Microsoft Entra-toepassingsproxy implementeren voor beveiligde toegang tot interne toepassingen in een door Microsoft Entra Domain Services beheerd domein

Met Microsoft Entra Domain Services kunt u verouderde toepassingen die on-premises worden uitgevoerd, naar Azure verplaatsen. Microsoft Entra-toepassingsproxy helpt u vervolgens externe werknemers te ondersteunen door deze interne toepassingen veilig te publiceren in een door Domain Services beheerd domein, zodat ze toegankelijk zijn via internet.

Als u geen toegang hebt tot de Microsoft Entra-toepassingsproxy en meer wilt weten, raadpleegt u Hoe u beveiligde externe toegang tot interne toepassingen kunt bieden.

In dit artikel leest u hoe u een Microsoft Entra-privénetwerkconnector maakt en configureert om beveiligde toegang te bieden tot toepassingen in een beheerd domein.

Voordat u begint

U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:

• Een actief Azure-abonnement.
  • Als u geen Azure-abonnement hebt, maakt u een account.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
  • Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
  • Een Microsoft Entra ID P1- of P2-licentie is vereist voor het gebruik van de Microsoft Entra-toepassingsproxy.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Maak en configureer zo nodig een door Microsoft Entra Domain Services beheerd domein.

Een windows-VM maken die lid is van een domein

Als u verkeer wilt routeren naar toepassingen die in uw omgeving worden uitgevoerd, installeert u het microsoft Entra private network Connector-onderdeel. Deze Microsoft Entra-privénetwerkconnector moet zijn geïnstalleerd op een virtuele Windows Server-machine (VM) die is gekoppeld aan het beheerde domein. Voor sommige toepassingen kunt u meerdere servers implementeren waarop de connector is geïnstalleerd. Deze implementatieoptie biedt meer beschikbaarheid en helpt zwaardere verificatiebelastingen af te handelen.

De VIRTUELE machine waarop de Microsoft Entra-privénetwerkconnector wordt uitgevoerd, moet zich op hetzelfde of een virtueel peernetwerk bevinden als uw beheerde domein. De VM's die vervolgens de toepassingen hosten die u publiceert met behulp van de toepassingsproxy moeten ook worden geïmplementeerd in hetzelfde virtuele Azure-netwerk.

Voer de volgende stappen uit om een virtuele machine te maken voor de microsoft Entra-connector voor privénetwerken:

1. Een aangepaste organisatie-eenheid maken. U kunt machtigingen delegeren om deze aangepaste organisatie-eenheid te beheren aan gebruikers binnen het beheerde domein. De VM's voor Microsoft Entra-toepassingsproxy en die uw toepassingen uitvoeren, moeten deel uitmaken van de aangepaste organisatie-eenheid, niet de standaard ou Microsoft Entra DC Computers .
2. Domeindeelname van de virtuele machines, zowel die waarop de Microsoft Entra-privénetwerkconnector wordt uitgevoerd, als de machines waarop uw toepassingen worden uitgevoerd, naar het beheerde domein. Maak deze computeraccounts in de aangepaste organisatie-eenheid uit de vorige stap.

De Microsoft Entra Private Network-connector downloaden

Voer de volgende stappen uit om de microsoft Entra private network-connector te downloaden. Het installatiebestand dat u downloadt, wordt in de volgende sectie gekopieerd naar uw toepassingsproxy-VM.

1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

2. Zoek en selecteer Bedrijfstoepassingen.

3. Selecteer Toepassingsproxy in het menu aan de linkerkant. Als u uw eerste connector wilt maken en toepassingsproxy wilt inschakelen, selecteert u de koppeling om een connector te downloaden.

4. Accepteer op de downloadpagina de licentievoorwaarden en de privacyovereenkomst en selecteer Voorwaarden accepteren & Downloaden.

   

De Microsoft Entra-privénetwerkconnector installeren en registreren

Nu een VIRTUELE machine klaar is om te worden gebruikt als de microsoft Entra-privénetwerkconnector, kopieert en voert u het installatiebestand uit dat u hebt gedownload vanuit het Microsoft Entra-beheercentrum.

1. Kopieer het installatiebestand van de Microsoft Entra-privénetwerkconnector naar uw VIRTUELE machine.

2. Voer het installatiebestand uit, zoals MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Accepteer de licentievoorwaarden voor software.

3. Tijdens de installatie wordt u gevraagd om de connector te registreren bij de toepassingsproxy in uw Microsoft Entra-map.

   • Er is een globale beheerder nodig om deze functie te beheren.

     Notitie

     Het account dat wordt gebruikt om de connector te registreren, moet deel uitmaken van dezelfde map waarin u de toepassingsproxy-service inschakelt.

     Als het Microsoft Entra-domein bijvoorbeeld is contoso.com, moet het account of een andere geldige alias voor dat domein zijn admin@contoso.com .

   • Als Verbeterde beveiliging van Internet Explorer is ingeschakeld voor de VM waarop u de connector installeert, wordt het registratiescherm mogelijk geblokkeerd. Als u toegang wilt toestaan, volgt u de instructies in het foutbericht of schakelt u verbeterde beveiliging van Internet Explorer uit tijdens het installatieproces.

   • Zie Problemen met toepassingsproxy oplossen als de registratie van de connector mislukt.

4. Aan het einde van de installatie wordt een notitie weergegeven voor omgevingen met een uitgaande proxy. Als u de Microsoft Entra-privénetwerkconnector wilt configureren om te werken via de uitgaande proxy, voert u het opgegeven script uit, zoals C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

5. Op de pagina Toepassingsproxy in het Microsoft Entra-beheercentrum wordt de nieuwe connector weergegeven met de status Actief, zoals wordt weergegeven in het volgende voorbeeld:

   

Notitie

Als u hoge beschikbaarheid wilt bieden voor toepassingen die worden geverifieerd via de Microsoft Entra-toepassingsproxy, kunt u connectors installeren op meerdere VM's. Herhaal dezelfde stappen die worden vermeld in de vorige sectie om de connector te installeren op andere servers die zijn gekoppeld aan het beheerde domein.

Beperkte Kerberos-delegering op basis van resources inschakelen

Als u eenmalige aanmelding wilt gebruiken voor uw toepassingen met geïntegreerde Windows-verificatie (IWA), verleent u de microsoft Entra-privénetwerkconnectors toestemming om gebruikers te imiteren en tokens namens hen te verzenden en te ontvangen. Als u deze machtigingen wilt verlenen, configureert u KCD (Beperkte Kerberos-delegering) voor de connector voor toegang tot resources in het beheerde domein. Aangezien u geen domeinbeheerdersbevoegdheden in een beheerd domein hebt, kan KCD op traditioneel accountniveau niet worden geconfigureerd voor een beheerd domein. Gebruik in plaats daarvan KCD op basis van resources.

Zie KCD (Beperkte Kerberos-delegering) configureren in Microsoft Entra Domain Services voor meer informatie.

Notitie

U moet zijn aangemeld bij een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerdersgroep in uw Microsoft Entra-tenant om de volgende PowerShell-cmdlets uit te voeren.

De computeraccounts voor de VM en toepassings-VM's van uw privénetwerkconnector moeten zich in een aangepaste organisatie-eenheid bevinden waar u machtigingen hebt om op resources gebaseerde KCD te configureren. U kunt KCD op basis van resources niet configureren voor een computeraccount in de ingebouwde container Microsoft Entra DC Computers .

Gebruik de Get-ADComputer om de instellingen op te halen voor de computer waarop de Microsoft Entra-privénetwerkconnector is geïnstalleerd. Voer vanaf de beheer-VM die lid is van uw domein en aangemeld als gebruikersaccount dat lid is van de Microsoft Entra DC-beheerdersgroep de volgende cmdlets uit.

In het volgende voorbeeld wordt informatie opgehaald over het computeraccount met de naam appproxy.aaddscontoso.com. Geef uw eigen computernaam op voor de microsoft Entra-toepassingsproxy-VM die in de vorige stappen is geconfigureerd.

$ImpersonatingAccount = Get-ADComputer -Identity appproxy.aaddscontoso.com

Voor elke toepassingsserver waarop de apps achter de Microsoft Entra-toepassingsproxy worden uitgevoerd, gebruikt u de PowerShell-cmdlet Set ADComputer om op resources gebaseerde KCD te configureren. In het volgende voorbeeld krijgt de Microsoft Entra private network-connector machtigingen om de appserver.aaddscontoso.com computer te gebruiken:

Set-ADComputer appserver.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount

Als u meerdere Privénetwerkconnectors van Microsoft Entra implementeert, moet u KCD op basis van resources configureren voor elk connectorexemplaren.

Volgende stappen

Met de Microsoft Entra-toepassingsproxy die is geïntegreerd met Domain Services, publiceert u toepassingen voor gebruikers voor toegang. Zie Toepassingen publiceren met microsoft Entra-toepassingsproxy voor meer informatie.