Come configurare i connettori di rete privata per Accesso privato Microsoft Entra e il proxy dell'applicazione Microsoft Entra
I connettori sono agenti leggeri che si trovano in un server in una rete privata e facilitano la connessione in uscita al servizio Accesso sicuro globale. I connettori devono essere installati in un Windows Server che ha accesso alle risorse e alle applicazioni back-end. È possibile organizzare i connettori in gruppi di connettori, con ogni gruppo che gestisce il traffico per applicazioni specifiche. Per altre informazioni sui connettori, vedere Informazioni sui connettori di rete privata di Microsoft Entra.
Prerequisiti
Per aggiungere risorse e applicazioni private all'ID Microsoft Entra, è necessario:
- L'anteprima richiede una licenza Microsoft Entra ID P1. Se necessario è possibile acquistare licenze o ottenere licenze di test.
- Un account amministratore dell'applicazione.
Le identità utente devono essere sincronizzate da una directory locale o create direttamente nei tenant di Microsoft Entra. La sincronizzazione delle identità consente a Microsoft Entra ID di pre-autenticare gli utenti prima di concedere loro l'accesso alle applicazioni pubblicate dal proxy dell'applicazione e di avere le informazioni necessarie sull'identificatore utente per eseguire l'accesso Single Sign-On (SSO).
Server Windows
Il connettore di rete privata Microsoft Entra richiede un server che esegue Windows Server 2012 R2 o versione successiva. Si installerà il connettore di rete privata nel server. Questo server connettore deve connettersi al servizio Accesso privato Microsoft Entra o al servizio proxy dell'applicazione e alle risorse o alle applicazioni private che si intende pubblicare.
- Per la disponibilità elevata nell'ambiente in uso, è consigliabile avere più di un server Windows.
- La versione minima di .NET necessaria per il connettore è v4.7.1+.
- Per altre informazioni, vedere Connettori di rete privata
- Per altre informazioni, vedere Determinare le versioni di .NET Framework installate.
Importante
Disabilitare HTTP 2.0 quando si usa il connettore di rete privata Microsoft Entra con il proxy dell'applicazione Microsoft Entra in Windows Server 2019 o versione successiva.
Disabilitare il supporto del HTTP2
protocollo nel componente per la WinHttp
delega vincolata Kerberos per il corretto funzionamento. Questo supporto è disabilitato per impostazione predefinita nelle versioni precedenti dei sistemi operativi supportati. L'aggiunta della chiave del Registro di sistema seguente e il riavvio del server la disabilita in Windows Server 2019 e versioni successive. Si tratta di una chiave del Registro di sistema a livello di computer.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000
La chiave può essere impostata tramite PowerShell con il comando seguente:
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
Avviso
Se è stato distribuito Microsoft Entra Password Protection Proxy, non installare microsoft Entra application proxy e Microsoft Entra Password Protection Proxy insieme nello stesso computer. Microsoft Entra application proxy e Microsoft Entra Password Protection Proxy installano versioni diverse del servizio Microsoft Entra Connect Agent Updater. Queste diverse versioni sono incompatibili se installate insieme nello stesso computer.
Requisiti di Transport Layer Security (TLS)
Prima di installare il connettore privato, il server del connettore Windows deve avere TLS 1.2 abilitato.
Per abilitare TLS 1.2:
Impostare le chiavi del Registro di sistema.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Riavviare il server.
Nota
Microsoft sta aggiornando i servizi di Azure per l'uso di certificati TLS emessi da un set diverso di autorità di certificazione (CA) radice. Questa modifica viene apportata perché i certificati della CA corrente non sono conformi a uno dei requisiti correnti di CA/Browser Forum Baseline. Per altre informazioni, vedere Modifiche al certificato TLS di Azure.
Raccomandazioni per il server del connettore
- Ottimizzare le prestazioni tra il connettore e l'applicazione. Individuare fisicamente il server connettore vicino ai server applicazioni. Per ulteriori informazioni, consultare la sezione Ottimizzare il flusso del traffico con il proxy delle applicazioni di Microsoft Entra.
- Assicurarsi che il server connettore e i server applicazioni Web si trovino nello stesso dominio di Active Directory o che si estendono su domini attendibili. Avere i server nello stesso dominio o domini attendibili è un requisito per l'uso dell'accesso Single Sign-On (SSO) con autenticazione di Windows integrato (IWA) e delega vincolata Kerberos (KCD). Se il server connettore e i server applicazioni Web si trovano in domini di Active Directory diversi, usare la delega basata sulle risorse per l'accesso Single Sign-On.
Preparare l'ambiente locale
Per iniziare, abilitare la comunicazione con i data center di Azure per preparare l'ambiente per il proxy dell'applicazione Microsoft Entra. Se nel percorso è presente un firewall, assicurarsi che sia aperto. Un firewall aperto consente al connettore di eseguire richieste HTTPS (TCP) al proxy di applicazione.
Importante
Se si installa il connettore per Azure per enti pubblici cloud, seguire i prerequisiti e i passaggi di installazione. In questo caso, saranno necessari l'abilitazione dell'accesso a un set diverso di URL e un parametro aggiuntivo per eseguire l'installazione.
Aprire le porte
Aprire le porte seguenti al traffico in uscita.
Numero di porta | Uso |
---|---|
80 | Download degli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL |
443 | Tutte le comunicazioni in uscita con il servizio proxy di applicazione |
Se il firewall regola il traffico in base agli utenti di origine, aprire anche le porte 80 e 443 per il traffico proveniente da servizi di Windows in esecuzione come servizio di rete.
Consentire l'accesso agli URL
Consentire l'accesso agli URL seguenti:
URL | Porta | Uso |
---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Comunicazione tra il connettore e il servizio cloud proxy di applicazione |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Il connettore usa questi URL per verificare i certificati. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | Il connettore usa questi URL durante il processo di registrazione. |
ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | Il connettore usa questi URL durante il processo di registrazione. |
È possibile consentire le connessioni a , *.servicebus.windows.net
e altri URL precedenti se il firewall o il proxy consente di configurare le regole di accesso in base ai *.msappproxy.net
suffissi di dominio. In caso contrario, è necessario consentire l'accesso agli intervalli di indirizzi IP e ai tag di servizio di Azure - Cloud pubblico. Gli intervalli di indirizzi IP vengono aggiornati ogni settimana.
Importante
Evitare tutte le forme di ispezione e terminazione inline sulle comunicazioni TLS in uscita tra i connettori di rete privata Microsoft Entra e i servizi cloud del proxy di applicazione Microsoft Entra.
Installare e registrare un connettore
Per usare l'accesso privato, installare un connettore in ogni server Windows usato per Accesso privato Microsoft Entra. Il connettore è un agente che gestisce la connessione in uscita dai server applicazioni locali ad Accesso sicuro globale. È possibile installare un connettore nei server in cui sono installati anche altri agenti di autenticazione, ad esempio Microsoft Entra Connect.
Nota
La versione minima del connettore necessaria per l'accesso privato è 1.5.3417.0. A partire dalla versione 1.5.3437.0, è necessaria la versione .NET 4.7.1 o successiva per l'installazione corretta (aggiornamento).
Per installare il connettore:
Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale della directory che usa il proxy di applicazione.
- Se il dominio del tenant è contoso.com, ad esempio, l'amministratore deve essere
admin@contoso.com
o qualsiasi altro alias amministratore di tale dominio.
- Se il dominio del tenant è contoso.com, ad esempio, l'amministratore deve essere
Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa il proxy di applicazione. Se è necessario cambiare directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.
Passare a Global Secure Access Connect Connectors .Browse to Global Secure Access>Connect>Connectors.
Selezionare Scarica servizio connettore.
Leggere le condizioni d'uso. Al termine, selezionare Accetta le condizioni e scarica.
Nella parte inferiore della finestra selezionare Esegui per installare il connettore. Viene visualizzata l'installazione guidata.
Seguire le istruzioni della procedura guidata per installare il servizio. Quando viene richiesto di registrare il connettore con il proxy di applicazione per il tenant di Microsoft Entra, specificare le credenziali di amministratore globale.
- Per Internet Explorer (IE): se Configurazione sicurezza avanzata di Internet Explorer è impostata su Attivato, potrebbe non essere visualizzata la schermata di registrazione. Per ottenere l'accesso, seguire le istruzioni contenute nel messaggio di errore. Verificare che Sicurezza avanzata di Internet Explorer sia impostato su No.
Informazioni utili
Se in precedenza è stato installato un connettore, reinstallarlo per ottenere la versione più recente. Durante l'aggiornamento, disinstallare il connettore esistente ed eliminare eventuali cartelle correlate. Per visualizzare informazioni sulle versioni rilasciate in precedenza e sulle modifiche che includono, vedere Application Proxy: Version Release History.
Se si sceglie di disporre di più server Windows per le applicazioni locali, è necessario installare e registrare il connettore in ogni server. È possibile organizzare i connettori in gruppi di connettori. Per altre informazioni, vedere Gruppi di connettori.
Per informazioni sui connettori, sulla pianificazione della capacità e su come rimangono aggiornati, vedere Informazioni sui connettori di rete privata di Microsoft Entra.
Nota
Accesso privato Microsoft Entra non supporta connettori multi-geo. Le istanze del servizio cloud per il connettore vengono scelte nella stessa area del tenant di Microsoft Entra (o nell'area più vicina) anche se sono installati connettori in aree diverse dall'area predefinita.
Verificare l'installazione e la registrazione
È possibile usare il portale di accesso sicuro globale o il server Windows per verificare che un nuovo connettore sia installato correttamente.
Per informazioni sulla risoluzione dei problemi relativi al proxy dell'applicazione, vedere Eseguire il debug dei problemi dell'applicazione proxy di applicazione.
Verificare l'installazione tramite l'interfaccia di amministrazione di Microsoft Entra
Per verificare che il connettore sia stato installato e registrato correttamente:
Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale della directory che usa il proxy di applicazione.
Passare a Global Secure Access>Connect Connectors>
- Tutti i connettori e i gruppi di connettori vengono visualizzati in questa pagina.
Visualizzare un connettore per verificarne i dettagli.
- Espandere il connettore per visualizzare i dettagli se non è già espanso.
- Un'etichetta verde (Attivo) indica che il connettore può connettersi al servizio. Tuttavia, anche se l'etichetta è verde, un problema di rete potrebbe comunque impedire al connettore di ricevere messaggi.
Per altre informazioni sull'installazione di un connettore, vedere Risolvere i problemi relativi ai connettori.
Verificare l'installazione tramite il server di Windows
Per verificare che il connettore sia stato installato e registrato correttamente:
Selezionare il tasto Windows e immettere
services.msc
per aprire Gestione servizi Windows.Verificare se lo stato dei servizi seguenti è In esecuzione.
- Il connettore di rete privata Microsoft Entra abilita la connettività.
- Microsoft Entra private network connector Updater è un servizio di aggiornamento automatico.
- Lo strumento di aggiornamento controlla la presenza di nuove versioni del connettore e aggiorna il connettore in base alle esigenze.
Se lo stato dei servizi non è In esecuzione, fare clic con il pulsante destro del mouse su ogni servizio e scegliere Avvia.
Creare gruppi di connettori
Per creare tutti i gruppi di connettori desiderati:
- Passare a Global Secure Access Connect Connectors .Browse to Global Secure Access>Connect>Connectors.
- Selezionare Nuovo gruppo di connettori.
- Assegnare un nome al nuovo gruppo di connettori, quindi usare il menu a discesa per selezionare i connettori appartenenti a questo gruppo.
- Seleziona Salva.
Per altre informazioni sui gruppi di connettori, vedere Informazioni sui gruppi connettori di rete privata di Microsoft Entra.
Passaggi successivi
Il passaggio successivo per iniziare a usare Accesso privato Microsoft Entra consiste nel configurare l'applicazione Accesso rapido o Accesso sicuro globale:
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per