Informazioni sui gruppi di connettori di rete privata di Microsoft Entra
Usare i gruppi di connettori di rete privata per assegnare connettori specifici a applicazioni specifiche. Connessione or gruppi offrono maggiore controllo e consentono di ottimizzare le distribuzioni.
Ogni connettore di rete privata viene assegnato a un gruppo di connettori. Tutti i connettori che appartengono allo stesso gruppo di connettori costituiscono un'unità separata per la disponibilità elevata e il bilanciamento del carico. Tutti i connettori appartengono a un gruppo di connettori. Se non si creano i gruppi, tutti i connettori vengono inclusi in un gruppo predefinito. Creare nuovi gruppi di connettori e assegnare connettori nell'interfaccia di amministrazione di Microsoft Entra.
i gruppi Connessione or sono utili se le applicazioni sono ospitate in posizioni diverse. I gruppi di connettori vengono creati in base alla posizione. Le applicazioni usano connettori fisicamente vicini.
Suggerimento
Se si dispone di una distribuzione proxy di applicazione di grandi dimensioni, non assegnare applicazioni al gruppo di connettori predefinito. In questo caso, i nuovi connettori non riceveranno traffico live finché non vengono assegnati a un gruppo di connettori attivi. Questa configurazione permette anche di applicare ai connettori una modalità inattiva spostandoli di nuovo nel gruppo predefinito, in modo da eseguire operazioni di manutenzione senza alcun impatto sugli utenti.
Prerequisiti
Per usare i gruppi di connettori, è necessario disporre di più connettori. I nuovi connettori vengono aggiunti automaticamente al gruppo di connettori predefinito . Per altre informazioni sull'installazione dei connettori, vedere Configurare connectorsD.
Assegnare applicazioni ai gruppi di connettori
Si assegna un'applicazione a un gruppo di connettori quando la si pubblica per la prima volta. È anche possibile aggiornare il gruppo a cui è assegnato un connettore.
Casi d'uso per gruppi di connettori
I gruppi di connettori sono utili in varie situazioni, ad esempio:
Siti con più data center interconnessi
Le organizzazioni di grandi dimensioni usano più data center. Si vuole mantenere il maggior traffico possibile all'interno di un data center specifico perché i collegamenti tra data center sono costosi e lenti. I connettori vengono distribuiti in ogni data center per gestire solo le applicazioni che risiedono all'interno del data center. Questo approccio riduce al minimo i collegamenti tra data center e offre un'esperienza completamente trasparente agli utenti.
Applicazioni installate in reti isolate
Le applicazioni possono essere ospitate in reti che non fanno parte della rete aziendale principale. È possibile usare gruppi di connettori per installare connettori dedicati in reti isolate, in modo da isolare anche le applicazioni per la rete. Lo scenario è comune per i fornitori che mantengono un'applicazione specifica.
Applicazioni installate in Infrastruttura distribuita come servizio (IaaS)
Per le applicazioni installate in Infrastruttura distribuita come servizio (IaaS) per l'accesso cloud, i gruppi di connettori forniscono un servizio comune per proteggere l'accesso a tutte le app. i gruppi Connessione or non creano altre dipendenze nella rete aziendale o frammentino l'esperienza dell'app. Connessione ors vengono installati in ogni data center cloud e servono solo le applicazioni che risiedono in tale rete. È possibile installare diversi connettori per ottenere la disponibilità elevata.
Considerare come esempio un'organizzazione con diverse macchine virtuali connesse alla rete virtuale IaaS ospitata. Per consentire ai dipendenti di usare queste applicazioni, queste reti private sono connesse alla rete aziendale usando la rete privata virtuale (VPN) da sito a sito. La VPN da sito a sito offre un'esperienza ottimale per i dipendenti che si trovano in locale. Tuttavia, non è ideale per i dipendenti remoti, perché richiede un'infrastruttura più locale per instradare l'accesso, come illustrato nel diagramma:
Con i gruppi di connettori di rete privata Di Microsoft Entra, è possibile abilitare un servizio comune per proteggere l'accesso a tutte le applicazioni senza creare altre dipendenze dalla rete aziendale:
Scenario a più foreste: gruppi di connettori diversi per ogni foresta
L'accesso Single Sign-On viene in genere ottenuto usando la delega vincolata Kerberos. I computer del connettore vengono aggiunti a un dominio che può delegare gli utenti all'applicazione. La delega vincolata Kerberos supporta le funzionalità tra foreste. Tuttavia, per le aziende che dispongono di ambienti distinti con più foreste senza attendibilità, non è possibile usare un singolo connettore per tutte le foreste. I connettori specifici vengono invece distribuiti per foresta e impostati per gestire le applicazioni pubblicate per servire solo gli utenti di tale foresta specifica. Ogni gruppo di connettori rappresenta una foresta diversa. Anche se il tenant e la maggior parte dell'esperienza sono unificati per tutte le foreste, gli utenti possono essere assegnati alle applicazioni di foresta usando i gruppi di Microsoft Entra.
Siti di ripristino di emergenza
Esistono due approcci da considerare per i siti di ripristino di emergenza:
- Il sito di ripristino di emergenza è integrato in modalità attiva-attiva in cui è esattamente come il sito principale. Il sito ha anche le stesse impostazioni di rete e Active Directory (AD). È possibile creare i connettori nel sito di ripristino di emergenza nello stesso gruppo di connettori del sito principale. Microsoft Entra ID rileva automaticamente i failover.
- Il sito di ripristino di emergenza è separato dal sito principale. Creare un gruppo di connettori diverso nel sito di ripristino di emergenza. Sono presenti applicazioni di backup o deviare manualmente l'applicazione esistente al gruppo di connettori di ripristino di emergenza in base alle esigenze.
Gestire più aziende da un singolo tenant
È possibile implementare un modello in cui un singolo provider di servizi distribuisce e gestisce i servizi correlati a Microsoft Entra per più aziende. i gruppi Connessione or consentono di separare i connettori e le applicazioni in gruppi diversi. Un modo, adatto per le piccole aziende, è avere un singolo tenant di Microsoft Entra, mentre le diverse aziende hanno il proprio nome di dominio e reti. Lo stesso approccio funziona per scenari di fusione e situazioni in cui una singola divisione serve diverse aziende per motivi normativi o aziendali.
Configurazioni di esempio
Si considerino queste configurazioni del gruppo di connettori di esempio.
Configurazione predefinita senza gruppi di connettori
Se non si usano gruppi di connettori, la configurazione ha un aspetto simile al seguente:
La configurazione è sufficiente per distribuzioni e test di piccole dimensioni. Funziona anche se l'organizzazione ha una topologia di rete flat.
Configurazione predefinita con una rete isolata
La configurazione è un'evoluzione del valore predefinito, un'app specifica viene eseguita in una rete isolata, ad esempio una rete virtuale IaaS:
Configurazione consigliata con diversi gruppi specifici e un gruppo predefinito inattivo
La configurazione consigliata per organizzazioni complesse di grandi dimensioni include il gruppo di connettori predefinito come gruppo che non gestisce applicazioni e viene usato per i connettori inattivi o appena installati. Tutte le applicazioni vengono gestite tramite gruppi di connettori personalizzati.
Nell'esempio, l'azienda ha due data center, A e B, con due connettori che servono ogni sito. In ognuno dei siti vengono eseguite applicazioni diverse.
Condizioni per l’Utilizzo
L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.