Partilhar via

Compreender o conector de rede privada Microsoft Entra

É através dos conectores que o Microsoft Entra Private Access e o proxy de aplicações se tornam possíveis. Eles são simples, fáceis de implantar e manter e super poderosos. Este artigo discute o que são conectores, como eles funcionam e algumas sugestões de como otimizar sua implantação.

O que é um conector de rede privada?

Os conectores são agentes leves que ficam numa rede privada e facilitam a ligação de saída para o Microsoft Entra Private Access e serviços de proxy de aplicações. Os conectores devem ser instalados em um Windows Server que tenha acesso aos recursos de back-end. Você pode organizar conectores em grupos de conectores, com cada grupo lidando com o tráfego para recursos específicos. Para obter mais informações sobre proxy de aplicativo e uma representação diagramática da arquitetura de proxy de aplicativo, consulte Usando o proxy de aplicativo Microsoft Entra para publicar aplicativos locais para usuários remotos.

Para saber como configurar o conector de rede privada do Microsoft Entra, consulte Como configurar conectores de rede privada para o Microsoft Entra Private Access.

Os conectores de rede privada são agentes leves implantados no local que facilitam a conexão de saída com o serviço de proxy de aplicativo na nuvem. Os conectores devem ser instalados em um Windows Server que tenha acesso ao aplicativo de back-end. Os usuários se conectam ao serviço de nuvem de proxy de aplicativo que roteia seu tráfego para os aplicativos por meio dos conectores.

A instalação e o registro entre um conector e o serviço de proxy de aplicativo são realizados da seguinte maneira:

  1. O administrador de TI abre as portas 80 e 443 para o tráfego de saída e permite o acesso a várias URLs necessárias para o conector, o serviço de proxy de aplicativo e o ID do Microsoft Entra.
  2. O administrador entra no centro de administração do Microsoft Entra e executa um executável para instalar o conector em um servidor Windows local.
  3. O conector começa a "ouvir" o serviço de proxy da aplicação.
  4. O administrador adiciona o aplicativo local ao Microsoft Entra ID e define configurações, como as URLs que os usuários precisam para se conectar aos seus aplicativos.

É recomendável que você sempre implante vários conectores para redundância e escala. Os conectores, em conjunto com o serviço, cuidam de todas as tarefas de alta disponibilidade e podem ser adicionados ou removidos dinamicamente. Cada vez que uma nova solicitação chega, ela é roteada para um dos conectores disponíveis. Quando um conector está em execução, ele permanece ativo à medida que se conecta ao serviço. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego. Os conectores não utilizados são marcados como inativos e removidos após 10 dias de inatividade.

Nota

Você pode monitorar a página de histórico de versões para se manter informado sobre as atualizações mais recentes para que possa agendar as atualizações apropriadas do conector.

Cada conector de rede privada é atribuído a um grupo de conectores. Os conectores no mesmo grupo de conectores atuam como uma única unidade para alta disponibilidade e balanceamento de carga. Você pode criar novos grupos, atribuir conectores a eles no centro de administração do Microsoft Entra e, em seguida, atribuir conectores específicos para atender aplicativos específicos. Recomenda-se ter pelo menos dois conectores em cada grupo de conectores para alta disponibilidade.

Os grupos de conectores são úteis quando você precisa oferecer suporte aos seguintes cenários:

  • Publicação geográfica de aplicações
  • Segmentação/isolamento de aplicativos
  • Publicação de aplicações Web em execução na nuvem ou no local

Para obter mais informações sobre como escolher onde instalar os conectores e otimizar a rede, consulte Considerações sobre topologia de rede ao usar o proxy de aplicativo Microsoft Entra.

Manutenção

Os conectores e o serviço cuidam de todas as tarefas de alta disponibilidade. Eles podem ser adicionados ou removidos dinamicamente. Novas solicitações são roteadas para um dos conectores disponíveis. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego.

Os conectores são sem estado e não têm dados de configuração na máquina. Os únicos dados que eles armazenam são as configurações para conectar o serviço e seu certificado de autenticação. Quando eles se conectam ao serviço, eles extraem todos os dados de configuração necessários e os atualizam a cada dois minutos.

Os conectores também interagem com o servidor para descobrir se há uma versão mais recente do conector. Se um for encontrado, os conectores se atualizam.

Você pode monitorar seus conectores a partir da máquina em que eles estão sendo executados, usando o log de eventos e os contadores de desempenho. Também pode ver o estado deles no centro de administração do Microsoft Entra. Para Microsoft Entra Private Access, navegue até Global Secure Access, Connect e selecione Connectors. Para proxy de aplicativo, navegue até Identidade, Aplicativos, Aplicativos corporativos e selecione o aplicativo. Na página do aplicativo, selecione proxy do aplicativo.

Não é necessário excluir manualmente os conectores que não são usados. Quando um conector está em execução, ele permanece ativo à medida que se conecta ao serviço. Os conectores não utilizados são marcados como _inactive_ e removidos após 10 dias de inatividade. No entanto, se você quiser desinstalar um conector, desinstale o serviço Connector e o serviço Updater do servidor. Reinicie o computador para remover totalmente o serviço.

Atualizações do conector

Microsoft Entra ID ocasionalmente fornece atualizações automáticas para todos os conectores que você implanta. Enquanto o serviço de atualização do conector de rede privada estiver em execução, seus conectores poderão ser atualizados automaticamente com a versão mais recente do conector principal. Se não vir o serviço "Connector Updater" no servidor, terá de reinstalar o seu conector para obter atualizações.

Se você não quiser esperar que uma atualização automática chegue ao seu conector, você pode fazer uma atualização manual. Vá para a página de download do conector no servidor onde o conector está localizado e selecione Download. Este processo inicia uma atualização para o conector local. Observe que nem todas as atualizações estão agendadas para atualização automática. É recomendável que você monitore a página de histórico de versões para obter informações sobre se uma atualização é implantada automática ou manualmente por meio do portal Microsoft Entra.

Para locatários com vários conectores, as atualizações automáticas visam um conector de cada vez em cada grupo para evitar tempo de inatividade em seu ambiente.

Poderá ocorrer tempo de inatividade quando o conector for atualizado se:

  • Você só tem um conector. Um segundo conector e um grupo de conectores são recomendados para evitar tempo de inatividade e fornecer maior disponibilidade.
  • Quando a atualização começou, um conector estava no meio de uma transação. Embora a transação inicial seja perdida, seu navegador deve repetir automaticamente a operação ou você pode atualizar sua página. Quando a solicitação é reenviada, o tráfego é roteado para um conector de backup.

Para ver informações sobre versões lançadas anteriormente e quais alterações elas incluem, consulte Histórico de lançamento de versões de proxy de aplicativo.

Criação de grupos de conectores

Os grupos de conectores permitem que você atribua conectores específicos para atender a aplicativos específicos. Você pode agrupar vários conectores e, em seguida, atribuir cada recurso ou aplicativo a um grupo.

Os grupos de conectores facilitam o gerenciamento de grandes implantações. Eles também melhoram a latência para locatários que têm recursos e aplicativos hospedados em regiões diferentes, porque você pode criar grupos de conectores baseados em local para atender apenas aplicativos locais.

Para saber mais sobre grupos de conectores, consulte Compreender os grupos de conectores de rede privada do Microsoft Entra.

Segurança e rede

Os conectores podem ser instalados em qualquer lugar da rede que lhes permita enviar solicitações para o Microsoft Entra Private Access e serviço de proxy de aplicativo. O importante é que o computador que executa o conector também tenha acesso aos seus aplicativos e recursos. Você pode instalar conectores dentro de sua rede corporativa ou em uma máquina virtual executada na nuvem. Os conectores podem ser executados dentro de uma rede de perímetro, também conhecida como zona desmilitarizada (DMZ), mas não é necessário porque todo o tráfego é de saída para que sua rede permaneça segura.

Os conectores só enviam solicitações de saída. O tráfego de saída é enviado para o serviço e para os recursos e aplicativos publicados. Não é necessário abrir portas de entrada porque o tráfego flui nos dois sentidos depois que uma sessão é estabelecida. Também não é necessário configurar o acesso de entrada através dos firewalls.

Para obter mais informações sobre como configurar regras de firewall de saída, consulte Trabalhar com servidores proxy locais existentes.

Desempenho e Escalabilidade   

A escala para o Microsoft Entra Private Access e os serviços de proxy de aplicação é transparente, mas a escala é um fator para os conectores. Você precisa ter conectores suficientes para lidar com o pico de tráfego. Os conectores são sem estado e o número de usuários ou sessões não os afeta. Em vez disso, eles respondem ao número de solicitações e ao tamanho da carga útil. Com o tráfego da Web padrão, uma máquina média pode lidar com 2.000 solicitações por segundo. A capacidade específica depende das características exatas da máquina.

A CPU e a rede definem o desempenho do conector. O desempenho da CPU é necessário para criptografia e descriptografia TLS, enquanto a rede é importante para obter conectividade rápida com os aplicativos e o serviço online.

Por outro lado, a memória é menos um problema para conectores. O serviço online cuida de grande parte do processamento e de todo o tráfego não autenticado. Tudo o que pode ser feito na nuvem é feito na nuvem.

Quando conectores ou máquinas não estão disponíveis, o tráfego vai para outro conector no grupo. Vários conectores em um grupo de conectores fornecem resiliência.

Outro fator que afeta o desempenho é a qualidade da rede entre os conectores, incluindo:

  • O serviço online: conexões lentas ou de alta latência com o serviço Microsoft Entra influenciam o desempenho do conector. Para obter o melhor desempenho, conecte sua organização à Microsoft com a Rota Expressa. Caso contrário, peça à sua equipe de rede para garantir que as conexões com a Microsoft sejam tratadas da forma mais eficiente possível.
  • Os aplicativos de back-end: em alguns casos, há proxies extras entre o conector e os recursos e aplicativos de back-end que podem retardar ou impedir conexões. Para solucionar esse cenário, abra um navegador no servidor conector e tente acessar o aplicativo ou recurso. Se você executar os conectores na nuvem, mas os aplicativos estiverem no local, a experiência pode não ser a esperada pelos usuários.
  • Os controladores de domínio: se os conectores executarem logon único (SSO) usando a Delegação Restrita de Kerberos, eles contatarão os controladores de domínio antes de enviar a solicitação para o back-end. Os conectores têm um cache de bilhetes Kerberos, mas num ambiente movimentado a resposta dos controladores do domínio pode afetar o desempenho. Esse problema é mais comum para conectores que são executados no Azure, mas se comunicam com controladores de domínio locais.

Para obter mais informações sobre como otimizar sua rede, consulte Considerações sobre topologia de rede ao usar o proxy de aplicativo do Microsoft Entra.

Expansão da gama de portas efêmeras

Os conectores de rede privada iniciam conexões TCP/UDP para destinos designados, exigindo portas de origem disponíveis na máquina host usada pelo conector. Expandir o intervalo de portas efêmeras pode melhorar a disponibilidade de portas de origem, particularmente ao gerenciar um alto volume de conexões simultâneas.

Para exibir o intervalo de portas dinâmicas atual em um sistema, use os seguintes comandos netsh:

  • netsh int ipv4 mostrar portas dinâmicas tcp
  • netsh int ipv4 mostrar dynamicport udp
  • netsh int ipv6 show porta dinâmica tcp
  • netsh int ipv6 exibir dynamicport udp

Exemplos de comandos netsh para aumentar as portas

  • netsh int ipv4 definir porta dinâmica tcp start=1025 num=64511
  • netsh int ipv4 definir dynamicport udp start=1025 num=64511
  • netsh int ipv6 definir dynamicport tcp start=1025 núm=64511
  • Netsh int ipv6 set dynamicport udp start=1025 num=64511

Esses comandos definem o intervalo de portas dinâmicas de 1025 até o máximo de 65535. A porta de partida mínima é 1025.

Especificações e requisitos de dimensionamento

As seguintes especificações são recomendadas para cada Conector de Rede Privada Entra:

  • Memória: 8 GiB ou mais
  • CPU: 4 núcleos de CPU ou mais

Certifique-se de que os conectores tenham menos de 70% para pico de utilização de memória e pico de utilização da CPU. Se a utilização da CPU ou da memória estiver acima do máximo sugerido, convém considerar a adição de mais conectores para distribuir suas cargas de trabalho de forma eficaz.

  • Taxa de transferência : Cada conector, configurado com as especificações acima, pode suportar até 1,5 Gbps de taxa de transferência sobre TCP em uma VM do Azure. A taxa de transferência é medida como o total do tráfego de entrada e de saída. Uma taxa de transferência mais alta pode ser alcançada executando o conector em VMs com maior memória, recursos de CPU e velocidades de link de rede aprimoradas.

Detalhes adicionais:

  • As recomendações de dimensionamento feitas acima são baseadas em testes de desempenho feitos em um locatário de teste usando a ferramenta iPerf3 com fluxos de dados TCP. O desempenho real pode variar em diferentes ambientes de teste. Mais detalhes sobre casos de teste específicos serão publicados como parte desta documentação nos próximos meses.
  • Depois que um conector é registrado, ele estabelece túneis TLS de saída para a infraestrutura de nuvem de Acesso Privado. Esses túneis lidam com todo o tráfego de dados. Além disso, temos alguns canais do plano de controlo, responsáveis por manter a conexão ativa ("keep-alive"), monitorizar o estado de funcionamento, atualizar os conectores, entre outras funções, utilizando o mínimo de largura de banda possível.
  • Você pode implantar conectores adicionais dentro do mesmo grupo de conectores para aumentar a taxa de transferência geral, desde que a conectividade adequada à rede e à Internet esteja disponível. Recomenda-se manter um mínimo de dois conectores saudáveis para garantir resiliência e disponibilidade consistente. Para conhecer as práticas recomendadas em relação à alta disponibilidade, consulte as orientações aqui.

Ingresso no domínio

Os conectores podem ser executados em uma máquina que não esteja associada ao domínio. No entanto, se você quiser logon único (SSO) para aplicativos que usam autenticação integrada do Windows (IWA), você precisa de uma máquina associada ao domínio. Nesse caso, as máquinas conectoras devem ser associadas a um domínio que possa executar a Delegação Restrita de Kerberos em nome dos usuários para os aplicativos publicados.

Os conectores também podem ser associados a domínios em florestas que têm uma confiança seletiva ou a controladores de domínio de leitura.

Implantações de conector em ambientes endurecidos

Normalmente, a implantação do conector é simples e não requer nenhuma configuração especial.

No entanto, existem algumas condições únicas que devem ser consideradas:

  • O tráfego de saída requer portas específicas para estar abertas. Para saber mais, consulte Configurar conectores.
  • Máquinas compatíveis com FIPS podem exigir uma alteração de configuração para permitir que os processos do conector gerem e armazenem um certificado.
  • Os proxies de encaminhamento externos podem comprometer a autenticação bidirecional de certificados e fazer com que a comunicação falhe.

Autenticação do conector

Para fornecer um serviço seguro, os conectores têm de se autenticar junto ao serviço e o serviço tem de se autenticar junto ao conector. Essa autenticação é feita usando certificados de cliente e servidor quando os conectores iniciam a conexão. Desta forma, o nome de utilizador e a palavra-passe do administrador não são armazenados na máquina conectora.

Os certificados utilizados são específicos para o serviço. Eles são criados durante o registro inicial e renovados automaticamente a cada dois meses.

Após a primeira renovação de certificado bem-sucedida, o serviço de conector de rede privada Microsoft Entra (Serviço de Rede) não tem permissão para remover o certificado antigo do armazenamento da máquina local. Se o certificado expirar ou não for usado pelo serviço, você poderá excluí-lo com segurança.

Para evitar problemas com a renovação de certificados, verifique se a comunicação de rede do conector para os destinos documentados está ativada.

Se um conector não estiver conectado ao serviço por vários meses, seus certificados podem estar desatualizados. Nesse caso, desinstale e reinstale o conector para acionar o registro. Você pode executar os seguintes comandos do PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Para o governo, use -EnvironmentName "AzureUSGovernment". Para mais informações, consulte Instalar o Agente para a Nuvem Governamental do Azure.

Para saber como verificar o certificado e resolver problemas, consulte Verificar o suporte dos componentes de máquina e back-end para o certificado de confiança do proxy de aplicação.

Como funciona nos bastidores

Os conetores são instalados no Windows Server, assim, têm a maioria das ferramentas de gerenciamento, incluindo registos de eventos do Windows e critérios de desempenho do Windows.

Os conectores têm logs de Admin e de Sessão. O log Admin inclui eventos importantes e seus erros. O log de sessão inclui todas as transações e seus detalhes de processamento.

Para ver os logs, abra o Visualizador de Eventos e vá para Registos de Aplicações e Serviços>Microsoft>Microsoft Entra private network>Connector. Para tornar o log de sessão visível, no menu Visualizar, selecione Mostrar logs analíticos e de depuração. O log de sessão normalmente é usado para solução de problemas e é desabilitado por padrão. Habilite-o para começar a coletar eventos e desative-o quando não for mais necessário.

Você pode examinar o estado do serviço na janela Serviços. O conector é composto por dois Serviços do Windows: o próprio conector e o atualizador. Ambos devem correr o tempo todo.

Conectores inativos

Um problema comum é que os conectores aparecem como inativos em um grupo de conectores. Um firewall bloqueando as portas necessárias é uma causa comum para conectores inativos.

Próximos passos