Настройка соединителей частной сети для прокси приложения Частный доступ Microsoft Entra и Microsoft Entra
Соединители — это упрощенные агенты, которые находятся на сервере в частной сети и упрощают исходящее подключение к службе глобального безопасного доступа. Соединители должны быть установлены на Сервере Windows Server с доступом к внутренним ресурсам и приложениям. Соединители можно организовать в группы соединителей, каждая из которых обрабатывает трафик определенных приложений. Дополнительные сведения о соединителях см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".
Необходимые компоненты
Чтобы добавить частные ресурсы и приложения в идентификатор Microsoft Entra, вам потребуется:
- Для продукта требуется лицензия. Дополнительные сведения о лицензировании см. в разделе "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
- Учетная запись администратора приложения.
Удостоверения пользователей должны быть синхронизированы из локального каталога или созданы непосредственно в клиентах Microsoft Entra. Синхронизация удостоверений позволяет Microsoft Entra ID предварительно пройти проверку подлинности пользователей перед предоставлением им доступа к опубликованным приложениям прокси приложения и иметь необходимые сведения об идентификаторе пользователя для выполнения единого входа.
Windows Server
Для соединителя частной сети Microsoft Entra требуется сервер под управлением Windows Server 2012 R2 или более поздней версии. Соединитель частной сети устанавливается на сервере. Этот сервер соединителя должен подключиться к службе Частный доступ Microsoft Entra или прокси-службе приложений, а также к частным ресурсам или приложениям, которые планируется опубликовать.
- Для обеспечения высокой доступности в вашей среде рекомендуется использовать несколько серверов Windows.
- Минимальная версия .NET, необходимая для соединителя, — версии 4.7.1+.
- Дополнительные сведения см. в разделе "Соединители частной сети"
- Дополнительные сведения см. в разделе "Определение установленных версий платформы .NET Framework".
Внимание
Отключите HTTP 2.0 при использовании соединителя частной сети Microsoft Entra с прокси приложения Microsoft Entra в Windows Server 2019 или более поздней версии.
HTTP2
Отключите поддержку протокола в компоненте для ограниченного WinHttp
делегирования Kerberos для правильной работы. В более ранних версиях поддерживаемых операционных систем она по умолчанию отключена. Добавление следующего раздела реестра и перезапуск сервера отключает его в Windows Server 2019 и более поздних версий. Это раздел реестра на уровне компьютера.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000
Ключ можно задать через PowerShell с помощью следующей команды.
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
Предупреждение
Если вы развернули прокси-сервер защиты паролей Microsoft Entra, не устанавливайте прокси приложения Microsoft Entra и прокси-сервер защиты паролей Microsoft Entra на одном компьютере. Прокси приложения Microsoft Entra и прокси-сервер защиты паролей Microsoft Entra устанавливают различные версии службы обновления агента Microsoft Entra Connect. Эти разные версии несовместимы при установке вместе на одном компьютере.
Требования к безопасности транспортного уровня (TLS)
Перед установкой соединителя частной сети сервер соединителя Windows должен включать TLS 1.2.
Включение протокола TLS 1.2
Задайте разделы реестра.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Перезапустите сервер.
Примечание.
Корпорация Майкрософт обновляет службы Azure для использования TLS-сертификатов от других корневых центров сертификации (ЦС). Это изменение связано с тем, что текущие сертификаты ЦС не соответствуют одному из базовых требований организации CA/Browser Forum. Дополнительные сведения см. в статье об изменениях сертификата TLS Azure.
Рекомендации для сервера соединителя
- Оптимизируйте производительность между соединителем и приложением. Физически найдите сервер соединителя рядом с серверами приложений. Дополнительные сведения см. в разделе "Оптимизация потока трафика" с помощью прокси приложения Microsoft Entra.
