Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Connectors sind einfache Agents, die auf einem Server in einem privaten Netzwerk ausgeführt werden und ausgehende Verbindungen mit dem Global Secure Access Service erleichtern. Connectors müssen auf einem Windows Server installiert werden, der Zugriff auf die Back-End-Ressourcen und -Anwendungen hat. Sie können Connectors in Connectorgruppen organisieren, wobei jede Gruppe für den Datenverkehr an bestimmte Anwendungen zuständig ist. Weitere Informationen zu Connectors finden Sie unter Microsoft Entra Private Netzwerk-Connectors.
Voraussetzungen
Um private Ressourcen und Anwendungen zu Microsoft Entra ID hinzuzufügen, benötigen Sie Folgendes:
- Für das Produkt ist eine Lizenz erforderlich. Weitere Informationen zur Lizenzierung finden Sie im Abschnitt Was ist globaler sicherer Zugriff?. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
- Ein Konto mit der Rolle "Anwendungsadministrator".
Synchronisieren Sie Benutzeridentitäten aus einem lokalen Verzeichnis, oder erstellen Sie sie direkt in Ihrem Microsoft Entra-Mandanten. Die Identitätssynchronisierung ermöglicht es Microsoft Entra ID, Benutzer vorab zu authentifizieren, bevor sie Zugriff auf anwendungsproxy veröffentlichte Anwendungen gewähren und über die erforderlichen Benutzerbezeichnerinformationen verfügen, um einmaliges Anmelden (Single Sign-On, SSO) durchzuführen.
Windows Server
Für den Microsoft Entra privaten Netzwerkverbinder ist ein Server erforderlich, auf dem Windows Server 2016 oder höher installiert ist. Sie installieren den privaten Netzwerkconnector auf dem Server. Dieser Connectorserver muss eine Verbindung mit dem Microsoft Entra Private Access Dienst oder Anwendungsproxydienst und den privaten Ressourcen oder Anwendungen herstellen, die Sie veröffentlichen möchten.
- Für hohe Verfügbarkeit in Ihrer Umgebung sollten Sie mehrere Windows Server verwenden.
- Die mindeste .NET Version, die für den Connector erforderlich ist, ist v4.7.2+.
- Weitere Informationen finden Sie unter private Netzwerkkonnektoren.
- Weitere Informationen finden Sie unter Determine, welche .NET Frameworkversionen installiert sind.
Wichtig
Wenn Sie den Connector für den Zugriff auf Webanwendungen verwenden, die über Microsoft Entra Anwendungsproxy veröffentlicht wurden, muss HTTP/2 auf dem Server deaktiviert sein, auf dem der Microsoft Entra private Netzwerkconnector ausgeführt wird, der auf Windows Server 2019 oder höher ausgeführt wird. Diese Konfigurationsänderung ist nicht erforderlich, wenn Sie den Connector nur mit Global Secure Access Private Access verwenden.
Deaktivieren Sie HTTP/2-Protokollunterstützung in WinHttp für Webanwendungen, die über Microsoft Entra Anwendungsproxy veröffentlicht wurden, damit sie ordnungsgemäß funktionieren.
HTTP/2 ist in früheren Versionen unterstützter Betriebssysteme standardmäßig deaktiviert. Wenn Sie den folgenden Registrierungsschlüssel hinzufügen und den Server neu starten, wird HTTP/2 für Windows Server 2019 und höher deaktiviert. Es handelt sich hierbei um einen computerweiten Registrierungsschlüssel.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000
Der Schlüssel kann über PowerShell mit dem folgenden Befehl festgelegt werden:
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
Warnung
Wenn Sie Microsoft Entra Kennwortschutzproxy bereitgestellt haben, installieren Sie nicht Microsoft Entra Anwendungsproxy und Microsoft Entra Kennwortschutzproxy auf demselben Computer zusammen. Microsoft Entra Anwendungsproxy und Microsoft Entra Kennwortschutzproxy installieren verschiedene Versionen des Microsoft Entra Connect Agent Updater-Diensts. Diese verschiedenen Versionen sind nicht kompatibel, wenn sie zusammen installiert werden.
TLS-Anforderungen (Transport Layer Security)
Der Windows Connectorserver muss TLS 1.2 aktiviert haben, bevor Sie den privaten Netzwerkconnector installieren.
So aktivieren Sie TLS 1.2
Legen Sie die Registrierungsschlüssel fest.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Sie können das folgende PowerShell-Skript verwenden, um TLS 1.2 auf Ihrem Connectorserver zu erzwingen.
If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) { New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take effect.' -ForegroundColor CyanStarten Sie den Server neu.
Hinweis
Microsoft aktualisiert Azure Dienste, um TLS-Zertifikate aus einer anderen Gruppe von Stammzertifizierungsstellen (Root Certificate Authorities, CAs) zu verwenden. Diese Änderung wird vorgenommen, da die aktuellen Zertifizierungsstellenzertifikate eine der grundlegenden Anforderungen des Zertifizierungsstellen-/Browserforums nicht erfüllen. Weitere Informationen finden Sie unter Azure TLS-Zertifikatänderungen.
Empfehlungen für den Connectorserver
- Optimieren Sie die Leistung zwischen dem Connector und der Anwendung. Platzieren Sie den Connectorserver physisch in der Nähe der Anwendungsserver. Weitere Informationen finden Sie unter Optimize traffic flow with Microsoft Entra application proxy.
- Stellen Sie sicher, dass sich der Connectorserver und die Webanwendungsserver in derselben Active Directory Domäne befinden oder vertrauenswürdige Domänen umfassen. Für ein einmaliges Anmelden (Single Sign-On, SSO) mit integrierter Windows-Authentifizierung (IWA) und Kerberos-geeigneter Delegierung (KCD) sind die Server in derselben Domäne oder in vertrauenswürdigen Domänen erforderlich. Wenn sich der Connectorserver und die Webanwendungsserver in unterschiedlichen Active Directory Domänen befinden, verwenden Sie die ressourcenbasierte Delegierung für einmaliges Anmelden.
- Berücksichtigen Sie die Leistung und Skalierbarkeit Ihrer Connectorbereitstellung, einschließlich der Erweiterung der TCP- und UDP-ephemeralen Ports auf Ihrem Connectorserver. Weitere Informationen finden Sie unter Understand the Microsoft Entra private network connector.
- Erwägen Sie das Erstellen einer Leistungsbasislinie für Ihre privaten Netzwerkconnectors.
Vorbereiten Ihrer lokalen Umgebung
Um Ihre Umgebung auf Microsoft Entra Anwendungsproxy vorzubereiten, ermöglichen Sie zunächst die Kommunikation mit Azure Rechenzentren. Falls der Pfad eine Firewall enthält, sollten Sie sicherstellen, dass der Zugang geöffnet ist. Eine geöffnete Firewall ermöglicht es dem Connector, HTTPS-Anforderungen (TCP) an die Application Proxy zu senden.
Wichtig
Wenn Sie den Connector für Azure Government Cloud installieren, folgen Sie den Schritten prerequisites und installation. Zum Ausführen der Installation sind der Zugriff auf einen anderen Satz von URLs und ein zusätzlicher Parameter erforderlich.
Öffnen von Ports
Öffnen Sie die folgenden Ports für den ausgehenden Datenverkehr.
| Portnummer | Wie diese verwendet wird |
|---|---|
| 80 | Herunterladen der Zertifikatsperrlisten (CRLs) bei der Überprüfung des TLS/SSL-Zertifikats |
| 443 | Alle ausgehenden Kommunikation mit dem Application Proxy-Dienst |
Wenn Ihre Firewall den Datenverkehr gemäß dem ursprünglichen Benutzer vorgibt, öffnen Sie auch die Ports 80 und 443 für den Datenverkehr von Windows-Diensten, die als Netzwerkdienst ausgeführt werden.
Zulassen des Zugriffs auf URLs
Lassen Sie den Zugriff auf die folgenden URLs zu:
| URL | Hafen | Wie diese verwendet wird |
|---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Kommunikation zwischen dem Connector und dem Application Proxy Clouddienst |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Der Connector verwendet diese URLs, um Zertifikate zu überprüfen. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | Der Connector verwendet diese URLs während und über den Registrierungsprozess hinaus. |
ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Der Connector verwendet diese URLs während und über den Registrierungsprozess hinaus. |
Sie können Verbindungen mit *.msappproxy.net, *.servicebus.windows.net und anderen oben genannten URLs zulassen, wenn Ihre Firewall oder Ihr Proxy die Konfiguration von Zugriffsregeln auf der Grundlage von Domänensuffixen ermöglicht. Andernfalls müssen Sie den Zugriff auf die Azure IP-Bereiche und Diensttags – Public Cloud zulassen. Die IP-Adressbereiche werden wöchentlich aktualisiert.
Wichtig
Vermeiden Sie alle Formen der Inline-Überprüfung und Beendigung ausgehender TLS-Kommunikation zwischen Microsoft Entra Private Network Connectors und Microsoft Entra Anwendungsproxy-Cloud-Diensten.
Installieren und Registrieren eines Connectors
Um private Access zu verwenden, installieren Sie einen Connector auf jedem Windows Server, den Sie für Microsoft Entra Private Access verwenden. Der Connector ist ein Agent, der die aus den lokalen Anwendungsservern ausgehende Verbindung mit dem globalen sicheren Zugriff verwaltet. Sie können einen Connector auf Servern installieren, auf denen auch andere Authentifizierungs-Agents installiert sind, z. B. Microsoft Entra Connect.
Hinweis
Die für Private Access erforderliche Mindestversion des Connectors ist 1.5.3417.0. Ab Version 1.5.3437.0 ist .NET Version 4.7.1 oder höher für eine erfolgreiche Installation oder ein Upgrade erforderlich.
Hinweis
Bereiten Sie den privaten Netzwerkkonnektor für Ihre Azure-, AWS- und GCP-Workloads über die entsprechenden Marktplätze bereit (Vorschau)
Der Private Network Connector ist jetzt auf Azure Marketplace, AWS Marketplace und GCP Marketplace (in der Vorschau) zusätzlich zum Microsoft Entra Admin Center verfügbar. Marketplace-Angebote ermöglichen Benutzern die Bereitstellung eines Windows virtuellen Computers mit einem vorinstallierten privaten Netzwerkconnector über ein vereinfachtes Bereitstellungsmodell. Der Prozess automatisiert die Installation und Registrierung.
Um den Connector im Microsoft Entra Admin-Center zu installieren:
Melden Sie sich beim Microsoft Entra Admin Center als Anwendungsadministrator des Verzeichnisses an, das Application Proxy verwendet.
- Wenn die Mandantendomäne also beispielsweise „contoso.com“ lautet, muss sich der Administrator als
admin@contoso.comoder mit einem anderen Administratoraliasnamen in dieser Domäne anmelden.
- Wenn die Mandantendomäne also beispielsweise „contoso.com“ lautet, muss sich der Administrator als
Wählen Sie rechts oben Ihren Benutzernamen aus. Vergewissern Sie sich, dass Sie bei einem Verzeichnis angemeldet sind, das Application Proxy verwendet. Wenn Sie Verzeichnisse ändern müssen, wählen Sie Switch-Verzeichnis aus, und wählen Sie ein Verzeichnis aus, das Application Proxy verwendet.
Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Connectors.
Wählen Sie den Download-Connector-Dienst aus.
Lesen Sie die Vertragsbedingungen. Wählen Sie die Option Bedingungen akzeptieren und herunterladen, wenn Sie mit dem Lesen fertig sind.
Wählen Sie am unteren Rand des Fensters die Option Ausführen, um den Connector zu installieren. Ein Installations-Assistent wird geöffnet.
Befolgen Sie im Assistenten die Anleitung zum Installieren des Diensts. Wenn Sie aufgefordert werden, den Connector mit dem Application Proxy für Ihren Microsoft Entra Mandanten zu registrieren, geben Sie Ihre Anmeldeinformationen für den Anwendungsadministrator an.
- Für Internet Explorer (IE): Wenn die erweiterte IE-Sicherheitskonfiguration auf "Ein" festgelegt ist, wird möglicherweise der Registrierungsbildschirm nicht angezeigt. Befolgen Sie die Anweisungen in der Fehlermeldung, um Zugriff zu erhalten. Stellen Sie sicher, dass Internet Explorer erweiterte Sicherheitskonfiguration auf "Aus" festgelegt ist.
Wichtige Hinweise
Wenn Sie bereits einen Connector installiert haben, installieren Sie ihn neu, um die neueste Version zu erhalten. Deinstallieren Sie beim Upgrade den vorhandenen Connector, und löschen Sie alle zugehörigen Ordner. Informationen zu zuvor veröffentlichten Versionen und zu den darin enthaltenen Änderungen finden Sie unter Application Proxy: Versionsverlauf.
Wenn Sie mehr als einen Windows Server für Ihre lokalen Anwendungen verwenden möchten, müssen Sie den Connector auf jedem Server installieren und registrieren. Sie können die Konnektoren in Konnektor-Gruppen organisieren. Weitere Informationen finden Sie unter Connectorgruppen.
Informationen zu Anschlüssen, Kapazitätsplanung und wie sie auf dem neuesten Stand bleiben, finden Sie unter Microsoft Entra private Netzwerkanschlüsse.
Hinweis
Microsoft Entra Private Access Unterstützung für Multi-Geo-Connectors befindet sich derzeit in DER VORSCHAU. Standardmäßig werden die Clouddienstinstanzen für Ihren Connector in derselben Region wie Ihr Microsoft Entra Mandant (oder die nächstgelegene Region) ausgewählt, auch wenn Connectors in Regionen installiert sind, die sich von Ihrer Standardregion unterscheiden. Die Multi-Geo-Unterstützung ermöglicht Es Kunden, den Datenverkehrsfluss zu optimieren, indem Connectorgruppen entsprechend ihren bevorzugten geografischen Standorten zugewiesen werden, anstatt sich ausschließlich auf den geografischen Standort des Mandanten zu verlassen.
Überprüfen der Installation und Registrierung
Sie können das Global Secure Access-Portal oder Ihren Windows-Server verwenden, um zu bestätigen, dass ein neuer Connector ordnungsgemäß installiert ist.
Informationen zur Behandlung von Problemen mit dem Anwendungsproxy finden Sie unter Debuggen von Problemen mit Anwendungsproxyanwendungen.
Überprüfen der Installation über das Microsoft Entra Admin Center
So überprüfen Sie, ob der Connector ordnungsgemäß installiert und registriert ist:
Melden Sie sich beim Microsoft Entra Admin Center als Anwendungsadministrator des Verzeichnisses an, das Application Proxy verwendet.
Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Connectors.
- Alle Verbindungen und Verbindungsgruppen werden auf dieser Seite angezeigt.
Wählen Sie einen Connector aus, um die Details zu überprüfen.
- Erweitern Sie den Connector, um die Details anzuzeigen, falls er noch nicht erweitert wurde.
- Eine aktive grüne Beschriftung gibt an, dass Ihr Connector eine Verbindung mit dem Dienst herstellen kann. Jedoch auch wenn die Beschriftung grün ist, könnte ein Netzwerkproblem immer noch den Nachrichtenempfang des Connectors blockieren.
Weitere Hilfe zum Installieren eines Connectors finden Sie unter Problembehandlung von Connectors.
Überprüfen Sie die Installation mit Ihrem Windows-Server
So überprüfen Sie, ob der Connector ordnungsgemäß installiert und registriert ist:
Wählen Sie den Schlüssel Windows aus, und geben Sie
services.mscein, um den Windows Services Manager zu öffnen.Überprüfen Sie, ob der Status für die folgenden Dienste läuft.
- Microsoft Entra Private Netzwerkverbinder ermöglicht die Konnektivität.
- Microsoft Entra Aktualisierungsprogramm für den privaten Netzwerk-Connector ist ein automatisierter Updatedienst.
- Der Dienst sucht nach neuen Versionen des Connectors und aktualisiert den Connector bei Bedarf.
Wenn die Dienste nicht den Status Wird ausgeführt haben, müssen Sie mit der rechten Maustaste auf jeden Dienst klicken und die Option Starten wählen.
Erstellen von Connectorgruppen
So erstellen Sie beliebig viele Connectorgruppen
- Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Connectors.
- Wählen Sie Neue Connectorgruppe.
- Bennen Sie Ihre neue Connectorgruppe, und verwenden Sie das Dropdownmenü, um auszuwählen, welche Connectoren dieser Gruppe angehören sollen.
- Wählen Sie Speichern aus.
Weitere Informationen zu Connectorgruppen finden Sie unter Microsoft Entra private Netzwerk-Connectorgruppen verstehen.
Minimieren der Auswirkungen während der Wartung des Connectorservers
Wenn Sie Wartungen (z. B. Patching oder Neustarts) auf privaten Netzwerkconnectorservern durchführen, können Sie Unterbrechungen für Benutzerverbindungen mithilfe einer dedizierten Wartungsconnectorgruppe minimieren. Indem Sie einen Connector vorübergehend in diese Gruppe verschieben, stellen Sie sicher, dass kein neuer Datenverkehr dorthin weitergeleitet wird, während vorhandene Sitzungen ordnungsgemäß abgeschlossen werden können.
Connectors in Microsoft Entra Private Access sind zustandslose Agents, über die der Dienst Datenverkehr basierend auf Gruppenzuweisungen und Verfügbarkeit leitet. Wenn ein Connector nicht verfügbar ist, leitet der Dienst automatisch neue Anforderungen an andere fehlerfreie Connectors in der Gruppe weiter.
Wartungsschritte
Erstellen einer Wartungskonnektorgruppe
- Erstellen Sie im Microsoft Entra Admin Center eine neue Connectorgruppe, die nur einer privaten Access-Testanwendung zugewiesen ist.
- Diese Gruppe fungiert als "Parkplatz" für die Wartung.
Verbinder in die Wartungskonnektorgruppe verschieben
- Wenn Sie bereit sind, einen Connectorserver zu warten, bearbeiten Sie dessen Zuweisung und verschieben Sie den Connectorserver in die Wartungsconnectorgruppe, die mit einer Test-Private Access-App ohne aktiven Datenverkehr ausgestattet ist.
- Nachdem der Connector in die Wartungsgruppe verschoben wurde, erhält er keine neuen Benutzerverbindungen mehr. Vorhandene Verbindungen werden aufrechterhalten, bis sie ordnungsgemäß abgeschlossen sind.
Beenden vorhandener Sitzungen
- Warten Sie einen geeigneten Zeitraum, damit aktive Verbindungen normal abgeschlossen werden können. Die Dauer hängt von Ihren Anwendungsworkloads und Sitzungsmustern ab.
Durchführung von Wartungsarbeiten
- Wenden Sie Patches und Updates an, und starten Sie den Server nach Bedarf neu.
- Stellen Sie sicher, dass die Microsoft Entra privaten Netzwerkconnectors neu gestartet werden und fehlerfrei sind, bevor Sie den Connector in die Produktion zurückgeben.
- Senden Sie nach dem Patchen Anforderungen an die Testanwendung, um die End-to-End-Konnektivität zu überprüfen.
Den Verbinder in die ursprüngliche Gruppe zurückbringen
- Nachdem die Wartung abgeschlossen ist und Dienste ausgeführt werden, verschieben Sie den Connector wieder in die ursprüngliche Connectorgruppe.
- Der Connector empfängt erneut Datenverkehr als Teil des Hochverfügbarkeitspools dieser Gruppe.
Nächste Schritte
Der nächste Schritt für die ersten Schritte mit Microsoft Entra Private Access besteht darin, die Anwendung für den Schnellzugriff oder globalen sicheren Zugriff zu konfigurieren: