本文帮助你排查 Microsoft Entra 应用程序代理中的 This corporate app can't be accessed 错误的常见问题。
看到此错误时,在错误页上找到状态代码:
- 网关超时:应用程序代理服务无法访问连接器。 此错误通常表示连接器分配、连接器或连接器的网络规则出现问题。
- 网关错误:连接器无法访问后端应用程序。 此错误可能表示应用程序配置错误。
- 禁止:用户无权访问应用程序。 如果用户未分配到 Microsoft Entra ID 中的应用程序,则可能会出现此错误。 如果用户无权访问后端上的应用程序,也可能发生此错误。
若要查找错误代码,请查看错误消息 Status Code的左下角的文本。
“网关超时”错误
当服务尝试访问连接器并在设置的超时时段内失败时,将发生 网关超时 错误。 将应用程序分配到没有工作连接器的连接器组时,会出现此错误。 当所需的端口未打开时,也会看到此错误。
网关错误
网关错误表示连接器无法访问后端应用程序。 导致此错误的常见错误有:
- 内部 URL 存在拼写错误或其他错误。
- 应用程序的根目录未发布。 例如,发布
http://expenses/reimbursement但尝试访问http://expenses。 - Kerberos 约束委派(KCD)配置存在问题。
- 后端应用程序存在问题。
“禁止”错误
如果看到禁止错误,则表示用户未被分配到该应用程序。 此错误可能位于 Microsoft Entra ID 或后端应用程序中。
若要了解如何将用户分配到 Azure 中的应用程序,请参阅 测试配置。
检查应用程序的内部 URL
作为一个快速的第一步,通过 企业应用程序>应用程序代理打开应用程序来仔细检查内部 URL。 验证应用程序的内部 URL 是否是本地网络中使用的 URL。 如果 URL 不正确,请修复并保存更改。
检查应用程序是否已分配到工作连接器组
验证应用程序是否已分配给工作连接器组。
有关详细信息,请参阅 教程:在 Microsoft Entra ID 中添加通过应用程序代理进行远程访问的本地应用程序。
检查所有必需的端口是否已打开
验证所有必需端口是否都已打开。 有关所需的端口,请参阅教程的“打开端口”部分 :在 Microsoft entra ID 中通过应用程序代理添加用于远程访问的本地应用程序。 如果所有必需的端口都已打开,请转到下一部分。
检查其他接口错误
查找连接器本身的问题或错误。 有关常见错误的详细信息,请参阅 应用程序代理故障排除。
直接查看连接器日志以识别任何错误。 很多错误消息都提供了具体的修复建议。 若要查看日志,请查看 专用网络连接器。
常见解决方法
如果应用程序配置为使用集成 Windows 身份验证(IWA),则测试应用程序而不使用单一登录(SSO)。 若要检查没有 SSO 的应用程序,请通过 企业应用程序 打开应用程序,然后转到 “单一登录 ”菜单。 将下拉列表从 集成 Windows 身份验证 更改为 禁用Microsoft Entra 单一登录。
接下来,打开浏览器,然后重试访问应用程序。 应提示你进行身份验证,并能够登录应用程序。 如果可以进行身份验证,问题在于启用 SSO 的 KCD 配置。
如果错误仍然存在,请使用安装连接器的计算机打开浏览器并尝试访问应用程序的内部 URL。 如果无法访问应用程序,请检查该计算机无法连接的原因,或者在可以连接的服务器上使用连接器。