique se o serviço de conector de rede privada do Microsoft Entra está habilitado e em execução. Examine a página de propriedades do serviço proxy de aplicativo.
Abra o Visualizador de Eventos. Acesse Logs de Aplicativos e Serviços>Microsoft>Entra rede privada>Conector>Admin e verifique se há eventos de conector de rede privada.
Examine os logs detalhados. Saiba como ativar logs de sessão do conector de rede privada.
Erros de configuração do aplicativo
Examine as seções a seguir para obter problemas comuns de configuração e resoluções sugeridas.
O aplicativo não é renderizado corretamente
Você tem problemas com a renderização do aplicativo ou funciona incorretamente, mas nenhuma mensagem de erro específica é exibida.
Esse problema ocorrerá se um aplicativo exigir conteúdo que existe fora do caminho usado para publicar o aplicativo.
Por exemplo, se você publicar o caminho https://yourapp/app, mas o aplicativo se referir a imagens que estão localizadas em https://yourapp/media, as imagens não aparecerão no aplicativo.
Certifique-se de publicar o aplicativo usando o caminho de nível mais alto necessário para incluir todos os arquivos e conteúdo referenciados. No exemplo, esse nível é http://yourapp/.
Verifique se os recursos ausentes causaram o problema:
- Abra o rastreador de rede, como usar o Fiddler ou ferramentas de desenvolvedor do navegador (selecione F12 no Internet Explorer ou Microsoft Edge).
- Carregue a página.
- Procure erros de ID de erro 404.
Um erro 404 indica que as páginas não podem ser encontradas e que você precisa publicá-las.
O aplicativo leva muito tempo para ser carregado
Os aplicativos podem ser funcionais, mas têm uma latência longa.
Você pode fazer alterações na topologia de rede para melhorar a velocidade do aplicativo. Examine as considerações de rede.
Problema ao publicar como um único aplicativo
Se você não puder publicar todos os recursos no mesmo aplicativo, publique vários aplicativos e configure links entre eles. Para esse cenário, recomendamos que você use domínios personalizados. No entanto, essa solução exige que você possua o certificado para seu domínio e que seus aplicativos usem FQDNs (nomes de domínio totalmente qualificados). Para outras opções, solucione problemas de links quebrados.
Problema ao configurar a conectividade para um aplicativo
Para obter causas e resoluções sugeridas, consulte Portas para abrir para um proxy de aplicativo.
Problema ao configurar o proxy de aplicativo do Microsoft Entra no portal de administração
Para obter causas e resoluções sugeridas, consulte Autenticação única em um aplicativo proxy.
Problema ao configurar a autenticação de back-end para o aplicativo
Para obter causas e resoluções sugeridas, consulte estes artigos:
- Solucionar problemas de delegação restrita de Kerberos
- Logon único usando o proxy de aplicativo e PingAccess
Não é possível entrar no aplicativo
Se você vir o erro This corporate app can’t be accessed e não conseguir entrar no aplicativo, ocorreu um erro de configuração. Para obter resoluções sugeridas, consulte Solucionar erros de tempo limite de gateway incorretos.
Erros de conector de rede privada
Para obter causas e resoluções sugeridas, consulte Instalar o conector de rede privada.
Erros de Kerberos
A tabela a seguir descreve os erros mais comuns e sua resolução na instalação e configuração do Kerberos:
| Erro | Explicação e etapas a serem tomadas |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Se a instalação do conector falhar, verifique se a política de execução do PowerShell não está desabilitada. 1. Abra o Editor de Política de Grupo. 2. Vá paraModelos Administrativos> de Configuração> do ComputadorWindows Componentes>Windows PowerShell e clique duas vezes em Ativar Execução de Script. 3. A política de execução pode ser definida como Não Configurada ou Habilitada. Se a política estiver definida como Habilitada, verifique se, em Opções, a política de execução está definida como Permitir scripts locais e scripts assinados remotos ou permitir todos os scripts. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Esse erro indica a configuração incorreta entre a ID do Microsoft Entra e o servidor de aplicativos de back-end ou há um problema com a configuração de data e hora em ambos os computadores. O servidor de back-end recusou o ticket Kerberos criado pelo Microsoft Entra ID. Verifique se a ID do Microsoft Entra e o servidor de aplicativos de back-end estão configurados corretamente. Verifique se a configuração de data e hora na ID do Microsoft Entra e no servidor de aplicativos de back-end está sincronizada. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Há um problema com a configuração do STS (serviço de token de segurança). Corrija a configuração da declaração de Nome Principal do Usuário (UPN) no STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Esse evento indica a configuração incorreta entre a ID do Microsoft Entra e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambos os computadores. O controlador de domínio recusou o tíquete do Kerberos criado pelo Microsoft Entra ID. Verifique se o Microsoft Entra ID e o servidor de aplicativos de back-end estão configurados corretamente, especialmente a configuração do SPN (nome da entidade de serviço). Verifique se o controlador de domínio estabelece uma relação de confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Verifique se a configuração de data e hora na ID do Microsoft Entra e no controlador de domínio estão sincronizadas. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Esse evento indica a configuração incorreta entre a ID do Microsoft Entra e o servidor do controlador de domínio ou um problema na configuração de data e hora em ambos os computadores. O controlador de domínio recusou o tíquete do Kerberos criado pelo Microsoft Entra ID. Verifique se a ID do Microsoft Entra e o servidor de aplicativos de back-end estão configurados corretamente, especialmente a configuração do SPN. Verifique se o controlador de domínio estabelece uma relação de confiança com o Microsoft Entra ID. Ambos devem usar o mesmo domínio. Certifique-se de que as configurações de data e hora no Microsoft Entra ID e no controlador de domínio estejam sincronizadas. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Esse evento indica a configuração incorreta entre a ID do Microsoft Entra e o servidor de aplicativos de back-end ou um problema na configuração de data e hora em ambos os computadores. O servidor de back-end rejeitou o tíquete Kerberos criado pela identificação do Microsoft Entra. Verifique se a ID do Microsoft Entra e o servidor de aplicativos de back-end estão configurados corretamente. Verifique se a configuração de data e hora na ID do Microsoft Entra e no servidor de aplicativos de back-end está sincronizada. Para obter mais informações, consulte Solucionar problemas de configurações de delegação restrita do Kerberos para proxy de aplicativo. |
Erros do usuário do aplicativo
A tabela a seguir descreve os erros que um usuário do aplicativo pode encontrar ao tentar acessar um aplicativo proxy de aplicativo:
| Erro | Explicação e etapas a serem tomadas |
|---|---|
The website cannot display the page. |
Um usuário vê o erro ao tentar acessar um aplicativo IWA (Autenticação Integrada do Windows) publicado. O SPN definido para o aplicativo está incorreto. Verifique se o SPN do aplicativo está correto. |
The website cannot display the page. |
Um usuário vê o erro ao tentar acessar um aplicativo OWA (Outlook Web Application) publicado. O problema resulta de: - O SPN definido para o aplicativo está incorreto. Verifique se o SPN do aplicativo está correto. - O usuário que tentou acessar o aplicativo está usando uma conta da Microsoft em vez de sua conta corporativa para entrar ou o usuário é um usuário convidado. Verifique se o usuário entra usando uma conta corporativa que corresponda ao domínio do aplicativo publicado. Usuários e convidados da Conta da Microsoft não podem acessar aplicativos IWA. - O usuário que tentou acessar o aplicativo não está definido corretamente para o aplicativo na configuração local. Verifique se o usuário tem as permissões locais necessárias para acessar o aplicativo de back-end. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
Esse erro ocorre quando um usuário tenta acessar um aplicativo usando uma conta da Microsoft ou como um usuário convidado. Usuários e convidados da Conta da Microsoft não podem acessar aplicativos IWA. Verifique se o usuário entra com uma conta corporativa que corresponda ao domínio do aplicativo. Para corrigir o problema, vá para a guia Aplicativo , em Usuários e Grupos, e atribua o usuário ou grupo ao aplicativo. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
O usuário que tentou acessar o aplicativo não está definido corretamente para o aplicativo na configuração local. Verifique se o usuário tem as permissões locais necessárias para acessar o aplicativo de back-end. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Um usuário verá o erro ao tentar acessar o aplicativo publicado se ele não tiver sido atribuído explicitamente com uma licença Premium pelo administrador do assinante. Na guia Licenças de ID do Microsoft Entra do assinante, verifique se o usuário ou grupo de usuários recebeu uma licença Premium. |
A server with the specified host name could not be found. |
Um usuário vê o erro quando tenta acessar o aplicativo publicado e o domínio personalizado do aplicativo não está configurado corretamente. Verifique o certificado do domínio e configure o registro DNS (Sistema de Nomes de Domínio) corretamente. Para obter mais informações, consulte Trabalhar com domínios personalizados no proxy de aplicativo do Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
O problema pode ser um problema com o acesso às informações de autorização. Para saber mais, confira (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Para resolver o erro, adicione a conta de máquina do conector de rede privada ao grupo de domínio padrão "Windows Authorization Access Group". |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
O conector usa um certificado do cliente para proteger conexões de saída com pontos de extremidade do serviço de nuvem proxy de aplicativo do Microsoft Entra. O erro ocorre quando o certificado do cliente não chega ao endpoint. Por exemplo, pode ocorrer quando um dispositivo de rede executa a inspeção TLS (Transport Layer Security) ou interrompe a conexão TLS. Para resolver o erro, evite a inspeção embutida e o término das comunicações TLS de saída. A inspeção e a terminação não devem ocorrer entre os conectores de rede privada do Microsoft Entra e os serviços de nuvem de proxy de aplicativo do Microsoft Entra. |