Cara mengonfigurasi konektor jaringan privat untuk Akses Privat Microsoft Entra dan proksi aplikasi Microsoft Entra

Konektor adalah agen ringan yang berada di server di jaringan privat dan memfasilitasi koneksi keluar ke layanan Akses Aman Global. Konektor harus diinstal pada Windows Server yang memiliki akses ke sumber daya dan aplikasi backend. Anda dapat mengatur konektor ke dalam grup konektor, dengan setiap grup menangani lalu lintas ke aplikasi tertentu. Untuk mempelajari selengkapnya tentang konektor, lihat Memahami konektor jaringan privat Microsoft Entra.

Prasyarat

Untuk menambahkan sumber daya dan aplikasi privat ke ID Microsoft Entra, Anda memerlukan:

• Produk ini memerlukan lisensi. Untuk mempelajari selengkapnya tentang lisensi, lihat bagian lisensi dari Apa itu Akses Aman Global. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.
• Akun Administrator Aplikasi.

Identitas pengguna harus disinkronkan dari direktori lokal atau dibuat langsung dalam penyewa Microsoft Entra Anda. Sinkronisasi identitas memungkinkan ID Microsoft Entra untuk melakukan pra-autentikasi pengguna sebelum memberi mereka akses ke aplikasi yang diterbitkan proksi aplikasi dan memiliki informasi pengidentifikasi pengguna yang diperlukan untuk melakukan akses menyeluruh (SSO).

Server Windows

Konektor jaringan privat Microsoft Entra memerlukan server yang menjalankan Windows Server 2012 R2 atau yang lebih baru. Anda akan menginstal konektor jaringan privat di server. Server konektor ini perlu terhubung ke layanan Akses Privat Microsoft Entra atau layanan proksi aplikasi dan sumber daya atau aplikasi privat yang Anda rencanakan untuk diterbitkan.

• Untuk ketersediaan tinggi di lingkungan Anda, kami sarankan memiliki lebih dari satu server Windows.
• Versi .NET minimum yang diperlukan untuk konektor adalah v4.7.1+.
• Untuk informasi selengkapnya, lihat konektor jaringan privat
• Untuk informasi selengkapnya, lihat Menentukan versi .NET framework mana yang diinstal.

Penting

Nonaktifkan HTTP 2.0 saat menggunakan konektor jaringan privat Microsoft Entra dengan proksi aplikasi Microsoft Entra di Windows Server 2019 atau yang lebih baru.

HTTP2 Nonaktifkan dukungan protokol dalam WinHttp komponen untuk Delegasi Yang Dibatasi Kerberos agar berfungsi dengan benar. Ini dinonaktifkan secara default di versi yang lebih lama dari sistem operasi yang didukung. Menambahkan kunci registri berikut dan memulai ulang server akan menonaktifkannya di Windows Server 2019 dan yang lebih baru. Ini adalah kunci registri di seluruh mesin.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Kunci dapat diatur melalui PowerShell dengan perintah berikut.

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Peringatan

Jika Anda telah menyebarkan Proksi Perlindungan Kata Sandi Microsoft Entra, jangan instal proksi aplikasi Microsoft Entra dan Proksi Perlindungan Kata Sandi Microsoft Entra bersama-sama pada komputer yang sama. Proksi aplikasi Microsoft Entra dan Proksi Perlindungan Kata Sandi Microsoft Entra menginstal versi layanan Microsoft Entra Connect Agent Updater yang berbeda. Versi yang berbeda ini tidak kompatibel ketika diinstal bersama-sama di mesin yang sama.

Persyaratan Keamanan Lapisan Transportasi (TLS)

Server konektor Windows harus mengaktifkan TLS 1.2 sebelum Anda menginstal konektor jaringan privat.

Untuk mengaktifkan TLS 1.2:

1. Atur kunci registri.

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Mulai ulang server.

Catatan

Microsoft memperbarui layanan Azure untuk menggunakan sertifikat TLS dari sekumpulan Otoritas Sertifikat Akar (CA) yang berbeda. Perubahan ini dilakukan karena sertifikat CA saat ini tidak mematuhi salah satu persyaratan CA/Browser Forum Baseline. Untuk informasi selengkapnya, lihat Perubahan sertifikat Azure TLS.

Rekomendasi untuk server konektor

• Optimalkan performa antara konektor dan aplikasi. Temukan server konektor secara fisik dekat dengan server aplikasi. Untuk informasi selengkapnya, lihat Mengoptimalkan arus lalu lintas dengan proksi aplikasi Microsoft Entra.
• Pastikan server konektor dan server aplikasi web berada di domain Direktori Aktif yang sama atau menjangkau domain tepercaya. Memiliki server di domain yang sama atau domain kepercayaan adalah persyaratan untuk menggunakan akses menyeluruh (SSO) dengan NTLM (IWA) terintegrasi dan Delegasi Terbatas Kerberos (KCD). Jika server konektor dan server aplikasi web berada di domain Direktori Aktif yang berbeda, gunakan delegasi berbasis sumber daya untuk akses menyeluruh.

Menyiapkan lingkungan lokal Anda

Mulailah dengan mengaktifkan komunikasi ke pusat data Azure untuk menyiapkan lingkungan Anda untuk proksi aplikasi Microsoft Entra. Jika ada firewall di jalur tersebut, pastikan firewall terbuka. Firewall terbuka memungkinkan konektor membuat permintaan HTTPS (TCP) ke Proksi Aplikasi.

Penting

Jika Anda menginstal konektor untuk cloud Azure Government, ikuti prasyarat dan langkah-langkah penginstalan. Ini memerlukan izin akses ke sekumpulan URL yang berbeda dan parameter tambahan untuk menjalankan instalasi.

Membuka port

Buka port berikut untuk lalu lintas keluar.

Nomor port	Cara menggunakannya
80	Mengunduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TLS/SSL
443	Semua komunikasi keluar dengan layanan Proksi Aplikasi

Jika firewall Anda menerapkan lalu lintas sesuai dengan pengguna asal, buka port 80 dan 443 untuk lalu lintas dari layanan Windows yang berjalan sebagai Layanan Jaringan.

Mengizinkan akses ke URL

Izinkan akses ke URL berikut:

URL	Port	Cara menggunakannya
*.msappproxy.net *.servicebus.windows.net	443/HTTPS	Komunikasi antara konektor dan layanan cloud Proksi Aplikasi
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com	80/HTTP	Konektor menggunakan URL ini untuk memverifikasi sertifikat.
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops	443/HTTPS	Konektor menggunakan URL ini selama proses pendaftaran.
ctldl.windowsupdate.com www.microsoft.com/pkiops	80/HTTP	Konektor menggunakan URL ini selama proses pendaftaran.

Anda dapat mengizinkan koneksi ke *.msappproxy.net.msappproxy.net, *.servicebus.windows.net.servicebus.windows.net, dan URL lain di atas jika firewall atau proxy memungkinkan Anda mengonfigurasi aturan akses berdasarkan akhiran domain. Jika tidak, Anda perlu mengizinkan akses ke rentang IP Azure dan Tag Layanan - Cloud Publik. Rentang IP diperbarui tiap minggu.

Penting

Hindari semua bentuk inspeksi dan penghentian sebaris pada komunikasi TLS keluar antara konektor jaringan privat Microsoft Entra dan layanan Cloud proksi aplikasi Microsoft Entra.

Menginstal dan mendaftarkan konektor

Untuk menggunakan Akses Privat, instal konektor di setiap server Windows yang Anda gunakan untuk Akses Privat Microsoft Entra. Konektor adalah agen yang mengelola koneksi keluar dari server aplikasi lokal ke Akses Aman Global. Anda dapat menginstal konektor di server yang juga memiliki agen autentikasi lain yang terinstal seperti Microsoft Entra Connect.

Catatan

Versi minimum konektor yang diperlukan untuk Akses Privat adalah 1.5.3417.0. Mulai dari versi 1.5.3437.0, memiliki .NET versi 4.7.1 atau lebih tinggi diperlukan untuk penginstalan yang berhasil (peningkatan).

Catatan

Menyebarkan Konektor Jaringan Privat untuk Beban Kerja Azure, AWS, dan GCP Anda dari Marketplace masing-masing (Pratinjau)

Konektor Jaringan Privat sekarang tersedia di Marketplace Azure, AWS Marketplace, dan GCP Marketplace (dalam pratinjau), selain pusat admin Microsoft Entra. Penawaran marketplace memungkinkan pengguna untuk menyebarkan komputer virtual windows dengan Konektor Jaringan Privat yang telah diinstal sebelumnya melalui model yang disederhanakan. Proses ini mengotomatiskan instalasi dan pendaftaran, sehingga meningkatkan kemudahan dan efisiensi.

Untuk menginstal konektor dari pusat admin Microsoft Entra:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Aplikasi direktori yang menggunakan Proksi Aplikasi.

   • Misalnya, jika domain penyewa adalah contoso.com, admin harus admin@contoso.com atau alias admin lainnya di domain tersebut.

2. Pilih nama pengguna Anda di sudut kanan atas. Pastikan Anda masuk ke direktori yang menggunakan Proksi Aplikasi. Jika Anda perlu mengubah direktori, pilih Beralih direktori, lalu pilih direktori yang menggunakan Proksi Aplikasi.

3. Telusuri konektor Global Secure Access>Connect>.

4. Pilih Mengunduh layanan konektor.

   

5. Baca Ketentuan Layanan. Setelah siap, pilih Terima ketentuan & Unduh.

6. Di bagian bawah jendela, pilih Jalankan untuk menginstal konektor. Wizard penginstalan terbuka.

7. Ikuti instruksi dalam wizard untuk memasang layanan. Saat Anda diminta untuk mendaftarkan konektor dengan Proksi Aplikasi untuk penyewa Microsoft Entra Anda, berikan kredensial Administrator Aplikasi Anda.

   • Untuk Internet Explorer (IE): Jika Konfigurasi Keamanan Tingkat Tinggi IE diatur ke Aktif, Anda mungkin tidak melihat layar pendaftaran. Untuk mendapatkan akses, ikuti instruksi dalam pesan kesalahan. Pastikan Konfigurasi Keamanan yang Ditingkatkan Internet Explorer diatur ke Nonaktif.

Hal-hal yang perlu diketahui

Jika sebelumnya Anda telah menginstal konektor, instal ulang untuk mendapatkan versi terbaru. Saat memutakhirkan, hapus instalan konektor yang ada dan hapus folder terkait. Untuk melihat informasi tentang versi yang dirilis sebelumnya dan perubahan apa yang disertakan, lihat Proksi Aplikasi: Riwayat Rilis Versi.

Jika Anda memilih untuk memiliki lebih dari satu server Windows untuk aplikasi lokal, Anda perlu menginstal dan mendaftarkan konektor di setiap server. Anda dapat mengatur konektor ke dalam grup konektor. Untuk informasi selengkapnya, lihat grup konektor.

Untuk informasi tentang konektor, perencanaan kapasitas, dan bagaimana konektor tetap terbaru, lihat Memahami konektor jaringan privat Microsoft Entra.

Catatan

Akses Privat Microsoft Entra tidak mendukung konektor multi-geo. Instans layanan cloud untuk konektor Anda dipilih di wilayah yang sama dengan penyewa Microsoft Entra Anda (atau wilayah terdekat dengannya) bahkan jika Anda memiliki konektor yang diinstal di wilayah yang berbeda dari wilayah default Anda.

Memverifikasi penginstalan dan pendaftaran

Anda dapat menggunakan portal Akses Aman Global atau server Windows Anda untuk mengonfirmasi bahwa konektor baru diinstal dengan benar.

Untuk informasi tentang pemecahan masalah proksi aplikasi, lihat Men-debug masalah aplikasi proksi aplikasi.

Memverifikasi penginstalan melalui pusat admin Microsoft Entra

Untuk mengonfirmasi konektor yang diinstal dan terdaftar dengan benar:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Aplikasi direktori yang menggunakan Proksi Aplikasi.

2. Telusuri konektor Global Secure Access Connect>>

   • Semua konektor dan grup konektor Anda muncul di halaman ini.

3. Lihat konektor untuk memverifikasi detailnya.

   • Perluas konektor untuk melihat detail jika belum diperluas.
   • Label hijau aktif memperlihatkan konektor Anda dapat terhubung ke layanan. Namun, meskipun label berwarna hijau, masalah jaringan masih bisa memblokir konektor untuk menerima pesan.

   

Untuk bantuan selengkapnya tentang menginstal konektor, lihat memecahkan masalah konektor.

Memverifikasi penginstalan melalui server Windows Anda

Untuk mengonfirmasi konektor yang diinstal dan terdaftar dengan benar:

1. Pilih kunci Windows dan masukkan services.msc untuk membuka Pengelola Layanan Windows.

2. Periksa untuk melihat apakah status untuk layanan berikut berjalan.

   • Konektor jaringan privat Microsoft Entra memungkinkan konektivitas.
   • Pembaruan konektor jaringan privat Microsoft Entra adalah layanan pembaruan otomatis.
   • Updater memeriksa versi baru konektor dan memperbarui konektor sesuai kebutuhan.

   

3. Jika status untuk layanan tidak Berjalan, klik kanan untuk memilih tiap layanan dan pilih Mulai.

Membuat grup konektor

Untuk membuat grup konektor sebanyak yang Anda inginkan:

1. Telusuri konektor Global Secure Access>Connect>.
2. Select Grup konektor baru.
3. Beri nama grup konektor baru Anda, lalu gunakan menu dropdown untuk memilih konektor mana yang termasuk dalam grup ini.
4. Pilih Simpan.

Untuk mempelajari selengkapnya tentang grup konektor, lihat Memahami grup konektor jaringan privat Microsoft Entra.

Langkah berikutnya

Langkah selanjutnya untuk memulai Akses Privat Microsoft Entra adalah mengonfigurasi aplikasi Akses Cepat atau Akses Aman Global:

• Mengonfigurasi Akses Cepat ke sumber daya privat Anda
• Mengonfigurasi akses per aplikasi untuk Akses Privat Microsoft Entra