Entender o conector de rede privada do Microsoft Entra

Conectores são o que possibilitam o Acesso privado do Microsoft Entra e o proxy de aplicativo. Eles são simples, fáceis de implantar e manter, além de superpotentes. Este artigo aborda o que são conectores, como eles funcionam e algumas sugestões sobre como otimizar sua implantação.

O que é um conector de rede privado?

Os conectores são agentes leves que ficam em uma rede privada e facilitam a conexão de saída com o Acesso privado do Microsoft Entra e os serviços de proxy de aplicativo. Os conectores devem ser instalados em um Windows Server que tenha acesso aos recursos de back-end. Você pode organizar conectores em grupos de conectores, com cada grupo tratando o tráfego para recursos específicos. Para obter mais informações sobre o proxy de aplicativo e uma representação diagramática da arquitetura de proxy de aplicativo, consulte Usando o proxy de aplicativo do Microsoft Entra para publicar aplicativos locais para usuários remotos.

Para saber como configurar o conector de rede privada do Microsoft Entra, confira Como configurar conectores de rede privada para o Microsoft Entra Private Access.

Os conectores de rede privada são agentes leves implantados no local que facilitam a conexão de saída com o serviço de proxy de aplicativos na nuvem. Os conectores devem ser instalados em um servidor Windows que tenha acesso ao aplicativo de back-end. Os usuários se conectam ao serviço de nuvem de proxy de aplicativo que roteia o tráfego para os aplicativos por meio dos conectores.

A configuração e o registro entre um conector e o serviço de proxy de aplicativo são realizados da seguinte forma:

1. O administrador de TI abre as portas 80 e 443 para o tráfego de saída e permite o acesso a várias URLs necessárias para o conector, o serviço de proxy de aplicativo e o Microsoft Entra ID.
2. O administrador se conecta pelo centro de administração do Microsoft Entra e executa um executável para instalar o conector em um servidor Windows local.
3. O conector começa a "escutar" o serviço de proxy do aplicativo.
4. O administrador adiciona o aplicativo local ao Microsoft Entra ID e define configurações, como as URLs necessárias para se conectar aos aplicativos.

É recomendável que você sempre implante vários conectores para redundância e dimensionamento. Os conectores, juntamente com o serviço, cuidam de todas as tarefas de alta disponibilidade e podem ser adicionados ou removidos dinamicamente. Sempre que uma nova solicitação chega, ela é roteada para um dos conectores que está disponível. Quando um conector está em execução, ele permanece ativo enquanto se conecta ao serviço. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego. Os conectores não utilizados são marcados como inativos e são removidos depois de 10 dias de inatividade.

Observação

Você pode monitorar a página de histórico de versões para se manter informado sobre as atualizações mais recentes para que possa agendar atualizações apropriadas do conector.

Cada conector de rede privada é atribuído a um grupo de conectores. Os conectores que pertencem ao mesmo grupo de conectores agem como uma unidade única em relação à alta disponibilidade e ao balanceamento de carga. Você pode criar novos grupos, atribuir conectores a eles no centro de administração do Microsoft Entra e, em seguida, atribuir conectores específicos para fornecer aplicativos específicos. Para alta disponibilidade, é recomendável ter pelo menos dois conectores em cada grupo de conectores.

Os grupos de conectores são úteis quando você precisa dá suporte aos seguintes cenários:

• Publicação de aplicativos geográficos
• Isolamento/segmentação de aplicativos
• Publicar aplicativos Web em execução na nuvem ou no local

Para saber mais sobre como escolher o local de instalação dos conectores e otimizar sua rede, confira Considerações sobre a topologia de rede ao usar o Proxy de Aplicativo do Microsoft Entra.

Manutenção

Os conectores e o serviço cuidam de todas as tarefas de alta disponibilidade. Eles podem ser adicionados ou removidos dinamicamente. Novas solicitações são roteadas para um dos conectores disponíveis. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego.

Os conectores são sem estado e não têm nenhum dado de configuração no computador. Os únicos dados que eles armazenam são as configurações para conectar o serviço e seu certificado de autenticação. Quando se conectam ao serviço, eles extraem todos os dados de configuração necessários e os atualizam a cada dois minutos.

Os conectores também sondam o servidor para descobrir se há uma versão mais recente do conector. Se um conector for encontrado, ele se atualiza automaticamente.

É possível monitorar os conectores no computador em que eles estão em execução, usando o log de eventos e os contadores de desempenho. Você também pode exibir seu status no Centro de administração do Microsoft Entra. Para o Acesso privado do Microsoft Entra, navegue até Acesso Global Seguro, Conecte-se e selecione Conectores. Para proxy de aplicativo, navegue até Identidade, Aplicativos, Aplicativos Empresariais e selecione o aplicativo. Na página do aplicativo, selecione o proxy de aplicativo.

Não é necessário excluir manualmente os conectores que não foram utilizados. Quando um conector está em execução, ele permanece ativo enquanto se conecta ao serviço. Conectores não utilizados são marcados como _inactive_ e removidos após 10 dias de inatividade. No entanto, se você quiser desinstalar um conector, desinstale o serviço Conector e o serviço Atualizador do servidor. Reinicie o computador para remover totalmente o serviço.

Atualizações do conector

A ID do Microsoft Entra ocasionalmente fornece atualizações automáticas para todos os conectores que você implanta. Enquanto o serviço do atualizador de conector de rede privada estiver em execução, os conectores poderão ser atualizados com a versão mais recente do conector principal automaticamente. Se você não vir o serviço do Atualizador do Conector no seu servidor, precisará reinstalar o conector para obter as atualizações.

Se você não quiser aguardar uma atualização automática chegar ao seu conector, você poderá fazer uma atualização manual. Vá para o página de download do conector no servidor em que o conector está localizado e selecione Baixar. Esse processo inicia uma atualização do conector local. Observe que nem todas as atualizações estão agendadas para atualização automática. É recomendável que você monitore a página de histórico de versões para obter informações sobre se uma atualização é implantada automaticamente ou manualmente por meio do portal do Microsoft Entra.

Para locatários com vários conectores, as atualizações automáticas focam em um conector por vez em cada grupo para evitar interrupção em seu ambiente.

Poderá ocorrer tempo de inatividade quando o conector for atualizado se:

• Você só tiver um conector. Um segundo conector e um grupo de conectores são recomendados para evitar o tempo de inatividade e fornecer maior disponibilidade.
• Um conector estava no meio de uma transação quando a atualização foi iniciada. Embora a transação inicial seja perdida, o navegador deverá repetir a operação automaticamente ou você poderá atualizar a página. Quando a solicitação é enviada novamente, o tráfego é direcionado para um conector de backup.

Para obter informações sobre as versões lançadas anteriormente e quais alterações elas incluem, consulte Proxy de Aplicativo – Histórico de Lançamento de Versão.

Criando grupos de conectores

Os grupos de conectores permitem atribuir conectores específicos para atender a aplicativos específicos. Você pode agrupar muitos conectores e atribuir cada recurso ou aplicativo a um grupo.

Os grupos de conectores facilitam o gerenciamento de grandes implantações. Eles também melhoram a latência para locatários que têm recursos e aplicativos hospedados em regiões diferentes, pois você pode criar grupos de conectores baseados em localização para atender somente aplicativos locais.

Para saber mais sobre grupos de conectores, confira Entender os grupos de conectores de rede privada do Microsoft Entra.

Rede e segurança

Os conectores podem ser instalados em qualquer lugar da rede que lhes permita enviar solicitações para o Microsoft Entra Private Access e o serviço de proxy de aplicativo. O importante é que o computador que executa o conector também tenha acesso aos seus aplicativos e recursos. Você pode instalar conectores dentro de sua rede corporativa ou em uma máquina virtual que é executada na nuvem. Os conectores podem ser executados em uma rede de perímetro, também conhecida como zona desmilitarizada (DMZ), mas não é necessário porque todo o tráfego é de saída, assim sua rede permanece segura.

Os conectores só enviam solicitações de saída. O tráfego de saída é enviado para o serviço e para os recursos e aplicativos publicados. Você não precisa abrir portas de entrada porque o tráfego flui nos dois sentidos quando uma sessão é estabelecida. Você também não precisa configurar o acesso de entrada por meio de firewalls.

Para saber mais sobre como configurar regras de firewall de saída, confira Trabalhar com servidores proxy locais existentes.

Desempenho e escala

A escala para o Acesso privado do Microsoft Entra e os serviços proxy de aplicativo é transparente, mas a escala é um fator para os conectores. Você precisa ter conectores suficientes para lidar com o tráfego de pico. Os conectores são sem estado e o número de usuários ou de sessões não os afeta. Em vez disso, eles respondem ao número de solicitações e a seu tamanho do conteúdo. Com o tráfego padrão da Web, um computador médio pode manipular 2 mil solicitações por segundo. A capacidade específica depende das características exatas do computador.

A CPU e a rede definem o desempenho do conector. O desempenho da CPU é necessário para criptografia e descriptografia TLS, enquanto a rede de comunicação é importante para obter conectividade rápida aos aplicativos e serviços online.

Por outro lado, a memória é uma questão menos significativa para os conectores. O serviço online cuida de grande parte do processamento e de todo o tráfego não autenticado. Tudo o que pode ser feito na nuvem é feito na nuvem.

Quando conectores ou computadores não estão disponíveis, o tráfego vai para outro conector no grupo. Vários conectores em um grupo de conectores fornecem resiliência.

Outro fator que afeta o desempenho é a qualidade da rede entre os conectores, incluindo:

• O serviço online: conexões lentas ou de alta latência com o serviço Microsoft Entra influenciam o desempenho do conector. Para obter o melhor desempenho, conecte sua organização à Microsoft com o Express Route. Caso contrário, faça com que sua equipe de rede garanta que as conexões com a Microsoft sejam tratadas da maneira mais eficiente possível.
• Os aplicativos de back-end: em alguns casos, há proxies extras entre o conector e os recursos e aplicativos de back-end que podem diminuir ou impedir conexões. Para solucionar esse cenário, abra um navegador do servidor conector e tente acessar o aplicativo ou o recurso. Se você executar os conectores na nuvem, mas os aplicativos forem locais, talvez a experiência não seja o que seus usuários esperam.
• Os controladores de domínio: Se os conectores executam logon único (SSO) usando a Delegação restrita de Kerberos, eles entram em contato com os controladores de domínio antes de enviar a solicitação ao back-end. Os conectores têm um cache de tíquetes Kerberos, mas em um ambiente ocupado, a capacidade de resposta dos controladores de domínio pode afetar o desempenho. Esse problema é mais comum em conectores executados no Azure, mas que se comunicam com os controladores de domínio locais.

Para saber mais sobre como otimizar sua rede, consulteConsiderações sobre a topologia de rede ao usar o proxy de aplicativo do Microsoft Entra.

Expandindo o intervalo de portas efêmeras

Conectores de rede privada iniciam conexões TCP/UDP para pontos de extremidade de destino designados, exigindo portas de origem disponíveis na máquina host do conector. Expandir o intervalo de portas efêmeras pode melhorar a disponibilidade das portas de origem, especialmente ao gerenciar um alto volume de conexões simultâneas.

Para exibir o intervalo de portas dinâmicas atual em um sistema, use os seguintes comandos netsh:

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 show dynamicport udp
• netsh int ipv6 show dynamicport tcp
• netsh int ipv6 show dynamicport udp

Comandos netsh de exemplo para aumentar as portas

• netsh int ipv4 set dynamicport tcp start=1025 num=64511
• netsh int ipv4 set dynamicport udp start=1025 num=64511
• netsh int ipv6 set dynamicport tcp start=1025 num=64511
• Comando para definir a porta dinâmica UDP: netsh int ipv6 set dynamicport udp start=1025 num=64511

Esses comandos definem o intervalo de portas dinâmicas de 1025 até o máximo de 65535. A porta inicial mínima é 1025.

Especificações e requisitos de dimensionamento

As seguintes especificações são recomendadas para cada Conector de Rede Privada do Entra:

• Memória: 8 GiB ou mais
• CPU: 4 núcleos de CPU ou mais

Verifique se os conectores têm uma utilização de memória de pico e utilização de CPU de pico inferior a 70%. Se a utilização da CPU ou da memória estiver acima do máximo sugerido, convém considerar a adição de mais conectores para distribuir suas cargas de trabalho com eficiência.

• Throughput: Cada conector, configurado com as especificações acima, pode dar suporte à taxa de transferência de até 1,5 Gbps por TCP em uma VM do Azure. O total é medido como a soma do tráfego de entrada e de saída. Uma taxa de transferência mais alta pode ser obtida executando o conector em VMs com maior memória, recursos de CPU e velocidades de link de rede aprimoradas.

Detalhes adicionais:

• As recomendações de dimensionamento feitas acima são baseadas em testes de desempenho feitos em um locatário de teste usando a ferramenta iPerf3 com fluxos de dados TCP. O desempenho real pode variar em diferentes ambientes de teste. Mais detalhes sobre casos de teste específicos serão publicados como parte desta documentação nos próximos meses.
• Depois que um conector é registrado, ele estabelece túneis TLS de saída para a infraestrutura de nuvem de Acesso Privado. Esses túneis lidam com todo o tráfego de caminho de dados. Além disso, temos um canal de painel de controle, pulsação keep-alive em funcionamento, relatórios de integridade, atualizações de conector etc., utilizando a largura de banda mínima.
• Você pode implantar conectores adicionais no mesmo grupo de conectores para aumentar a taxa de transferência geral, desde que a conectividade adequada de rede e internet esteja disponível. É recomendável manter um mínimo de dois conectores íntegros para garantir resiliência e disponibilidade consistente. Para obter as práticas recomendadas em relação à alta disponibilidade, consulte as diretrizes aqui.

Ingresso no domínio

Os conectores podem ser executados em um computador que não foi conectado ao domínio. Entretanto, se você desejar efetuar SSO (logon único) em aplicativos que usam a IWA (Autenticação Integrada do Windows), precisará de um computador conectado ao domínio. Nesse caso, os computadores do conector devem ser adicionados a um domínio que possa executar a Delegação Restrita de Kerberos em nome dos usuários para os aplicativos publicados.

Os conectores também podem ser associados a domínios em florestas que tenham uma relação de confiança parcial ou a controladores de domínio somente leitura.

Implantações de conectores em ambientes fortificados

Normalmente, a implantação do conector é simples e não exige nenhuma configuração especial.

No entanto, há algumas condições exclusivas que devem ser consideradas:

• O tráfego de saída requer portas específicas para serem abertas. Para saber mais, confira Configurar conectores.
• Os computadores em conformidade com FIPS podem precisar alterar sua configuração para permitir que os processos do conector gerem e armazenem um certificado.
• Em alguns casos, os proxies de encaminhamento de saída podem interromper a autenticação de certificado bidirecional e causar falha na comunicação.

Autenticação do conector

Para fornecer um serviço seguro, é necessário que os conectores autentiquem-se no serviço e que o serviço autentique-se nos conectores. Essa autenticação é feita usando certificados de cliente e servidor quando os conectores iniciam a conexão. Dessa forma, o nome de usuário e a senha do administrador não são armazenados no computador do conector.

Os certificados usados são específicos para o serviço. Eles são criados durante o registro inicial e renovados automaticamente a cada dois meses.

Após a primeira renovação de certificado bem-sucedida, o serviço conector de rede privada do Microsoft Entra (Serviço de Rede) não tem permissão para remover o certificado antigo do armazenamento do computador local. Se o certificado expirar ou não for usado pelo serviço, você poderá excluí-lo com segurança.

Para evitar problemas com a renovação do certificado, verifique se a comunicação de rede do conector para o destinos documentados está habilitada.

Se um conector não estiver conectado ao serviço por vários meses, seus certificados poderão estar desatualizados. Nesse caso, desinstale e reinstale o conector para disparar o registro. É possível executar os seguintes comandos do PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Para o governo, use -EnvironmentName "AzureUSGovernment". Para obter mais detalhes, veja Instalar o Agente para a Nuvem do Microsoft Azure Governamental.

Para saber mais sobre como verificar o certificado e solucionar problemas, consulte: Verificar o suporte da máquina e dos componentes de back-end para o certificado de autenticação do proxy de aplicativo.

Por baixo do capô

Os conectores são instalados no Windows Server, portanto, eles têm a maioria das mesmas ferramentas de gerenciamento, incluindo logs de eventos do Windows e contadores de desempenho do Windows.

Os conectores têm logs de Admin e Sessão. Os logs Admin incluem eventos de chave e seus erros. Os logs de sessão incluem todas as transações e seus detalhes de processamento.

Para ver os logs, abra o Visualizador de Eventos e acesse os Logs de Aplicativos e Serviços>Microsoft>> Para tornar o log de sessão visível, no menu Exibir, selecione Mostrar logs analíticos e de depuração. O log de Sessão é normalmente usado para solução de problemas e é desabilitado por padrão. Habilite-o para começar a coletar eventos e desative-o quando não for mais necessário.

Você pode examinar o estado do serviço na janela Serviços. O conector é composto por dois serviços Windows: o conector real e o atualizador. Ambos devem ser executados o tempo todo.

Conectores inativos

Um problema comum é que os conectores aparecem como inativos em um grupo de conectores. Um firewall que bloqueia as portas necessárias é uma causa comum para conectores inativos.

Próximas etapas

• Entenda os grupos de conectores de rede privada do Microsoft Entra
• Trabalhar com servidores proxy locais existentes
• Solucionar erros do conector e do proxy de aplicativo
• Como instalar silenciosamente o conector de rede privada do Microsoft Entra