Lezen in het Engels

Delen via

Privénetwerkconnectors configureren voor Microsoft Entra-privétoegang en Microsoft Entra-toepassingsproxy

  • Artikel

Connectors zijn lichtgewicht agents die zich op een server in een privénetwerk bevinden en de uitgaande verbinding met de Global Secure Access-service vergemakkelijken. Connectors moeten worden geïnstalleerd op een Windows Server die toegang heeft tot de back-endbronnen en -toepassingen. U kunt connectors in connectorgroepen ordenen, waarbij elke groep verkeer verwerkt naar specifieke toepassingen. Zie voor meer informatie over connectors Microsoft Entra privénetwerkconnectors begrijpen.

Vereisten

Als u privébronnen en toepassingen wilt toevoegen aan De Microsoft Entra-id, hebt u het volgende nodig:

Gebruikersidentiteiten moeten worden gesynchroniseerd vanuit een on-premises directory of rechtstreeks in uw Microsoft Entra-tenants worden gemaakt. Met identiteitssynchronisatie kan Microsoft Entra ID gebruikers vooraf verifiëren voordat ze toegang krijgen tot gepubliceerde toepassingen van de toepassingsproxy en beschikken over de benodigde gebruikers-id-gegevens om eenmalige aanmelding (SSO) uit te voeren.

Windows Server

Voor de Microsoft Entra-privénetwerkconnector is een server met Windows Server 2012 R2 of hoger vereist. U installeert de connector voor het privénetwerk op de server. Deze connectorserver moet verbinding maken met de Microsoft Entra-privétoegang-service of toepassingsproxyservice en de privébronnen of toepassingen die u wilt publiceren.

Belangrijk

Houd er rekening mee dat bij het gebruik van Kerberos Single Sign On (SSO) met Microsoft Application Proxy Service HTTP 2.0 op Entra Private Network Connector voor Windows Server 2019 of hoger wordt uitgeschakeld. U hoeft niet uit te schakelen wanneer u de Entra Private Network-connector met Privétoegang gebruikt.

Schakel de HTTP2-protocolondersteuning in het WinHttp-onderdeel uit zodat beperkte Kerberos-delegering correct werkt. Dit is standaard uitgeschakeld in eerdere versies van ondersteunde besturingssystemen. Als u de volgende registersleutel toevoegt en de server opnieuw start, wordt deze uitgeschakeld op Windows Server 2019 en hoger. Dit is een registersleutel voor de hele computer.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

De sleutel kan worden ingesteld via PowerShell met de volgende opdracht:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Waarschuwing

Als u Microsoft Entra Password Protection Proxy hebt geïmplementeerd, installeert u de Microsoft Entra-toepassingsproxy en Microsoft Entra Password Protection Proxy niet samen op dezelfde computer. Microsoft Entra-toepassingsproxy en Microsoft Entra Password Protection Proxy installeren verschillende versies van de Microsoft Entra Connect Agent Updater-service. Deze verschillende versies zijn niet compatibel wanneer ze samen op dezelfde machine worden geïnstalleerd.

Tls-vereisten (Transport Layer Security)

De Windows-connectorserver moet TLS 1.2 hebben ingeschakeld voordat u de privénetwerkconnector installeert.

TLS 1.2 inschakelen:

  1. Registersleutels instellen.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

    U kunt het volgende PowerShell-script gebruiken om TLS 1.2 af te dwingen op de connectorserver.

    PowerShell 
    If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take effect.' -ForegroundColor Cyan

  2. Start de server opnieuw.

Notitie

Microsoft werkt Azure-services bij om TLS-certificaten te gebruiken van een andere set basis-CA's (certificeringsinstanties). Deze wijziging wordt doorgevoerd omdat de huidige CA-certificaten niet voldoen aan een van de forumbasislijnvereisten voor CA's/browsers. Zie Wijzigingen in Azure TLS-certificaten voor meer informatie.

Aanbevelingen voor de connectorserver

  • Optimaliseer de prestaties tussen de connector en de toepassing. Zoek de connectorserver fysiek dicht bij de toepassingsservers. Zie Verkeersstroom optimaliseren met Microsoft Entra-toepassingsproxy voor meer informatie.
  • Zorg ervoor dat de connectorserver en de webservers zich in hetzelfde Active Directory-domein bevinden of meerdere vertrouwde domeinen overspannen. De servers moeten zich in hetzelfde domein of in vertrouwde domeinen bevinden om gebruik te kunnen maken van eenmalige aanmelding (SSO) met geïntegreerde Windows-verificatie (IWA) en beperkte delegatie van Kerberos. Als de connectorserver en webtoepassingsservers zich in verschillende Active Directory-domeinen bevinden, gebruikt u delegering op basis van resources voor eenmalige aanmelding.

Bereid uw on-premises omgeving voor

Begin met het inschakelen van communicatie met Azure-datacenters om uw omgeving voor te bereiden op de Microsoft Entra-toepassingsproxy. Als het pad een firewall bevat, zorg dan dat deze openstaat. Dankzij een open firewall kan de connector HTTPS-aanvragen (TCP) versturen naar Application Proxy.

Belangrijk

Als u de connector voor de Azure Government-cloud installeert, volgt u de vereisten en installatiestappen. Hiervoor moet u de toegang tot een andere set URL's en een extra parameter inschakelen om de installatie uit te voeren.

Poorten openen

Open de volgende poorten voor uitgaand verkeer.

Poortnummer Hoe dat wordt gebruikt
80 Het downloaden van certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS-/SSL-certificaat
443 Alle uitgaande communicatie met de Application Proxy-service

Als met uw firewall verkeer wordt afgedwongen op basis van de herkomst van gebruikers, open dan ook poorten 80 en 443 voor verkeer dat afkomstig is van Windows-services die als netwerkservice worden uitgevoerd.

Toegang tot URL's toestaan

Sta toegang tot de volgende URL's toe:

URL Poort Hoe dat wordt gebruikt
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Communicatie tussen de connector en de Application Proxy-cloudservice
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP De connector gebruikt deze URL's om certificaten te verifiëren.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS De connector gebruikt deze URL's tijdens en buiten het registratieproces.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP De connector gebruikt deze URL's tijdens en buiten het registratieproces.

U kunt verbindingen met *.msappproxy.net, *.servicebus.windows.net en andere hierboven vermelde URL's toestaan als u met uw firewall of proxy toegangsregels kunt configureren op basis van domeinachtervoegsels. Zo niet, dan moet u toegang tot de Azure IP-bereiken en -servicetags – Openbare cloud toestaan. De IP-reeksen worden elke week bijgewerkt.

Belangrijk

Vermijd alle vormen van inline-inspectie en beëindiging bij uitgaande TLS-communicatie tussen Microsoft Entra privénetwerkconnectoren en Microsoft Entra cloudservices voor toepassingsproxy's.

Een connector installeren en registreren

Als u Privétoegang wilt gebruiken, installeert u een connector op elke Windows-server die u gebruikt voor Microsoft Entra-privétoegang. De connector is een agent waarmee de uitgaande verbinding van de on-premises toepassingsservers naar Global Secure Access wordt beheerd. U kunt een connector installeren op servers waarop ook andere verificatieagents zijn geïnstalleerd, zoals Microsoft Entra Connect.

Notitie

De minimale versie van de connector die is vereist voor Privétoegang is 1.5.3417.0. Vanaf versie 1.5.3437.0 is de .NET-versie 4.7.1 of hoger vereist voor een geslaagde installatie (upgrade).

Notitie

Een privénetwerkconnector implementeren voor uw Azure-, AWS- en GCP-workloads vanuit respectieve Marketplaces (preview)

De privénetwerkconnector is nu beschikbaar op Azure Marketplace, AWS Marketplace en GCP Marketplace (in preview), naast het Microsoft Entra-beheercentrum. Met Marketplace-aanbiedingen kunnen gebruikers een virtuele Windows-machine implementeren met een vooraf geïnstalleerde Private Network Connector via een vereenvoudigd model. Het proces automatiseert de installatie en registratie, waardoor het gemak en de efficiëntie wordt verbeterd.

De connector installeren vanuit het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als toepassingsbeheerder van de directory die gebruikmaakt van toepassingsproxy.

    • Als het domein van de tenant bijvoorbeeld contoso.com is, moet de beheerder admin@contoso.com of een andere beheerdersalias in dat domein zijn.

  2. Selecteer uw gebruikersnaam in de rechterbovenhoek. Controleer of u bent aangemeld in een directory die gebruikmaakt van Application Proxy. Als u van directory moet veranderen, selecteert u Schakelen tussen directory’s en kiest u een directory die gebruikmaakt van Application Proxy.

  3. Blader naar Global Secure Access>Connect>Connectors.

  4. Selecteer Service-connector downloaden.

    Schermopname van de knop Connectorservice Downloaden op de App-proxy-pagina.

  5. Lees de servicevoorwaarden. Wanneer u klaar bent, selecteert u Voorwaarden accepteren en downloaden.

  6. Selecteer Uitvoeren onderaan het venster om de connector te installeren. Er wordt een installatiewizard geopend.

  7. Volg de instructies in de wizard om de dienst te installeren. Wanneer u wordt gevraagd om de connector te registreren bij de toepassingsproxy voor uw Microsoft Entra-tenant, geeft u de referenties van de toepassingsbeheerder op.

    • Voor Internet Explorer (IE): Als IE Enhanced Security Configuration is ingesteld op Aan, ziet u mogelijk het registratiescherm niet. Volg de instructies in het foutbericht om toegang te krijgen. Zorg ervoor dat Verbeterde beveiliging van Internet Explorer is ingesteld op Uit.

Goed om te weten

Als u eerder een connector hebt geïnstalleerd, installeert u deze opnieuw om de nieuwste versie op te halen. Wanneer u een upgrade uitvoert, verwijdert u de bestaande connector en verwijdert u alle gerelateerde mappen. Zie toepassingsproxy: Releasegeschiedenis van versie voor informatie over eerder uitgebrachte versies en welke wijzigingen ze bevatten.

Als u ervoor kiest om meer dan één Windows-server voor uw on-premises toepassingen te hebben, moet u de connector op elke server installeren en registreren. U kunt de connectors onderverdelen in connectorgroepen. Zie connectorgroepen voor meer informatie.

Voor informatie over connectors, capaciteitsplanning en hoe ze up-to-date blijven, zie Inzicht in Microsoft Entra private netwerkconnectoren.

Notitie

Microsoft Entra Private Access biedt geen ondersteuning voor multi-geo connectors. De cloudservice-exemplaren voor uw connector worden gekozen in dezelfde regio als uw Microsoft Entra-tenant (of de dichtstbijzijnde regio) zelfs als er connectors zijn geïnstalleerd in andere regio's dan uw standaardregio.

De installatie en registratie controleren

U kunt de Global Secure Access-portal of uw Windows-server gebruiken om te bevestigen dat een nieuwe connector correct is geïnstalleerd.

Zie Problemen met toepassingsproxy oplossen voor informatie over het oplossen van problemen met de toepassingsproxy.

De installatie controleren via het Microsoft Entra-beheercentrum

Controleren of de connector juist is geïnstalleerd en geregistreerd:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als toepassingsbeheerder van de directory die gebruikmaakt van toepassingsproxy.

  2. Bladeren naar Global Secure Access>Connect>Connectors

    • Al uw verbindingsstukken en verbindingsgroepen worden op deze pagina weergegeven.

  3. Bekijk een connector om de details ervan te controleren.

    • Vouw de connector uit om de details weer te geven als deze nog niet is uitgevouwen.
    • Een actief groen label geeft aan dat de connector verbinding kan maken met de service. Maar ook al is het label groen, toch kan een netwerkprobleem er nog steeds voor zorgen dat de connector geen berichten ontvangt.

    Schermopname van de connectorgroepen en de details van de connectorgroepen.

Zie problemen met connectors oplossen voor meer hulp bij het installeren van een connector.

De installatie verifiëren via uw Windows-server

Controleren of de connector juist is geïnstalleerd en geregistreerd:

  1. Selecteer de Windows-toets en druk op services.msc om Windows Services Manager te openen.

  2. Controleer of de status van de volgende services actief is.

    • Microsoft Entra Private Network Connector maakt connectiviteit mogelijk.
    • Microsoft Entra Private Network Connector Updater is een geautomatiseerde updateservice.
    • De updater controleert op nieuwe versies van de connector en werkt de connector bij als dat nodig is.

    Schermopname van de Privénetwerk-connector en connector-updaterdiensten in Windows Services Manager.

  3. Als de status van de services niet Wordt uitgevoerd is, klikt u met de rechtermuisknop om elke service te selecteren en kiest u Starten.

Connectorgroepen maken

Ga als volgt te werk om zoveel connectorgroepen te maken als u wilt:

  1. Blader naar Global Secure Access>Connect>Connectors.
  2. Selecteer Nieuwe connectorgroep.
  3. Geef de nieuwe connectorgroep een naam, en gebruik vervolgens het vervolgkeuzemenu om te selecteren welke connectors in deze groep horen.
  4. Selecteer Opslaan.

Raadpleeg Begrijp Microsoft Entra privé-netwerkconnectorgroepen voor meer informatie over connectorgroepen.

Volgende stappen

De volgende stap voor het aan de slag gaan met Microsoft Entra-privétoegang is het configureren van de toepassing Snelle toegang of globale beveiligde toegang: