Implantar o proxy de aplicativo do Microsoft Entra para acesso seguro a aplicativos internos em um domínio gerenciado do Microsoft Entra Domain Services

Com o Microsoft Entra Domain Services (Microsoft Entra DS), você pode fazer lift-and-shift de aplicativos herdados em execução local no Azure. O proxy de aplicativo do Microsoft Entra ajuda a dar suporte para trabalhos remotos, publicando com segurança esses aplicativos internos que fazem parte de um domínio gerenciado do Serviço de Domínio, para que possam ser acessados pela Internet.

Caso você não tenha experiência com o proxy de aplicativo do Microsoft Entra e queira saber mais, confira Como fornecer acesso remoto seguro para aplicativos internos.

Este artigo mostra como criar e configurar um conector de rede privada do Microsoft Entra para fornecer acesso seguro a aplicativos em um domínio gerenciado.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
  • É necessária uma licença do Microsoft Entra ID P1 ou P2 para usar o proxy de aplicativo do Microsoft Entra.
• Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado no seu locatário do Microsoft Entra.
  • Se necessário, crie e configure um domínio gerenciado do Microsoft Entra Domain Services.

Criar uma VM do Windows ingressada no domínio

Para rotear o tráfego para aplicativos em execução no seu ambiente, instale o componente conector de rede privada do Microsoft Entra. Esse conector de rede privada do Microsoft Entra deve ser instalado em uma máquina virtual (VM) do Windows Server que esteja ingressada no domínio gerenciado. Para alguns aplicativos, você pode implantar vários servidores que cada um tem o conector do instalado. Essa opção de implantação fornece mais disponibilidade e ajuda a lidar com cargas mais pesadas de autenticação.

A VM que executa o conector de rede privada do Microsoft Entra deve estar na mesma rede virtual, ou em uma rede virtual conectada, que o domínio gerenciado. As VMs que hospedam os aplicativos publicados usando o proxy de aplicativo também devem ser implantadas na mesma rede virtual do Azure.

Para criar uma VM para o conector de rede privada do Microsoft Entra, conclua as etapas a seguir:

1. Criar uma UO personalizada. Você pode delegar permissões para gerenciar esta UO personalizada para usuários dentro do domínio gerenciado. As VMs do proxy de aplicativo do Microsoft Entra e que executam seus aplicativos devem fazer parte da UO personalizada, não da UO padrão do Microsoft Entra DC Computers.
2. Ingressar no domínio os computadores virtuais, tanto aqueles que executam o conector de rede privada do Microsoft Entra quanto aqueles que executam seus aplicativos, ao domínio gerenciado. Crie essas contas de computador na UO personalizada da etapa anterior.

Download do conector de rede privada Microsoft Entra

Execute as etapas a seguir para fazer o download do conector de rede privada do Microsoft Entra. O arquivo de instalação baixado será copiado para a VM do proxy de aplicativo na próxima seção.

1. Entre no centro de administração do Microsoft Entra como Administrador global.

2. Pesquise por Aplicativos empresariais e selecione essa opção.

3. Selecione Proxy do aplicativo no menu esquerdo. Para criar seu primeiro conector e habilitar o proxy de aplicativo, selecione o link para baixar um conector.

4. Na página de download, aceite os termos de licença e o contrato de privacidade e clique no botão Aceitar os termos e baixar.

   

Instalar e registrar o conector de rede privada do Microsoft Entra

Com uma VM pronta para ser usada como conector de rede privada do Microsoft Entra, agora copie e execute o arquivo de configuração baixado do centro de administração do Microsoft Entra.

1. Copie o arquivo de configuração do conector de rede privada do Microsoft Entra para sua VM.

2. Execute o arquivo de instalação, como o MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Aceite os termos de licença de software.

3. Durante a instalação, você receberá uma solicitação para registrar o conector com o Proxy de Aplicativo no seu diretório do Microsoft Entra.

