Konfigurieren von privaten Netzwerkconnectoren für Microsoft Entra Private Access und Microsoft Entra-Anwendungsproxy

Bei Connectors handelt es sich um schlanke Agents, die sich auf einem Server in einem privaten Netzwerk befinden und die ausgehende Verbindung mit dem Dienst „Global Secure Access“ unterstützen. Die Connectors müssen auf einem Windows-Server installiert sein, der auf die Back-End-Ressourcen und -Anwendungen zugreifen kann. Sie können Connectors in Connectorgruppen organisieren, wobei jede Gruppe für den Datenverkehr an bestimmte Anwendungen zuständig ist. Weitere Informationen zu Connectors finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors.

Voraussetzungen

So fügen Sie private Ressourcen und Anwendungen, die Sie benötigen, zur Microsoft Entra-ID hinzu:

• Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
• Ein Konto als Anwendungsadministrator

Benutzeridentitäten müssen aus einem lokalen Verzeichnis synchronisiert oder direkt in Ihren Microsoft Entra-Mandanten erstellt werden. Mithilfe der Identitätssynchronisierung können Benutzer von Microsoft Entra ID vorab authentifiziert werden, bevor ihnen Zugriff auf per Anwendungsproxy veröffentlichte Anwendungen gewährt wird. Außerdem können die benötigten Benutzer-ID-Informationen für einmaliges Anmelden (Single Sign-On, SSO) bereitgestellt werden.

Windows-Server

Der private Microsoft Entra-Netzwerkconnector erfordert einen Server mit Windows Server 2012 R2 oder höher. Sie installieren den privaten Netzwerkconnector auf dem Server. Dieser Connectorserver muss eine Verbindung mit dem Microsoft Entra Private Access-Dienst oder Anwendungsproxydienst und den privaten Ressourcen oder Anwendungen herstellen, die Sie veröffentlichen möchten.

• Für Hochverfügbarkeit in Ihrer Umgebung sollten Sie mehrere Windows-Server einsetzen.
• Die für den Connector erforderliche .NET-Mindestversion ist v4.7.1.
• Weitere Informationen finden Sie unter Private Netzwerkconnectors.
• Weitere Informationen finden Sie unter Vorgehensweise: Bestimmen der installierten .NET Framework-Versionen.

Wichtig

Deaktivieren Sie HTTP 2.0, wenn Sie den privaten Microsoft Entra-Netzwerkconnector mit dem Microsoft Entra-Anwendungsproxy unter Windows Server 2019 oder höher verwenden.

Deaktivieren Sie die HTTP2-Protokollunterstützung in der WinHttpKomponente, damit die eingeschränkte Kerberos-Delegation richtig funktioniert. Diese Einstellung ist in früheren Versionen unterstützter Betriebssysteme standardmäßig deaktiviert. Wenn Sie den folgenden Registrierungsschlüssel hinzufügen und den Server neu starten, wird die Einstellung unter Windows Server 2019 und später deaktiviert. Es handelt sich hierbei um einen computerweiten Registrierungsschlüssel.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Der Schlüssel kann über PowerShell mit dem folgenden Befehl festgelegt werden:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Warnung

Wenn Sie Microsoft Entra Kennwortschutzproxy bereitgestellt haben, installieren Sie nicht Microsoft Entra Anwendungsproxy und Microsoft Entra Kennwortschutzproxy zusammen auf demselben Computer. Microsoft Entra Anwendungsproxy und Microsoft Entra Kennwortschutzproxys werden verschiedene Versionen des Microsoft Entra Connect Agent Updater-Diensts installiert. Diese unterschiedlichen Versionen sind nicht kompatibel, wenn sie auf demselben Computer installiert werden.

TLS-Anforderungen (Transport Layer Security)

Auf dem Windows-Connectorserver muss TLS 1.2 aktiviert werden, bevor Sie den privaten Netzwerkconnector installieren.

So aktivieren Sie TLS 1.2

1. Legen Sie die Registrierungsschlüssel fest.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Starten Sie den Server neu.

Hinweis

Microsoft aktualisiert Azure-Dienste für die Verwendung von TLS-Zertifikaten aus einer anderen Gruppe von Stammzertifizierungsstellen (Certificate Authorities, CAs). Diese Änderung wird vorgenommen, da die aktuellen Zertifizierungsstellenzertifikate eine der grundlegenden Anforderungen des Zertifizierungsstellen-/Browserforums nicht erfüllen. Weitere Informationen finden Sie unter TLS-Zertifikatänderungen für Azure.

Empfehlungen für den Connectorserver

• Optimieren Sie die Leistung zwischen dem Connector und der Anwendung. Platzieren Sie den Connectorserver physisch in der Nähe der Anwendungsserver. Für weitere Details siehe Optimieren des Datenverkehrsflusses mit dem Microsoft Entra-Anwendungsproxy.
• Stellen Sie sicher, dass der Connectorserver und die Webanwendungsserver derselben Active Directory-Domäne angehören bzw. vertrauenswürdige Domänen umfassen. Dass die Server zu derselben Domäne oder zu vertrauenswürdigen Domänen gehören, ist eine Voraussetzung für die Verwendung des einmaligen Anmeldens (Single Sign-On, SSO) mit integrierter Windows-Authentifizierung (IWA) und eingeschränkter Kerberos-Delegierung (Kerberos Constrained Delegation, KCD). Wenn sich der Connectorserver und die Webanwendungsserver in unterschiedlichen Active Directory-Domänen befinden, verwenden Sie die ressourcenbasierte Delegierung für einmaliges Anmelden.

Vorbereiten Ihrer lokalen Umgebung

Ermöglichen Sie zuerst die Kommunikation mit Azure-Rechenzentren, um Ihre Umgebung für den Microsoft Entra-Anwendungsproxy vorzubereiten. Falls der Pfad eine Firewall enthält, sollten Sie sicherstellen, dass der Zugang geöffnet ist. Bei einer geöffneten Firewall kann der Connector HTTPS-Anforderungen (TCP) an den Anwendungsproxy senden.

Wichtig

Wenn Sie den Connector für die Azure Government-Cloud installieren, beachten Sie die Voraussetzungen und Installationsschritte. Zum Ausführen der Installation sind der Zugriff auf einen anderen Satz von URLs und ein zusätzlicher Parameter erforderlich.

Öffnen von Ports

Öffnen Sie die folgenden Ports für den ausgehenden Datenverkehr.

Portnummer	Wie diese verwendet wird
80	Herunterladen der Zertifikatsperrlisten (CRLs) bei der Überprüfung des TLS/SSL-Zertifikats
443	Gesamte ausgehende Kommunikation mit dem Webanwendungsproxy-Dienst

Wenn Ihre Firewall Datenverkehr gemäß Ursprungsbenutzern erzwingt, öffnen Sie auch die Ports 80 und 443 für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

Zulassen des Zugriffs auf URLs

Lassen Sie den Zugriff auf die folgenden URLs zu:

URL	Port	Wie diese verwendet wird
*.msappproxy.net *.servicebus.windows.net	443/HTTPS	Kommunikation zwischen dem Connector und dem Anwendungsproxy-Clouddienst
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com	80/HTTP	Der Connector verwendet diese URLs, um Zertifikate zu überprüfen.
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops	443/HTTPS	Der Connector verwendet diese URLs während der Registrierung.
ctldl.windowsupdate.com www.microsoft.com/pkiops	80/HTTP	Der Connector verwendet diese URLs während der Registrierung.

Sie können Verbindungen mit *.msappproxy.net, *.servicebus.windows.net und anderen oben genannten URLs zulassen, wenn Ihre Firewall oder Ihr Proxy die Konfiguration von Zugriffsregeln auf der Grundlage von Domänensuffixen ermöglicht. Andernfalls müssen Sie den Zugriff auf die Datei Azure IP Ranges and Service Tags – Public Cloud zulassen. Die IP-Adressbereiche werden wöchentlich aktualisiert.

Wichtig

Vermeiden Sie jegliche Art von Inline-Untersuchung und -Beendigung der ausgehenden TLS-Kommunikation zwischen privaten Microsoft Entra-Netzwerkconnectors und Clouddiensten des Microsoft Entra-Anwendungsproxys.

Installieren und Registrieren eines Connectors

Um Private Access zu verwenden, installieren Sie einen Connector auf jedem Windows-Server, den Sie für Microsoft Entra Private Access verwenden. Der Connector ist ein Agent, der die aus den lokalen Anwendungsservern ausgehende Verbindung mit dem globalen sicheren Zugriff verwaltet. Sie können einen Connector auf Servern installieren, auf denen auch andere Authentifizierungs-Agents wie Microsoft Entra Connect installiert sind.

Hinweis

Die für Private Access erforderliche Mindestversion des Connectors ist 1.5.3417.0. Ab Version 1.5.3437.0 ist die .NET-Version 4.7.1 oder höher für eine erfolgreiche Installation (Upgrade) erforderlich.

So installieren Sie den Connector

1. Melden Sie sich beim Microsoft Entra Admin Center als globale*r Administrator*in des Verzeichnisses an, das den Anwendungsproxy verwendet.

   • Wenn die Mandantendomäne also beispielsweise „contoso.com“ lautet, muss sich der Administrator als admin@contoso.com oder mit einem anderen Administratoraliasnamen in dieser Domäne anmelden.

2. Wählen Sie rechts oben Ihren Benutzernamen aus. Stellen Sie sicher, dass Sie an einem Verzeichnis angemeldet sind, für das der Anwendungsproxy verwendet wird. Wählen Sie Verzeichnis wechseln, und wählen Sie ein Verzeichnis aus, für das der Anwendungsproxy verwendet wird, falls Sie das Verzeichnis wechseln möchten.

3. Navigieren Sie zu Globaler sicherer Zugriff (Vorschau)>Connect>Connectors.

4. Wählen Sie Connectordienst herunterladen.

   

5. Lesen Sie die Vertragsbedingungen. Wählen Sie die Option Bedingungen akzeptieren und herunterladen, wenn Sie mit dem Lesen fertig sind.

6. Wählen Sie am unteren Rand des Fensters die Option Ausführen, um den Connector zu installieren. Ein Installations-Assistent wird geöffnet.

7. Befolgen Sie im Assistenten die Anleitung zum Installieren des Diensts. Wenn Sie aufgefordert werden, den Connector mit dem Anwendungsproxy für Ihren Microsoft Entra-Mandanten zu registrieren, geben Sie die Anmeldeinformationen der Rolle „Globaler Administrator“ ein.

   • Falls bei Internet Explorer (IE) „Verstärkte Sicherheitskonfiguration für IE“ auf „Ein“ festgelegt ist, wird der Registrierungsbildschirm unter Umständen nicht anzeigt. Befolgen Sie die Anweisungen in der Fehlermeldung, um Zugriff zu erhalten. Stellen Sie sicher, dass Verstärkte Sicherheitskonfiguration für Internet Explorer auf Aus festgelegt ist.

Wichtige Hinweise

Wenn Sie bereits einen Connector installiert haben, installieren Sie ihn neu, um die neueste Version zu erhalten. Deinstallieren Sie beim Upgrade den vorhandenen Connector, und löschen Sie alle zugehörigen Ordner. Informationen zu zuvor veröffentlichten Versionen und den damit verbundenen Änderungen finden Sie unter Azure AD-Anwendungsproxy: Verlauf der Versionsveröffentlichungen.

Wenn Sie mehrere Windows-Server für Ihre lokalen Anwendungen einsetzen möchten, müssen Sie den Connector auf jedem Server installieren und registrieren. Sie können die Connectors in Connectorgruppen organisieren. Weitere Informationen finden Sie unter Connectorgruppen.

Informationen zu Connectors, deren Aktualisierung und Kapazitätsplanung finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors.

Hinweis

Microsoft Entra-Privatzugriff unterstützt keine Multi-Geo-Connectors. Die Clouddienstinstanzen für Ihren Connector werden in derselben Region wie Ihr Microsoft Entra-Mandant (oder die nächstgelegene Region) ausgewählt, auch wenn Connectors in Regionen installiert sind, die sich von Ihrer Standardregion unterscheiden.

Überprüfen der Installation und Registrierung

Sie können mithilfe des Portals für globalen sicheren Zugriff oder Ihres Windows-Servers sicherstellen, dass ein neuer Connector ordnungsgemäß installiert ist.

Informationen zur Behandlung von Problemen mit dem Anwendungsproxy finden Sie unter Debuggen von Problemen mit Anwendungsproxyanwendungen.

Überprüfen der Installation über das Microsoft Entra Admin Center

So überprüfen Sie, ob der Connector ordnungsgemäß installiert und registriert ist:

1. Melden Sie sich beim Microsoft Entra Admin Center als globale*r Administrator*in des Verzeichnisses an, das den Anwendungsproxy verwendet.

2. Navigieren Sie zu Globaler sicherer Zugriff (Vorschau)>Connect>Connectors.

   • Alle Connectors und Connectorgruppen werden auf dieser Seite angezeigt.

3. Wählen Sie einen Connector aus, um die Details zu überprüfen.

   • Erweitern Sie den Connector, um die Details anzuzeigen, falls er noch nicht erweitert wurde.
   • Eine aktive grüne Beschriftung gibt an, dass Ihr Connector eine Verbindung mit dem Dienst herstellen kann. Jedoch auch wenn die Beschriftung grün ist, könnte ein Netzwerkproblem immer noch den Nachrichtenempfang des Connectors blockieren.

   

Weitere Hilfe zum Installieren eines Connectors finden Sie unter Problembehandlung für Connectoren.

Überprüfen der Installation über Ihren Windows-Server

So überprüfen Sie, ob der Connector ordnungsgemäß installiert und registriert ist:

1. Wählen Sie die WINDOWS-TASTE aus, und geben Sie services.msc ein, um den Windows-Dienst-Manager zu öffnen.

2. Überprüfen Sie, ob die folgenden Dienste den Status Wird ausgeführt haben.

   • Der private Microsoft Entra-Netzwerkconnector ermöglicht Konnektivität.
   • Der Updater für private Microsoft Entra-Netzwerkconnectors ist ein automatisierter Aktualisierungsdienst.
   • Der Dienst sucht nach neuen Versionen des Connectors und aktualisiert den Connector bei Bedarf.

   

3. Wenn die Dienste nicht den Status Wird ausgeführt haben, müssen Sie mit der rechten Maustaste auf jeden Dienst klicken und die Option Starten wählen.

Erstellen von Connectorgruppen

So erstellen Sie beliebig viele Connectorgruppen

1. Navigieren Sie zu Globaler sicherer Zugriff (Vorschau)>Connect>Connectors.
2. Wählen Sie Neue Connectorgruppe.
3. Bennen Sie Ihre neue Connectorgruppe, und verwenden Sie das Dropdownmenü, um auszuwählen, welche Connectoren dieser Gruppe angehören sollen.
4. Wählen Sie Speichern.

Weitere Informationen zu Connectorgruppen finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectorgruppen.

Nutzungsbedingungen

Ihre Verwendung der Vorschauumgebungen und Features von Microsoft Entra-Privatzugriff und Microsoft Entra-Internetzugriff unterliegt den Bestimmungen für Onlinedienste (Vorschau), unter denen Sie die Dienste erworben haben. Vorschauversionen unterliegen möglicherweise eingeschränkten oder abweichenden Sicherheits-, Compliance- und Datenschutzverpflichtungen, wie in Allgemeine Lizenzbedingungen für Onlinedienste und im Nachtrag zum Datenschutz in Verbindung mit Produkten und Diensten von Microsoft sowie allen anderen mit der Vorschau bereitgestellten Hinweisen näher erläutert.

Nächste Schritte

Der nächste Schritt für den Einstieg in Microsoft Entra Private Access besteht darin, die Anwendung für den Schnellzugriff oder den globalen sicheren Zugriff zu konfigurieren:

• Konfigurieren des Schnellzugriffs auf Ihre privaten Ressourcen
• Konfigurieren des App-basierten Zugriffs für Microsoft Entra Private Access