Distribuire il proxy dell'applicazione Microsoft Entra per l'accesso sicuro alle applicazioni interne in un dominio gestito di Microsoft Entra Domain Services

Con Microsoft Entra Domain Services, è possibile trasferire in Azure le applicazioni legacy in esecuzione in locale. Microsoft Entra application proxy consente quindi di supportare i lavoratori remoti pubblicando in modo sicuro tali applicazioni interne che fanno parte di un dominio gestito di Servizi di dominio in modo che possano essere accessibili tramite Internet.

Se non si ha familiarità con il proxy dell'applicazione Microsoft Entra e si vuole saperne di più, vedere Come fornire l'accesso remoto sicuro alle applicazioni interne.

Questo articolo illustra come creare e configurare un connettore di rete privata Microsoft Entra per fornire l'accesso sicuro alle applicazioni in un dominio gestito.

Operazioni preliminari

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
  • Per usare il proxy dell'applicazione microsoft Entra ID P1 o P2 è necessaria una licenza Microsoft Entra ID P1 o P2.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, creare e configurare un dominio gestito di Microsoft Entra Domain Services.

Creare una macchina virtuale Windows aggiunta a un dominio

Per instradare il traffico alle applicazioni in esecuzione nell'ambiente in uso, installare il componente connettore di rete privata Microsoft Entra. Questo connettore di rete privata Microsoft Entra deve essere installato in una macchina virtuale Windows Server aggiunta al dominio gestito. Per alcune applicazioni, è possibile distribuire più server in cui è installato il connettore. Questa opzione di distribuzione offre maggiore disponibilità e permette di gestire carichi di lavoro di autenticazione più gravosi.

La macchina virtuale che esegue il connettore di rete privata Microsoft Entra deve trovarsi nella stessa rete virtuale con peering del dominio gestito. Anche le macchine virtuali che ospitano le applicazioni pubblicate usando il proxy di applicazione devono essere distribuite nella stessa rete virtuale di Azure.

Per creare una macchina virtuale per il connettore di rete privata Microsoft Entra, seguire questa procedura:

1. Creare un'unità organizzativa personalizzata. È possibile delegare le autorizzazioni per gestire questa unità organizzativa agli utenti appartenenti al dominio gestito. Le macchine virtuali per il proxy dell'applicazione Microsoft Entra e che eseguono le applicazioni devono far parte dell'unità organizzativa personalizzata, non l'unità organizzativa predefinita Microsoft Entra DC Computers .
2. Aggiungere le macchine virtuali, sia quella che esegue il connettore di rete privata Microsoft Entra, sia quelle che eseguono le applicazioni, al dominio gestito. Creare questi account computer nell'unità organizzativa personalizzata del passaggio precedente.

Scaricare il connettore di rete privata Microsoft Entra

Per scaricare il connettore di rete privata Microsoft Entra, seguire questa procedura. Il file di installazione scaricato viene copiato nella macchina virtuale del proxy dell'applicazione nella sezione successiva.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.

2. Cercare e selezionare Applicazioni aziendali.

3. Selezionare Proxy applicazione dal menu sul lato sinistro. Per creare il primo connettore e abilitare il proxy dell'applicazione, selezionare il collegamento per scaricare un connettore.

4. Nella pagina di download accettare le condizioni di licenza e il contratto di privacy, quindi selezionare Accetta termini e download.

   

Installare e registrare il connettore di rete privata Microsoft Entra

Con una macchina virtuale pronta per essere usata come connettore di rete privata Microsoft Entra, copiare ed eseguire il file di installazione scaricato dall'interfaccia di amministrazione di Microsoft Entra.

1. Copiare il file di installazione del connettore di rete privata Microsoft Entra nella macchina virtuale.

2. Eseguire il file di installazione, ad esempio MicrosoftEntraPrivateNetwork Connessione orInstaller.exe. Accettare le condizioni di licenza software.

3. Durante l'installazione, viene richiesto di registrare il connettore con il proxy di applicazione nella directory Microsoft Entra.

   • Specificare le credenziali per un amministratore globale nella directory Microsoft Entra. Le credenziali di Microsoft Entra Global Amministrazione istrator possono essere diverse dalle credenziali di Azure nel portale

     Nota

     L'account amministratore globale usato per registrare il connettore deve appartenere alla stessa directory in cui si abilita il servizio Proxy di applicazione.

     Ad esempio, se il dominio Microsoft Entra è contoso.com, l'amministratore globale deve essere admin@contoso.com o un altro alias valido in tale dominio.

   • Se Internet Explorer Enhanced Security Configuration è attivato per la macchina virtuale in cui si installa il connettore, la schermata di registrazione potrebbe essere bloccata. Per consentire l'accesso, seguire le istruzioni nel messaggio di errore o disattivare La sicurezza avanzata di Internet Explorer durante il processo di installazione.

   • Se la registrazione del connettore non riesce, vedere Risolvere i problemi del proxy di applicazione.

4. Alla fine della configurazione viene visualizzata una nota per gli ambienti con un proxy in uscita. Per configurare il connettore di rete privata Microsoft Entra per il funzionamento tramite il proxy in uscita, eseguire lo script fornito, ad esempio C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

5. Nella pagina Proxy dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra il nuovo connettore è elencato con lo stato Attivo, come illustrato nell'esempio seguente:

   

Nota

Per garantire la disponibilità elevata per le applicazioni che eseguono l'autenticazione tramite il proxy dell'applicazione Microsoft Entra, è possibile installare connettori in più macchine virtuali. Ripetere gli stessi passaggi elencati nella sezione precedente per installare il connettore in altri server aggiunti al dominio gestito.

Abilitare la delega vincolata Kerberos basata su risorse

Se si vuole usare l'accesso Single Sign-On alle applicazioni usando autenticazione di Windows integrato (IWA), concedere ai connettori di rete privata di Microsoft Entra l'autorizzazione per rappresentare gli utenti e inviare e ricevere token per loro conto. Per concedere queste autorizzazioni, configurare la delega vincolata Kerberos per consentire al connettore di accedere alle risorse nel dominio gestito. Poiché non si hanno privilegi di amministratore di dominio in un dominio gestito, la delega vincolata kerberos tradizionale a livello di account non può essere configurata in un dominio gestito. Usare invece KCD basato sulle risorse.

Per altre informazioni, vedere Configurare la delega vincolata Kerberos in Microsoft Entra Domain Services.

Nota

Per eseguire i cmdlet di PowerShell seguenti, è necessario accedere a un account utente membro del gruppo Microsoft Entra DC administrators nel tenant di Microsoft Entra.

Gli account computer per la macchina virtuale del connettore di rete privata e le macchine virtuali dell'applicazione devono trovarsi in un'unità organizzativa personalizzata in cui si dispone delle autorizzazioni per configurare la delega vincolata kerberos basata su risorse. Non è possibile configurare KCD basato sulle risorse per un account computer nel contenitore predefinito Microsoft Entra DC Computers .

Utilizzare Get-ADComputer per recuperare le impostazioni per il computer in cui è installato il connettore di rete privata Microsoft Entra. Dalla macchina virtuale di gestione aggiunta a un dominio e connesso come account utente membro del gruppo amministratori di Microsoft Entra DC, eseguire i cmdlet seguenti.

Nell'esempio seguente vengono recuperate informazioni sull'account computer denominato appproxy.aaddscontoso.com. Specificare il proprio nome computer per la macchina virtuale proxy dell'applicazione Microsoft Entra configurata nei passaggi precedenti.

$ImpersonatingAccount = Get-ADComputer -Identity appproxy.aaddscontoso.com

Per ogni server applicazioni che esegue le app dietro il proxy dell'applicazione Microsoft Entra usare il cmdlet PowerShell Set-ADComputer per configurare la delega vincolata kerberos basata su risorse. Nell'esempio seguente viene concesso il connettore di rete privata Microsoft Entra per l'uso del computer appserver.aaddscontoso.com :

Set-ADComputer appserver.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount

Se si distribuiscono più connettori di rete privata Microsoft Entra, è necessario configurare la delega vincolata kerberos basata su risorse per ogni istanza del connettore.

Passaggi successivi

Con il proxy dell'applicazione Microsoft Entra integrato con Servizi di dominio, pubblicare applicazioni per consentire agli utenti di accedere. Per altre informazioni, vedere Pubblicare applicazioni con il proxy dell'applicazione Microsoft Entra.