Condividi tramite


Come configurare i connettori di rete privata per Accesso privato Microsoft Entra e il proxy dell'applicazione Microsoft Entra

I connettori sono agenti leggeri che si trovano in un server in una rete privata e facilitano la connessione in uscita al servizio Accesso sicuro globale. I connettori devono essere installati in un Windows Server che ha accesso alle risorse e alle applicazioni back-end. È possibile organizzare i connettori in gruppi di connettori, con ogni gruppo che gestisce il traffico per applicazioni specifiche. Per altre informazioni sui connettori, vedere Informazioni sui connettori di rete privata di Microsoft Entra.

Prerequisiti

Per aggiungere risorse e applicazioni private all'ID Microsoft Entra, è necessario:

Le identità utente devono essere sincronizzate da una directory locale o create direttamente nei tenant di Microsoft Entra. La sincronizzazione delle identità consente a Microsoft Entra ID di pre-autenticare gli utenti prima di concedere loro l'accesso alle applicazioni pubblicate dal proxy dell'applicazione e di avere le informazioni necessarie sull'identificatore utente per eseguire l'accesso Single Sign-On (SSO).

Server Windows

Il connettore di rete privata Microsoft Entra richiede un server che esegue Windows Server 2012 R2 o versione successiva. Si installerà il connettore di rete privata nel server. Questo server connettore deve connettersi al servizio Accesso privato Microsoft Entra o al servizio proxy dell'applicazione e alle risorse o alle applicazioni private che si intende pubblicare.

Importante

Disabilitare HTTP 2.0 quando si usa il connettore di rete privata Microsoft Entra con il proxy dell'applicazione Microsoft Entra in Windows Server 2019 o versione successiva.

Disabilitare il supporto del HTTP2 protocollo nel componente per la WinHttp delega vincolata Kerberos per il corretto funzionamento. Questo supporto è disabilitato per impostazione predefinita nelle versioni precedenti dei sistemi operativi supportati. L'aggiunta della chiave del Registro di sistema seguente e il riavvio del server la disabilita in Windows Server 2019 e versioni successive. Si tratta di una chiave del Registro di sistema a livello di computer.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

La chiave può essere impostata tramite PowerShell con il comando seguente:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Avviso

Se è stato distribuito Microsoft Entra Password Protection Proxy, non installare microsoft Entra application proxy e Microsoft Entra Password Protection Proxy insieme nello stesso computer. Microsoft Entra application proxy e Microsoft Entra Password Protection Proxy installano versioni diverse del servizio Microsoft Entra Connect Agent Updater. Queste diverse versioni sono incompatibili se installate insieme nello stesso computer.

Requisiti di Transport Layer Security (TLS)

Prima di installare il connettore privato, il server del connettore Windows deve avere TLS 1.2 abilitato.

Per abilitare TLS 1.2:

  1. Impostare le chiavi del Registro di sistema.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Riavviare il server.

Nota

Microsoft sta aggiornando i servizi di Azure per l'uso di certificati TLS emessi da un set diverso di autorità di certificazione (CA) radice. Questa modifica viene apportata perché i certificati della CA corrente non sono conformi a uno dei requisiti correnti di CA/Browser Forum Baseline. Per altre informazioni, vedere Modifiche al certificato TLS di Azure.

Raccomandazioni per il server del connettore

  • Ottimizzare le prestazioni tra il connettore e l'applicazione. Individuare fisicamente il server connettore vicino ai server applicazioni. Per ulteriori informazioni, consultare la sezione Ottimizzare il flusso del traffico con il proxy delle applicazioni di Microsoft Entra.
  • Assicurarsi che il server connettore e i server applicazioni Web si trovino nello stesso dominio di Active Directory o che si estendono su domini attendibili. Avere i server nello stesso dominio o domini attendibili è un requisito per l'uso dell'accesso Single Sign-On (SSO) con autenticazione di Windows integrato (IWA) e delega vincolata Kerberos (KCD). Se il server connettore e i server applicazioni Web si trovano in domini di Active Directory diversi, usare la delega basata sulle risorse per l'accesso Single Sign-On.

Preparare l'ambiente locale

Per iniziare, abilitare la comunicazione con i data center di Azure per preparare l'ambiente per il proxy dell'applicazione Microsoft Entra. Se nel percorso è presente un firewall, assicurarsi che sia aperto. Un firewall aperto consente al connettore di eseguire richieste HTTPS (TCP) al proxy di applicazione.

Importante

Se si installa il connettore per Azure per enti pubblici cloud, seguire i prerequisiti e i passaggi di installazione. In questo caso, saranno necessari l'abilitazione dell'accesso a un set diverso di URL e un parametro aggiuntivo per eseguire l'installazione.

Aprire le porte

Aprire le porte seguenti al traffico in uscita.

Numero di porta Uso
80 Download degli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL
443 Tutte le comunicazioni in uscita con il servizio proxy di applicazione

Se il firewall regola il traffico in base agli utenti di origine, aprire anche le porte 80 e 443 per il traffico proveniente da servizi di Windows in esecuzione come servizio di rete.

Consentire l'accesso agli URL

Consentire l'accesso agli URL seguenti:

URL Porta Uso
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Comunicazione tra il connettore e il servizio cloud proxy di applicazione
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP Il connettore usa questi URL per verificare i certificati.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS Il connettore usa questi URL durante il processo di registrazione.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP Il connettore usa questi URL durante il processo di registrazione.

È possibile consentire le connessioni a , *.servicebus.windows.nete altri URL precedenti se il firewall o il proxy consente di configurare le regole di accesso in base ai *.msappproxy.netsuffissi di dominio. In caso contrario, è necessario consentire l'accesso agli intervalli di indirizzi IP e ai tag di servizio di Azure - Cloud pubblico. Gli intervalli di indirizzi IP vengono aggiornati ogni settimana.

Importante

Evitare tutte le forme di ispezione e terminazione inline sulle comunicazioni TLS in uscita tra i connettori di rete privata Microsoft Entra e i servizi cloud del proxy di applicazione Microsoft Entra.

Installare e registrare un connettore

Per usare l'accesso privato, installare un connettore in ogni server Windows usato per Accesso privato Microsoft Entra. Il connettore è un agente che gestisce la connessione in uscita dai server applicazioni locali ad Accesso sicuro globale. È possibile installare un connettore nei server in cui sono installati anche altri agenti di autenticazione, ad esempio Microsoft Entra Connect.

Nota

La versione minima del connettore necessaria per l'accesso privato è 1.5.3417.0. A partire dalla versione 1.5.3437.0, è necessaria la versione .NET 4.7.1 o successiva per l'installazione corretta (aggiornamento).

Per installare il connettore:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale della directory che usa il proxy di applicazione.

    • Se il dominio del tenant è contoso.com, ad esempio, l'amministratore deve essere admin@contoso.com o qualsiasi altro alias amministratore di tale dominio.
  2. Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa il proxy di applicazione. Se è necessario cambiare directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.

  3. Passare a Global Secure Access Connect Connectors .Browse to Global Secure Access>Connect>Connectors.

  4. Selezionare Scarica servizio connettore.

    Screenshot del pulsante Download connector service (Scarica servizio connettore) nella pagina Proxy dell'app.

  5. Leggere le condizioni d'uso. Al termine, selezionare Accetta le condizioni e scarica.

  6. Nella parte inferiore della finestra selezionare Esegui per installare il connettore. Viene visualizzata l'installazione guidata.

  7. Seguire le istruzioni della procedura guidata per installare il servizio. Quando viene richiesto di registrare il connettore con il proxy di applicazione per il tenant di Microsoft Entra, specificare le credenziali di amministratore globale.

    • Per Internet Explorer (IE): se Configurazione sicurezza avanzata di Internet Explorer è impostata su Attivato, potrebbe non essere visualizzata la schermata di registrazione. Per ottenere l'accesso, seguire le istruzioni contenute nel messaggio di errore. Verificare che Sicurezza avanzata di Internet Explorer sia impostato su No.

Informazioni utili

Se in precedenza è stato installato un connettore, reinstallarlo per ottenere la versione più recente. Durante l'aggiornamento, disinstallare il connettore esistente ed eliminare eventuali cartelle correlate. Per visualizzare informazioni sulle versioni rilasciate in precedenza e sulle modifiche che includono, vedere Application Proxy: Version Release History.

Se si sceglie di disporre di più server Windows per le applicazioni locali, è necessario installare e registrare il connettore in ogni server. È possibile organizzare i connettori in gruppi di connettori. Per altre informazioni, vedere Gruppi di connettori.

Per informazioni sui connettori, sulla pianificazione della capacità e su come rimangono aggiornati, vedere Informazioni sui connettori di rete privata di Microsoft Entra.

Nota

Accesso privato Microsoft Entra non supporta connettori multi-geo. Le istanze del servizio cloud per il connettore vengono scelte nella stessa area del tenant di Microsoft Entra (o nell'area più vicina) anche se sono installati connettori in aree diverse dall'area predefinita.

Verificare l'installazione e la registrazione

È possibile usare il portale di accesso sicuro globale o il server Windows per verificare che un nuovo connettore sia installato correttamente.

Per informazioni sulla risoluzione dei problemi relativi al proxy dell'applicazione, vedere Eseguire il debug dei problemi dell'applicazione proxy di applicazione.

Verificare l'installazione tramite l'interfaccia di amministrazione di Microsoft Entra

Per verificare che il connettore sia stato installato e registrato correttamente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale della directory che usa il proxy di applicazione.

  2. Passare a Global Secure Access>Connect Connectors>

    • Tutti i connettori e i gruppi di connettori vengono visualizzati in questa pagina.
  3. Visualizzare un connettore per verificarne i dettagli.

    • Espandere il connettore per visualizzare i dettagli se non è già espanso.
    • Un'etichetta verde (Attivo) indica che il connettore può connettersi al servizio. Tuttavia, anche se l'etichetta è verde, un problema di rete potrebbe comunque impedire al connettore di ricevere messaggi.

    Screenshot dei dettagli dei gruppi di connettori e del gruppo di connettori.

Per altre informazioni sull'installazione di un connettore, vedere Risolvere i problemi relativi ai connettori.

Verificare l'installazione tramite il server di Windows

Per verificare che il connettore sia stato installato e registrato correttamente:

  1. Selezionare il tasto Windows e immettere services.msc per aprire Gestione servizi Windows.

  2. Verificare se lo stato dei servizi seguenti è In esecuzione.

    • Il connettore di rete privata Microsoft Entra abilita la connettività.
    • Microsoft Entra private network connector Updater è un servizio di aggiornamento automatico.
    • Lo strumento di aggiornamento controlla la presenza di nuove versioni del connettore e aggiorna il connettore in base alle esigenze.

    Screenshot del connettore di rete privata e dei servizi di aggiornamento del connettore in Windows Services Manager.

  3. Se lo stato dei servizi non è In esecuzione, fare clic con il pulsante destro del mouse su ogni servizio e scegliere Avvia.

Creare gruppi di connettori

Per creare tutti i gruppi di connettori desiderati:

  1. Passare a Global Secure Access Connect Connectors .Browse to Global Secure Access>Connect>Connectors.
  2. Selezionare Nuovo gruppo di connettori.
  3. Assegnare un nome al nuovo gruppo di connettori, quindi usare il menu a discesa per selezionare i connettori appartenenti a questo gruppo.
  4. Seleziona Salva.

Per altre informazioni sui gruppi di connettori, vedere Informazioni sui gruppi connettori di rete privata di Microsoft Entra.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso privato Microsoft Entra consiste nel configurare l'applicazione Accesso rapido o Accesso sicuro globale: