Menyebarkan proksi aplikasi Microsoft Entra untuk akses aman ke aplikasi internal di domain terkelola Microsoft Entra Domain Services

Dengan Microsoft Entra Domain Services, Anda dapat memindahkan aplikasi warisan yang berjalan secara lokal ke Azure. Proksi aplikasi Microsoft Entra kemudian membantu Anda mendukung pekerja jarak jauh dengan menerbitkan aplikasi internal tersebut dengan aman bagian dari domain terkelola Layanan Domain sehingga dapat diakses melalui internet.

Jika Anda baru menggunakan proksi aplikasi Microsoft Entra dan ingin mempelajari lebih lanjut, lihat Cara menyediakan akses jarak jauh yang aman ke aplikasi internal.

Artikel ini memperlihatkan kepada Anda cara membuat dan mengonfigurasi konektor jaringan privat Microsoft Entra untuk menyediakan akses aman ke aplikasi di domain terkelola.

Sebelum Anda mulai

Untuk menyelesaikan artikel ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, buat akun.
• Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Jika diperlukan, buat penyewa Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
  • Lisensi Microsoft Entra ID P1 atau P2 diperlukan untuk menggunakan proksi aplikasi Microsoft Entra.
• Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
  • Jika diperlukan, buat dan konfigurasikan domain terkelola Microsoft Entra Domain Services.

Membuat VM Windows yang bergabung dengan domain

Untuk merutekan lalu lintas ke aplikasi yang berjalan di lingkungan Anda, Anda menginstal komponen konektor jaringan privat Microsoft Entra. Konektor jaringan privat Microsoft Entra ini harus diinstal pada komputer virtual (VM) Windows Server yang bergabung ke domain terkelola. Untuk beberapa aplikasi, Anda dapat menyebarkan beberapa server yang masing-masing memiliki konektor yang diinstal. Opsi penyebaran ini memberi Anda ketersediaan yang lebih besar dan membantu menangani beban autentikasi yang lebih berat.

VM yang menjalankan konektor jaringan privat Microsoft Entra harus berada di jaringan virtual yang sama, atau di-peering sebagai domain terkelola Anda. VM yang kemudian menghosting aplikasi yang Anda terbitkan menggunakan Proksi Aplikasi juga harus disebarkan di jaringan virtual Azure yang sama.

Untuk membuat VM untuk konektor jaringan privat Microsoft Entra, selesaikan langkah-langkah berikut:

1. Buat unit organisasi kustom. Anda dapat mendelegasikan izin untuk mengelola unit organisasi kustom ini kepada pengguna dalam domain terkelola. VM untuk proksi aplikasi Microsoft Entra dan yang menjalankan aplikasi Anda harus menjadi bagian dari unit organisasi kustom, bukan OU Komputer Microsoft Entra DC default.
2. Bergabung dengan domain komputer virtual, baik yang menjalankan konektor jaringan privat Microsoft Entra, dan yang menjalankan aplikasi Anda, ke domain terkelola. Buat akun komputer ini di unit organisasi kustom dari langkah sebelumnya.

Mengunduh konektor jaringan privat Microsoft Entra

Lakukan langkah-langkah berikut untuk mengunduh konektor jaringan privat Microsoft Entra. File penyiapan yang Anda unduh disalin ke VM proksi aplikasi Anda di bagian berikutnya.

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.

2. Cari dan pilih Aplikasi perusahaan.

3. Pilih Proksi aplikasi dari menu di sisi kiri. Untuk membuat konektor pertama Anda dan mengaktifkan proksi aplikasi, pilih tautan untuk mengunduh konektor.

4. Pada halaman unduhan, terima persyaratan lisensi dan perjanjian privasi, lalu pilih Terima persyaratan & Unduh.

   

Menginstal dan mendaftarkan konektor jaringan privat Microsoft Entra

Dengan VM yang siap digunakan sebagai konektor jaringan privat Microsoft Entra, sekarang salin dan jalankan file penyiapan yang diunduh dari pusat admin Microsoft Entra.

1. Salin file penyiapan konektor jaringan privat Microsoft Entra ke VM Anda.

2. Jalankan file penyiapan, seperti MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Terima persyaratan lisensi perangkat lunak.

3. Selama penginstalan, Anda diminta untuk mendaftarkan konektor dengan Proksi Aplikasi di direktori Microsoft Entra Anda.

   • Administrator Global diperlukan untuk mengelola fitur ini.

     Nota

     Akun yang digunakan untuk mendaftarkan konektor harus milik direktori yang sama tempat Anda mengaktifkan layanan Proksi Aplikasi.

     Misalnya, jika domain Microsoft Entra contoso.com, akun harus admin@contoso.com atau alias lain yang valid di domain tersebut.

   • Jika Konfigurasi Keamanan Tingkat Tinggi Internet Explorer diaktifkan untuk VM tempat Anda menginstal konektor, layar pendaftaran mungkin diblokir. Untuk mengizinkan akses, ikuti instruksi dalam pesan kesalahan, atau nonaktifkan Keamanan Tingkat Tinggi Internet Explorer selama proses penginstalan.

   • Jika pendaftaran konektor gagal, lihat Memecahkan masalah Proksi Aplikasi.

4. Di akhir penyiapan, catatan ditampilkan untuk lingkungan dengan proksi keluar. Untuk mengonfigurasi konektor jaringan privat Microsoft Entra agar berfungsi melalui proksi keluar, jalankan skrip yang disediakan, seperti C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

5. Pada halaman Proksi aplikasi di pusat admin Microsoft Entra, konektor baru tercantum dengan status Aktif, seperti yang ditunjukkan dalam contoh berikut:

   

Nota

Untuk menyediakan ketersediaan tinggi untuk aplikasi yang mengautentikasi melalui proksi aplikasi Microsoft Entra, Anda dapat menginstal konektor pada beberapa VM. Ulangi langkah yang sama yang tercantum di bagian sebelumnya untuk menginstal konektor di server lain yang bergabung ke domain terkelola.

Mengaktifkan delegasi yang dibatasi Kerberos berbasis sumber daya

Jika Anda ingin menggunakan akses menyeluruh ke aplikasi Anda menggunakan autentikasi Windows terintegrasi (IWA), berikan izin konektor jaringan privat Microsoft Entra untuk meniru pengguna dan mengirim dan menerima token atas nama mereka. Untuk memberikan izin ini, Anda mengonfigurasi delegasi yang dibatasi Kerberos (KCD) agar konektor mengakses sumber daya di domain terkelola. Karena Anda tidak memiliki hak istimewa administrator domain di domain terkelola, KCD tingkat akun tradisional tidak dapat dikonfigurasi pada domain terkelola. Sebagai gantinya, gunakan KCD berbasis sumber daya.

Untuk informasi selengkapnya, lihat Mengonfigurasi delegasi yang dibatasi Kerberos (KCD) di Microsoft Entra Domain Services.

Nota

Anda harus masuk ke akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC di penyewa Microsoft Entra Anda untuk menjalankan cmdlet PowerShell berikut.

Akun komputer untuk VM konektor jaringan privat dan VM aplikasi Anda harus berada di unit organisasi kustom tempat Anda memiliki izin untuk mengonfigurasi KCD berbasis sumber daya. Anda tidak dapat mengonfigurasi KCD berbasis sumber daya untuk akun komputer dalam kontainer Microsoft Entra DC Computers bawaan.

Gunakan Get-ADComputer untuk mengambil pengaturan untuk komputer tempat konektor jaringan privat Microsoft Entra diinstal. Dari VM manajemen yang bergabung dengan domain Anda dan masuk sebagai akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC, jalankan cmdlet berikut.

Contoh berikut mendapatkan informasi tentang akun komputer bernama appproxy.aaddscontoso.com. Berikan nama komputer Anda sendiri untuk VM proksi aplikasi Microsoft Entra yang dikonfigurasi di langkah-langkah sebelumnya.

$ImpersonatingAccount = Get-ADComputer -Identity appproxy.aaddscontoso.com

Untuk setiap server aplikasi yang menjalankan aplikasi di belakang proksi aplikasi Microsoft Entra, gunakan cmdlet PowerShell Set-ADComputer untuk mengonfigurasi KCD berbasis sumber daya. Dalam contoh berikut, konektor jaringan privat Microsoft Entra diberikan izin untuk menggunakan komputer appserver.aaddscontoso.com :

Set-ADComputer appserver.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount

Jika Anda menyebarkan beberapa konektor jaringan privat Microsoft Entra, Anda harus mengonfigurasi KCD berbasis sumber daya untuk setiap instans konektor.

Langkah berikutnya

Dengan proksi aplikasi Microsoft Entra yang terintegrasi dengan Domain Services, terbitkan aplikasi untuk diakses pengguna. Untuk informasi selengkapnya, lihat menerbitkan aplikasi menggunakan proksi aplikasi Microsoft Entra.