Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft Entra-ID verwendet Zugriffs- und Sitzungscookies für den Zugriff auf lokale Anwendungen über den Anwendungsproxy. Erfahren Sie, wie Sie die Anwendungsproxy-Cookieeinstellungen konfigurieren.
Wie lauten die Cookieeinstellungen?
Der Anwendungsproxy verwendet die folgenden Zugriffs- und Sitzungscookies.
| Cookieeinstellung | Standard | Beschreibung | Empfehlungen |
|---|---|---|---|
| Nur-HTTP-Cookie verwenden | Nein | Ja ermöglicht es dem Anwendungsproxy, das HTTPOnly-Flag in HTTP-Antwortheadern einzuschließen. Dieses Flag bietet zusätzliche Sicherheitsvorteile, z. B. wird das Kopieren oder Ändern von Cookies über ein clientseitiges Scripting (CSS) verhindert. Vor der Unterstützung der Einstellung „HTTP-Only“ verschlüsselte der Anwendungsproxy Cookies und übermittelte sie über einen sicheren Transport Layer Security-Kanal (TLS), um Schutz vor Änderungen bereitzustellen. |
Verwenden Sie "Ja " aufgrund der zusätzlichen Sicherheitsvorteile. Verwenden Sie "Nein " für Clients oder Benutzer-Agents, die Zugriff auf das Sitzungscookies erfordern. Verwenden Sie z. B. "Nein " für das Remotedesktopprotokoll (RDP) oder den Microsoft Terminal Services-Client (MSTSC), der über den Anwendungsproxy eine Verbindung mit einem Remotedesktopgatewayserver herstellt. |
| Sicheres Cookie verwenden | Ja | Ja ermöglicht es dem Anwendungsproxy, das Secure-Flag in den HTTP-Antwortheadern einzuschließen. Sichere Cookies erhöhen die Sicherheit, weil sie über einen TLS-gesicherten Kanal wie z.B. HTTPS übertragen werden. TLS verhindert die Cookie-Übertragung in Klartext. | Verwenden Sie "Ja " aufgrund der zusätzlichen Sicherheitsvorteile. |
| Beständiges Cookie verwenden | Nein | Ja ermöglicht dem Anwendungsproxy, den Zugriffscookies so einzustellen, dass sie nicht ablaufen, wenn der Webbrowser geschlossen wird. Cookies bleiben erhalten, bis das Zugriffstoken abläuft oder der Benutzer die persistenten Cookies manuell löscht. | Verwenden Sie "Nein " aufgrund des Sicherheitsrisikos, das mit der Authentifizierung von Benutzern verbunden ist. Verwenden Sie "Ja " nur für ältere Anwendungen, die Keine Cookies zwischen Prozessen teilen können. Es ist besser, Ihre Anwendung zur gemeinsamen Nutzung von Cookies zwischen Prozessen zu aktualisieren, als beständige Cookies zu verwenden. Angenommen, Sie benötigen beständige Cookies, damit ein Benutzer von einer SharePoint-Website aus Office-Dokumente in der Explorer-Ansicht öffnen kann. Ohne beständige Cookies kommt es bei diesem Vorgang möglicherweise zu Fehlern, wenn die Zugriffscookies nicht vom Browser, dem Explorer-Prozess und dem Office-Prozess gemeinsam verwendet werden. |
SameSite-Cookies
Cookies, die das SameSite-Attribut nicht angeben, werden so behandelt, als ob sie auf SameSite=Lax festgelegt sind. Das SameSite-Attribut deklariert, wie Cookies auf einen SameSite-Kontext beschränkt werden sollen. Bei Festlegung auf Lax wird das Cookie nur bei Anforderungen der gleichen Website oder bei der Navigation auf oberster Ebene gesendet. Der Anwendungsproxy erfordert jedoch, dass diese Cookies im Kontext eines Drittanbieters beibehalten werden, damit Benutzer während ihrer Sitzung angemeldet bleiben. Aufgrund der Anforderung wurden Updates vorgenommen:
- Durch Festlegen des SameSite-Attributs auf "None" wird sichergestellt, dass Anwendungsproxysitzungscookies im Drittanbieterkontext gesendet werden.
- Festlegen der Einstellung " Sicheres Cookie verwenden " auf "Ja " als Standardeinstellung. Chrome lehnt Cookies ab, die die
SecureKennzeichnung nicht verwenden. Die Änderung gilt für alle über den Anwendungsproxy veröffentlichten Anwendungen. Anwendungsproxy-Zugriffscookies sind immer auf „Secure“ festgelegt und werden nur über HTTPS übertragen. Die Änderung gilt nur für die Sitzungscookies.
Wenn Ihre Back-End-Anwendung Cookies enthält, die einen Drittanbieter-Kontext benötigen, ist es außerdem erforderlich, dies explizit anzugeben, indem Sie Ihre Anwendung so ändern, dass SameSite=None für diese Cookies verwendet wird. Der Anwendungsproxy übersetzt den Header Set-Cookie in seine URLs und berücksichtigt die Einstellungen.
Festlegen von Cookieeinstellungen mit dem Microsoft Entra Admin Center
So legen Sie die Cookie-Einstellungen in dem Microsoft Entra Admin Center fest:
- Melden Sie sich mindestens als Anwendungsadministrator beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra ID>Unternehmens-Apps>Anwendungsproxy.
- Legen Sie unter "Zusätzliche Einstellungen" die Cookieeinstellung auf "Ja " oder "Nein" fest.
- Wählen Sie "Speichern" aus, um Ihre Änderungen anzuwenden.
Anzeigen der aktuellen Cookieeinstellungen mit PowerShell
Um die aktuellen Cookieeinstellungen für die Anwendung anzuzeigen, verwenden Sie diesen PowerShell-Befehl:
Get-MgBetaApplication -ApplicationId <Id> | FL *
Festlegen von Cookieeinstellungen mit PowerShell
In den folgenden PowerShell-Befehlen <Id> ist die ID der Anwendung angegeben.
Nur-HTTP-Cookie
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsHttpOnlyCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsHttpOnlyCookieEnabled $false
Sicheres Cookie
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsSecureCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsSecureCookieEnabled $false
Persistente Cookies
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsPersistentCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsPersistentCookieEnabled $false