كيفية تكوين موصلات وكيل التطبيق الوصول الخاص عبر Microsoft Entra

الموصلات هي وكلاء خفيفي الوزن يجلسون في أماكن العمل ويسهلون الاتصال الصادر بخدمة الوصول الآمن العالمي. ينبغي تثبيت الموصلات على خادم Windows يمكنه الوصول إلى تطبيق الواجهة الخلفية. ويمكنك تنظيم الموصلات في مجموعات موصلات، بحيث تتعامل كل مجموعة مع حركة المرور إلى تطبيقات معينة. لمعرفة المزيد حول الموصلات، راجع فهم موصلات وكيل التطبيق Microsoft Entra.

المتطلبات الأساسية

لإضافة تطبيق محلي إلى معرف Microsoft Entra تحتاج إليه:

يجب مزامنة هويات المستخدم من دليل محلي أو إنشاؤها مباشرة داخل المستأجرين Microsoft Entra. تسمح مزامنة الهوية لمعرف Microsoft Entra بمصادقة المستخدمين مسبقا قبل منحهم حق الوصول إلى التطبيقات المنشورة لوكيل التطبيق والحصول على معلومات معرف المستخدم الضرورية لإجراء تسجيل الدخول الأحادي (SSO).

خادم Windows

أنت بحاجة إلى خادم "Windows" يعمل بنظام التشغيل "Windows Server 2012 R2" أو إصدار أحدث لاستخدام "Application Proxy". ستقوم بتثبيت موصل "Application Proxy" على الخادم. يحتاج خادم الموصل إلى الاتصال بخدمات "Application Proxy" في حساب "Azure" والتطبيقات المحلية التي تخطط لنشرها.

جهز بيئتك المحلية

ابدأ بتمكين الاتصال بمراكز بيانات Azure لإعداد بيئتك لوكيل تطبيق Microsoft Entra. إذا كان هناك جدار حماية في المسار، فتأكد من أنه مفتوح. يسمح جدار الحماية المفتوح للموصل بإنشاء طلبات HTTPS (TCP) إلى "Application Proxy".

هام

إذا كنت تقوم بتثبيت الموصل الخاص بسحابة "Azure Government"، فاتبع المتطلبات المسبقةوخطوات التثبيت. يتطلب هذا تمكين الوصول إلى مجموعة مختلفة من عناوين URL ومعلمة إضافية لتشغيل التثبيت.

فتح المنافذ

افتح المنافذ التالية لحركة استخدام الشبكة الصادرة.

رقم المنفذ كيف يتم استخدام هذه الخدمة
80 تنزيل قوائم إبطال الشهادات (CRLs) أثناء التحقق من صحة شهادة TLS/SSL
443 جميع الاتصالات الصادرة مع خدمة "Application Proxy"

إذا كان جدار الحماية الخاص بك يفرض استخدام الشبكة وفق المستخدمين الأصليين، فافتح أيضاً المنفذين 80 و443 لاستخدام الشبكة من خدمات "Windows" التي تعمل بصفتها "Network Service".

السماح بالوصول إلى عناوين URLs

السماح بالوصول إلى عناوين URL التالية:

عنوان URL المنفذ كيف يتم استخدام هذه الخدمة
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS الاتصال بين الموصل والخدمة السحابية الخاصة بـ "Application Proxy"
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP يستخدم الموصل عناوين URL هذه للتحقق من الشهادات.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS يستخدم الموصل عناوين URL هذه أثناء عملية التسجيل.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP يستخدم الموصل عناوين URL هذه أثناء عملية التسجيل.

يمكنك السماح بالاتصالات بموقع *.msappproxy.net.msappproxy.net، *.servicebus.windows.netو.servicebus.windows.net، وغيرها من عناوين URL الأخرى السابقة إذا كان جدار الحماية أو الوكيل يتيح لك تكوين قواعد الوصول وفق لاحقات المجال. إذا لم يكن الأمر كذلك، فأنت بحاجة إلى السماح بالوصول إلى نطاقات "Azure IP" وعلامات "Service Tags - Public Cloud". يتم تحديث نطاقات IP كل أسبوع.

هام

تجنب جميع أشكال الفحص المضمن والإنهاء على اتصالات TLS الصادرة بين موصلات وكيل التطبيق Microsoft Entra وخدمات سحابة وكيل التطبيق Microsoft Entra.

تثبيت موصل وتسجيله

لاستخدام الوصول الخاص، قم بتثبيت موصل على كل خادم Windows تستخدمه الوصول الخاص عبر Microsoft Entra. الموصل هو عامل يدير الاتصال الصادر من خوادم التطبيقات المحلية إلى الوصول الآمن العالمي. يمكنك تثبيت موصل على الخوادم التي تحتوي أيضا على عوامل مصادقة أخرى مثبتة مثل Microsoft Entra Connect.

ملاحظة

يتطلب إعداد موصلات وكيل التطبيق ومجموعات الموصلات التخطيط والاختبار للتأكد من أن لديك التكوين الصحيح لمؤسستك. إذا لم يكن لديك مجموعات موصل تم إعدادها بالفعل، فقم بإيقاف هذه العملية مؤقتا والعودة عندما تكون لديك مجموعة موصل جاهزة.

الحد الأدنى لإصدار الموصل المطلوب للوصول الخاص هو 1.5.3417.0. بدءا من الإصدار 1.5.3437.0، يلزم وجود الإصدار .NET 4.7.1 أو أحدث للتثبيت الناجح (الترقية).

لتثبيت الموصل:

  1. سجل الدخول إلى مركز إدارة Microsoft Entra كمسؤول عام للدليل الذي يستخدم وكيل التطبيق.

    • على سبيل المثال، إذا كان مجال الحساب المستأجر هو contoso.com، فيجب أن يكون المسؤول admin@contoso.com أو أي اسم مستعار آخر للمسؤول في هذا المجال.
  2. حدد اسم المستخدم الخاص بك في الزاوية العليا اليمنى. تحقق من أنك قمت بتسجيل الدخول إلى دليل يستخدم "Application Proxy". إذا كنت بحاجة إلى تغيير الدلائل، فحدد "Switch directory" واختر دليلاً يستخدم "Application Proxy".

  3. استعرض للوصول الآمن العمومي (معاينة)>الموصلات>.

  4. حدد "Download connector service" .

    لقطة شاشة لزر تنزيل خدمة الموصل في صفحة وكيل التطبيق.

  5. اقرأ "Terms of Service". عندما تكون مستعدًا، حدد قبول الشروط تنزيل.

  6. في الجزء السفلي من النافذة، حدد "Run" لتثبيت الموصل. سيفتح بدوره معالج تثبيت.

  7. اتبع التعليمات الموجودة في المعالج لتثبيت الخدمة. عندما تتم مطالبتك بتسجيل الموصل مع وكيل التطبيق لمستأجر Microsoft Entra، قم بتوفير بيانات اعتماد المسؤول العام.

    • بالنسبة إلى Internet Explorer (IE): إذا تم تعيين تكوين أمان IE المحسن إلى تشغيل، فقد لا ترى شاشة التسجيل. اتبع التعليمات الواردة في رسالة الخطأ للوصول. تأكد من تعيين "Internet Explorer Enhanced Security Configuration" على "Off" .

أشياء عليك معرفتها

إذا قمت مسبقا بتثبيت موصل، فقم بإعادة تثبيته للحصول على أحدث إصدار. عند الترقية، قم بإلغاء تثبيت الموصل الموجود وحذف أي مجلدات ذات صلة. للاطلاع على معلومات حول الإصدارات التي تم إصدارها مسبقاً والتغييرات التي تتضمنها، راجع "Application Proxy: Version Release History".

إذا اخترت أن يكون لديك أكثر من خادم Windows واحد للتطبيقات المحلية، فستحتاج إلى تثبيت الموصل وتسجيله على كل خادم. يمكنك تنظيم الموصلات في مجموعات موصلات. لمزيد من المعلومات، راجع "مجموعات الموصلات".

إذا قمت بتثبيت الموصلات في مناطق مختلفة، يمكنك تحسين نسبة استخدام الشبكة عن طريق تحديد أقرب منطقة خدمة سحابية لوكيل التطبيق لاستخدامها مع كل مجموعة موصل، راجع تحسين تدفق نسبة استخدام الشبكة باستخدام وكيل التطبيق Microsoft Entra.

التحقق من التثبيت والتسجيل

يمكنك استخدام مدخل Global Secure Access أو خادم Windows لتأكيد تثبيت موصل جديد بشكل صحيح.

تحقق من التثبيت من خلال مركز إدارة Microsoft Entra

لتأكيد تثبيت الموصل وتسجيله بشكل صحيح:

  1. سجل الدخول إلى مركز إدارة Microsoft Entra كمسؤول عام للدليل الذي يستخدم وكيل التطبيق.

  2. الاستعراض وصولا إلى الوصول الآمن العمومي (معاينة)>موصلات الموصلات>

    • تظهر في هذه الصفحة جميع الموصلات ومجموعات الموصلات.
  3. اعرض أحد الموصلات للتحقق من تفاصيله.

    • قم بتوسيع الموصل لعرض التفاصيل إذا لم يكن موسعا بالفعل.
    • يشير الملصق الأخضر النشط إلى أنه يمكن للموصل الاتصال بالخدمة. ومع ذلك، لا يزال من الممكن أن تمنع مشكلة الشبكة الموصل من تلقي الرسائل على الرغم من أن الملصق أخضر اللون.

    لقطة شاشة لمجموعات الموصل وتفاصيل مجموعة الموصل.

لمزيد من المساعدة بشأن تثبيت أحد الموصلات، راجع مشكلات تثبيت "Application Proxy Connector".

تحقق من التثبيت من خلال خادم "Windows" الخاص بك

لتأكيد تثبيت الموصل وتسجيله بشكل صحيح:

  1. حدد مفتاح Windows وأدخل services.msc لفتح إدارة خدمات Windows.

  2. تحقق لمعرفة ما إذا كانت حالة الخدمات التالية قيد التشغيل.

    • يتيح Microsoft Entra موصل وكيل التطبيق الاتصال.
    • Microsoft Entra application proxy Connector Updater هي خدمة تحديث تلقائية.
    • يتحقق المحدث من الإصدارات الجديدة للموصل ويقوم بتحديث الموصل حسب الحاجة.

    لقطة شاشة لخدمات موصل وكيل التطبيق ومحدث الموصل في Windows Services Manager.

  3. إذا لم تكن حالة الخدمات "Running" ، فانقر بزر الماوس الأيمن لتحديد كل خدمة واختر "Start" .

إنشاء مجموعات الموصل

لإنشاء أكبر عدد تريده من مجموعات الموصلات:

  1. استعرض للوصول الآمن العمومي (معاينة)>موصلاتالاتصال>.
  2. حدد New connector group.
  3. امنح مجموعة الموصل الجديدة اسماً، ثم استخدم القائمة المنسدلة لتحديد الموصلات التي تنتمي إلى هذه المجموعة.
  4. حدد ⁧⁩حفظ⁧⁩.

لمعرفة المزيد حول مجموعات الموصلات، راجع نشر التطبيقات على شبكات ومواقع منفصلة باستخدام مجموعات الموصلات.

شروط الاستخدام

يخضع استخدامك الوصول الخاص عبر Microsoft Entra وتجارب وميزات المعاينة الوصول للإنترنت عبر Microsoft Entra لشروط وأحكام الخدمة عبر الإنترنت للاتفاقية (الاتفاقيات) التي حصلت بموجبها على الخدمات. قد تخضع المعاينات لالتزامات أمان وتوافق وخصوصية مخفضة أو مختلفة، كما هو موضح أيضا في شروط الترخيص العالمي للخدمات عبر الإنترنتوملحق حماية بيانات منتجات وخدمات Microsoft ("DPA")، وأي إشعارات أخرى مقدمة مع المعاينة.

الخطوات التالية

الخطوة التالية لبدء استخدام الوصول الخاص عبر Microsoft Entra هي تكوين تطبيق الوصول السريع أو الوصول الآمن العمومي: