Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Entra-programproxy är en säker och kostnadseffektiv fjärråtkomstlösning för lokala program. Det ger en omedelbar övergångsväg för "Cloud First"-organisationer att hantera åtkomst till äldre lokala program som ännu inte kan använda moderna protokoll. Mer introduktionsinformation finns i Vad är programproxy?
Programproxy rekommenderas för att ge fjärranvändare åtkomst till interna resurser. Programproxy ersätter behovet av en VPN- eller omvänd proxy för dessa användningsfall för fjärråtkomst. Den är inte avsedd för användare som är i företagsnätverket. Dessa användare som använder programproxy för intranätåtkomst kan uppleva oönskade prestandaproblem.
Den här artikeln innehåller de resurser du behöver för att planera, driva och hantera Microsoft Entra-programproxy.
Planera implementeringen
Följande avsnitt innehåller en bred vy över de viktigaste planeringselementen som konfigurerar dig för en effektiv distributionsupplevelse.
Förutsättningar
Du måste uppfylla följande krav innan du påbörjar implementeringen. Du kan se mer information om hur du konfigurerar din miljö, inklusive dessa förutsättningar, i självstudien.
Anslutningsappar: Anslutningsappar är enkla agenter som du kan distribuera till:
- Fysisk maskinvara lokalt
- En virtuell dator (VM) som finns i valfri hypervisor-lösning
- En virtuell dator som finns i Azure för att aktivera utgående anslutning till programproxytjänsten.
För en mer detaljerad översikt, se Översikt av privata nätverksanslutningar i Microsoft Entra.
Anslutningsmaskiner måste ha stöd för Transport Layer Security (TLS) 1.2 innan anslutningarna installeras.
Distribuera om möjligt anslutningsappar i samma nätverk och segment som bakändens webbapplikationsservrar. Det är bäst att distribuera kontakter när du har slutfört en programidentifiering.
Vi rekommenderar att varje anslutningsgrupp har minst två anslutningar för hög tillgänglighet och skalbarhet. Att ha tre kontakter är optimalt för att underhålla en maskin vid varje tidpunkt. Granska kapacitetstabellen för anslutningsappen för att avgöra vilken typ av dator som anslutningsappen ska ha.
Inställningar för nätverksåtkomst: Microsoft Entra privata nätverksanslutningar ansluter till Azure via HTTPS (Transmission Control Protocol (TCP) Port 443) och HTTP (TCP Port 80).
Det går inte att terminera TLS-trafik för anslutningar och detta hindrar anslutningarna från att upprätta en säker kanal med sina respektive Microsoft Entra-applikationsproxyslutpunkter.
Undvik alla former av inspektion av utgående TLS-kommunikation mellan anslutningar och Azure. Intern kontroll mellan en anslutningsapp och serverdelsprogram är möjlig, men kan försämra användarupplevelsen och rekommenderas därför inte.
Belastningsutjämning av själva anslutningarna stöds inte heller, eller är ens nödvändigt.
Viktiga överväganden innan du konfigurerar Microsoft Entra-programproxy
Följande grundläggande krav måste uppfyllas för att konfigurera och implementera Microsoft Entra-programproxy.
Azure-registrering: Innan du distribuerar programproxy måste användaridentiteter synkroniseras från en lokal katalog eller skapas direkt i dina Microsoft Entra-klienter. Med identitetssynkronisering kan Microsoft Entra-ID förautentisera användare innan de beviljas åtkomst till programproxypublicerade program och ha nödvändig information om användaridentifierare för att utföra enkel inloggning (SSO).
Krav för villkorsstyrd åtkomst: Vi rekommenderar inte att du använder programproxy för intranätåtkomst eftersom det lägger till svarstid som påverkar användarna. Vi rekommenderar att du använder programproxy med principer för förautentisering och villkorlig åtkomst för fjärråtkomst från Internet. En metod för att tillhandahålla villkorsstyrd åtkomst för intranätanvändning är att modernisera program så att de kan autentisera direkt med Microsoft Entra-ID. Mer information finns i Resurser för att migrera program till Microsoft Entra-ID.
Tjänstbegränsningar: För att skydda mot överanvändning av resurser från enskilda klientorganisationer finns begränsningar per program och klientorganisation. Om du vill se dessa gränser kan du läsa om begränsningar och begränsningar för Microsoft Entra-tjänsten. Dessa begränsningsgränser baseras på ett riktmärke utöver den vanliga användningsvolymen och ger gott om buffert för de flesta distributioner.
Offentligt certifikat: Om du använder anpassade domännamn måste du skaffa ett TLS-certifikat. Beroende på organisationens krav kan det ta lite tid att skaffa ett certifikat och vi rekommenderar att du påbörjar processen så tidigt som möjligt. Azure-programproxy stöder standardcertifikat, jokertecken eller SAN-baserade certifikat. Mer information finns i Konfigurera anpassade domäner med Microsoft Entra-programproxy.
Domänkrav: Om du vill använda Kerberos-begränsad delegering (KCD) för enkel inloggning kontrollerar du att både anslutningsservern och programservern är domänanslutna och antingen i samma domän eller i betrodda domäner. Anslutningstjänsten körs under det lokala systemkontot och bör inte använda en anpassad identitet. Mer information finns i KCD för enkel inloggning.
DNS-poster för URL:er
Innan du använder anpassade domäner i programproxyn måste du skapa en CNAME-post i det offentliga domännamnssystemet (DNS), så att klienterna kan matcha den anpassade definierade externa URL:en till den fördefinierade programproxyadressen. Att misslyckas med att skapa en CNAME-post för ett program som använder en anpassad domän förhindrar fjärranvändare från att ansluta till programmet. De steg som krävs för att lägga till CNAME-poster kan variera från DNS-provider till provider, så lär dig hur du hanterar DNS-poster och postuppsättningar med hjälp av administrationscentret för Microsoft Entra.
På samma sätt måste anslutningsvärdar kunna lösa den interna URL:en för program som publiceras.
Administrativa rättigheter och roller
Installationen av anslutningsappen kräver lokala administratörsrättigheter till den Windows-server som den installeras på. Det krävs också minst en programadministratörsroll för att autentisera och registrera anslutningsinstansen till din Microsoft Entra-klientorganisation.
Programpublicering och -administration kräver rollen Programadministratör . Programadministratörer kan hantera alla program i katalogen, inklusive registreringar, SSO-inställningar, användar- och grupptilldelningar och licensiering, inställningar för programproxy och medgivande. Den ger inte möjlighet att hantera villkorsstyrd åtkomst. Rollen Molnprogramadministratör har alla funktioner som programadministratör, förutom att den inte tillåter hantering av programproxyinställningar.
Licensiering: programproxy är tillgänglig via en Microsoft Entra ID P1- eller P2-prenumeration. Se prissidan för Microsoft Entra för en fullständig lista över licensieringsalternativ och -funktioner.
Applikationsupptäckt
Kompilera en inventering av alla program inom omfånget som publiceras via programproxy genom att samla in följande information:
| Informationstyp | Information som ska samlas in |
|---|---|
| Tjänsttyp | Till exempel: SharePoint, SAP, CRM, Custom Web Application, API |
| Programplattform | Till exempel: Windows Internet Information Services (IIS), Apache på Linux, Tomcat, NGINX |
| Domänmedlemskap | Webbserverns fullständigt kvalificerade domännamn (FQDN) |
| Applikationsplats | Webbserverns eller servergruppens placering i din infrastruktur |
| Intern åtkomst | Den exakta URL:en som används vid åtkomst till programmet internt. Vilken typ av belastningsutjämning används om det är en serverfarm? Om programmet hämtar innehåll från andra källor än sig självt. Kontrollera om programmet fungerar via WebSockets. |
| Extern åtkomst | Leverantörslösningen som programmet kanske redan exponeras utåt via. Den URL som du vill använda för extern åtkomst. Om Du använder SharePoint kontrollerar du att alternativa åtkomstmappningar har konfigurerats enligt vägledningen. Annars måste du definiera externa URL:er. |
| Offentligt certifikat | Om du använder en anpassad domän skaffar du ett certifikat med motsvarande ämnesnamn. Om det finns ett certifikat bör du notera serienumret och platsen där det kan hämtas. |
| Autentiseringstyp | Den typ av autentisering som stöds av programstödet, till exempel Basic, Windows Integration Authentication, formulärbaserad, rubrikbaserad och anspråk. Om programmet är konfigurerat att köras under ett specifikt domänkonto bör du notera det fullständiga domännamnet (FQDN) för tjänstkontot. Om det är SAML-baserat, identifierarens och svars-URL:ernas adresser. Om baserad på rubrik, leverantörens lösning och specifika krav för hantering av autentiseringstypen. |
| Gruppnamn för anslutningsgrupp | Det logiska namnet för gruppen av kontakter som är avsedda att tillhandahålla flödet och enkel inloggning till backend-applikationen. |
| Åtkomst till användare/grupper | De användare eller användargrupper som beviljas extern åtkomst till programmet. |
| Fler krav | Observera eventuella fler fjärråtkomst- eller säkerhetskrav som bör beaktas vid publicering av programmet. |
Du kan ladda ned kalkylbladet för programinventering för att inventera dina appar.
Definiera organisationens krav
Följande är områden där du bör definiera organisationens affärskrav. Varje område innehåller exempel på krav
Tillträde
Fjärranvändare med domänanslutna eller Microsoft Entra-anslutna enheter kan komma åt publicerade program på ett säkert sätt med sömlös enkel inloggning (SSO).
Fjärranvändare med godkända personliga enheter kan på ett säkert sätt komma åt publicerade program förutsatt att de har registrerats i MFA och registrerat Microsoft Authenticator-appen på sin mobiltelefon som en autentiseringsmetod.
Styrelseskick
- Administratörer kan definiera och övervaka livscykeln för användartilldelningar till program som publiceras via programproxy.
Säkerhet
- Endast användare som tilldelats program via gruppmedlemskap eller individuellt kan komma åt dessa program.
Föreställning
- Det finns ingen försämring av programprestanda jämfört med att komma åt programmet från det interna nätverket.
Användarupplevelse
- Användarna är medvetna om hur de kommer åt sina program med hjälp av välbekanta företags-URL:er på valfri enhetsplattform.
Granskning
- Administratörer kan granska användaråtkomstaktivitet.
Metodtips för en pilot
Fastställa hur lång tid och ansträngning som krävs för att helt beställa ett enda program för fjärråtkomst med enkel inloggning (SSO). Gör det genom att köra en pilot som tar hänsyn till den första identifieringen, publiceringen och den allmänna testningen. Att använda ett enkelt IIS-baserat webbprogram som redan är förkonfigurerat för integrerad Windows-autentisering (IWA) skulle hjälpa till att upprätta en baslinje, eftersom konfigurationen kräver minimalt arbete för att kunna testa fjärråtkomst och enkel inloggning.
Följande designelement bör öka framgången för pilotimplementeringen direkt i en produktionsmiljö.
Hantering av anslutningar:
Anslutningsappar spelar en viktig roll när det gäller att tillhandahålla den lokala kanalen till dina program. Att använda standardanslutningsgruppen är tillräckligt för inledande pilottestning av publicerade program innan de tas i drift i produktion. Program som har testats kan sedan flyttas till produktionsanslutningsgrupper.
Programhantering:
Din personal kommer troligen ihåg att en extern URL är bekant och relevant. Undvik att publicera ditt program med hjälp av våra fördefinierade msappproxy.net eller onmicrosoft.com suffix. Ange i stället en välbekant verifierad domän på den översta nivån, prefixet med ett logiskt värdnamn, till exempel intranät.<>customers_domain.com.
Begränsa synligheten för pilotprogrammets ikon till en pilotgrupp genom att dölja startikonen från Azure MyApps-portalen. När du är redo för produktion kan du begränsa appen till dess respektive målgrupp, antingen i samma förproduktionsorganisation eller genom att publicera appen i din produktionsorganisation.
Inställningar för enkel inloggning: Vissa SSO-inställningar har specifika beroenden som kan ta tid att konfigurera, så undvik fördröjningar i ändringskontrollen genom att se till att beroenden åtgärdas i förväg. Processen omfattar domänanslutning av värddatorer för anslutning för att utföra enkel inloggning med Kerberos-begränsad delegering (KCD) och hantering av andra tidskrävande aktiviteter.
TLS Mellan anslutningsvärd och målprogram: Säkerheten är av största vikt, så TLS mellan anslutningsvärden och målprogrammen bör alltid användas. Särskilt om webbprogrammet har konfigurerats för formulärbaserad autentisering (FBA), som autentiseringsuppgifter för användare, överförs effektivt i klartext.
Implementera stegvis och testa varje steg. Utför grundläggande funktionell testning efter publicering av ett program för att säkerställa att alla användar- och affärskrav uppfylls:
Testa och verifiera allmän åtkomst till webbprogrammet med förautentisering inaktiverad. Om det lyckas aktiverar du förautentisering och tilldelar användare och grupper. Testa och verifiera sedan åtkomsten. Lägg sedan till SSO-metoden för ditt program och testa igen för att verifiera åtkomsten. Tillämpa slutligen principer för villkorsstyrd åtkomst och MFA efter behov. Testa och verifiera åtkomst.
Felsökningsverktyg: Börja felsöka genom att kontrollera åtkomsten till det publicerade programmet direkt från webbläsaren på anslutningsvärden. Kontrollera att programmet fungerar som förväntat. Förenkla konfigurationen för att isolera problem, till exempel genom att använda en enda anslutning och inaktivera SSO. Verktyg som Teleriks Fiddler kan hjälpa dig att felsöka åtkomst- eller innehållsproblem genom att spåra trafik, inklusive för mobila plattformar som iOS och Android. Mer information finns i felsökningsguiden.
Implementera din lösning
Distribuera applikationsproxy
Stegen för att distribuera programproxyn beskrivs i självstudien för att lägga till ett lokalt program för fjärråtkomst. Om installationen inte lyckas väljer du Felsök programproxy i portalen eller använder felsökningsguiden för problem med att installera anslutningsagenten för programproxy.
Publicera applikationer via applikationsproxy
Publicering av program förutsätter att du uppfyller alla krav och att du har flera anslutningar som visas som registrerade och aktiva på applikationsproxysidan.
Du kan också publicera program med hjälp av PowerShell.
Bästa metoder att följa vid publicering av en applikation:
Använd anslutningsgrupper: Tilldela en anslutningsgrupp som är avsedd för publicering av varje respektive program. Vi rekommenderar att varje anslutningsgrupp har minst två anslutningar för hög tillgänglighet och skalbarhet. Att ha tre kontakter är optimalt om du behöver underhålla en maskin någon gång. Se dessutom Förstå grupper för privata nätverksanslutningar i Microsoft Entra för att se hur du även kan använda anslutningsgrupper för att segmentera dina anslutningar efter nätverk eller plats.
Ange tidsgräns för serverdelsprogram: Inställningen är användbar i scenarier där programmet kan kräva mer än 75 sekunder för att bearbeta en klienttransaktion. Till exempel när en klient skickar en fråga till ett webbprogram som fungerar som en klientdel till en databas. Klientdelen skickar frågan till sin serverdelsdatabasserver och väntar på ett svar, men när den får ett svar överskrider klientsidan av konversationen tidsgränsen. Om du anger tidsgränsen till Long får du 180 sekunder för längre transaktioner att slutföras.
Använda lämpliga cookietyper
HTTP-Only Cookie: Ger extra säkerhet genom att låta programproxyn innehålla HTTPOnly-flaggan i HTTP-svarshuvuden för set-cookie. Inställningen hjälper till att minimera kryphål, till exempel XSS (cross-site scripting). Lämna inställt på Nej för klienter/användaragenter som kräver åtkomst till sessionscookien. Till exempel en RDP/MTSC-klient som ansluter till en fjärrskrivbordsgateway publicerad via en applikationsproxy.
Säker cookie: När en cookie anges med attributet Säker innehåller användaragenten (klientsidans app) endast cookien i HTTP-begäranden om begäran skickas via en TLS-skyddad kanal. Inställningen hjälper till att minska risken för att en cookie komprometteras via tydliga textkanaler, så bör aktiveras.
Beständig cookie: Tillåter att cookien för programproxysessionen bevaras mellan webbläsarstängningar genom att förbli giltig tills den antingen upphör att gälla eller tas bort. Används för scenarier där ett omfattande program, till exempel Office, kommer åt ett dokument i ett publicerat webbprogram, utan att användaren blir omgjord för autentisering. Aktivera dock med försiktighet, eftersom beständiga cookies i slutändan kan lämna en tjänst i riskzonen för obehörig åtkomst, om den inte används med andra kompenserande kontroller. Den här inställningen bör endast användas för äldre program som inte kan dela cookies mellan processer. Det är bättre att uppdatera ditt program för att hantera delning av cookies mellan processer i stället för att använda inställningen.
Översätt URL:er i rubriker: Du aktiverar inställningen för scenarier där intern DNS inte kan konfigureras för att matcha organisationens offentliga namnområde (t.ex. delad DNS). Om inte programmet kräver det ursprungliga värdhuvudet i klientbegäran lämnar du värdet inställt på Ja. Alternativet är att anslutningsappen använder FQDN i den interna URL:en för routning av den faktiska trafiken och FQDN i den externa URL:en som värdhuvud. I de flesta fall bör alternativet tillåta att programmet fungerar som vanligt, när det nås via fjärranslutning, men användarna förlorar fördelarna med att ha en matchning inuti och utanför URL:en.
Översätta URL:er i programtext: Aktivera länköversättning för programtext för en app när du vill att länkarna från appen ska översättas i svar tillbaka till klienten. Om den är aktiverad ger funktionen ett bästa försök att översätta alla interna länkar som programproxyn hittar i HTML- och CSS-svar som returneras till klienter. Det är användbart när du publicerar appar som innehåller hårdkodade absoluta länkar eller NetBIOS-kortnamnslänkar i innehållet eller appar med innehåll som länkar till andra lokala program.
För scenarier där en publicerad app länkar till andra publicerade appar aktiverar du länköversättning för varje program så att du har kontroll över användarupplevelsen på per app-nivå.
Anta till exempel att du har tre program publicerade via programproxy som alla länkar till varandra: Förmåner, Utgifter och Resor, plus en fjärde app, Feedback som inte publiceras via programproxy.
När länköversättning har aktiverats för appen Förmåner omdirigeras länkar till utgifts- och reseapparna till deras externa URL:er så att externa användare kan komma åt dem. Länkar från Utgifter och resor tillbaka till förmåner fungerar dock inte om inte länköversättning också är aktiverat för dessa appar. Länken feedbackapp omdirigeras inte eftersom den saknar en extern URL, vilket hindrar externa användare från att komma åt den via appen Fördelar. Mer information finns i alternativ för länköversättning och omdirigering.
Få åtkomst till ditt program
Hantera åtkomst till publicerade resurser för programproxy genom att välja den metod som bäst passar dina scenario- och skalbarhetskrav. Vanliga metoder är att synkronisera lokala grupper via Microsoft Entra Connect, skapa dynamiska grupper i Microsoft Entra-ID baserat på användarattribut, aktivera självbetjäningsgrupper som hanteras av resursägare eller kombinera dessa strategier. Utforska de länkade resurserna för att förstå fördelarna med varje metod.
Det enklaste sättet att tilldela användare åtkomst till ett program är att gå till alternativen Användare och grupper från den vänstra rutan i det publicerade programmet och direkt tilldela grupper eller individer.
Du kan också tillåta användare att självbetjäningsåtkomst till ditt program genom att tilldela en grupp som de för närvarande inte är medlem i och konfigurera självbetjäningsalternativen.
Om det är aktiverat loggar användarna in på MyApps-portalen för att begära åtkomst. De godkänns automatiskt och läggs till i självbetjäningsgruppen eller kräver godkännande från en utsedd godkännare.
Gästanvändare kan också bjudas in för att få åtkomst till interna applikationer som publicerats via programproxy genom Microsoft Entra B2B.
För lokala program som normalt är tillgängliga anonymt, utan autentisering, kanske du vill inaktivera alternativet som finns i programmets egenskaper.
Om alternativet är inställt på Nej kan användarna komma åt det lokala programmet via Microsoft Entra-programproxyn utan behörighet, så använd med försiktighet.
När programmet har publicerats bör det vara tillgängligt genom att skriva dess externa URL i en webbläsare eller med dess ikon på https://myapps.microsoft.com.
Aktivera förautentisering
Kontrollera att ditt program är tillgängligt via programproxy och kommer åt det via den externa URL:en.
Bläddra till Entra ID>Enterprise-appar>Alla program och välj den app som du vill hantera.
Välj programproxy.
I fältet Förautentisering använder du listrutan för att välja Microsoft Entra-ID och väljer Spara. Med förautentisering aktiverat autentiserar Microsoft Entra-ID först användare. Om enkel inloggning har konfigurerats verifierar serverdelsprogrammet även användaren innan åtkomst beviljas. Om du byter förautentiseringsläge från Passthrough till Microsoft Entra ID skyddas den externa URL:en med HTTPS, vilket säkerställer att alla program som ursprungligen använder HTTP nu fungerar via HTTPS.
Aktivera enkel inloggning
SSO förbättrar användarupplevelsen och säkerheten genom att tillåta användare att logga in en gång med Microsoft Entra ID. Efter förautentisering loggar anslutningsappen för privata nätverk in på det lokala programmet för användaren, vilket gör att det ser ut som om användaren loggade in direkt.
Om du väljer alternativet Direktåtkomst kan användarna komma åt det publicerade programmet utan att någonsin behöva autentisera sig mot Microsoft Entra-ID.
För att aktivera enkel inloggning måste programmet förautentisera användare med Microsoft Entra-ID. Utan förautentisering är alternativ för enkel inloggning inte tillgängliga.
Läs Enkel inloggning till program i Microsoft Entra-ID för att hjälpa dig att välja den lämpligaste SSO-metoden när du konfigurerar dina program.
Arbeta med andra typer av program
Microsoft Entra-programproxy stöder program som skapats med Microsoft Authentication Library (MSAL). Den hanterar interna klientappar med hjälp av Microsoft Entra-ID-token i klientbegäranderubriker för att förautentisera användare.
Läs mer om tillgängliga konfigurationer av programproxy. Läs om att publicera inhemska och mobila klientappar och applikationer baserade på anspråk.
Stärka säkerheten med villkorsstyrd åtkomst
Programsäkerhet kräver en avancerad uppsättning säkerhetsfunktioner som kan skydda mot och svara på komplexa hot lokalt och i molnet. Använd principer för villkorlig åtkomst för att styra åtkomsten till dina program baserat på många villkor som plats, risk, enhetstyp, enhetsefterlevnad med mera. Exempel på principer som du kan distribuera finns i artikeln Mallar för villkorsstyrd åtkomst.
Följande funktioner kan användas för att stödja Microsoft Entra-programproxy:
Användar- och platsbaserad villkorlig åtkomst: Skydda känsliga data genom att begränsa användaråtkomsten baserat på geo-plats eller en IP-adress med platsbaserade principer för villkorsstyrd åtkomst.
Enhetsbaserad villkorlig åtkomst: Se till att endast registrerade, godkända och kompatibla enheter kan komma åt företagsdata med enhetsbaserad villkorlig åtkomst.
Programbaserad villkorlig åtkomst: Arbetet behöver inte stoppas när en användare inte finns i företagsnätverket. Skydda åtkomsten till företagsmoln och lokala appar och upprätthålla kontrollen med villkorlig åtkomst.
Riskbaserad villkorlig åtkomst: Skydda dina data från skadliga hackare med en riskbaserad princip för villkorsstyrd åtkomst som kan tillämpas på alla appar och alla användare, både lokalt eller i molnet.
Microsoft Entra Mina appar: Med din programproxytjänst distribuerad och program på ett säkert sätt publicerade, erbjuder du användarna en enkel hubb för att identifiera och komma åt alla sina program. Öka produktiviteten med självbetjäningsfunktioner, till exempel möjligheten att begära åtkomst till nya appar och grupper eller hantera åtkomst till dessa resurser för andras räkning, via Mina appar.
Hantera implementeringen
Roller som krävs
Microsoft förespråkar principen om att ge minsta möjliga behörighet att utföra nödvändiga uppgifter med Microsoft Entra-ID. Granska de olika Azure-roller som är tillgängliga och välj rätt för att uppfylla behoven för varje persona. Vissa roller måste tillämpas tillfälligt och tas bort när distributionen har slutförts.
| Affärsroll | Affärsuppgifter | Microsoft Entraroller |
|---|---|---|
| Supportadministratör | Hanterar grundläggande användarsupportuppgifter som att återställa lösenord, ogiltigförklara uppdateringstoken och kontrollera tjänstens hälsotillstånd. | Supportadministratör |
| Identitetsadministratör | Läs Microsoft Entra-inloggningsrapporter och granskningsloggar för att felsöka problem med programproxy. | Säkerhetsläsare |
| Programägare | Skapa och hantera alla aspekter av företagsprogram, programregistreringar och inställningar för programproxy. | Appadministratör |
| Infrastrukturadministratör | Ägare av certifikatomläggning | Appadministratör |
Att minimera antalet personer som har åtkomst till säker information eller resurser bidrar till att minska risken för att en obehörig aktör får obehörig åtkomst eller att en behörig användare oavsiktligt påverkar en känslig resurs.
För att hantera administrativ åtkomst effektivt och säkerställa korrekt granskning rekommenderar vi att du använder just-in-time-åtkomst (JIT) med Privileged Identity Management. Den här metoden ger privilegierad åtkomst på begäran till Azure-resurser och Microsoft Entra-ID endast när det behövs.
Rapportering och övervakning
Microsoft Entra-ID ger mer insikter om din organisations programanvändning och driftshälsa via granskningsloggar och rapporter. Applikationsproxy gör det också enkelt att övervaka anslutningar från Microsoft Entra administrationscenter och Windows-händelseloggar.
Granskningsloggar för program
De här loggarna innehåller detaljerad information om inloggningar till program som konfigurerats med programproxy och enheten och användaren som kommer åt programmet. Granskningsloggar finns i administrationscentret för Microsoft Entra och i Gransknings-API för export. Dessutom är användnings- och insiktsrapporter också tillgängliga för ditt program.
Övervakning av privata nätverksanslutningar
Kopplingarna och tjänsten hanterar alla uppgifter med hög tillgänglighet. Du kan övervaka statusen för dina anslutningsappar från programproxysidan i administrationscentret för Microsoft Entra. För mer information om underhåll av kontakter, se Lär dig om Microsoft Entra privata nätverkskontakter.
Windows-händelseloggar och prestandaräknare
Anslutningsappar har både administratörs- och sessionsloggar. Administratörsloggarna innehåller viktiga händelser och deras fel. Sessionsloggarna innehåller alla transaktioner och deras bearbetningsinformation. Loggar och räknare finns i Windows-händelseloggar. För mer information, se Genomgång av privata Microsoft Entra-nätverksanslutningar. Följ handledningen för att konfigurera datakällor för händelseloggar i Azure Monitor.
Felsökningsguide och steg
Läs mer om vanliga problem och hur du löser dem med vår guide för felsökning av felmeddelanden.
Relaterat innehåll
Följande artiklar beskriver vanliga scenarier som också kan användas för att skapa felsökningsguider för din supportorganisation.