Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Konektor adalah agen ringan yang berjalan di server di jaringan privat dan memfasilitasi koneksi keluar ke layanan Akses Aman Global. Konektor harus diinstal pada Windows Server yang memiliki akses ke sumber daya dan aplikasi backend. Anda dapat mengatur konektor ke dalam grup konektor, dengan setiap grup menangani lalu lintas ke aplikasi tertentu. Untuk mempelajari selengkapnya tentang konektor, lihat Pahami konektor jaringan privat Microsoft Entra.
Prasyarat
Untuk menambahkan sumber daya dan aplikasi privat ke Microsoft Entra ID, Anda memerlukan:
- Produk ini memerlukan lisensi. Untuk mempelajari selengkapnya tentang lisensi, lihat bagian lisensi dari Apa itu Akses Aman Global. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.
- Akun Administrator Aplikasi.
Identitas pengguna harus disinkronkan dari direktori lokal atau dibuat langsung dalam penyewa Microsoft Entra Anda. Sinkronisasi identitas memungkinkan Microsoft Entra ID untuk melakukan praotentikasi pengguna sebelum memberi mereka akses ke aplikasi yang dipublikasikan melalui proksi aplikasi dan memiliki informasi pengidentifikasi pengguna yang diperlukan untuk melakukan Single Sign-On (SSO).
Windows Server
Konektor jaringan privat Microsoft Entra memerlukan server yang berjalan Windows Server 2016 atau yang lebih baru. Anda akan menginstal konektor jaringan privat di server. Server konektor ini perlu terhubung ke layanan Microsoft Entra Private Access atau layanan proksi aplikasi dan sumber daya atau aplikasi privat yang Anda rencanakan untuk diterbitkan.
- Untuk ketersediaan tinggi di lingkungan Anda, pertimbangkan untuk memiliki lebih dari satu server Windows.
- Versi .NET minimum yang diperlukan untuk konektor adalah v4.7.2+.
- Untuk informasi selengkapnya, lihat konektor jaringan privat.
- Untuk informasi selengkapnya, lihat Determine versi kerangka kerja .NET mana yang diinstal.
Penting
Saat menggunakan konektor untuk mengakses aplikasi web yang diterbitkan melalui proksi aplikasi Microsoft Entra, HTTP/2 harus dinonaktifkan pada server yang menghosting konektor jaringan privat Microsoft Entra berjalan di Windows Server 2019 atau yang lebih baru. Perubahan konfigurasi ini tidak diperlukan ketika konektor hanya digunakan dengan Akses Aman Global untuk Akses Privat.
Nonaktifkan dukungan protokol HTTP2 di WinHttp untuk aplikasi web yang diterbitkan melalui proksi aplikasi Microsoft Entra agar berfungsi dengan baik.
HTTP/2 dinonaktifkan secara default dalam versi sebelumnya dari sistem operasi yang didukung. Menambahkan kunci registri berikut dan memulai ulang server menonaktifkan HTTP/2 pada Windows Server 2019 dan yang lebih baru. Ini adalah kunci registri di seluruh mesin.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000
Kunci dapat diatur melalui PowerShell dengan perintah berikut.
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
Peringatan
Jika Anda telah menyebarkan Proksi Perlindungan Kata Sandi Microsoft Entra, jangan instal proksi aplikasi Microsoft Entra dan proksi Perlindungan Kata Sandi Microsoft Entra bersama-sama pada komputer yang sama. Microsoft Entra Application Proxy dan Microsoft Entra Password Protection Proxy memasang berbagai versi layanan Microsoft Entra Connect Agent Updater. Versi yang berbeda ini tidak kompatibel saat diinstal bersama-sama.
Persyaratan Keamanan Lapisan Transportasi (TLS)
Server konektor Windows harus mengaktifkan TLS 1.2 sebelum Anda menginstal konektor jaringan privat.
Untuk mengaktifkan TLS 1.2:
Atur kunci registri.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Anda dapat menggunakan skrip PowerShell berikut untuk memberlakukan TLS 1.2 di server konektor Anda.
If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) { New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take effect.' -ForegroundColor CyanMulai ulang server.
Catatan
Microsoft memperbarui layanan Azure untuk menggunakan sertifikat TLS dari serangkaian Otoritas Sertifikat Akar (CA) yang berbeda. Perubahan ini dilakukan karena sertifikat CA saat ini tidak mematuhi salah satu persyaratan CA/Browser Forum Baseline. Untuk informasi selengkapnya, lihat perubahan sertifikat TLS Azure.
