Freigeben über


Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectorgruppen

Verwenden Sie private Netzwerkconnectorgruppen, um bestimmte Connectors bestimmten Anwendungen zuzuweisen. Connectorgruppen bieten Ihnen mehr Kontrolle und ermöglichen es Ihnen, Ihre Bereitstellungen zu optimieren.

Jedem privaten Netzwerkconnector wird eine Connectorgruppezugewiesen. Alle Connectors, die zur gleichen Connectorgruppe gehören, fungieren als separate Einheit für Hochverfügbarkeit und Lastenausgleich. Alle Connectors gehören zu einer Connectorgruppe. Wenn Sie keine Gruppen erstellen, befinden sich alle Ihre Connectors in einer Standardgruppe. Sie erstellen neue Connectorgruppen und weisen Connectors im Microsoft Entra Admin Center zu.

Connectorgruppen sind nützlich, wenn Ihre Anwendungen an verschiedenen Standorten gehostet werden. Sie erstellen Connectorgruppen basierend auf dem Standort. Anwendungen verwenden Connectors, die sich in ihrer Nähe befinden.

Tipp

Wenn Sie über eine umfangreiche Anwendungsproxybereitstellung verfügen, weisen Sie der Standardconnectorgruppe keine Anwendungen zu. Auf diese Weise erhalten neue Connectors keinen Livedatenverkehr, bis Sie sie einer aktiven Connectorgruppe zuordnen. Mit dieser Konfiguration können Sie Connectors auch in einen Ruhezustand versetzen, indem Sie sie wieder in die Standardgruppe verschieben, damit Sie die Wartung ohne Auswirkungen auf Ihre Benutzer ausführen können.

Voraussetzungen

Sie müssen über mehrere Connectors verfügen, um Connectorgruppen verwenden zu können. Neue Connectors werden automatisch der Standardconnectorgruppe hinzugefügt. Weitere Informationen zum Installieren von Connectors finden Sie unter Konfigurieren von Connectors.

Zuweisen von Anwendungen zu Ihren Connectorgruppen

Sie weisen eine Anwendung einer Connectorgruppe zu, wenn Sie sie zum ersten Mal veröffentlichen. Sie können auch die Gruppe, der ein Connector zugewiesen ist, aktualisieren.

Anwendungsfälle für Connectorgruppen

Connectorgruppen sind unter anderem in folgenden Szenarien nützlich:

Standorte mit mehreren verbundenen Rechenzentren

Große Organisationen nutzen mehrere Rechenzentren. Es soll möglichst viel Datenverkehr innerhalb eines bestimmten Rechenzentrums verlaufen, da Verbindungen zwischen Rechenzentren teuer und langsam sind. Sie stellen in jedem Rechenzentrum Connectors bereit, die jeweils nur die Anwendungen im betreffenden Rechenzentrum bedienen. Mit diesem Vorgehen werden bei völliger Transparenz für den Benutzer die Verbindungen zwischen den Rechenzentren minimiert.

In isolierten Netzwerken installierte Anwendungen

Anwendungen können in Netzwerken gehostet werden, die nicht Bestandteil des Hauptnetzwerks des Unternehmens sind. Connectorgruppen können verwendet werden, um dedizierte Connectors für isolierte Netzwerke zu installieren und außerdem die Anwendungen vom Netzwerk zu isolieren. Das Szenario ist für Anbieter üblich, die eine bestimmte Anwendung verwalten.

Anwendungen, die auf Infrastructure-as-a-Service (IaaS) installiert sind

Für Anwendungen, die auf Infrastructure-as-a-Service (IaaS) für den Cloudzugriff installiert sind, bieten Connectorgruppen einen gemeinsamen Dienst für den sicheren Zugriff auf alle Anwendungen. Connectorgruppen erzeugen keine zusätzlichen Abhängigkeiten vom Unternehmensnetzwerk und beeinträchtigen das App-Erlebnis nicht. Connectors werden in allen Cloudrechenzentren installiert und bedienen nur Anwendungen, die sich in diesem Netzwerk befinden. Sie können mehrere Connectors installieren, um Hochverfügbarkeit zu gewährleisten.

Betrachten Sie z.B. eine Organisation, die über eine Reihe virtueller Computer verfügt, die über ein eigenes, per IaaS gehostetes virtuelles Netzwerk verbunden sind. Damit Mitarbeitende die Anwendungen verwenden können, sind diese privaten Netzwerke über Site-to-Site-VPN (Virtual Private Network) mit dem Unternehmensnetzwerk verbunden. Für Mitarbeitende, die vor Ort im lokalen Netzwerk arbeiten, funktioniert dieses Site-to-Site-VPN-Setup gut. Für Remotemitarbeitende ist dies jedoch nicht ideal, da für die Weiterleitung des Zugriffs mehr lokale Infrastruktur erforderlich ist, wie im Diagramm dargestellt:

Diagramm, welches das Microsoft Entra-IaaS-Netzwerk zeigt

Mit privaten Microsoft Entra-Netzwerkconnectorgruppen aktivieren Sie einen gemeinsamen Dienst für den sicheren Zugriff auf alle Anwendungen, ohne weitere Abhängigkeiten in Ihrem Unternehmensnetzwerk einzuführen:

Microsoft Entra-IaaS – mehrere Cloudanbieter

Mehrere Gesamtstrukturen – verschiedene Connectorgruppen für jede Gesamtstruktur

Das einmalige Anmelden wird häufig mithilfe der eingeschränkten Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) erreicht. Die Computer des Connectors werden mit einer Domäne verknüpft, die die Benutzer und Benutzerinnen an die Anwendung delegieren kann. Die eingeschränkte Kerberos-Delegierung unterstützt gesamtstrukturübergreifende Funktionen. In Unternehmen, die über Umgebungen mit mehreren Gesamtstrukturen ohne gegenseitige Vertrauensstellung verfügen, kann jedoch nicht ein einzelner Connector für alle Gesamtstrukturen verwendet werden. Stattdessen können für jede Gesamtstruktur spezifische Connectors bereitgestellt und für Anwendungen eingerichtet werden, die nur für die Benutzer und Benutzerinnen dieser Gesamtstruktur veröffentlicht wurden. Jede Connectorgruppe repräsentiert eine andere Gesamtstruktur. Während der Mandant und der größte Teil der Funktionalität für alle Gesamtstrukturen gleich sind, können Benutzer mithilfe von Microsoft Entra-Gruppen ihren spezifischen Gesamtstrukturanwendungen zugewiesen werden.

Standorte für die Notfallwiederherstellung

Zwei Ansätze sollten für Notfallwiederherstellungsstandorte (DR-Standorte) berücksichtigt werden:

  • Ihr DR-Standort wird im Aktiv-/Aktiv-Modus erstellt, d. h. er ist genau wie der Hauptstandort. Der Standort verfügt auch über die gleichen Netzwerk- und Active Directory-Einstellungen (AD). Sie können die Connectors am DR-Standort in derselben Connectorgruppe erstellen, der auch der Hauptstandort angehört. Microsoft Entra ID erkennt Failovers für Sie.
  • Ihr DR-Standort ist vom Hauptstandort getrennt. Sie erstellen eine andere Connectorgruppe am DR-Standort. Sie verfügen entweder über Sicherungsanwendungen oder leiten die vorhandene Anwendung bei Bedarf manuell in die DR-Connectorgruppe um.

Bereitstellen von Diensten für mehrere Unternehmen über einen einzigen Mandanten

Sie können ein Modell zu implementieren, in dem ein einzelner Dienstanbieter Dienste im Zusammenhang mit Microsoft Entra ID für mehrere Unternehmen bereitstellt und verwaltet. Connectorgruppen helfen den Ihnen, die Connectors und Anwendungen auf verschiedene Gruppen aufzuteilen. Eine Möglichkeit, die sich für kleinere Unternehmen eignet, besteht darin, einen einzelnen Microsoft Entra-Mandanten einzurichten, während die verschiedenen Unternehmen über einen eigenen Domänennamen und eigene Netzwerke verfügen. Der gleiche Ansatz funktioniert für Fusionsszenarien und Situationen, in denen ein einzelner Geschäftsbereich aus regulatorischen oder geschäftlichen Gründen mehrere Unternehmen bedient.

Beispielkonfigurationen

Betrachten Sie beispielsweise diese Connectorgruppenkonfigurationen.

Standardkonfiguration – nicht für Connectorgruppen

Wenn Sie keine Connectorgruppen verwenden, sieht Ihre Konfiguration in etwa folgendermaßen aus:

Beispiel ohne Connectorgruppen

Die Konfiguration ist für kleine Bereitstellungen und Tests ausreichend. Sie funktioniert auch dann, wenn Ihre Organisation über eine flache Netzwerktopologie verfügt.

Standardkonfiguration und ein isoliertes Netzwerk

Die Konfiguration ist eine Weiterentwicklung der Standardkonfiguration. Eine bestimmte App wird in einem isolierten Netzwerk wie dem virtuellen IaaS-Netzwerk ausgeführt:

Beispiel für Microsoft Entra ohne Connectorgruppen in einem isolierten Netzwerk

Bei der empfohlenen Konfiguration für große und komplexe Organisationen ist die Standardconnectorgruppe als Gruppe eingerichtet, die keine Dienste für Anwendungen bereitstellt und für neu installierte Connectors oder Connectors im Ruhezustand verwendet wird. Die Dienste für alle Anwendungen werden über benutzerdefinierte Connectorgruppen bereitgestellt.

In diesem Beispiel verfügt das Unternehmen über zwei Rechenzentren: A und B. Jeder Standort verfügt über zwei Connectors. In jedem Standort werden unterschiedliche Anwendungen ausgeführt.

Beispiel für ein Unternehmen mit zwei Rechenzentren und zwei Connectors

Nächste Schritte