- Убедитесь, что сервер соединителя и серверы веб-приложений находятся в одном домене Active Directory или домене доверия. Размещение серверов в одном домене или диапазоне доверенных доменов необходимо для использования единого входа с помощью встроенной проверки подлинности Windows (IWA) и ограниченного делегирования Kerberos (KCD). Если сервер соединителя и серверы веб-приложений находятся в разных доменах Active Directory, используйте делегирование на основе ресурсов для единого входа.
Подготовка локальной среды
Начните с включения связи в центры обработки данных Azure для подготовки среды для прокси приложения Microsoft Entra. Если в сетевом пути используется брандмауэр, убедитесь, что он открыт. Открытый брандмауэр разрешает соединителю выполнять запросы HTTPS (TCP) к Application Proxy.
Внимание
Если вы устанавливаете соединитель для облака Azure для государственных организаций, выполните предварительные требования и процедуру установки. Для этого необходимо включить доступ к другому набору URL-адресов и дополнительный параметр для запуска установки.
Открытие портов
Откройте следующие порты для исходящего трафика.
Номер порта | Как он используется |
---|---|
80 | Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата |
443 | Весь исходящий обмен данными со службой прокси приложения |
Если брандмауэр инициирует трафик в соответствии с отправляющими его пользователями, откройте порты 80 и 443 для трафика, поступающего от служб Windows, которые работают как сетевая служба.
Разрешение доступа к URL-адресам
Разрешите доступ к следующим URL-адресам.
URL | Порт | Как он используется |
---|---|---|
*.msappproxy.net *.servicebus.windows.net |
HTTPS 443 | Связь между соединителем и облачной службой прокси приложения |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
HTTP 80 | Соединитель использует эти URL-адреса для проверки сертификатов. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops |
HTTPS 443 | Соединитель использует эти URL-адреса во время регистрации. |
ctldl.windowsupdate.com www.microsoft.com/pkiops |
HTTP 80 | Соединитель использует эти URL-адреса во время регистрации. |
Вы можете разрешить подключения к *.msappproxy.net
, *.servicebus.windows.net
, а также другим приведенным выше URL-адресам, если ваш брандмауэр или прокси-сервер позволяет настраивать правила доступа на основе суффиксов домена. В противном случае необходимо разрешить доступ к диапазонам IP-адресов Azure и тегам служб в общедоступном облаке. Список диапазонов IP-адресов обновляется еженедельно.
Внимание
Избегайте всех форм встроенной проверки и завершения исходящих подключений TLS между соединителями частной сети Microsoft Entra и облачными службами прокси приложения Microsoft Entra.
Установка и регистрация соединителя
Чтобы использовать закрытый доступ, установите соединитель на каждом сервере Windows, который вы используете для Частный доступ Microsoft Entra. Соединитель — это агент, который управляет исходящим подключением с локальных серверов приложений к глобальному безопасному доступу. Соединитель можно установить на серверах, на которых также установлены другие агенты проверки подлинности, такие как Microsoft Entra Connect.
Примечание.
Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0. Начиная с версии 1.5.3437.0, наличие .NET версии 4.7.1 или более поздней требуется для успешной установки (обновления).
Примечание.
Развертывание соединителя частной сети для рабочих нагрузок Azure, AWS и GCP из соответствующих Marketplace (предварительная версия)
Соединитель частной сети теперь доступен в Azure Marketplace, AWS Marketplace и GCP Marketplace (в предварительной версии) в дополнение к Центру администрирования Microsoft Entra. Предложения Marketplace позволяют пользователям развертывать виртуальную машину Windows с предварительно установленным соединителем частной сети с помощью упрощенной модели. Процесс автоматизирует установку и регистрацию, что повышает удобство и эффективность.
Чтобы установить соединитель из Центра администрирования Microsoft Entra, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra в качестве администратора приложения каталога, использующего прокси приложения.
- Например, если домен клиента contoso.com, администратором должен быть пользователь
[email protected]
или другой псевдоним администратора в этом домене.
- Например, если домен клиента contoso.com, администратором должен быть пользователь
В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в каталог, который использует Application Proxy. Если необходимо изменить каталоги, щелкните Переключение каталога и выберите каталог, который использует Application Proxy.
Перейдите к соединителям Global Secure Access>Connect>.
Выберите Скачать службу соединителя.
Ознакомьтесь с условиями предоставления услуг. Когда вы будете готовы, выберите Accept terms & Download (Принять условия и скачать).
В нижней части окна выберите Выполнить, чтобы установить соединитель. Откроется мастер установки.
Следуйте указаниям мастера, чтобы установить службу. Когда вам будет предложено зарегистрировать соединитель в прокси приложения для клиента Microsoft Entra, укажите учетные данные администратора приложения.
- Для Internet Explorer (IE): если для конфигурации расширенной безопасности IE задано значение "Вкл.", возможно, экран регистрации не отображается. Чтобы получить к нему доступ, выполните указания, приведенные в сообщении об ошибке. Убедитесь, что конфигурация усиленной безопасности Internet Explorerотключена.
Полезная информация
Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки. Сведения о ранее выпущенных версиях и изменениях, которые они включают, см. в статье "Прокси приложения: журнал выпусков версий".
Если у вас есть несколько серверов Windows для локальных приложений, необходимо установить и зарегистрировать соединитель на каждом сервере. Соединители можно упорядочить в группы. Дополнительные сведения см . в группах соединителей.
Сведения о соединителях, планировании емкости и их актуальности см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".
Примечание.
Частный доступ Microsoft Entra не поддерживает соединители с несколькими регионами. Экземпляры облачной службы для соединителя выбираются в том же регионе, что и клиент Microsoft Entra (или ближайший регион), даже если у вас есть соединители, установленные в регионах, отличных от вашего региона по умолчанию.
Проверка установки и регистрации
Вы можете использовать портал глобального безопасного доступа или сервер Windows, чтобы убедиться, что новый соединитель установлен правильно.
Сведения об устранении неполадок с прокси приложениями см. в разделе "Отладка проблем с приложением прокси приложения".
Проверка установки с помощью Центра администрирования Microsoft Entra
Для подтверждения правильности установки и регистрации соединителя:
Войдите в Центр администрирования Microsoft Entra в качестве администратора приложения каталога, использующего прокси приложения.
Перейдите к соединителям global Secure Access Connect>>
- На этой странице отображаются все соединители и группы соединителей.
Просмотрите соединитель, чтобы проверить сведения о нем.
- Разверните соединитель, чтобы просмотреть сведения, если они еще не развернуты.
- Активная зеленая метка указывает на то, что соединитель может подключиться к службе. Тем не менее, несмотря на то, что метка зеленая, проблема с сетью по-прежнему может помешать соединителю получать сообщения.
Дополнительные сведения об установке соединителя см. в статье об устранении неполадок соединителей.
Проверка установки через сервер Windows
Для подтверждения правильности установки и регистрации соединителя:
Выберите ключ Windows и введите
services.msc
его, чтобы открыть диспетчер служб Windows.Убедитесь, что состояние для следующих служб выполняется.
- Соединитель частной сети Microsoft Entra обеспечивает подключение.
- Microsoft Entra private network connector updater — это служба автоматического обновления.
- Средство обновления проверяет наличие новых версий соединителя и обновляет его по мере необходимости.
Если состояние службы не Выполняется, щелкните правой кнопкой мыши каждую службу и выберите Запустить.
Создание групп соединителей
Чтобы создать столько групп соединителей, сколько нужно:
- Перейдите к соединителям Global Secure Access>Connect>.
- Выберите Новая группа соединителей.
- Присвойте имя новой группе соединителей, затем из раскрывающегося меню выберите соединители, принадлежащие этой группе.
- Выберите Сохранить.
Дополнительные сведения о группах соединителей см. в статье "Общие сведения о группах соединителей частной сети Microsoft Entra".
Следующие шаги
Следующий шаг для начала работы с Частный доступ Microsoft Entra — настройка приложения быстрого доступа или глобального безопасного доступа.