Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Соединители — это упрощенные агенты, которые выполняются на сервере в частной сети и упрощают исходящие подключения к службе глобального безопасного доступа. Соединители должны быть установлены на Windows Server с доступом к внутренним ресурсам и приложениям. Соединители можно организовать в группы соединителей, каждая из которых обрабатывает трафик определенных приложений. Дополнительные сведения о соединителях см. в разделе Соединители частной сети Microsoft Entra.
Предварительные условия
Чтобы добавить частные ресурсы и приложения в Microsoft Entra ID, вам потребуется:
- Для продукта требуется лицензия. Дополнительные сведения о лицензировании см. в разделе "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
- Учетная запись с ролью администратора приложения.
Синхронизируйте удостоверения пользователей из локального каталога или создайте их непосредственно в клиенте Microsoft Entra. Синхронизация удостоверений позволяет Microsoft Entra ID предварительно аутентифицировать пользователей перед предоставлением им доступа к приложениям, опубликованным через прокси-сервер приложений, и иметь необходимую информацию об идентификаторе пользователя для выполнения единого входа.
Windows Server
Для соединителя частной сети Microsoft Entra требуется сервер под управлением Windows Server 2016 или более поздней версии. Соединитель частной сети устанавливается на сервере. Этот сервер соединителя должен подключаться к службе Microsoft Entra Private Access или прокси-службе приложений, а также к частным ресурсам или приложениям, которые планируется опубликовать.
- Для обеспечения высокой доступности в вашей среде рекомендуется использовать несколько Windows сервера.
- Минимальная версия .NET, необходимая для соединителя, — версии 4.7.2+.
- Дополнительные сведения см. в разделе "Соединители частной сети".
- Дополнительные сведения см. в разделе Определите, какие версии платформы .NET установлены.
Внимание
При использовании соединителя для доступа к веб-приложениям, опубликованным через прокси приложений Microsoft Entra, необходимо отключить HTTP/2 на сервере с установленным соединителем частной сети Microsoft Entra, работающем под управлением Windows Server 2019 или более поздней версии. Изменение конфигурации не требуется при использовании соединителя только с Global Secure Access Private Access.
Отключите поддержку протокола HTTP/2 в WinHttp для веб-приложений, опубликованных через прокси-сервер приложения Microsoft Entra для правильной работы.
HTTP/2 по умолчанию отключен в более ранних версиях поддерживаемых операционных систем. Добавление следующего раздела реестра и перезапуск сервера отключает HTTP/2 на Windows Server 2019 и более поздних версиях. Это ключ реестра для всей машины.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000
Ключ можно задать через PowerShell с помощью следующей команды.
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
Предупреждение
Если вы развернули прокси-сервер защиты паролем Microsoft Entra, не устанавливайте прокси приложения Microsoft Entra и Microsoft Entra прокси-сервер защиты паролем вместе на одном компьютере. Microsoft Entra прокси приложения и прокси-сервер защиты паролем Microsoft Entra устанавливают разные версии службы обновления агента Microsoft Entra Connect. Эти разные версии несовместимы при установке вместе.
Требования к безопасности транспортного уровня (TLS)
Перед установкой соединителя частной сети сервер соединителя Windows должен включать TLS 1.2.
Включение протокола TLS 1.2
Установите ключи реестра.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Для принудительного применения TLS 1.2 на сервере соединителя можно использовать следующий скрипт PowerShell.
If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) { New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take effect.' -ForegroundColor CyanПерезапустите сервер.
Примечание.
Корпорация Майкрософт обновляет службы Azure для использования сертификатов TLS из другого набора корневых центров сертификации (ЦС). Это изменение связано с тем, что текущие сертификаты ЦС не соответствуют одному из базовых требований организации CA/Browser Forum. Дополнительные сведения см. в разделе Изменения сертификатов Azure TLS.
Рекомендации для сервера соединителя
- Оптимизируйте производительность между соединителем и приложением. Физически найдите сервер соединителя рядом с серверами приложений. Дополнительные сведения см. в разделе Оптимизация трафика с помощью приложения-прокси Microsoft Entra.
- Убедитесь, что сервер соединителя и серверы веб-приложений находятся в том же Active Directory домене или домене доверия. Наличие серверов в одном домене или в доверенных доменах является необходимым условием для единого входа (SSO) с использованием интегрированной аутентификации Windows (IWA) и ограниченного делегирования Kerberos (KCD). Если сервер соединителя и серверы веб-приложений находятся в разных доменах Active Directory, используйте делегирование на основе ресурсов для единого входа.
- Рассмотрим производительность и масштабируемость развертывания соединителя , включая расширение временных портов TCP и UDP на сервере соединителя. Дополнительные сведения см. в разделе Понимание соединителя частной сети Microsoft Entra.
- Рекомендуется создать базовые показатели производительности для соединителей частной сети.
Подготовка локальной среды
Чтобы подготовить среду для прокси приложения Microsoft Entra, начните с включения связи с центрами обработки данных Azure. Если в сетевом пути используется брандмауэр, убедитесь, что он открыт. Открытый брандмауэр позволяет соединителю выполнять запросы HTTPS (TCP) к Application Proxy.
Внимание
Если вы устанавливаете соединитель для облака Azure Government, выполните предварительные требования и шаги установки. Для этого необходимо включить доступ к другому набору URL-адресов и дополнительный параметр для запуска установки.
Открытие портов
Откройте следующие порты для исходящего трафика.
| Номер порта | Как он используется |
|---|---|
| 80 | Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата |
| 443 | Все исходящие связи со службой Application Proxy |
Если брандмауэр применяет трафик в соответствии с исходными пользователями, также откройте порты 80 и 443 для трафика из служб Windows, которые работают в качестве сетевой службы.
Разрешение доступа к URL-адресам
Разрешите доступ к следующим URL-адресам.
| URL-адрес | Порт | Как он используется |
|---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Обмен данными между соединителем и облачной службой Application Proxy |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Соединитель использует эти URL-адреса для проверки сертификатов. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | Соединитель использует эти URL-адреса во время и за пределами процесса регистрации. |
ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Соединитель использует эти URL-адреса во время и за пределами процесса регистрации. |
Вы можете разрешить подключения к *.msappproxy.net, *.servicebus.windows.net, а также другим приведенным выше URL-адресам, если ваш брандмауэр или прокси-сервер позволяет настраивать правила доступа на основе суффиксов домена. В противном случае необходимо разрешить доступ к диапазонам IP-адресов Azure и тегам службы — общедоступному облаку. Список диапазонов IP-адресов обновляется еженедельно.
Внимание
Избегайте всех форм инспекции в режиме реального времени и прерывания исходящего TLS-трафика между соединителями частной сети Microsoft Entra и облачными службами прокси для приложений Microsoft Entra.
Установка и регистрация соединителя
Чтобы использовать закрытый доступ, установите соединитель на каждом сервере Windows, который вы используете для Microsoft Entra Private Access. Соединитель — это агент, который управляет исходящим подключением с локальных серверов приложений к глобальному безопасному доступу. Соединитель можно установить на серверах, на которых также установлены другие агенты проверки подлинности, такие как Microsoft Entra Connect.
Примечание.
Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0. Начиная с версии 1.5.3437.0, для успешной установки или обновления требуется .NET версии 4.7.1 или более поздней.
Примечание.
Разверните сетевой модуль для рабочих нагрузок Azure, AWS и GCP из соответствующих маркетплейсов (Предварительная версия)
Соединитель частной сети теперь доступен в Azure Marketplace, AWS Marketplace и GCP Marketplace (в предварительной версии) в дополнение к центру администрирования Microsoft Entra. Предложения Marketplace позволяют пользователям развертывать Windows виртуальную машину с предварительно установленным соединителем частной сети с помощью упрощенной модели развертывания. Процесс автоматизирует установку и регистрацию.
Чтобы установить коннектор из центра администрирования Microsoft Entra:
Войдите в центр администрирования Microsoft Entra в качестве администратора приложения каталога, использующего Application Proxy.
- Например, если домен клиента contoso.com, администратором должен быть пользователь
admin@contoso.comили другой псевдоним администратора в этом домене.
- Например, если домен клиента contoso.com, администратором должен быть пользователь
В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в каталог, использующий Application Proxy. Если необходимо изменить каталоги, выберите каталог Switch и выберите каталог, использующий Application Proxy.
Перейдите к Global Secure Access>Connect>Connectors.
Выберите Служба загрузки соединителя.
Ознакомьтесь с условиями предоставления услуг. Когда вы будете готовы, выберите Accept terms & Download (Принять условия и скачать).
В нижней части окна выберите Выполнить, чтобы установить соединитель. Откроется мастер установки.
Следуйте указаниям мастера, чтобы установить службу. При появлении запроса на регистрацию соединителя в Application Proxy клиента Microsoft Entra укажите учетные данные администратора приложения.
- Для Internet Explorer (IE): если для конфигурации расширенной безопасности IE задано значение "Вкл.", возможно, экран регистрации не отображается. Чтобы получить к нему доступ, выполните указания, приведенные в сообщении об ошибке. Убедитесь, что конфигурация усиленной безопасности Internet Explorer отключена.
Полезная информация
Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки. Сведения о ранее выпущенных версиях и изменениях, которые они включают, см. в разделе Application Proxy: журнал выпусков версий.
Если у вас есть несколько Windows сервера для локальных приложений, необходимо установить и зарегистрировать соединитель на каждом сервере. Соединители можно упорядочить в группы. Для получения дополнительной информации смотрите группы соединителей.
Сведения о соединителях, планировании емкости и о том, как они остаются up-to-date, см. в разделе Соединители частной сети Microsoft Entra.
Примечание.
Microsoft Entra Private Access поддержка нескольких геоконнекторов в настоящее время доступна в предварительной версии. По умолчанию экземпляры облачной службы для соединителя выбираются в том же регионе, что и клиент Microsoft Entra (или ближайший к нему регион), даже если соединители установлены в регионах, отличных от вашего региона по умолчанию. Поддержка нескольких регионов позволяет клиентам оптимизировать поток трафика, назначая группы соединителей в соответствии с предпочитаемыми географическими расположениями, а не полагаться исключительно на географическое расположение клиента.
Проверка установки и регистрации
Вы можете использовать портал глобального безопасного доступа или сервер Windows, чтобы убедиться, что новый соединитель установлен правильно.
Сведения об устранении неполадок с прокси приложений см. в разделе "Отладка проблем приложения-прокси".
Проверка установки с помощью центра администрирования Microsoft Entra
Для подтверждения правильности установки и регистрации соединителя:
Войдите в центр администрирования Microsoft Entra в качестве администратора приложения каталога, использующего Application Proxy.
Перейдите к Global Secure Access>Connect>Connectors.
- На этой странице отображаются все соединители и группы соединителей.
Просмотрите соединитель, чтобы проверить сведения о нем.
- Разверните соединитель, чтобы просмотреть сведения, если они еще не развернуты.
- Активная зеленая метка указывает на то, что соединитель может подключиться к службе. Тем не менее, несмотря на то, что метка зеленая, проблема с сетью по-прежнему может помешать соединителю получать сообщения.
Дополнительные сведения об установке соединителя см. в статье об устранении неполадок соединителей.
Проверка установки с помощью сервера Windows
Для подтверждения правильности установки и регистрации соединителя:
Выберите ключ Windows и введите
services.msc, чтобы открыть диспетчер служб Windows.Проверьте, чтобы статус следующих служб был работает.
- Microsoft Entra соединитель частной сети обеспечивает подключение.
- Microsoft Entra обновитель соединителя частной сети — это служба автоматического обновления.
- Средство обновления проверяет наличие новых версий соединителя и обновляет соединитель по мере необходимости.
Если статус для службы не Выполняется, щелкните правой кнопкой мыши на каждую службу и выберите Запустить.
Создание групп соединителей
Чтобы создать столько групп соединителей, сколько нужно:
- Перейдите к Global Secure Access>Connect>Connectors.
- Выберите Новая группа соединителей.
- Присвойте имя новой группе соединителей, затем из раскрывающегося меню выберите соединители, принадлежащие этой группе.
- Нажмите Сохранить.
Дополнительные сведения о группах соединителей см. в разделе Понимание групп соединителей частной сети Microsoft Entra.
Минимизируйте влияние во время обслуживания коннектор-сервера
При выполнении обслуживания (например, исправления или перезагрузки) на серверах соединителей частной сети можно свести к минимуму прерывание подключений пользователей с помощью выделенной группы соединителей обслуживания. Временно переместив соединитель в эту группу, вы гарантируете, что новый трафик не направляется к нему, позволяя существующим сеансам выполняться корректно.
Соединители в Microsoft Entra Private Access — это агенты без отслеживания состояния, через которые служба направляет трафик на основе назначений групп и доступности. Если соединитель недоступен, служба автоматически направляет новые запросы другим здоровым соединителям в группе.
Этапы обслуживания
Создание группы соединителей для технического обслуживания
- В центре администрирования Microsoft Entra создайте новую группу соединителей, назначенную only в тестовом приложении приватного доступа.
- Эта группа служит "местом ожидания" для обслуживания.
Переместите соединитель в группу технического обслуживания соединителей
- Когда вы будете готовы обслуживать сервер соединителя, измените его назначение и переместите его в группу соединителей обслуживания с помощью тестового приложения Private Access, где нет активного трафика.
- После перемещения соединителя в группу обслуживания он больше не получает новые подключения пользователей. Существующие подключения продолжаются до их корректного завершения.
Очистка существующих сеансов
- Подождите нужное время, чтобы активные подключения завершились в обычном режиме. Длительность зависит от рабочих нагрузок приложения и шаблонов сеансов.
Выполнение технического обслуживания
- При необходимости примените исправления и обновления и перезагрузите сервер.
- Убедитесь, что службы Microsoft Entra для подключения частной сети перезапускаются и функционируют должным образом перед возвратом соединителя в рабочую среду.
- После исправления отправьте запросы в тестовое приложение для проверки сквозного подключения.
Возврат соединителя в исходную группу
- После завершения обслуживания и выполнения служб переместите соединитель обратно в исходную группу соединителей.
- Соединитель снова получает трафик в составе пула высокой доступности этой группы.
Следующие шаги
Следующий шаг для начала работы с Microsoft Entra Private Access — настройка приложения быстрого доступа или глобального безопасного доступа: