Memahami grup konektor jaringan privat Microsoft Entra

  • Artikel

Gunakan grup konektor jaringan privat untuk menetapkan konektor tertentu ke aplikasi tertentu. Koneksi kelompok memberi Anda lebih banyak kontrol dan memungkinkan Anda mengoptimalkan penyebaran.

Setiap konektor jaringan privat ditetapkan ke grup konektor. Semua konektor yang termasuk dalam grup konektor yang sama bertindak sebagai unit terpisah untuk ketersediaan tinggi dan keseimbangan beban. Semua konektor termasuk dalam grup konektor. Jika Anda tidak membuat grup, semua konektor Anda berada dalam grup default. Anda membuat grup konektor baru dan menetapkan konektor di pusat admin Microsoft Entra.

Koneksi kelompok berguna jika aplikasi Anda dihosting di lokasi yang berbeda. Anda membuat grup konektor berdasarkan lokasi. Aplikasi menggunakan konektor yang secara fisik dekat dengannya.

Tip

Jika Anda memiliki penyebaran proksi aplikasi besar, jangan tetapkan aplikasi apa pun ke grup konektor default. Dengan demikian, konektor baru tidak menerima lalu lintas langsung hingga Anda menetapkannya ke grup konektor aktif. Konfigurasi ini juga memungkinkan Anda untuk menempatkan konektor dalam mode idle dengan memindahkannya kembali ke grup default, sehingga Anda dapat melakukan pemeliharaan tanpa memengaruhi pengguna Anda.

Prasyarat

Anda harus memiliki beberapa konektor untuk menggunakan grup konektor. Konektor baru secara otomatis ditambahkan ke grup konektor Default . Untuk informasi selengkapnya tentang menginstal konektor, lihat mengonfigurasi connectorsD.

Menetapkan aplikasi ke grup konektor Anda

Anda menetapkan aplikasi ke grup konektor saat pertama kali menerbitkannya. Anda juga dapat memperbarui grup yang ditetapkan konektor.

Menggunakan kasus untuk grup konektor

Grup konektor berguna untuk berbagai skenario, termasuk:

Situs dengan beberapa pusat data yang saling terhubung

Organisasi besar menggunakan beberapa pusat data. Anda ingin menyimpan lalu lintas sebanyak mungkin dalam pusat data tertentu karena tautan pusat data silang mahal dan lambat. Anda menyebarkan konektor di setiap pusat data untuk hanya melayani aplikasi yang berada di dalam pusat data. Pendekatan ini meminimalkan tautan lintas pusat data dan memberikan pengalaman yang sepenuhnya transparan kepada pengguna Anda.

Aplikasi yang dipasang pada jaringan terisolasi

Aplikasi dapat dihosting di jaringan yang bukan bagian dari jaringan perusahaan utama. Anda dapat menggunakan grup konektor untuk memasang konektor khusus pada jaringan terisolasi untuk juga mengisolasi aplikasi ke jaringan. Skenario ini umum untuk vendor yang mempertahankan aplikasi tertentu.

Aplikasi yang diinstal pada Infrastruktur sebagai Layanan (IaaS)

Untuk aplikasi yang diinstal pada Infrastructure as a Service (IaaS) untuk akses cloud, grup konektor menyediakan layanan umum untuk mengamankan akses ke semua aplikasi. Koneksi kelompok tidak membuat lebih banyak dependensi di jaringan perusahaan Anda, atau memisahkan pengalaman aplikasi. Koneksi or diinstal pada setiap pusat data cloud dan hanya melayani aplikasi yang berada di jaringan tersebut. Anda menginstal beberapa konektor untuk mencapai ketersediaan tinggi.

Ambil contoh organisasi yang memiliki beberapa komputer virtual yang tersambung ke jaringan virtual yang dihosting infrastruktur sebagai layanan mereka sendiri. Untuk memungkinkan karyawan menggunakan aplikasi ini, jaringan privat ini terhubung ke jaringan perusahaan menggunakan Virtual Private Network (VPN) situs-ke-situs. VPN situs-ke-situs memberikan pengalaman yang baik bagi karyawan yang berada di tempat. Namun, ini tidak ideal untuk karyawan jarak jauh, karena membutuhkan lebih banyak infrastruktur lokal untuk merutekan akses, seperti yang diilustrasikan dalam diagram:

Diagram yang mengilustrasikan jaringan IaaS Microsoft Entra

Dengan grup konektor jaringan privat Microsoft Entra, Anda mengaktifkan layanan umum untuk mengamankan akses ke semua aplikasi tanpa membuat lebih banyak dependensi di jaringan perusahaan Anda:

Microsoft Entra IaaS Beberapa Vendor Cloud

Multi-forest - kelompok konektor yang berbeda untuk setiap forest

Akses menyeluruh umumnya dicapai menggunakan Kerberos Constrained Delegation (KCD). Komputer konektor digabungkan ke domain yang dapat mendelegasikan pengguna ke aplikasi. KCD mendukung kemampuan lintas forest. Tetapi bagi perusahaan yang memiliki lingkungan multi-forest yang berbeda tanpa kepercayaan di antara mereka, satu konektor tidak dapat digunakan untuk semua hutan. Sebagai gantinya, konektor tertentu disebarkan per forest, dan diatur untuk melayani aplikasi yang diterbitkan untuk hanya melayani pengguna forest tertentu tersebut. Setiap kelompok konektor mewakili forest yang berbeda. Meskipun penyewa dan sebagian besar pengalaman disatukan untuk semua forest, pengguna dapat ditetapkan ke aplikasi forest mereka menggunakan grup Microsoft Entra.

Situs Pemulihan Bencana

Ada dua pendekatan yang perlu dipertimbangkan untuk situs pemulihan bencana (DR):

  • Situs DR Anda dibangun dalam mode aktif-aktif di mana situs tersebut persis seperti situs utama. Situs ini juga memiliki pengaturan jaringan dan Direktori Aktif (AD) yang sama. Anda dapat membuat konektor di situs DR di grup konektor yang sama dengan situs utama. MICROSOFT Entra ID mendeteksi failover untuk Anda.
  • Situs DR Anda terpisah dari situs utama. Anda membuat grup konektor yang berbeda di situs DR. Anda memiliki aplikasi cadangan, atau mengalihkan aplikasi yang ada secara manual ke grup konektor DR sesuai kebutuhan.

Melayani beberapa perusahaan dari satu tenant

Anda dapat menerapkan model di mana satu penyedia layanan menyebarkan dan memelihara layanan terkait Microsoft Entra untuk beberapa perusahaan. Koneksi kelompok membantu Anda memisahkan konektor dan aplikasi ke dalam grup yang berbeda. Salah satu cara, yang cocok untuk perusahaan kecil, adalah memiliki satu penyewa Microsoft Entra sementara perusahaan yang berbeda memiliki nama domain dan jaringan mereka sendiri. Pendekatan yang sama berfungsi untuk skenario dan situasi penggabungan di mana satu divisi melayani beberapa perusahaan karena alasan peraturan atau bisnis.

Sampel konfigurasi

Pertimbangkan contoh konfigurasi grup konektor ini.

Konfigurasi default – tidak ada gunanya untuk grup konektor

Jika Anda tidak menggunakan grup konektor, konfigurasi Anda akan terlihat seperti ini:

Contoh tanpa grup konektor

Konfigurasi ini cukup untuk penyebaran dan pengujian kecil. Ini juga berfungsi jika organisasi Anda memiliki topologi jaringan datar.

Konfigurasi default dan jaringan yang terisolasi

Konfigurasi adalah evolusi default, aplikasi tertentu berjalan di jaringan terisolasi seperti jaringan virtual IaaS:

Contoh Microsoft Entra tanpa grup konektor pada jaringan terisolasi

Konfigurasi yang disarankan – beberapa grup tertentu dan grup default untuk idle

Konfigurasi yang direkomendasikan untuk organisasi besar dan kompleks adalah memiliki grup konektor default sebagai grup yang tidak melayani aplikasi apa pun dan digunakan untuk konektor idle atau baru dipasang. Semua aplikasi dilayani menggunakan grup konektor yang disesuaikan.

Dalam contoh, perusahaan memiliki dua pusat data, A, dan B, dengan dua konektor yang melayani setiap situs. Setiap situs memiliki aplikasi berbeda yang berjalan di atasnya.

Contoh perusahaan dengan 2 pusat data dan 2 konektor

Ketentuan Penggunaan

Penggunaan Anda atas pengalaman dan fitur pratinjau Akses Privat Microsoft Entra dan Akses Internet Microsoft Entra diatur oleh syarat dan ketentuan layanan online pratinjau perjanjian tempat Anda mendapatkan layanan. Pratinjau dapat tunduk pada pengurangan atau komitmen keamanan, kepatuhan, dan privasi yang berbeda, seperti yang dijelaskan lebih lanjut dalam Ketentuan Lisensi Universal untuk Layanan Online dan Adendum Perlindungan Data Produk dan Layanan Microsoft ("DPA"), dan pemberitahuan lain yang disediakan dengan Pratinjau.

Langkah berikutnya