Informazioni sul connettore di rete privata Microsoft Entra
Connessione ors sono ciò che rende possibile Accesso privato Microsoft Entra e proxy dell'applicazione. Sono semplici, estremamente potenti e facile da distribuire e gestire. Questo articolo illustra i connettori, il loro funzionamento e alcune procedure consigliate per ottimizzare al meglio la distribuzione.
Che cos'è un connettore di rete privata?
Connessione ors sono agenti leggeri che si trovano in una rete privata e facilitano la connessione in uscita ai servizi proxy di Accesso privato Microsoft Entra e dell'applicazione. Connessione ors devono essere installati in windows Server che ha accesso alle risorse back-end. È possibile organizzare i connettori in gruppi di connettori, con ogni gruppo che gestisce il traffico verso risorse specifiche. Per altre informazioni sul proxy dell'applicazione e una rappresentazione diagrammatica dell'architettura proxy dell'applicazione, vedere Uso del proxy dell'applicazione Microsoft Entra per pubblicare app locali per gli utenti remoti.
Per informazioni su come configurare il connettore di rete privata Microsoft Entra, vedere Come configurare i connettori di rete privata per Accesso privato Microsoft Entra.
Gestione
I connettori e il servizio si occupano di tutte le attività che richiedono disponibilità elevata. Possono essere aggiunti o rimossi in modo dinamico. Le nuove richieste vengono instradate a uno dei connettori disponibili. Se un connettore è temporaneamente non disponibile, non risponde a questo traffico.
I connettori sono senza stato e senza dati di configurazione nel computer. Gli unici dati che archiviano sono le impostazioni per la connessione del servizio e il relativo certificato di autenticazione. Quando si connettono al servizio, eseguono il pull di tutti i dati di configurazione necessari e li aggiornano ogni due minuti.
Connessione ors esegue anche il polling del server per verificare se è presente una versione più recente del connettore. Se ne viene individuata una, i connettori vengono aggiornati.
È possibile monitorare i connettori dal computer in cui sono in esecuzione, usando il registro eventi e i contatori delle prestazioni. Per altre informazioni, vedere Monitorare ed esaminare i log per Microsoft Entra locale.
È anche possibile visualizzare lo stato nell'interfaccia di amministrazione di Microsoft Entra. Per Accesso privato Microsoft Entra, passare a Accesso sicuro globale (anteprima), Connessione e selezionare Connessione ors. Per il proxy dell'applicazione passare a Identità, Applicazioni, Applicazioni aziendali e selezionare l'applicazione. Nella pagina dell'applicazione selezionare application proxy.
Non è necessario eliminare manualmente i connettori che non vengono usati. Quando un connettore è in esecuzione, rimane attivo quando si connette al servizio. I connettori inutilizzati vengono contrassegnati come _inactive_ e vengono rimossi dopo 10 giorni di inattività. Per disinstallare un connettore, disinstallare sia il servizio connettore che il servizio di aggiornamento dal server. Riavviare il computer per rimuovere completamente il servizio.
Aggiornamenti automatici
Microsoft Entra ID fornisce aggiornamenti automatici per tutti i connettori distribuiti. Se il servizio di aggiornamento del connettore di rete privato è in esecuzione, i connettori vengono aggiornati automaticamente con la versione più recente del connettore principale. Se nel server non viene visualizzato il servizio Connessione or Updater, è necessario reinstallare il connettore per ottenere gli aggiornamenti. Per altre informazioni sugli aggiornamenti del connettore, vedere Domande frequenti sul proxy dell'applicazione.
Se non si vuole attendere l'aggiornamento automatico del connettore, è possibile eseguire un aggiornamento manuale. Passare alla pagina di download del connettore nel server in cui si trova il connettore e selezionare Download. Grazie a questo processo viene avviato un aggiornamento del connettore locale.
In caso di tenant con più connettori, gli aggiornamenti automatici vengono applicati a un connettore per volta in ogni gruppo, al fine di evitare tempo di inattività nell'ambiente in uso.
È possibile riscontrare tempi di inattività quando il connettore viene aggiornato se:
- Si ha un solo connettore. È consigliabile usare un secondo connettore e un gruppo di connettori per evitare tempi di inattività e garantire una maggiore disponibilità.
- Un connettore si trovava nel mezzo di una transazione quando è iniziato l'aggiornamento. Anche se la transazione iniziale viene persa, il browser dovrebbe ripetere automaticamente l'operazione. In caso contrario, è possibile aggiornare la pagina. Quando la richiesta viene inviata di nuovo, il traffico viene indirizzato a un connettore di backup.
Per visualizzare informazioni sulle versioni rilasciate in precedenza e sulle modifiche che includono, vedere Cronologia delle versioni del proxy dell'applicazione.
Creazione di gruppi di connettori
I gruppi di connettori consentono di assegnare connettori specifici per gestire applicazioni specifiche. È possibile raggruppare più connettori e quindi assegnare ogni risorsa o applicazione a un gruppo.
I gruppi di connettori rendono più semplice gestire le distribuzioni di grandi dimensioni. Migliorano anche la latenza per i tenant che dispongono di risorse e applicazioni ospitate in aree diverse, perché è possibile creare gruppi di connettori basati sulla posizione per gestire solo le applicazioni locali.
Per altre informazioni sui gruppi di connettori, vedere Informazioni sui gruppi di connettori di rete privata di Microsoft Entra.
Pianificazione capacità
Pianificare una capacità sufficiente tra i connettori per gestire il volume di traffico previsto. Almeno due connettori in un gruppo di connettori offrono disponibilità elevata e scalabilità. Ma tre connettori sono ottimali.
La tabella fornisce volume e latenza prevista per specifiche di computer diverse. I dati si basano sulle transazioni previste al secondo (TPS) anziché dall'utente perché i modelli di utilizzo variano e non possono essere usati per stimare il carico. Esistono alcune differenze in base alle dimensioni delle risposte e al tempo di risposta dell'applicazione back-end: dimensioni maggiori delle risposte e tempi di risposta più lenti comportano un numero massimo di tps inferiore. Più computer distribuiscono il carico e forniscono un buffer ampio. La capacità aggiuntiva garantisce disponibilità elevata e resilienza.
| Core | RAM | Latenza prevista (MS)-P99 | Numero massimo di TPS |
|---|---|---|---|
| 2 | 8 | 325 | 586 |
| 4 | 16 | 320 | 1150 |
| 8 | 32 | 270 | 1190 |
| 16 | 64 | 245 | 1200* |
* Il computer ha usato un'impostazione personalizzata per aumentare alcuni dei limiti di connessione predefiniti oltre le impostazioni consigliate di .NET. È consigliabile eseguire un test con le impostazioni predefinite prima di contattare il supporto per ottenere la modifica di questo limite per il tenant specifico.
Nota
Non c'è molta differenza nel tps massimo tra 4, 8 e 16 computer core. La differenza principale è la latenza prevista.
La tabella è incentrata sulle prestazioni previste di un connettore in base al tipo di computer in cui è installato. Ciò è separato dai limiti di limitazione del servizio, vedere Limiti e restrizioni del servizio.
Sicurezza e rete
Connessione ors possono essere installati in qualsiasi punto della rete che consente loro di inviare richieste al servizio proxy di Accesso privato Microsoft Entra e dell'applicazione. È importante che il computer che esegue il connettore abbia accesso anche alle app e alle risorse. È possibile installare i connettori all'interno della rete aziendale o in una macchina virtuale che viene eseguita nel cloud. Connessione ors possono essere eseguiti all'interno di una rete perimetrale, nota anche come zona demilitarizzata (DMZ), ma non è necessario perché tutto il traffico è in uscita in modo che la rete rimanga sicura.
I connettori inviano le richieste soltanto in uscita. Il traffico in uscita viene inviato al servizio e alle risorse e alle applicazioni pubblicate. Non è necessario aprire porte in ingresso perché il traffico scorre in entrambe le direzioni, dopo aver stabilito una sessione. Non è inoltre necessario configurare l'accesso in ingresso attraverso firewall.
Per maggiori informazioni sulla configurazione delle regole del firewall in uscita, vedere Usare server proxy locali esistenti.
Prestazioni e scalabilità
La scalabilità per Accesso privato Microsoft Entra e i servizi proxy dell'applicazione sono trasparenti, ma la scalabilità è un fattore per i connettori. È necessario disporre di connettori sufficienti per gestire il traffico di picco. Connessione ors sono senza stato e il numero di utenti o sessioni non li influisce. Dipendono invece dal numero di richieste e dalle dimensioni del payload. Con il traffico Web standard, un computer medio può gestire 2.000 richieste al secondo. La capacità specifica dipende dalle esatte caratteristiche del computer.
CPU e rete definiscono le prestazioni del connettore. Le prestazioni della CPU sono necessarie per la crittografia e la decrittografia TLS, mentre la rete è importante per ottenere connettività rapida alle applicazioni e al servizio online.
La memoria, al contrario, ha meno importanza per i connettori. Il servizio online si occupa di gran parte dell'elaborazione e di tutto il traffico non autenticato. Tutto ciò che può essere fatto nel cloud viene fatto nel cloud.
Quando i connettori o i computer non sono disponibili, il traffico passa a un altro connettore nel gruppo. Più connettori in un gruppo di connettori offrono resilienza.
Un altro fattore che influenza le prestazioni è la qualità della connessione di rete tra i connettori, inclusi:
- Il servizio online: le connessioni lente o ad alta latenza al servizio Microsoft Entra influenzano le prestazioni del connettore. Per ottenere prestazioni ottimali, connettere l'organizzazione a Microsoft con ExpressRoute. In caso contrario, chiedere al team di rete di assicurarsi che le connessioni a Microsoft vengano gestite nel modo più efficiente possibile.
- Le applicazioni back-end: in alcuni casi sono presenti proxy aggiuntivi tra il connettore e le risorse back-end e le applicazioni che possono rallentare o impedire le connessioni. Per risolvere questo scenario, aprire un browser dal server connettore e provare ad accedere all'applicazione o alla risorsa. Se si eseguono i connettori nel cloud ma le applicazioni sono locali, l'esperienza potrebbe non essere quella prevista dagli utenti.
- Controller di dominio: se i connettori eseguono l'accesso Single Sign-On (SSO) usando la delega vincolata Kerberos, contattano i controller di dominio prima di inviare la richiesta al back-end. I connettori hanno una cache dei ticket Kerberos, ma in ambienti affollati la velocità di risposta dei controller di dominio può influenzare le prestazioni. Questa situazione è più comune per i connettori eseguiti in Azure, ma che comunicano con i controller di dominio locali.
Per altre informazioni sull'ottimizzazione della rete, vedere Considerazioni sulla topologia di rete quando si usa il proxy dell'applicazione Microsoft Entra.
Aggiunta al dominio
Connessione ors possono essere eseguiti in un computer che non è aggiunto a un dominio. Tuttavia, se si vuole usare l'accesso Single Sign-On (SSO) alle applicazioni che usano autenticazione di Windows integrato (IWA), è necessario un computer aggiunto a un dominio. In questo caso i computer di connessione devono appartenere a un dominio che può eseguire la delega vincolata Kerberos per conto degli utenti per le applicazioni pubblicate.
Connessione ors possono anche essere aggiunti a domini in foreste con attendibilità parziale o ai controller di dominio di sola lettura.
Distribuzione dei connettori in ambienti protetti
Nella maggior parte dei casi la distribuzione dei connettori è molto semplice e non richiede una configurazione speciale.
Esistono tuttavia alcune condizioni specifiche che devono essere considerate:
- Il traffico in uscita richiede l'apertura di porte specifiche. Per altre informazioni, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID.
- I computer conformi a FIPS potrebbero richiedere una modifica di configurazione per consentire ai processi del connettore di generare e archiviare un certificato.
- I proxy di inoltro in uscita potrebbero interrompere l'autenticazione del certificato bidirezionale e causare l'esito negativo della comunicazione.
Autenticazione del connettore
Per garantire un servizio sicuro, i connettori devono eseguire l'autenticazione verso il servizio e il servizio deve eseguire l'autenticazione verso il connettore. Questa autenticazione viene eseguita usando i certificati client e server quando i connettori avviano la connessione. In questo modo il nome utente e la password dell'amministratore non vengono archiviati nel computer connettore.
I certificati usati sono specifici del servizio. Vengono creati durante la registrazione iniziale e rinnovati automaticamente ogni paio di mesi.
Dopo il primo rinnovo del certificato, il servizio Connettore di rete privato Microsoft Entra (servizio di rete) non dispone dell'autorizzazione per rimuovere il certificato precedente dall'archivio del computer locale. Se il certificato scade o non viene usato dal servizio, è possibile eliminarlo in modo sicuro.
Per evitare problemi con il rinnovo del certificato, assicurarsi che la comunicazione di rete dal connettore verso le destinazioni documentate sia abilitata.
Se un connettore non è connesso al servizio per diversi mesi, i relativi certificati potrebbero essere obsoleti. In questo caso, disinstallare e reinstallare il connettore per attivare la registrazione. È possibile eseguire i seguenti comandi di PowerShell:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Per enti pubblici, usare -EnvironmentName "AzureUSGovernment". Per altre informazioni, vedere Installare l'agente per Azure per enti pubblici Cloud.
Per informazioni su come verificare il certificato e risolvere i problemi, vedere Verificare il supporto dei componenti del computer e back-end per il certificato di attendibilità del proxy dell'applicazione.
Informazioni dettagliate
Connessione ors sono installati in Windows Server, quindi dispongono della maggior parte degli stessi strumenti di gestione, inclusi i registri eventi di Windows e i contatori delle prestazioni di Windows.
I connettori hanno sia log di Amministrazioneche di sessione. Il log Amministrazione include gli eventi chiave e i relativi errori. Il log sessione include tutte le transazioni e i relativi dettagli di elaborazione.
Per visualizzare i log, aprire Visualizzatore eventi e passare a Registri>applicazioni e servizi Microsoft>Entra private network> Connessione or. Per rendere visibile il log sessione, scegliere Mostra log analitici e di debug dal menu Visualizza. Il log di sessione viene in genere usato per la risoluzione dei problemi ed è disabilitato per impostazione predefinita. Abilitarlo per avviare la raccolta di eventi e disabilitarlo quando non è più necessario.
È possibile esaminare lo stato del servizio nella finestra Servizi. Il connettore è costituito da due servizi di Windows, ovvero il connettore stesso e il programma di aggiornamento. Entrambi devono essere eseguiti costantemente.
Connettori inattivi
Un problema comune è che i connettori vengono visualizzati come inattivi in un gruppo di connettori. Un firewall che blocca le porte necessarie è una causa comune per i connettori inattivi.
Condizioni per l’Utilizzo
L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.