Настройка соединителей частной сети для прокси приложения Частный доступ Microsoft Entra и Microsoft Entra

Подключение оры — это упрощенные агенты, которые находятся на сервере в частной сети и упрощают исходящее подключение к службе Глобального безопасного доступа. Подключение необходимо установить на сервере Windows Server, который имеет доступ к внутренним ресурсам и приложениям. Соединители можно организовать в группы соединителей, каждая из которых обрабатывает трафик определенных приложений. Дополнительные сведения о соединителях см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".

Необходимые компоненты

Чтобы добавить частные ресурсы и приложения в идентификатор Microsoft Entra, вам потребуется:

• Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• учетная запись администратора приложения.

Удостоверения пользователей должны быть синхронизированы из локального каталога или созданы непосредственно в клиентах Microsoft Entra. Синхронизация удостоверений позволяет Microsoft Entra ID предварительно пройти проверку подлинности пользователей перед предоставлением им доступа к опубликованным приложениям прокси приложения и иметь необходимые сведения об идентификаторе пользователя для выполнения единого входа.

Windows Server

Для соединителя частной сети Microsoft Entra требуется сервер под управлением Windows Server 2012 R2 или более поздней версии. Соединитель частной сети устанавливается на сервере. Этот сервер соединителя должен подключиться к службе Частный доступ Microsoft Entra или прокси-службе приложений, а также к частным ресурсам или приложениям, которые планируется опубликовать.

• Для обеспечения высокой доступности в вашей среде рекомендуется использовать несколько серверов Windows.
• Минимальная версия .NET, необходимая для соединителя, — версии 4.7.1+.
• Дополнительные сведения см. в разделе "Соединители частной сети"
• Дополнительные сведения см. в разделе "Определение установленных версий платформы .NET Framework".

Предупреждение

Если вы развернули прокси-сервер защиты паролей Microsoft Entra, не устанавливайте прокси приложения Microsoft Entra и прокси-сервер защиты паролей Microsoft Entra на одном компьютере. Прокси приложения Microsoft Entra и прокси-сервер защиты паролем Microsoft Entra устанавливают разные версии службы обновления агента Microsoft Entra Подключение. Эти разные версии несовместимы при установке вместе на одном компьютере.

Требования к безопасности транспортного уровня (TLS)

Перед установкой соединителя частной сети сервер соединителя Windows должен включать TLS 1.2.

Включение протокола TLS 1.2

1. Задайте разделы реестра.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Перезапустите сервер.

Примечание.

Корпорация Майкрософт обновляет службы Azure для использования TLS-сертификатов от других корневых центров сертификации (ЦС). Это изменение связано с тем, что текущие сертификаты ЦС не соответствуют одному из базовых требований организации CA/Browser Forum. Дополнительные сведения см. в статье об изменениях сертификата TLS Azure.

Рекомендации для сервера соединителя

• Оптимизируйте производительность между соединителем и приложением. Физически найдите сервер соединителя рядом с серверами приложений. Дополнительные сведения см. в разделе "Оптимизация потока трафика" с помощью прокси приложения Microsoft Entra.
• Убедитесь, что сервер соединителя и серверы веб-приложений находятся в одном домене Active Directory или домене доверия. Размещение серверов в одном домене или диапазоне доверенных доменов необходимо для использования единого входа с помощью встроенной проверки подлинности Windows (IWA) и ограниченного делегирования Kerberos (KCD). Если сервер соединителя и серверы веб-приложений находятся в разных доменах Active Directory, используйте делегирование на основе ресурсов для единого входа.

Подготовка локальной среды

Начните с включения связи в центры обработки данных Azure для подготовки среды для прокси приложения Microsoft Entra. Если в сетевом пути используется брандмауэр, убедитесь, что он открыт. Открытый брандмауэр разрешает соединителю выполнять запросы HTTPS (TCP) к Application Proxy.

Внимание

Если вы устанавливаете соединитель для облака Azure для государственных организаций, выполните предварительные требования и процедуру установки. Для этого необходимо включить доступ к другому набору URL-адресов и дополнительный параметр для запуска установки.

Открытие портов

Откройте следующие порты для исходящего трафика.

Номер порта	Как он используется
80	Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата
443	Весь исходящий обмен данными со службой прокси приложения

Если брандмауэр инициирует трафик в соответствии с отправляющими его пользователями, откройте порты 80 и 443 для трафика, поступающего от служб Windows, которые работают как сетевая служба.

Разрешение доступа к URL-адресам

Разрешите доступ к следующим URL-адресам.

URL	Порт	Как он используется
*.msappproxy.net *.servicebus.windows.net	HTTPS 443	Связь между соединителем и облачной службой прокси приложения
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com	HTTP 80	Соединитель использует эти URL-адреса для проверки сертификатов.
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops	HTTPS 443	Соединитель использует эти URL-адреса во время регистрации.
ctldl.windowsupdate.com www.microsoft.com/pkiops	HTTP 80	Соединитель использует эти URL-адреса во время регистрации.

Вы можете разрешить подключения к *.msappproxy.net, *.servicebus.windows.net, а также другим приведенным выше URL-адресам, если ваш брандмауэр или прокси-сервер позволяет настраивать правила доступа на основе суффиксов домена. В противном случае необходимо разрешить доступ к диапазонам IP-адресов Azure и тегам служб в общедоступном облаке. Список диапазонов IP-адресов обновляется еженедельно.

Внимание

Избегайте всех форм встроенной проверки и завершения исходящих подключений TLS между соединителями частной сети Microsoft Entra и облачными службами прокси приложения Microsoft Entra.

Установка и регистрация соединителя

Чтобы использовать закрытый доступ, установите соединитель на каждом сервере Windows, который вы используете для Частный доступ Microsoft Entra. Соединитель — это агент, который управляет исходящим подключением с локальных серверов приложений к глобальному безопасному доступу. Соединитель можно установить на серверах, на которых также установлены другие агенты проверки подлинности, такие как Microsoft Entra Подключение.

Примечание.

Минимальная версия соединителя, необходимая для частного доступа, — 1.5.3417.0. Начиная с версии 1.5.3437.0, наличие .NET версии 4.7.1 или более поздней требуется для успешной установки (обновления).

Чтобы установить соединитель, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator каталога, использующего прокси приложения.

   • Например, если домен клиента contoso.com, администратором должен быть пользователь admin@contoso.com или другой псевдоним администратора в этом домене.

2. В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в каталог, который использует Application Proxy. Если необходимо изменить каталоги, щелкните Переключение каталога и выберите каталог, который использует Application Proxy.

3. Перейдите к Подключение> глобального безопасного доступа (предварительная версия)> Подключение.

4. Выберите Скачать службу соединителя.

   

5. Ознакомьтесь с условиями предоставления услуг. Когда вы будете готовы, выберите Accept terms & Download (Принять условия и скачать).

6. В нижней части окна выберите Выполнить, чтобы установить соединитель. Откроется мастер установки.

7. Следуйте указаниям мастера, чтобы установить службу. Когда вам будет предложено зарегистрировать соединитель с помощью прокси приложения для клиента Microsoft Entra, укажите учетные данные глобального Администратор istrator.

   • Для интернет-Обозреватель (IE): если для параметра "Конфигурация расширенной безопасности IE" задано значение "Вкл.", экран регистрации может не отображаться. Чтобы получить к нему доступ, выполните указания, приведенные в сообщении об ошибке. Убедитесь, что конфигурация усиленной безопасности Internet Explorerотключена.

Полезная информация

Если вы ранее установили соединитель, переустановите его, чтобы получить последнюю версию. При обновлении удалите существующий соединитель и удалите все связанные папки. Сведения о ранее выпущенных версиях и изменениях, которые они включают, см. в статье "Прокси приложения: журнал выпусков версий".

Если у вас есть несколько серверов Windows для локальных приложений, необходимо установить и зарегистрировать соединитель на каждом сервере. Соединители можно упорядочить в группы. Дополнительные сведения см . в группах соединителей.

Сведения о соединителях, планировании емкости и их актуальности см. в статье "Общие сведения о соединителях частной сети Microsoft Entra".

Примечание.

Частный доступ Microsoft Entra не поддерживает соединители с несколькими регионами. Экземпляры облачной службы для соединителя выбираются в том же регионе, что и клиент Microsoft Entra (или ближайший регион), даже если у вас есть соединители, установленные в регионах, отличных от вашего региона по умолчанию.

Проверка установки и регистрации

Вы можете использовать портал глобального безопасного доступа или сервер Windows, чтобы убедиться, что новый соединитель установлен правильно.

Сведения об устранении неполадок с прокси приложениями см. в разделе "Отладка проблем с приложением прокси приложения".

Проверка установки с помощью Центра администрирования Microsoft Entra

Для подтверждения правильности установки и регистрации соединителя:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator каталога, использующего прокси приложения.

2. Перейдите к global Secure Access (предварительная версия)>Подключение Подключение>

   • На этой странице отображаются все соединители и группы соединителей.

3. Просмотрите соединитель, чтобы проверить сведения о нем.

   • Разверните соединитель, чтобы просмотреть сведения, если они еще не развернуты.
   • Активная зеленая метка указывает на то, что соединитель может подключиться к службе. Тем не менее, несмотря на то, что метка зеленая, проблема с сетью по-прежнему может помешать соединителю получать сообщения.

   

Дополнительные сведения об установке соединителя см. в статье об устранении неполадок соединителей.

Проверка установки через сервер Windows

Для подтверждения правильности установки и регистрации соединителя:

1. Выберите ключ Windows и введите services.msc его, чтобы открыть диспетчер служб Windows.

2. Убедитесь, что состояние для следующих служб выполняется.

   • Соединитель частной сети Microsoft Entra обеспечивает подключение.
   • Microsoft Entra private network connector Updater — это служба автоматического обновления.
   • Средство обновления проверяет наличие новых версий соединителя и обновляет его по мере необходимости.

   

3. Если состояние службы не Выполняется, щелкните правой кнопкой мыши каждую службу и выберите Запустить.

Создание групп соединителей

Чтобы создать столько групп соединителей, сколько нужно:

1. Перейдите к Подключение> глобального безопасного доступа (предварительная версия)> Подключение.
2. Выберите Новая группа соединителей.
3. Присвойте имя новой группе соединителей, затем из раскрывающегося меню выберите соединители, принадлежащие этой группе.
4. Выберите Сохранить.

Дополнительные сведения о группах соединителей см. в статье "Общие сведения о группах соединителей частной сети Microsoft Entra".

Условия использования

Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.

Следующие шаги

Следующий шаг для начала работы с Частный доступ Microsoft Entra — настройка приложения быстрого доступа или глобального безопасного доступа.

• Настройка быстрого доступа к частным ресурсам
• Настройка доступа для каждого приложения для Частный доступ Microsoft Entra