Cara mengonfigurasi konektor jaringan privat untuk Akses Privat Microsoft Entra dan proksi aplikasi Microsoft Entra

  • Artikel

Koneksi or adalah agen ringan yang berada di server di jaringan privat dan memfasilitasi koneksi keluar ke layanan Akses Aman Global. Koneksi or harus diinstal pada Windows Server yang memiliki akses ke sumber daya dan aplikasi backend. Anda dapat mengatur konektor ke dalam grup konektor, dengan setiap grup menangani lalu lintas ke aplikasi tertentu. Untuk mempelajari selengkapnya tentang konektor, lihat Memahami konektor jaringan privat Microsoft Entra.

Prasyarat

Untuk menambahkan sumber daya dan aplikasi privat ke ID Microsoft Entra, Anda memerlukan:

Identitas pengguna harus disinkronkan dari direktori lokal atau dibuat langsung dalam penyewa Microsoft Entra Anda. Sinkronisasi identitas memungkinkan ID Microsoft Entra untuk melakukan pra-autentikasi pengguna sebelum memberi mereka akses ke aplikasi yang diterbitkan proksi aplikasi dan memiliki informasi pengidentifikasi pengguna yang diperlukan untuk melakukan akses menyeluruh (SSO).

Server Windows

Konektor jaringan privat Microsoft Entra memerlukan server yang menjalankan Windows Server 2012 R2 atau yang lebih baru. Anda akan menginstal konektor jaringan privat di server. Server konektor ini perlu terhubung ke layanan Akses Privat Microsoft Entra atau layanan proksi aplikasi dan sumber daya atau aplikasi privat yang Anda rencanakan untuk diterbitkan.

Peringatan

Jika Anda telah menyebarkan Proksi Perlindungan Kata Sandi Microsoft Entra, jangan instal proksi aplikasi Microsoft Entra dan Proksi Perlindungan Kata Sandi Microsoft Entra bersama-sama pada komputer yang sama. Proksi aplikasi Microsoft Entra dan Proksi Perlindungan Kata Sandi Microsoft Entra menginstal versi layanan Microsoft Entra Koneksi Agent Updater yang berbeda. Versi yang berbeda ini tidak kompatibel ketika diinstal bersama-sama di mesin yang sama.

Persyaratan Keamanan Lapisan Transportasi (TLS)

Server konektor Windows harus mengaktifkan TLS 1.2 sebelum Anda menginstal konektor jaringan privat.

Untuk mengaktifkan TLS 1.2:

  1. Atur kunci registri.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Mulai ulang server.

Catatan

Microsoft memperbarui layanan Azure untuk menggunakan sertifikat TLS dari sekumpulan Otoritas Sertifikat Akar (CA) yang berbeda. Perubahan ini dilakukan karena sertifikat CA saat ini tidak mematuhi salah satu persyaratan CA/Browser Forum Baseline. Untuk informasi selengkapnya, lihat Perubahan sertifikat Azure TLS.

Rekomendasi untuk server konektor

  • Optimalkan performa antara konektor dan aplikasi. Temukan server konektor secara fisik dekat dengan server aplikasi. Untuk informasi selengkapnya, lihat Mengoptimalkan arus lalu lintas dengan proksi aplikasi Microsoft Entra.
  • Pastikan server konektor dan server aplikasi web berada di domain Direktori Aktif yang sama atau menjangkau domain tepercaya. Memiliki server di domain yang sama atau domain kepercayaan adalah persyaratan untuk menggunakan akses menyeluruh (SSO) dengan NTLM (IWA) terintegrasi dan Delegasi Terbatas Kerberos (KCD). Jika server konektor dan server aplikasi web berada di domain Direktori Aktif yang berbeda, gunakan delegasi berbasis sumber daya untuk akses menyeluruh.

Menyiapkan lingkungan lokal Anda

Mulailah dengan mengaktifkan komunikasi ke pusat data Azure untuk menyiapkan lingkungan Anda untuk proksi aplikasi Microsoft Entra. Jika ada firewall di jalur tersebut, pastikan firewall terbuka. Firewall terbuka memungkinkan konektor membuat permintaan HTTPS (TCP) ke Proksi Aplikasi.

Penting

Jika Anda menginstal konektor untuk cloud Azure Government, ikuti prasyarat dan langkah-langkah penginstalan. Ini memerlukan izin akses ke sekumpulan URL yang berbeda dan parameter tambahan untuk menjalankan instalasi.

Membuka port

Buka port berikut untuk lalu lintas keluar.

Nomor port Cara menggunakannya
80 Mengunduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TLS/SSL
443 Semua komunikasi keluar dengan layanan Proksi Aplikasi

Jika firewall Anda menerapkan lalu lintas sesuai dengan pengguna asal, buka port 80 dan 443 untuk lalu lintas dari layanan Windows yang berjalan sebagai Layanan Jaringan.

Mengizinkan akses ke URL

Izinkan akses ke URL berikut:

URL Port Cara menggunakannya
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Komunikasi antara konektor dan layanan cloud Proksi Aplikasi
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Konektor menggunakan URL ini untuk memverifikasi sertifikat.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Konektor menggunakan URL ini selama proses pendaftaran.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP Konektor menggunakan URL ini selama proses pendaftaran.

Anda dapat mengizinkan koneksi ke *.msappproxy.net.msappproxy.net, *.servicebus.windows.net.servicebus.windows.net, dan URL lain di atas jika firewall atau proxy memungkinkan Anda mengonfigurasi aturan akses berdasarkan akhiran domain. Jika tidak, Anda perlu mengizinkan akses ke rentang IP Azure dan Tag Layanan - Cloud Publik. Rentang IP diperbarui tiap minggu.

Penting

Hindari semua bentuk inspeksi dan penghentian sebaris pada komunikasi TLS keluar antara konektor jaringan privat Microsoft Entra dan layanan Cloud proksi aplikasi Microsoft Entra.

Menginstal dan mendaftarkan konektor

Untuk menggunakan Akses Privat, instal konektor di setiap server Windows yang Anda gunakan untuk Akses Privat Microsoft Entra. Konektor adalah agen yang mengelola koneksi keluar dari server aplikasi lokal ke Akses Aman Global. Anda dapat menginstal konektor di server yang juga memiliki agen autentikasi lain yang terinstal seperti Microsoft Entra Koneksi.

Catatan

Versi minimum konektor yang diperlukan untuk Akses Privat adalah 1.5.3417.0. Mulai dari versi 1.5.3437.0, memiliki .NET versi 4.7.1 atau lebih tinggi diperlukan untuk penginstalan yang berhasil (peningkatan).

Untuk menginstal konektor:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global direktori yang menggunakan Proksi Aplikasi.

    • Misalnya, jika domain penyewa adalah contoso.com, admin harus admin@contoso.com atau alias admin lainnya di domain tersebut.

  2. Pilih nama pengguna Anda di sudut kanan atas. Pastikan Anda masuk ke direktori yang menggunakan Proksi Aplikasi. Jika Anda perlu mengubah direktori, pilih Beralih direktori, lalu pilih direktori yang menggunakan Proksi Aplikasi.

  3. Telusuri Akses Aman Global (pratinjau)>Koneksi> Koneksi or.

  4. Pilih Mengunduh layanan konektor.

    Cuplikan layar tombol Unduh layanan konektor di halaman Proksi aplikasi.

  5. Baca Ketentuan Layanan. Setelah siap, pilih Terima ketentuan & Unduh.

  6. Di bagian bawah jendela, pilih Jalankan untuk menginstal konektor. Wizard penginstalan terbuka.

  7. Ikuti instruksi dalam wizard untuk memasang layanan. Saat Anda diminta untuk mendaftarkan konektor dengan Proksi Aplikasi untuk penyewa Microsoft Entra Anda, berikan kredensial Administrator Global Anda.

    • Untuk Internet Explorer (IE): Jika Konfigurasi Keamanan Tingkat Tinggi IE diatur ke Aktif, Anda mungkin tidak melihat layar pendaftaran. Untuk mendapatkan akses, ikuti instruksi dalam pesan kesalahan. Pastikan Konfigurasi Keamanan yang Ditingkatkan Internet Explorer diatur ke Nonaktif.

Hal-hal yang perlu diketahui

Jika sebelumnya Anda telah menginstal konektor, instal ulang untuk mendapatkan versi terbaru. Saat memutakhirkan, hapus instalan konektor yang ada dan hapus folder terkait. Untuk melihat informasi tentang versi yang dirilis sebelumnya dan perubahan apa yang disertakan, lihat Proksi Aplikasi: Riwayat Rilis Versi.

Jika Anda memilih untuk memiliki lebih dari satu server Windows untuk aplikasi lokal, Anda perlu menginstal dan mendaftarkan konektor di setiap server. Anda dapat mengatur konektor ke dalam grup konektor. Untuk informasi selengkapnya, lihat grup konektor.

Untuk informasi tentang konektor, perencanaan kapasitas, dan bagaimana konektor tetap terbaru, lihat Memahami konektor jaringan privat Microsoft Entra.

Catatan

Akses Privat Microsoft Entra tidak mendukung konektor multi-geo. Instans layanan cloud untuk konektor Anda dipilih di wilayah yang sama dengan penyewa Microsoft Entra Anda (atau wilayah terdekat dengannya) bahkan jika Anda memiliki konektor yang diinstal di wilayah yang berbeda dari wilayah default Anda.

Memverifikasi penginstalan dan pendaftaran

Anda dapat menggunakan portal Akses Aman Global atau server Windows Anda untuk mengonfirmasi bahwa konektor baru diinstal dengan benar.

Untuk informasi tentang pemecahan masalah proksi aplikasi, lihat Men-debug masalah aplikasi proksi aplikasi.

Memverifikasi penginstalan melalui pusat admin Microsoft Entra

Untuk mengonfirmasi konektor yang diinstal dan terdaftar dengan benar:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global direktori yang menggunakan Proksi Aplikasi.

  2. Telusuri Akses Aman Global (pratinjau)>Koneksi> Koneksi or

    • Semua konektor dan grup konektor Anda muncul di halaman ini.

  3. Lihat konektor untuk memverifikasi detailnya.

    • Perluas konektor untuk melihat detail jika belum diperluas.
    • Label hijau aktif memperlihatkan konektor Anda dapat terhubung ke layanan. Namun, meskipun label berwarna hijau, masalah jaringan masih bisa memblokir konektor untuk menerima pesan.

    Cuplikan layar grup konektor dan detail grup konektor.

Untuk bantuan selengkapnya tentang menginstal konektor, lihat memecahkan masalah konektor.

Memverifikasi penginstalan melalui server Windows Anda

Untuk mengonfirmasi konektor yang diinstal dan terdaftar dengan benar:

  1. Pilih kunci Windows dan masukkan services.msc untuk membuka Pengelola Layanan Windows.

  2. Periksa untuk melihat apakah status untuk layanan berikut berjalan.

    • Konektor jaringan privat Microsoft Entra memungkinkan konektivitas.
    • Microsoft Entra private network connector Updater adalah layanan pembaruan otomatis.
    • Updater memeriksa versi baru konektor dan memperbarui konektor sesuai kebutuhan.

    Cuplikan layar konektor jaringan privat dan layanan pembaruan konektor di Pengelola Layanan Windows.

  3. Jika status untuk layanan tidak Berjalan, klik kanan untuk memilih tiap layanan dan pilih Mulai.

Membuat grup konektor

Untuk membuat grup konektor sebanyak yang Anda inginkan:

  1. Telusuri Akses Aman Global (pratinjau)>Koneksi> Koneksi or.
  2. Select Grup konektor baru.
  3. Beri nama grup konektor baru Anda, lalu gunakan menu dropdown untuk memilih konektor mana yang termasuk dalam grup ini.
  4. Pilih Simpan.

Untuk mempelajari selengkapnya tentang grup konektor, lihat Memahami grup konektor jaringan privat Microsoft Entra.

Ketentuan Penggunaan

Penggunaan Anda atas pengalaman dan fitur pratinjau Akses Privat Microsoft Entra dan Akses Internet Microsoft Entra diatur oleh syarat dan ketentuan layanan online pratinjau perjanjian tempat Anda mendapatkan layanan. Pratinjau dapat tunduk pada pengurangan atau komitmen keamanan, kepatuhan, dan privasi yang berbeda, seperti yang dijelaskan lebih lanjut dalam Ketentuan Lisensi Universal untuk Layanan Online dan Adendum Perlindungan Data Produk dan Layanan Microsoft ("DPA"), dan pemberitahuan lain yang disediakan dengan Pratinjau.

Langkah berikutnya

Langkah selanjutnya untuk memulai Akses Privat Microsoft Entra adalah mengonfigurasi aplikasi Akses Cepat atau Akses Aman Global: