Connettori di rete privata Microsoft Entra

I connettori rendono possibile l'accesso privato e il proxy dell'applicazione di Microsoft Entra. Questo articolo illustra quali connettori sono, come funzionano e come ottimizzare la distribuzione.

Che cos'è un connettore di rete privata?

I connettori di rete privati sono agenti leggeri installati in Windows Server all'interno della rete. Creano connessioni in uscita ai servizi di accesso privato e ai proxy dell'applicazione per raggiungere le risorse di back-end.

Gli utenti si connettono al servizio cloud, che instrada il traffico alle app attraverso i connettori. Per una panoramica dell'architettura, vedere Uso del proxy dell'applicazione Microsoft Entra per pubblicare app locali per gli utenti remoti.

Per configurare e registrare un connettore con il servizio proxy dell'applicazione:

1. Aprire le porte in uscita 80 e 443 e consentire l'accesso al servizio richiesto e agli URL ID di Microsoft Entra.
2. Accedere all'interfaccia di amministrazione di Microsoft Entra ed eseguire il programma di installazione in un computer Windows Server locale.
3. Avviare il connettore in modo che sia in ascolto del servizio proxy dell'applicazione.
4. Aggiungere l'applicazione locale all'ID Microsoft Entra e impostare gli URL rivolti all'utente.

Per altre informazioni sulla configurazione, vedere Come configurare i connettori di rete privata per Microsoft Entra Private Access e il proxy dell'applicazione.

I connettori e il servizio gestiscono l'alta disponibilità. È possibile aggiungere o rimuovere connettori in qualsiasi momento.

Gruppi di connettori

È possibile organizzare i connettori in gruppi di connettori che gestiscono il traffico per risorse specifiche. I connettori nello stesso gruppo fungono da singola unità per la disponibilità elevata e il bilanciamento del carico.

Creare gruppi e assegnare connettori nell'interfaccia di amministrazione di Microsoft Entra e quindi eseguire il mapping dei gruppi a applicazioni specifiche. Usare almeno due connettori in ogni gruppo per la disponibilità elevata.

Usare i gruppi di connettori per:

• Pubblicazione di app geografiche.
• Segmentazione e isolamento dell'applicazione.
• Pubblicazione di app Web in esecuzione nel cloud o in locale.

I gruppi di connettori semplificano la gestione delle distribuzioni di grandi dimensioni. Possono ridurre la latenza per i clienti che hanno risorse e applicazioni in regioni diverse. Creare gruppi di connettori basati sulla posizione per gestire solo le applicazioni locali.

Per altre informazioni, vedere Gruppi di connettori di rete privata di Microsoft Entra.

Manutenzione

Il servizio instrada le nuove richieste a un connettore disponibile. Se un connettore non è temporaneamente disponibile, non riceve traffico.

I connettori sono senza stato e non archiviano dati di configurazione nel computer. Archiviano solo le impostazioni per la connessione al servizio e al certificato di autenticazione. Quando si connettono al servizio, estraggono i dati di configurazione necessari e li aggiornano ogni pochi minuti.

Stato del connettore

È possibile visualizzare lo stato dei connettori nell'interfaccia di amministrazione di Microsoft Entra:

• Per l'accesso privato: passare a Global Secure Access>Collegamenti>Connettori.
• Per applicazione proxy: passare a Identità>Applicazioni>Aziendali e quindi selezionare l'applicazione. Nella pagina dell'applicazione selezionare Proxy applicazione.

Registrazioni

I connettori vengono installati in Windows Server, quindi dispongono della maggior parte degli stessi strumenti di gestione. È possibile usare i registri eventi di Windows e i contatori delle prestazioni di Windows per monitorare i connettori.

I connettori dispongono sia di log di amministrazione che di sessione . Il log di Amministrazione include gli eventi chiave e i relativi errori. Il log di Sessione include tutte le transazioni e i relativi dettagli di elaborazione.

Per visualizzare i log:

1. Aprire Visualizzatore eventi e passare a Registri applicazioni e servizi>Microsoft>Microsoft Entra rete privata>Connector.

   Il log amministratore è visibile per impostazione predefinita.

2. Per rendere visibile il log di Sessione, nel menu Visualizza selezionare Mostra log analitici e di debug.

   Il log di sessione viene in genere usato per la risoluzione dei problemi ed è disabilitato per impostazione predefinita. Abilitarlo per avviare la raccolta di eventi e disabilitarlo quando non è più necessario.

Stato del servizio

Il connettore è costituito da due servizi Windows: il connettore effettivo e l'updater. Entrambi devono funzionare ininterrottamente. È possibile esaminare lo stato dei servizi nella finestra Servizi .

Gestione dei problemi del server del connettore

Se uno o più server del connettore sono inattivi a causa di un'interruzione del server, della rete o di un'interruzione simile, seguire questa procedura per mantenere la continuità:

1. Identificare e rimuovere i server interessati dal gruppo di connettori.
2. Aggiungere server integri o server di backup disponibili nel gruppo di connettori per ripristinare la capacità.
3. Riavviare i server interessati per svuotare eventuali connessioni preesistenti. Le connessioni in corso esistenti non vengono svuotate immediatamente con le modifiche apportate al gruppo di connettori.

Usare questa sequenza per mantenere stabile il servizio e ridurre al minimo le interruzioni quando i server del connettore presentano problemi.

Aggiornamenti del connettore

Microsoft Entra ID fornisce occasionalmente aggiornamenti automatici per i connettori distribuiti. I connettori eseguono il polling del servizio di aggiornamento per gli aggiornamenti. Quando una versione più recente è disponibile per un aggiornamento automatico, i connettori si aggiornano autonomamente. Se il servizio di aggiornamento è in esecuzione, i connettori possono eseguire automaticamente l'aggiornamento alla versione più recente del connettore principale. Se non viene visualizzato il servizio di aggiornamento nel server, è necessario reinstallare il connettore per ottenere gli aggiornamenti.

Non tutte le versioni sono pianificate per gli aggiornamenti automatici. Monitorare la pagina della cronologia delle versioni per verificare se un aggiornamento viene distribuito automaticamente o richiede una distribuzione manuale nel portale di Microsoft Entra. Se è necessario eseguire un aggiornamento manuale, nel server che ospita il connettore passare alla pagina di download del connettore e selezionare Scarica. Questa azione avvia un aggiornamento per il connettore locale.

Nei tenant con più connettori, gli aggiornamenti automatici hanno come destinazione un connettore alla volta in ogni gruppo per evitare tempi di inattività. È possibile che si verifichino tempi di inattività durante un aggiornamento se:

• È disponibile un solo connettore. Per evitare tempi di inattività e garantire una maggiore disponibilità, aggiungere un secondo connettore e un gruppo di connettori.
• L'aggiornamento viene avviato mentre un connettore elabora una transazione. La transazione iniziale viene persa, ma il browser ritenta automaticamente l'operazione oppure è possibile aggiornare la pagina. La richiesta di nuovo invio viene instradata a un connettore di backup.

Per informazioni dettagliate sulle versioni precedenti e sulle relative modifiche, vedere Connettore di rete privata Microsoft Entra: Cronologia delle versioni.

Sicurezza e rete

I connettori possono essere installati in qualsiasi punto della rete che consente loro di inviare richieste ai servizi di accesso privato e proxy dell'applicazione. È importante che il computer che esegue il connettore abbia anche accesso alle app e alle risorse.

È possibile installare connettori all'interno della rete aziendale o in una macchina virtuale (VM) in esecuzione nel cloud. I connettori possono essere eseguiti all'interno di una rete perimetrale, ma non è necessario perché, per garantire la sicurezza della rete, tutto il traffico è in uscita.

I connettori inviano le richieste soltanto in uscita. Il traffico in uscita viene inviato al servizio e alle risorse e alle applicazioni pubblicate. Non è necessario aprire le porte in ingresso perché il traffico scorre in entrambi i modi dopo la creazione di una sessione. Non è inoltre necessario configurare l'accesso in ingresso attraverso firewall.

Prestazioni e scalabilità

La scalabilità per i servizi proxy di accesso privato e applicazione è trasparente, ma la scalabilità è un fattore per i connettori. È necessario disporre di connettori sufficienti per gestire il traffico di picco.

I connettori sono senza stato e il numero di utenti o sessioni non li influenza. Rispondono invece al numero di richieste e alle dimensioni del payload. In caso di traffico Web standard, un computer medio può gestire circa 2.000 richieste al secondo. La capacità specifica dipende dalle esatte caratteristiche del computer.

CPU e rete definiscono le prestazioni del connettore. Le prestazioni della CPU sono necessarie per la crittografia e la decrittografia TLS, mentre la rete è importante per ottenere connettività rapida alle applicazioni e al servizio online.

La memoria, al contrario, ha meno importanza per i connettori. Il servizio online si occupa di gran parte dell'elaborazione e di tutto il traffico non autenticato. Tutto ciò che può essere fatto nel cloud viene fatto nel cloud.

Quando i connettori o i computer non sono disponibili, il traffico passa a un altro connettore nel gruppo. Più connettori in un gruppo di connettori garantiscono la resilienza.

Un altro fattore che influenza le prestazioni è la qualità della connessione di rete tra i connettori, inclusi:

• Servizio online: le connessioni lente o ad alta latenza al servizio Microsoft Entra influenzano le prestazioni del connettore. Per ottenere prestazioni ottimali, connettere l'organizzazione a Microsoft tramite Azure ExpressRoute. In caso contrario, assicurarsi che il team di rete garantisca una gestione il più possibile efficiente delle connessioni a Microsoft.
• Applicazioni back-end: in alcuni casi sono presenti proxy aggiuntivi tra il connettore e le risorse back-end e le applicazioni che possono rallentare o impedire connessioni. Per risolvere questo scenario, aprire un browser dal server del connettore e tentare di accedere all'applicazione o alla risorsa. Se si eseguono i connettori nel cloud, ma le applicazioni sono locali, l'esperienza degli utenti potrebbe essere diversa da quella prevista.
• Controller di dominio: se i connettori eseguono l'accesso Single Sign-On (SSO) usando la delega vincolata Kerberos (KCD), contattano i controller di dominio prima di inviare la richiesta al back-end. I connettori hanno una cache di ticket Kerberos, ma la velocità di risposta dei controller di dominio può influire sulle prestazioni in un ambiente occupato. Questa situazione è più comune per i connettori eseguiti in Azure, ma che comunicano con i controller di dominio locali.

Per indicazioni su dove installare i connettori e su come ottimizzare la rete, vedere Ottimizzare il flusso di traffico con il proxy dell'applicazione Microsoft Entra.

Espansione dell'intervallo delle porte effimere

I connettori di rete privata avviano connessioni TCP e UDP agli endpoint di destinazione designati. Queste connessioni richiedono porte di origine disponibili nel computer host del connettore. L'espansione dell'intervallo di porte temporanee può migliorare la disponibilità delle porte di origine, in particolare quando si gestisce un volume elevato di connessioni simultanee.

Per visualizzare l'intervallo di porte dinamiche corrente in un sistema, usare i comandi seguenti netsh :

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 show dynamicport udp
• netsh int ipv6 show dynamicport tcp
• netsh int ipv6 show dynamicport udp

Ecco alcuni comandi di esempio netsh per aumentare le porte:

• netsh int ipv4 set dynamicport tcp start=1025 num=64511
• netsh int ipv4 set dynamicport udp start=1025 num=64511
• netsh int ipv6 set dynamicport tcp start=1025 num=64511
• netsh int ipv6 set dynamicport udp start=1025 num=64511

Questi comandi impostano l'intervallo di porte dinamiche compreso tra 1025 e il massimo di 65535. La porta iniziale minima è 1025.

Specifiche e requisiti di dimensionamento

È consigliabile specificare le specifiche seguenti per ogni connettore di rete privata Microsoft Entra:

• Memoria: 8 GiB o più.
• CPU: quattro core CPU o più.

Mantenere il picco di utilizzo della CPU e della memoria per ogni connettore in meno di 70%. Se l'utilizzo prolungato supera 70%, aggiungere connettori al gruppo o aumentare la capacità dell'host per distribuire il carico. Monitorare con i contatori delle prestazioni di Windows per verificare che l'utilizzo torni a un intervallo accettabile.

È possibile prevedere fino a 1,5 Gbps di larghezza di banda TCP complessiva (combinata in ingresso e in uscita) per connettore su una macchina virtuale Azure con 4 vCPU e 8 GiB di RAM con rete standard. È possibile ottenere una velocità di trasmissione maggiore usando dimensioni di VM più grandi (più vCPU, più memoria e schede di rete ad alta larghezza di banda o accelerate) o aggiungendo più connettori nello stesso gruppo per eseguire uno scale-out.

Linee guida sulle prestazioni sono state derivate da test di laboratorio controllati che hanno utilizzato i flussi di dati TCP di iPerf3 in un tenant di test dedicato. La velocità effettiva effettiva può variare in base a:

• Generazione della CPU.
• Funzionalità della scheda di interfaccia di rete (Networking accelerato, scarichi).
• Pacchetti di crittografia TLS.
• Latenza di rete e instabilità.
• Perdita di pacchetti.
• Combinazione di protocolli simultanei (HTTPS, SMB, RDP).
• Dispositivi intermedi (firewall, IDS/IPS, ispezione SSL).
• Velocità di risposta dell'applicazione back-end.

I dati di benchmark basati su scenari (carichi di lavoro misti, concorrenza a connessione elevata, applicazioni sensibili alla latenza) verranno aggiunti a questa documentazione man mano che diventano disponibili.

Dopo la registrazione di un connettore, stabilisce i tunnel TLS in uscita all'infrastruttura cloud di accesso privato. Questi tunnel gestiscono tutto il traffico del percorso dati. Inoltre, il canale del piano di controllo utilizza una larghezza di banda minima per gestire il segnale di keep-alive, i report sull'integrità, gli aggiornamenti del connettore e altre funzioni.

È possibile distribuire più connettori nello stesso gruppo di connettori per aumentare la velocità effettiva complessiva, se è disponibile una rete adeguata e connettività Internet. È consigliabile mantenere almeno due connettori integri per garantire resilienza e disponibilità coerente.

Per altre informazioni, vedere Procedure consigliate per la disponibilità elevata dei connettori.

Aggiunta al dominio

I connettori possono eseguirsi in un computer a cui non è associato alcun dominio. Tuttavia, se si vuole usare l'accesso Single Sign-On alle applicazioni che usano l'autenticazione integrata di Windows, è necessario un computer aggiunto a un dominio. In questo caso, i computer del connettore devono essere aggiunti a un dominio in grado di eseguire KCD per conto degli utenti per le applicazioni pubblicate.

È anche possibile aggiungere connettori a:

• Domini nelle foreste con attendibilità parziale.
• Controller di dominio di sola lettura.

Distribuzioni dei connettori in ambienti con protezione avanzata

Nella maggior parte dei casi la distribuzione dei connettori è molto semplice e non richiede una configurazione speciale. Considerare tuttavia queste condizioni univoche:

• Il traffico in uscita richiede l'apertura di porte specifiche (80 e 443).
• Per i computer conformi a FIPS potrebbe essere necessario modificare la configurazione per consentire ai processi connettore di generare e archiviare un certificato.
• I proxy di inoltro in uscita potrebbero interrompere l'autenticazione bidirezionale con certificato e non consentire la comunicazione.

Autenticazione del connettore

Per garantire un servizio sicuro, i connettori devono eseguire l'autenticazione verso il servizio e il servizio deve eseguire l'autenticazione verso il connettore. Questa autenticazione usa certificati client e server quando i connettori avviano la connessione. In questo modo, il nome utente e la password dell'amministratore non vengono archiviati nel computer del connettore.

I certificati sono specifici del servizio. Vengono creati durante la registrazione iniziale e rinnovati automaticamente ogni due mesi.

Dopo il primo rinnovo del certificato, il servizio connettore non dispone dell'autorizzazione per rimuovere il certificato precedente dall'archivio del computer locale. Se il certificato scade o il servizio non lo usa, è possibile eliminarlo in modo sicuro.

Per evitare problemi con il rinnovo del certificato, assicurarsi che la comunicazione di rete dal connettore verso le destinazioni documentate sia abilitata.

Se un connettore non è connesso al servizio per diversi mesi, i relativi certificati potrebbero non essere aggiornati. In questo caso, disinstallare e reinstallare il connettore per attivare la registrazione. È possibile eseguire i seguenti comandi di PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Per Azure per enti pubblici usare -EnvironmentName "AzureUSGovernment". Per altre informazioni, vedere Installare l'agente per il cloud di Azure per enti pubblici.

Per informazioni su come verificare il certificato e risolvere i problemi, vedere Risolvere i problemi di installazione del connettore di rete privata.

Connettori inattivi

Non è necessario eliminare manualmente i connettori inutilizzati. Il servizio contrassegna i connettori inattivi come _inactive_ e li rimuove dopo 10 giorni.

Per disinstallare un connettore, disinstallare sia il servizio connettore che il servizio di aggiornamento. Riavviare quindi il computer.

Se i connettori che si prevede siano attivi vengono visualizzati come inattivi in un gruppo di connettori, un firewall potrebbe bloccare le porte necessarie. Per maggiori informazioni sulla configurazione delle regole del firewall in uscita, vedere Usare server proxy locali esistenti.

Contenuti correlati

• Gruppi di connettori di rete privata Microsoft Entra
• Risolvere i problemi di errore del proxy di applicazione e del connettore
• Creare uno script di installazione automatica per il connettore di rete privata Microsoft Entra