Présentation du connecteur de réseau privé Microsoft Entra
Les connecteurs rendent le proxy d’application et l’Accès privé Microsoft Entra possibles. Ils sont simples, faciles à déployer et à gérer et très puissants. Cet article présente les connecteurs, leur fonctionnement et des suggestions pour optimiser le déploiement.
Qu’est-ce qu’un connecteur de réseau privé ?
Les connecteurs sont des agents légers présents dans un réseau privé qui facilitent la connexion sortante vers les services de proxy d’application et d’Accès privé Microsoft Entra. Les connecteurs doivent être installés sur un serveur Windows qui a accès aux ressources de back-end. Vous pouvez organiser les connecteurs dans des groupes de connecteurs, et chaque groupe gère le trafic vers des ressources spécifiques. Pour plus d’informations sur le proxy d’application et pour avoir une représentation schématique de son architecture, consultez Utilisation du proxy d’application Microsoft Entra pour publier des applications locales pour les utilisateurs distants.
Pour savoir comment configurer le connecteur de réseau privé Microsoft Entra, consultez Comment configurer des connecteurs de réseau privé pour l’Accès privé Microsoft Entra.
Maintainance
Les connecteurs et le service se chargent de toutes les tâches de haut niveau de disponibilité. Vous pouvez les ajouter ou supprimer de manière dynamique. Les nouvelles requêtes sont routées vers l’un des connecteurs disponibles. Si un connecteur est temporairement indisponible, il ne répond pas à ce trafic.
Les connecteurs sont sans état et ne disposent d’aucune donnée de configuration sur l’ordinateur. Les seules données qu’ils stockent sont les paramètres de connexion au service et le certificat d’authentification. Lorsqu’ils se connectent au service, ils extraient toutes les données de configuration requises et les actualisent toutes les deux minutes.
Les connecteurs interrogent également le serveur pour déterminer s’il existe une version plus récente du connecteur. S’il en existe une, les connecteurs se mettent à jour.
Vous pouvez surveiller vos connecteurs à partir de l’ordinateur sur lequel ils s’exécutent, à l’aide du journal d’événements et des compteurs de performances. Pour plus d’informations, consultez Surveiller et consulter les journaux pour Microsoft Entra local.
Vous pouvez également voir leur état dans le centre d’administration Microsoft Entra. Pour l’Accès privé Microsoft Entra, accédez à Accès global sécurisé (préversion), Connexion et sélectionnez Connecteurs. Pour le proxy d’application, accédez à Identité, Applications, Applications d’entreprise, puis sélectionnez l’application. Dans la page de l’application, sélectionnez Proxy d’application.
Vous n’êtes pas obligé de supprimer manuellement les connecteurs qui ne sont pas utilisés. Lorsqu’un connecteur est en cours d’exécution, il reste actif car il se connecte au service. Les connecteurs inutilisés sont marqués comme _inactive_ et sont supprimés au bout de 10 jours d’inactivité. Toutefois, si vous souhaitez réellement désinstaller un connecteur, désinstallez le service du connecteur et le service de mise à jour du serveur. Redémarrez l’ordinateur pour supprimer complètement le service.
Mises à jour automatiques
Microsoft Entra ID fournit les mises à jour automatiques pour tous les connecteurs que vous déployez. Tant que le service de mise à jour du connecteur de réseau privé s’exécute, vos connecteurs sont automatiquement mis à jour vers la dernière version principale du connecteur. Si vous ne voyez pas le service Connector Updater sur votre serveur, vous devez réinstaller votre connecteur pour obtenir les mises à jour. Pour en savoir plus sur les mises à jour du connecteur, consultez le FAQ sur le proxy d’application.
Si vous ne souhaitez pas attendre le chargement d’une mise à jour automatique sur votre connecteur, vous pouvez effectuer une mise à niveau manuelle. Accédez à la page de téléchargement du connecteur sur le serveur où votre connecteur se trouve et sélectionnez Télécharger. Ce processus lance une mise à niveau du connecteur local.
Pour les abonnés avec plusieurs connecteurs, les mises à jour automatiques ciblent un seul connecteur à la fois dans chaque groupe afin d’éviter les temps d’arrêt dans votre environnement.
Vous pouvez rencontrer des temps d’arrêt lors de la mise à jour de votre connecteur si :
- Vous n’avez qu’un seul connecteur. Un deuxième connecteur et un groupe de connecteurs sont recommandés pour éviter les temps d’arrêt et fournir une plus haute disponibilité.
- Un connecteur se trouvait au milieu d’une transaction lorsque la mise à jour a commencé. Bien que la transaction d’origine soit perdue, votre navigateur devrait automatiquement relancer l’opération, ou vous pouvez actualiser votre page. Lorsque la demande est renvoyée, le trafic est acheminé vers un connecteur de secours.
Pour avoir des informations sur les versions précédentes et les changements qu’elles incluent, consultez Proxy d’application – Historique des versions.
Créer des groupe de connecteurs
Les groupes de connecteurs vous permettent d’assigner des connecteurs spécifiques afin de servir des applications spécifiques. Vous pouvez regrouper de nombreux connecteurs, puis attribuer chaque ressource ou application à un groupe.
Les groupes de connecteurs facilitent la gestion de déploiements à grande échelle. Ils améliorent aussi la latence pour les locataires dont les ressources et les applications sont hébergées dans différentes régions, car vous pouvez créer des groupes de connecteurs en fonction de la localisation pour servir uniquement des applications locales.
Pour en savoir plus sur les groupes de connecteurs, consultez Présentation des groupes de connecteurs de réseau privé Microsoft Entra.
planification de la capacité
Planifiez une capacité suffisante entre les connecteurs pour gérer le volume de trafic attendu. Au moins deux connecteurs d’un groupe de connecteurs fournissent une haute disponibilité et une mise à l’échelle. Mais la quantité optimale de connecteurs est trois.
Le tableau fournit le volume et la latence attendue pour différentes spécifications de machine. Les données sont basées sur le nombre attendu de transactions par seconde (TPS) plutôt que par utilisateur, car les modèles d’utilisation varient et ne peuvent servir à prévoir la charge. Il y a des différences en fonction de la taille des réponses et du temps de réponse du back-end : plus la réponse est volumineuse et le temps de réponse lent, plus la valeur TPS maximale est faible. Une quantité plus élevée de machines distribuent la charge et fournissent une mémoire tampon suffisante. Une capacité supplémentaire garantit une haute disponibilité et une résilience.
| Cœurs | RAM | Latence attendue (MS)-P99 | TPS max. |
|---|---|---|---|
| 2 | 8 | 325 | 586 |
| 4 | 16 | 320 | 1150 |
| 8 | 32 | 270 | 1190 |
| 16 | 64 | 245 | 1200* |
* La machine a utilisé un paramètre personnalisé pour déclencher certaines limites de connexion par défaut au-delà des paramètres .NET recommandés. Nous vous recommandons d’exécuter un test avec les paramètres par défaut avant de contacter le support technique pour que cette limite soit modifiée pour votre abonné.
Remarque
L’utilisation d’une machine utilisant 4, 8 ou 16 cœurs n’entraîne pas de grandes différences au niveau des TPS maximales. La principale différence est la latence attendue.
Le tableau est axé sur les performances attendues d’un connecteur en fonction du type de machine sur laquelle il est installé. Pour les seuils de limitation du service, consultez Restrictions et limites du service.
Sécurité et mise en réseau
Les connecteurs peuvent être installés n’importe où sur le réseau du moment qu’ils peuvent envoyer des demandes aux services Proxy d’application et Accès privé Microsoft Entra. L’important est que l’ordinateur qui exécute le connecteur ait également accès à vos applications et ressources. Vous pouvez installer les connecteurs à l’intérieur de votre réseau d’entreprise ou sur une machine virtuelle qui s’exécute dans le cloud. Les connecteurs peuvent s’exécuter dans réseau de périmètre, également appelé zone démilitarisée (DMZ), mais ce n’est pas nécessaire car tout le trafic est sortant afin sécuriser votre réseau.
Les connecteurs envoient uniquement des demandes sortantes. Le trafic sortant est envoyé au service et aux applications et ressources publiées. Il n’est pas nécessaire pour ouvrir des ports d’entrée car le trafic passe dans les deux sens une fois qu’une session est établie. Il n’est pas non plus nécessaire de configurer l’accès entrant à travers les pare-feu.
Pour plus d’informations sur la configuration des règles sortantes de pare-feu, consultez Travailler avec des serveurs proxy locaux existants.
Performances et évolutivité
La mise à l’échelle des services Proxy d’application et Accès privé Microsoft Entra est transparente, mais l’échelle est un facteur pour les connecteurs. Vous devez disposer de suffisamment de connecteurs pour gérer les pics de trafic. Les connecteurs sont sans état, et le nombre d’utilisateurs ou de sessions ne les affecte pas. Ils varient plutôt selon le nombre de requêtes et leur taille de charge utile. Avec le trafic web standard, une machine moyenne peut gérer 2 000 requêtes par seconde. La capacité spécifique dépend des caractéristiques exactes de la machine.
Le processeur et le réseau définissent les performances du connecteur. Un processeur performant est nécessaire au chiffrement et au déchiffrement TLS, tandis que le réseau est important pour obtenir une connectivité rapide aux applications et au service en ligne.
En revanche, la mémoire est moins problématique pour les connecteurs. Le service en ligne s’occupe de la majeure partie du traitement et de tout le trafic non authentifié. Tout ce qui peut être effectué dans le cloud est réalisé dans le cloud.
Lorsque des connecteurs ou des machines ne sont pas disponibles, le trafic est dirigé vers un autre connecteur du groupe. Le fait de disposer de plusieurs connecteurs dans un groupe de connecteurs offre une résilience.
Un autre facteur affectant les performances est la qualité de la connexion réseau entre les connecteurs, y compris :
- Service en ligne : les connexions à latence faible ou élevée au service Microsoft Entra influencent les performances du connecteur. Pour des performances optimales, connectez votre organisation à Microsoft avec Express Route. Sinon, demandez à l’équipe réseau de garantir que les connexions à Microsoft sont gérées le plus efficacement possible.
- Applications de back-end : dans certains cas, il existe des proxys supplémentaires entre le connecteur et les applications et ressources de back-end susceptibles de ralentir ou d’empêcher des connexions. Pour résoudre les problèmes de ce scénario, ouvrez un navigateur à partir du serveur du connecteur et essayez d’accéder à l’application ou ressource. Si vous exécutez les connecteurs dans le cloud alors que les applications sont locales, l’expérience peut ne pas être celle attendue par vos utilisateurs.
- Contrôleurs de domaine : Si les connecteurs assurent l’authentification unique (SSO) à l’aide de la délégation Kerberos contrainte, ils contactent les contrôleurs de domaine avant d’envoyer la demande au serveur principal. Les connecteurs ont un cache de tickets Kerberos, mais dans un environnement occupé, la réactivité des contrôleurs de domaine peut affecter les performances. Ce problème est plus courant pour les connecteurs qui s’exécutent dans Azure mais qui communiques avec les contrôleurs de domaine locaux.
Pour plus d’informations sur l’optimisation de votre réseau, consultez Considérations sur la topologie du réseau lors de l’utilisation du proxy d’application Microsoft Entra.
Jonction de domaine
Les connecteurs peuvent s’exécuter sur une machine qui n’est pas jointe à un domaine. Toutefois, si vous souhaitez utiliser l’authentification unique (SSO) pour les applications qui utilisent Authentification Windows intégrée (IWA), vous avez besoin d’un ordinateur joint à un domaine. Dans ce cas, les ordinateurs du connecteur doivent être joints à un domaine qui peut effectuer la délégation Kerberos contrainte pour le compte des utilisateurs pour les applications publiées.
Les connecteurs peuvent également être joints à des domaines ou forêts qui disposent d’une approbation partielle, ou à des contrôleurs de domaine en lecture seule.
Déploiements des connecteurs sur les environnements de sécurité renforcés
Généralement, le déploiement de connecteurs est simple et ne nécessite aucune configuration spéciale.
Mais certaines conditions uniques doivent être prises en compte :
- Le trafic sortant nécessite l’ouverture de ports spécifiques. Pour en savoir plus, consultez Tutoriel : Ajouter une application locale pour l’accès à distance via le proxy d’application dans Microsoft Entra ID.
- Des machines conformes aux normes FIPS peuvent nécessiter une modification de configuration afin d’autoriser les processus du connecteur à générer et à stocker un certificat.
- Les proxys de transfert sortants peuvent arrêter l’authentification de certificat bidirectionnelle et entraîner un échec de la communication.
Authentification du connecteur
Afin de fournir un service sécurisé, les connecteurs doivent s’authentifier sur le service, et le service doit s’authentifier sur les connecteurs. L’authentification est effectuée à l’aide de certificats client et serveur lorsque les connecteurs établissent la connexion. De cette façon, le nom d’utilisateur et le mot de passe de l’administrateur ne sont pas stockés sur l’ordinateur du connecteur.
Les certificats utilisés sont propres au service. Ils sont créés lors de l’inscription initiale, et sont renouvelés automatiquement tous les deux mois environ.
Après le premier renouvellement de certificat réussi, le service du connecteur de réseau privé Microsoft Entra (service réseau) n’a pas l’autorisation de supprimer l’ancien certificat dans le magasin de la machine locale. Si le certificat expire ou n’est pas utilisé par le service, vous pouvez le supprimer sans risque.
Pour éviter les problèmes de renouvellement de certificat, vérifiez que la communication réseau du connecteur vers les destinations documentées est activée.
Si un connecteur n’est pas connecté au service pendant plusieurs mois, ses certificats ont peut-être expiré. Dans ce cas, désinstallez et réinstallez le connecteur pour déclencher l’inscription. Vous pouvez exécuter les commandes PowerShell suivantes :
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Pour les administrations, utilisez -EnvironmentName "AzureUSGovernment". Pour plus d’informations, consultez Installer l’agent pour le cloud Azure Government.
Pour découvrir comment vérifier le certificat et résoudre les problèmes, consultez Vérifier la prise en charge du certificat de confiance du proxy d’application par la machine et les composants back-end.
Sous le capot
Comme les connecteurs sont installés sur Windows Server, ils ont la plupart des mêmes outils de gestion, y compris les journaux d’événements Windows et les compteurs de performances Windows.
Les connecteurs ont des journaux de session et d’administration. Le journal d’administration inclut les événements principaux et leurs erreurs. Le journal de session contient toutes les transactions et les détails de leur traitement.
Pour voir les journaux, ouvrez l’observateur d'événements et accédez à Journaux des applications et des services>Microsoft>Réseau privé Microsoft Entra>Connecteur. Pour rendre le journal de session visible, dans le menu Affichage, sélectionnez Afficher les journaux d’analyse et de débogage. Le journal de session est généralement utilisé pour la résolution des problèmes. Il est désactivé par défaut. Activez-le pour commencer à collecter des événements, et désactivez-le lorsqu’il n’est plus nécessaire.
Vous pouvez examiner l’état du service dans la fenêtre Services. Le connecteur se compose de deux services Windows : le connecteur lui-même et le programme de mise à jour. Tous deux doivent s’exécuter en permanence.
Connecteurs inactifs
Voici un problème courant : les connecteurs apparaissent comme inactifs dans un groupe de connecteurs. Un pare-feu bloquant les ports requis est une cause courante de connecteurs inactifs.
Conditions d'utilisation
Votre utilisation des expériences et fonctionnalités des préversions d'Accès privé Microsoft Entra et d'Accès internet Microsoft Entra est régie par les conditions générales du service en ligne en préversion des contrats en vertu desquels vous avez obtenu les services. Les préversions peuvent être soumises à des engagements de sécurité, de conformité et de confidentialité réduits ou différents, comme expliqué plus en détail dans les Termes du contrat de licence universel pour les services en ligne et l'Addendum sur la protection des données des produits et services Microsoft (« DPA ») et dans tout autre avis fourni avec la préversion.