   • Forneça as credenciais para um administrador global no diretório do Microsoft Entra. As credenciais de administrador global do Microsoft Entra podem ser diferentes das suas credenciais do Azure no portal

     Observação

     A conta de administrador usada para registrar o conector deve pertencer ao mesmo diretório no qual você habilitou o serviço Proxy de Aplicativo.

     Por exemplo, se o domínio do Microsoft Entra for contoso.com, o administrador global deverá ser admin@contoso.com ou qualquer outro alias válido nesse domínio.

   • Se a configuração de segurança reforçada do Internet Explorer estiver ativada para a VM na qual você instala o conector, a tela de registro poderá ser bloqueada. Para permitir o acesso, siga as instruções na mensagem de erro ou desative a segurança aprimorada do Internet Explorer durante o processo de instalação.

   • Se o registro do conector falhar, consulte Solucionar problemas do Proxy de Aplicativo.

4. No final da instalação, uma observação é mostrada para ambientes com um proxy de saída. Para configurar o conector de rede privada do Microsoft Entra para funcionar por meio do proxy de saída, execute o script fornecido, como C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

5. Na página Proxy do Aplicativo no centro de administração do Microsoft Entra, o novo conector é listado com o status Ativo, conforme mostrado no exemplo a seguir:

   

Observação

Para fornecer alta disponibilidade para aplicativos que se autenticam por meio do proxy de aplicativo do Microsoft Entra, você pode instalar conectores em várias VMs. Execute as mesmas etapas listadas acima para instalar o conector em outros servidores ingressados em seu domínio gerenciado.

Habilitar a delegação restrita de Kerberos baseada em recursos

Se você quiser usar o logon único para seus aplicativos usando a autenticação integrada do Windows (IWA), conceda aos conectores de rede privada do Microsoft Entra permissão para representar usuários e enviar e receber tokens em seu nome. Configure a KCD (Delegação restrita de Kerberos) para que o conector conceda as permissões necessárias para o acesso de recursos no domínio gerenciado. Como você não tem privilégios de administrador de domínio em um domínio gerenciado, o KCD de nível de conta tradicional não pode ser configurado em um domínio gerenciado. Em vez disso, use KCD com base em recursos.

Para obter mais informações, confira Configurar a KCD (delegação restrita do Kerberos) no Microsoft Entra Domain Services.

Observação

Você deve estar conectado a uma conta de usuário que seja membro do grupo de administradores do Microsoft Entra DC em seu locatário do Microsoft Entra para executar os seguintes cmdlets do PowerShell.

As contas de computador da VM do conector de rede privada e das VMs de aplicativos devem estar em uma UO personalizada na qual você tenha permissões para configurar o KCD baseado em recursos. Você não pode configurar o KCD com base em recursos para uma conta de computador no contêiner interno do Microsoft Entra DC Computers.

Use o comando Get-ADComputer para recuperar as configurações do computador no qual o conector de rede privada do Microsoft Entra está instalado. Na VM de gerenciamento conectada ao domínio e registrada como uma conta de usuário membro do grupo de administradores do Microsoft Entra DC, execute os seguintes cmdlets.

O exemplo a seguir obtém informações sobre a conta de computador chamada appproxy.aaddscontoso.com. Forneça seu próprio nome de computador para a VM de proxy de aplicativo do Microsoft Entra configurada nas etapas anteriores.

$ImpersonatingAccount = Get-ADComputer -Identity appproxy.aaddscontoso.com

Para cada servidor de aplicativos que executa os aplicativos por trás do proxy de aplicativo do Microsoft Entra use o cmdlet do PowerShell Set-ADComputer para configurar o KCD baseado em recursos. No exemplo a seguir, o conector de rede privada do Microsoft Entra recebe permissões para usar o computador appserver.aaddscontoso.com:

Set-ADComputer appserver.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount

Se você implantar vários conectores de rede privada do Microsoft Entra, deverá configurar o KCD baseado em recursos para cada instância do conector.

Próximas etapas

Com o proxy de aplicativo do Microsoft Entra integrado com o Serviço de Domínio, publique aplicativos para que os usuários acessem. Para obter mais informações, confira Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra.