Microsoft Entra-toepassingsproxy implementeren voor beveiligde toegang tot interne toepassingen in een door Microsoft Entra Domain Services beheerd domein

Met Microsoft Entra Domain Services kunt u verouderde toepassingen die on-premises worden uitgevoerd, naar Azure verplaatsen. Microsoft Entra-toepassingsproxy helpt u vervolgens externe werknemers te ondersteunen door deze interne toepassingen veilig te publiceren in een door Domain Services beheerd domein, zodat ze toegankelijk zijn via internet.

Als u nieuw bent bij de Microsoft Entra-toepassingsproxy en meer wilt weten, raadpleegt u Hoe u beveiligde externe toegang tot interne toepassingen kunt bieden.

In dit artikel leest u hoe u een Microsoft Entra-privénetwerkconnector maakt en configureert om beveiligde toegang te bieden tot toepassingen in een beheerd domein.

Voordat u begint

U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:

• Een actief Azure-abonnement.
  • Als u nog geen Azure-abonnement hebt, maakt u een account.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, hetzij gesynchroniseerd met een on-premises directory, hetzij een alleen-cloud-directory.
  • Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
  • Een Microsoft Entra ID P1- of P2-licentie is vereist voor het gebruik van de Microsoft Entra-toepassingsproxy.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Maak en configureer zo nodig een door Microsoft Entra Domain Services beheerd domein.

Een windows-VM maken die lid is van een domein

Als u verkeer wilt routeren naar toepassingen die in uw omgeving worden uitgevoerd, installeert u het microsoft Entra private network Connector-onderdeel. Deze Microsoft Entra-privénetwerkconnector moet zijn geïnstalleerd op een virtuele Windows Server-machine (VM) die is gekoppeld aan het beheerde domein. Voor sommige toepassingen kunt u meerdere servers implementeren waarop de connector is geïnstalleerd. Deze implementatieoptie biedt meer beschikbaarheid en helpt zwaardere verificatiebelastingen af te handelen.

De virtuele machine waarop de Microsoft Entra-privénetwerk-connector wordt uitgevoerd, moet zich in hetzelfde virtuele netwerk of een peernetwerk bevinden als uw beheerde domein. De VM's die vervolgens de toepassingen hosten die u publiceert met behulp van de toepassingsproxy moeten ook worden geïmplementeerd in hetzelfde virtuele Azure-netwerk.

Voer de volgende stappen uit om een virtuele machine te maken voor de microsoft Entra-connector voor privénetwerken:

1. Een aangepaste organisatie-eenheid maken. U kunt machtigingen delegeren om deze aangepaste organisatie-eenheid te beheren aan gebruikers binnen het beheerde domein. De VM's voor Microsoft Entra-toepassingsproxy en de VM's die uw toepassingen uitvoeren, moeten deel uitmaken van een aangepaste organisatie-eenheid en niet van de standaardorganisatie-eenheid Microsoft Entra DC Computers.
2. Voeg de virtuele machines, zowel de virtuele machine die de Microsoft Entra-privénetwerkconnector uitvoert als de machines die uw toepassingen uitvoeren, toe aan het beheerde domein. Maak deze computeraccounts in de aangepaste organisatie-eenheid uit de vorige stap.

De Microsoft Entra Private Network-connector downloaden

Voer de volgende stappen uit om de microsoft Entra private network-connector te downloaden. Het installatiebestand dat u downloadt, wordt in de volgende sectie gekopieerd naar uw toepassingsproxy-VM.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassingsbeheerder.

2. Zoek en selecteer Bedrijfstoepassingen.

3. Selecteer Toepassingsproxy in het menu aan de linkerkant. Als u uw eerste connector wilt maken en toepassingsproxy wilt inschakelen, selecteert u de koppeling om een connector te downloaden.

4. Accepteer op de downloadpagina de licentievoorwaarden en de privacyovereenkomst en selecteer Voorwaarden accepteren & Downloaden.

   

De Microsoft Entra-privénetwerkconnector installeren en registreren

Nu een VIRTUELE machine klaar is om te worden gebruikt als de microsoft Entra-privénetwerkconnector, kopieert en voert u het installatiebestand uit dat u hebt gedownload vanuit het Microsoft Entra-beheercentrum.

1. Kopieer het installatiebestand van de Microsoft Entra-privénetwerkconnector naar uw VIRTUELE machine.

2. Voer het installatiebestand uit, zoals MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Accepteer de licentievoorwaarden voor software.

3. Tijdens de installatie wordt u gevraagd om de connector te registreren bij de Application Proxy in uw Microsoft Entra-map.

   Notitie

   Het account dat wordt gebruikt om de connector te registreren, moet deel uitmaken van dezelfde map waarin u de toepassingsproxy-service inschakelt.

   Als het Microsoft Entra-domein bijvoorbeeld contoso.com is, moet het account admin@contoso.com zijn of een andere geldige alias voor dat domein.

   • Als Verbeterde beveiliging van Internet Explorer is ingeschakeld voor de VM waarop u de connector installeert, wordt het registratiescherm mogelijk geblokkeerd. Als u toegang wilt toestaan, volgt u de instructies in het foutbericht of schakelt u verbeterde beveiliging van Internet Explorer uit tijdens het installatieproces.
   • Als de registratie van de connector mislukt, zie Problemen met toepassingsproxy oplossen.

4. Aan het einde van de installatie wordt een notitie weergegeven voor omgevingen met een uitgaande proxy. Als u de Microsoft Entra-privénetwerkconnector wilt configureren om te werken via de uitgaande proxy, voert u het opgegeven script uit, zoals C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

5. Op de pagina Toepassingsproxy in het Microsoft Entra-beheercentrum wordt de nieuwe connector weergegeven met de status Actief, zoals wordt weergegeven in het volgende voorbeeld:

   

Notitie

Als u hoge beschikbaarheid wilt bieden voor toepassingen die worden geverifieerd via de Microsoft Entra-toepassingsproxy, kunt u connectors installeren op meerdere VM's. Herhaal dezelfde stappen die worden vermeld in de vorige sectie om de connector te installeren op andere servers die zijn gekoppeld aan het beheerde domein.

Beperkte Kerberos-delegering op basis van resources inschakelen

Als u eenmalige aanmelding wilt gebruiken voor uw toepassingen met geïntegreerde Windows-verificatie (IWA), verleent u de microsoft Entra-privénetwerkconnectors toestemming om gebruikers te imiteren en tokens namens hen te verzenden en te ontvangen. Als u deze machtigingen wilt verlenen, configureert u KCD (Beperkte Kerberos-delegering) voor de connector voor toegang tot resources in het beheerde domein. Aangezien u geen domeinbeheerdersbevoegdheden in een beheerd domein hebt, kan KCD op traditioneel accountniveau niet worden geconfigureerd voor een beheerd domein. Gebruik in plaats daarvan op bronnen gebaseerd KCD.

Zie KCD (Beperkte Kerberos-delegering) configureren in Microsoft Entra Domain Services voor meer informatie.

Notitie

U moet zijn aangemeld bij een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerdersgroep in uw Microsoft Entra-tenant om de volgende PowerShell-cmdlets uit te voeren.

De computeraccounts voor uw privénetwerkconnector-VM en uw toepassings-VM's moeten zich bevinden in een aangepaste organisatie-eenheid waar u de machtigingen hebt om resource-based KCD te configureren. U kunt KCD op basis van resources niet configureren voor een computeraccount in de ingebouwde container Microsoft Entra DC Computers .

Gebruik de Get-ADComputer om de instellingen op te halen voor de computer waarop de Microsoft Entra-privénetwerkconnector is geïnstalleerd. Voer op uw domein-verbonden beheer-VM en aangemeld met een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerdersgroep de volgende cmdlets uit.

In het volgende voorbeeld wordt informatie opgehaald over het computeraccount met de naam appproxy.aaddscontoso.com. Geef uw eigen computernaam op voor de microsoft Entra-toepassingsproxy-VM die in de vorige stappen is geconfigureerd.

$ImpersonatingAccount = Get-ADComputer -Identity appproxy.aaddscontoso.com

Voor elke toepassingsserver waarop de apps achter de Microsoft Entra-toepassingsproxy worden uitgevoerd, gebruikt u de Set-ADComputer PowerShell-cmdlet om resource-gebaseerde KCD te configureren. In het volgende voorbeeld krijgt de Microsoft Entra private network-connector machtigingen om de appserver.aaddscontoso.com computer te gebruiken:

Set-ADComputer appserver.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount

Als u meerdere Microsoft Entra Privénetwerkconnectors implementeert, moet u resourcegebaseerde KCD configureren voor elke connectorinstantie.

Volgende stappen

Met de Microsoft Entra-toepassingsproxy die is geïntegreerd met Domain Services, publiceert u toepassingen voor gebruikers voor toegang. Voor meer informatie, zie Toepassingen publiceren met Microsoft Entra-toepassingsproxy.