在我以前的博客中,我向您展示了 如何在Windows Server 2019上部署工作文件夹。在此博客中,我将向您展示如何通过Azure活动目录应用程序代理配置对这些工作文件夹的远程访问。使用Azure AD应用程序代理的最大好处是,您不需要昂贵的反向代理解决方案,也不必打开防火墙端口,因此它也更安全。
要求
在开始之前,请注意以下要求;
- 工作文件夹服务器已启动并正在运行(请参阅此 分步博客)
- Azure AD 应用程序代理已启动并正在运行(请参阅此 分步博客)
- Azure AD 基本或高级许可证
- 用户必须拥有一个从本地域同步到Azure AD的帐户
- iOS,Android或Windows 10(1703或更高版本)设备进行测试
我的环境
在本地域中,我具有以下用于此配置的服务器;
- 环境管理体系 01(应用程序代理服务器)
- 环境管理体系 File01(工作文件夹服务器)
Azure AD Sync已启动并正在运行,并且所有用户都从本地域同步到我的Azure AD租户。
在这个博客中
在本博客中,我将逐步介绍以下主题:
- 为工作文件夹服务器创建一个SPN
- 配置约束委派
- 创建工作文件夹代理应用程序
- 创建工作文件夹本机应用程序
- 测试结果
步骤1:为工作文件夹服务器创建一个SPN
首先,我们需要为工作文件夹服务器创建一个SPN。在以后的步骤中,我们在Azure中创建应用程序时需要此SPN。对于以下步骤,登录到域控制器。
打开一个 命令提示符 具有提升的权限并运行以下命令;
setspn -S http / workfolders。<domain> <Work Folder server>
现在创建了工作文件夹服务器的SPN。
步骤2:配置约束委派
对于下一步,请保留在域控制器上并打开 Active Directory用户和计算机。
导航到应用程序代理服务器,然后打开它的属性。
打开 代表团 标签并选择 信任此计算机仅用于委派指定的服务 。 选择 使用任何身份验证协议 然后点击 添加 …
点击 用户或计算机
输入工作文件夹服务器的名称,然后单击 好的
选择我们在此博客的步骤1中创建的SPN,然后单击 好的 .
点击 好的
步骤3:创建工作文件夹代理应用程序
对于以下步骤,登录到 微软 Azure门户 与全球管理员帐户一样。
导航: 蔚蓝 活动目录>企业应用> All applications 然后点击 +新申请 button
点击 本地应用
填写以下信息
姓名 : 任何你喜欢的名字,我都去 工作文件夹代理
内部网址: 您的工作文件夹服务器的内部HTTPS地址(带有SSL证书的DNS别名)
外部网址: 您可以选择所需的外部URL,可以为您的域创建CNAME记录,也可以选择默认的 “域” .msappproxy.net 像我在这种情况下一样的地址。
预认证: Azure活动目录
连接器组: 选择您的Azure应用程序代理连接器组,在我的情况下,这是“默认”
向下滚动
确保 翻译标题中的网址 被设定为 是的 并将所有其他选项设置为 不 (这是默认设置)。点击 +添加 按钮。
打开 用户和组 刀片并单击 +添加用户
搜索适当的组,然后单击 选择 和 分配
打开 单点登录 刀片并单击 Windows集成身份验证
填写以下信息;
内部应用程序SPN: 我们在步骤1中创建的SPN地址
委派的登录身份: User principal name
点击 救
步骤4:创建工作文件夹本机应用程序
在最后一步中,我们需要创建“工作文件夹本机”应用程序。
导航 蔚蓝 活动目录>应用注册(旧版) 然后点击 +新申请注册
填写以下信息;
姓名 : 您喜欢的任何名称,我都会使用 工作文件夹本机客户端
应用类型 : Native
重定向URI: http:// _ 168f3ee4-63fc-4723-a61a-6473f6cb515c / redir
点击 创建
复制 申请编号 到记事本中,我们需要在以后的步骤中使用此ID,然后单击 设定值
打开 重定向URI 刀刃
添加以下重定向URI;
http:// _ 168f3ee4-63fc-4723-a61a-6473f6cb515c / redir
msauth://code/x-msauth-msworkfolders%3A%2F%2Fcom.microsoft.workfolders
x-msauth-msworkfolders://com.microsoft.workfolders
msauth://com.microsoft.workfolders/Cb61uxHImS0Da29PGZyTdl9APp0%3D
ms-appx-web://microsoft.aad.brokerplugin/<your application ID>
代替 ”<your application ID>”和自己的应用程序ID,在我的情况下是以下网址;
ms-appx-web://microsoft.aad.brokerplugin/658b4396-ad43-46bf-af35-0ccc42f05439
点击 救
打开 所需权限 刀片并单击 Windows Azure活动目录
选择以下 委托权限;
- 登录并阅读用户资料
- 以登录用户身份访问目录
点击 救
点击 +添加 button
双击 Windows Azure服务管理API
选择 以组织用户身份访问Azure Service Management
点击 选择 和 完毕
点击 +添加 按钮 once again
搜索并双击 工作文件夹代理 应用
选择 访问工作文件夹代理 然后点击 完毕
步骤5.测试结果
让’s测试此配置的结果。我将首先在Windows 10设备上对其进行测试,该设备由Microsoft Intune管理,但不属于本地域,并且位于远程位置(未连接到公司网络)。其次,我将在Apple iPad上测试结果。
在Windows 10设备上,在任务栏中搜索“工作文件夹”。
点击 设置工作文件夹
点击 输入工作文件夹URL。我创建了一个“workfolders”您的外部域的DNS记录,用户也可以使用其邮件帐户(使用相同域的帐户)登录。
填写本博客第3步中创建的外部“工作文件夹” URL http:// _ workfolders-<domain>.msappproxy.net
点击 下一个
点击 下一个
选择 我在PC上接受这些政策 和 click 设置工作文件夹
点击 关闭
这些文件现在将同步到我的Windows 10设备。
如您所见,一切正常。
让’在Apple iPad上也是如此。
在iPad上,安装Microsoft Work Folders应用并打开它。
标签 继续
点击 输入工作文件夹URL
填写外部工作文件夹URL和选项卡 续 井上
标签 启动网站
选择或输入正确的帐户
设置应用密码
标签 是的 如果您想启用Touch ID
如您所见,这些文件现在也可以在Apple iPad上使用。