Rekomendasi untuk server konektor
- Optimalkan performa antara konektor dan aplikasi. Temukan server konektor secara fisik dekat dengan server aplikasi. Untuk informasi selengkapnya, lihat Optimisasi arus lalu lintas dengan proksi aplikasi Microsoft Entra.
- Pastikan server konektor dan server aplikasi web berada di domain Active Directory yang sama atau menjangkau domain tepercaya. Server harus berada di domain yang sama atau domain tepercaya agar dapat menggunakan Single Sign-On (SSO) dengan autentikasi Windows terintegrasi (IWA) dan Delegasi Terbatas Kerberos (KCD). Jika server konektor dan server aplikasi web berada di domain Active Directory yang berbeda, gunakan delegasi berbasis sumber daya untuk akses menyeluruh.
- Pertimbangkan performa dan skalabilitas penyebaran konektor Anda, termasuk memperluas port ephemeral TCP dan UDP di server konektor Anda. Lihat Mahami konektor jaringan privat Microsoft Entra untuk informasi selengkapnya.
- Pertimbangkan untuk membuat garis besar performa untuk konektor jaringan privat Anda.
Menyiapkan lingkungan lokal Anda
Untuk menyiapkan lingkungan Anda untuk proksi aplikasi Microsoft Entra, mulailah dengan mengaktifkan komunikasi ke pusat data Azure. Jika ada firewall di jalur tersebut, pastikan firewall terbuka. Firewall terbuka memungkinkan konektor membuat permintaan HTTPS (TCP) ke Application Proxy.
Penting
Jika Anda menginstal konektor untuk cloud Azure Government, ikuti langkah-langkah syarat dan pemasangan. Ini memerlukan izin akses ke sekumpulan URL yang berbeda dan parameter tambahan untuk menjalankan instalasi.
Port terbuka
Buka port berikut untuk lalu lintas keluar.
| Nomor port | Cara menggunakannya |
|---|---|
| 80 | Mengunduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TLS/SSL |
| 443 | Semua komunikasi keluar dengan layanan Application Proxy |
Jika firewall Anda memberlakukan lalu lintas sesuai dengan pengguna asal, buka juga port 80 dan 443 untuk lalu lintas dari layanan Windows yang berjalan sebagai Layanan Jaringan.
Mengizinkan akses ke URL
Izinkan akses ke URL berikut:
| URL | Pelabuhan | Cara menggunakannya |
|---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Komunikasi antara konektor dan layanan cloud Application Proxy |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Konektor menggunakan URL ini untuk memverifikasi sertifikat. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | Konektor menggunakan URL ini selama dan di luar proses pendaftaran. |
ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Konektor menggunakan URL ini selama dan di luar proses pendaftaran. |
Anda dapat mengizinkan koneksi ke *.msappproxy.net, *.servicebus.windows.net, dan URL lainnya yang disebutkan di atas jika firewall atau proxy Anda memungkinkan Anda mengonfigurasi aturan akses berdasarkan akhiran domain. Jika tidak, Anda perlu mengizinkan akses ke rentang IP Azure dan Tag Layanan - Cloud Publik. Rentang IP diperbarui tiap minggu.
Penting
Hindari semua bentuk pengawasan dan penghentian langsung pada komunikasi TLS keluar antara konektor jaringan privat Microsoft Entra dan layanan cloud proksi aplikasi Microsoft Entra.
Menginstal dan mendaftarkan konektor
Untuk menggunakan Akses Privat, instal konektor di setiap server Windows yang Anda gunakan untuk Microsoft Entra Private Access. Konektor adalah agen yang mengelola koneksi keluar dari server aplikasi lokal ke Akses Aman Global. Anda dapat menginstal konektor di server yang juga memiliki agen autentikasi lain yang terinstal seperti Microsoft Entra Connect.
Catatan
Versi minimum konektor yang diperlukan untuk Akses Privat adalah 1.5.3417.0. Mulai dari versi 1.5.3437.0, .NET versi 4.7.1 atau yang lebih baru diperlukan untuk penginstalan atau peningkatan yang berhasil.
Catatan
Deploy konektor jaringan privat untuk tugas kerja Azure, AWS, dan GCP Anda dari masing-masing marketplace (Pratinjau)
Konektor Jaringan Privat sekarang tersedia di Azure Marketplace, AWS Marketplace, dan GCP Marketplace (dalam pratinjau), selain pusat admin Microsoft Entra. Penawaran marketplace memungkinkan pengguna untuk menyebarkan komputer virtual Windows dengan konektor jaringan privat yang telah diinstal sebelumnya melalui model penyebaran yang disederhanakan. Proses ini mengotomatiskan penginstalan dan pendaftaran.
Untuk menginstal konektor dari pusat pengelolaan Microsoft Entra:
Masuk ke pusat admin Microsoft Entra sebagai Administrator Aplikasi direktori yang menggunakan Application Proxy.
- Misalnya, jika domain penyewa adalah contoso.com, admin harus
admin@contoso.comatau alias admin lainnya di domain tersebut.
- Misalnya, jika domain penyewa adalah contoso.com, admin harus
Pilih nama pengguna Anda di sudut kanan atas. Pastikan Anda masuk ke direktori yang menggunakan Application Proxy. Jika Anda perlu mengubah direktori, pilih direktori Switch dan pilih direktori yang menggunakan Application Proxy.
Telusuri Global Secure Access>Connect>Connectors.
Pilih Unduh layanan konektor.
Baca Ketentuan Layanan. Setelah siap, pilih Terima ketentuan & Unduh.
Di bagian bawah jendela, pilih Jalankan untuk menginstal konektor. Panduan pemasangan terbuka.
Ikuti instruksi dalam wizard untuk memasang layanan. Saat Anda diminta untuk mendaftarkan konektor dengan Application Proxy untuk penyewa Microsoft Entra Anda, berikan kredensial Administrator Aplikasi Anda.
- Untuk Internet Explorer (IE): Jika Konfigurasi Keamanan Tingkat Tinggi IE diatur ke Aktif, Anda mungkin tidak melihat layar pendaftaran. Untuk mendapatkan akses, ikuti instruksi dalam pesan kesalahan. Pastikan konfigurasi keamanan Internet Explorer ditingkatkan diatur ke Nonaktif.
Hal-hal yang perlu diketahui
Jika sebelumnya Anda telah menginstal konektor, instal ulang untuk mendapatkan versi terbaru. Saat memutakhirkan, hapus instalan konektor yang ada dan hapus folder terkait. Untuk melihat informasi tentang versi yang dirilis sebelumnya dan perubahan apa yang disertakan, lihat Application Proxy: Riwayat Rilis Versi.
Jika Anda memilih untuk memiliki lebih dari satu server Windows untuk aplikasi lokal, Anda perlu menginstal dan mendaftarkan konektor di setiap server. Anda dapat mengatur konektor ke dalam grup konektor. Untuk informasi selengkapnya, lihat grup konektor.
Untuk informasi tentang konektor, perencanaan kapasitas, dan bagaimana konektor selalu diperbarui, lihat Konektor jaringan privat Microsoft Entra.
Catatan
Dukungan Microsoft Entra Private Access untuk konektor multi-geo saat ini sedang dalam tahap PRATINJAU. Secara default, instans layanan cloud untuk konektor Anda dipilih di wilayah yang sama dengan penyewa Microsoft Entra Anda (atau wilayah terdekat), bahkan jika Anda memiliki konektor yang diinstal di wilayah yang berbeda dari wilayah default Anda. Dukungan Multi-Geo memungkinkan pelanggan mengoptimalkan arus lalu lintas dengan menetapkan grup konektor sesuai dengan lokasi geografis pilihan mereka alih-alih hanya mengandalkan lokasi geografis penyewa.
Memverifikasi penginstalan dan pendaftaran
Anda dapat menggunakan portal Akses Aman Global atau server Windows Anda untuk mengonfirmasi bahwa konektor baru diinstal dengan benar.
Untuk informasi tentang pemecahan masalah aplikasi proksi, lihat Memecahkan masalah aplikasi proksi.
Memverifikasi penginstalan melalui pusat admin Microsoft Entra
Untuk mengonfirmasi konektor yang diinstal dan terdaftar dengan benar:
Masuk ke pusat admin Microsoft Entra sebagai Administrator Aplikasi direktori yang menggunakan Application Proxy.
Telusuri Global Secure Access>Connect>Connectors.
- Semua konektor dan grup konektor Anda muncul di halaman ini.
Lihat konektor untuk memverifikasi detailnya.
- Perluas konektor untuk melihat detail jika belum diperluas.
- Label hijau aktif memperlihatkan konektor Anda dapat terhubung ke layanan. Namun, meskipun label berwarna hijau, masalah jaringan masih bisa memblokir konektor untuk menerima pesan.
Untuk bantuan selengkapnya tentang menginstal konektor, lihat memecahkan masalah konektor.
Memverifikasi penginstalan melalui server Windows Anda
Untuk mengonfirmasi konektor yang diinstal dan terdaftar dengan benar:
Pilih kunci Windows dan masukkan
services.mscuntuk membuka Windows Services Manager.Periksa untuk memastikan apakah status untuk layanan berikut adalah Berjalan.
- Microsoft Entra konektor jaringan privat memungkinkan konektivitas.
- Microsoft Entra pembaruan konektor jaringan privat adalah layanan pembaruan otomatis.
- Updater memeriksa versi baru konektor dan memperbarui konektor sesuai kebutuhan.
Jika status untuk layanan tidak Berjalan, klik kanan untuk memilih tiap layanan dan pilih Mulai.
Membuat grup konektor
Untuk membuat grup konektor sebanyak yang Anda inginkan:
- Telusuri Global Secure Access>Connect>Connectors.
- Pilih Grup konektor baru.
- Beri nama grup konektor baru Anda, lalu gunakan menu dropdown untuk memilih konektor mana yang termasuk dalam grup ini.
- Pilih Simpan.
Untuk mempelajari selengkapnya tentang grup konektor, lihat Pemahaman Microsoft Entra grup konektor jaringan privat.
Meminimalkan dampak selama pemeliharaan server konektor
Saat melakukan pemeliharaan (seperti patching atau reboot) pada server konektor jaringan privat, Anda dapat meminimalkan gangguan pada koneksi pengguna dengan menggunakan grup konektor pemeliharaan khusus. Dengan memindahkan konektor ke dalam grup ini untuk sementara waktu, Anda memastikan bahwa tidak ada lalu lintas baru yang dirutekan ke dalamnya seraya memungkinkan sesi yang ada selesai dengan anggun.
Konektor dalam Microsoft Entra Private Access adalah agen tanpa status yang mengarahkan lalu lintas berdasarkan penugasan grup dan ketersediaan. Jika konektor tidak tersedia, layanan secara otomatis mengarahkan permintaan baru ke konektor sehat lainnya dalam grup.
Langkah-langkah pemeliharaan
Membuat grup konektor pemeliharaan
- Di pusat admin Microsoft Entra, buat grup konektor baru yang ditetapkan hanya untuk aplikasi pengujian Private Access.
- Grup ini bertindak sebagai "tempat parkir" untuk pemeliharaan.
Memindahkan konektor ke dalam grup konektor pemeliharaan
- Saat Anda siap untuk melakukan pemeliharaan pada server konektor, edit penugasannya dan pindahkan ke grup konektor pemeliharaan dengan aplikasi Akses Privat uji coba di mana tidak ada lalu lintas aktif.
- Setelah konektor dipindahkan ke grup pemeliharaan, konektor tidak lagi menerima koneksi pengguna baru. Koneksi yang ada berlanjut hingga selesai dengan lancar.
Menguras sesi yang ada
- Tunggu periode yang sesuai untuk memungkinkan koneksi aktif selesai secara normal. Durasi tergantung pada beban kerja aplikasi dan pola sesi Anda.
Lakukan pemeliharaan
- Terapkan patch dan pembaruan, dan boot ulang server sesuai kebutuhan.
- Pastikan bahwa layanan konektor jaringan privat Microsoft Entra dijalankan ulang dan berfungsi dengan baik sebelum mengembalikan konektor ke lingkungan produksi.
- Setelah patching, kirim permintaan ke aplikasi pengujian untuk memvalidasi konektivitas end-to-end.
Mengembalikan konektor ke grup aslinya
- Setelah pemeliharaan selesai dan layanan berjalan, pindahkan konektor kembali ke grup konektor aslinya.
- Konektor kembali menerima lalu lintas sebagai bagian dari kumpulan ketersediaan tinggi grup tersebut.
Langkah berikutnya
Langkah selanjutnya untuk memulai Microsoft Entra Private Access adalah mengonfigurasi aplikasi Akses Cepat atau Akses Aman Global: