Compreender o conector de rede privada Microsoft Entra
Os conectores são o que tornam o Microsoft Entra Private Access e o proxy de aplicativo possíveis. Eles são simples, fáceis de implantar e manter e super poderosos. Este artigo discute o que são conectores, como eles funcionam e algumas sugestões de como otimizar sua implantação.
O que é um conector de rede privada?
Os conectores são agentes leves que ficam em uma rede privada e facilitam a conexão de saída com o Microsoft Entra Private Access e serviços de proxy de aplicativo. Os conectores devem ser instalados em um Windows Server que tenha acesso aos recursos de back-end. Você pode organizar conectores em grupos de conectores, com cada grupo lidando com o tráfego para recursos específicos. Para obter mais informações sobre proxy de aplicativo e uma representação diagramática da arquitetura de proxy de aplicativo, consulte Usando o proxy de aplicativo Microsoft Entra para publicar aplicativos locais para usuários remotos.
Para saber como configurar o conector de rede privada do Microsoft Entra, consulte Como configurar conectores de rede privada para o Microsoft Entra Private Access.
Os conectores de rede privada são agentes leves implantados no local que facilitam a conexão de saída com o serviço de proxy de aplicativo na nuvem. Os conectores devem ser instalados em um Windows Server que tenha acesso ao aplicativo de back-end. Os usuários se conectam ao serviço de nuvem de proxy de aplicativo que roteia seu tráfego para os aplicativos por meio dos conectores.
A instalação e o registro entre um conector e o serviço de proxy de aplicativo são realizados da seguinte maneira:
- O administrador de TI abre as portas 80 e 443 para o tráfego de saída e permite o acesso a várias URLs necessárias para o conector, o serviço de proxy de aplicativo e o ID do Microsoft Entra.
- O administrador entra no centro de administração do Microsoft Entra e executa um executável para instalar o conector em um servidor Windows local.
- O conector começa a "ouvir" o serviço de proxy de aplicativo.
- O administrador adiciona o aplicativo local ao Microsoft Entra ID e define configurações, como as URLs que os usuários precisam para se conectar aos seus aplicativos.
É recomendável que você sempre implante vários conectores para redundância e escala. Os conectores, em conjunto com o serviço, cuidam de todas as tarefas de alta disponibilidade e podem ser adicionados ou removidos dinamicamente. Cada vez que uma nova solicitação chega, ela é roteada para um dos conectores disponíveis. Quando um conector está em execução, ele permanece ativo à medida que se conecta ao serviço. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego. Os conectores não utilizados são marcados como inativos e removidos após 10 dias de inatividade.
Os conectores também pesquisam o servidor para descobrir se há uma versão mais recente do conector. Embora você possa fazer uma atualização manual, os conectores serão atualizados automaticamente enquanto o serviço Updater do conector de rede privada estiver em execução. Para locatários com vários conectores, as atualizações automáticas visam um conector de cada vez em cada grupo para evitar tempo de inatividade em seu ambiente.
Nota
Você pode monitorar a página de histórico de versões para se manter informado sobre as atualizações mais recentes.
Cada conector de rede privada é atribuído a um grupo de conectores. Os conectores no mesmo grupo de conectores atuam como uma única unidade para alta disponibilidade e balanceamento de carga. Você pode criar novos grupos, atribuir conectores a eles no centro de administração do Microsoft Entra e, em seguida, atribuir conectores específicos para atender aplicativos específicos. Recomenda-se ter pelo menos dois conectores em cada grupo de conectores para alta disponibilidade.
Os grupos de conectores são úteis quando você precisa oferecer suporte aos seguintes cenários:
- Publicação geográfica de aplicações
- Segmentação/isolamento de aplicativos
- Publicação de aplicações Web em execução na nuvem ou no local
Para obter mais informações sobre como escolher onde instalar os conectores e otimizar a rede, consulte Considerações sobre topologia de rede ao usar o proxy de aplicativo Microsoft Entra.
Manutenção
Os conectores e o serviço cuidam de todas as tarefas de alta disponibilidade. Eles podem ser adicionados ou removidos dinamicamente. Novas solicitações são roteadas para um dos conectores disponíveis. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego.
Os conectores são sem monitoração de estado e não têm dados de configuração na máquina. Os únicos dados que eles armazenam são as configurações para conectar o serviço e seu certificado de autenticação. Quando eles se conectam ao serviço, eles extraem todos os dados de configuração necessários e os atualizam a cada dois minutos.
Os conectores também pesquisam o servidor para descobrir se há uma versão mais recente do conector. Se um for encontrado, os conectores se atualizam.
Você pode monitorar seus conectores a partir da máquina em que eles estão sendo executados, usando o log de eventos e os contadores de desempenho. Para obter mais informações, consulte Monitorar e revisar logs do Microsoft Entra local.
Também pode ver o seu estado no centro de administração do Microsoft Entra. Para Microsoft Entra Private Access, navegue até Global Secure Access, Connect e selecione Connectors. Para proxy de aplicativo, navegue até Identidade, Aplicativos, Aplicativos corporativos e selecione o aplicativo. Na página do aplicativo, selecione proxy do aplicativo.
Não é necessário excluir manualmente os conectores que não são usados. Quando um conector está em execução, ele permanece ativo à medida que se conecta ao serviço. Os conectores não utilizados são marcados como _inactive_
e removidos após 10 dias de inatividade. No entanto, se você quiser desinstalar um conector, desinstale o serviço Connector e o serviço Updater do servidor. Reinicie o computador para remover totalmente o serviço.
Atualizações automáticas
O Microsoft Entra ID fornece atualizações automáticas para todos os conectores que você implanta. Enquanto o serviço de atualização do conector de rede privada estiver em execução, os conectores serão atualizados automaticamente com a versão mais recente do conector principal. Se não vir o serviço Connector Updater no servidor, terá de reinstalar o conector para obter atualizações.
Se você não quiser esperar que uma atualização automática chegue ao seu conector, você pode fazer uma atualização manual. Vá para a página de download do conector no servidor onde o conector está localizado e selecione Download. Este processo inicia uma atualização para o conector local.
Para locatários com vários conectores, as atualizações automáticas visam um conector de cada vez em cada grupo para evitar tempo de inatividade em seu ambiente.
Você pode enfrentar tempo de inatividade quando o conector for atualizado se:
- Você só tem um conector. Um segundo conector e um grupo de conectores são recomendados para evitar tempo de inatividade e fornecer maior disponibilidade.
- Um conector estava no meio de uma transação quando a atualização começou. Embora a transação inicial seja perdida, seu navegador deve repetir automaticamente a operação ou você pode atualizar sua página. Quando a solicitação é reenviada, o tráfego é roteado para um conector de backup.
Para ver informações sobre versões lançadas anteriormente e quais alterações elas incluem, consulte Histórico de lançamento de versões de proxy de aplicativo.
Criação de grupos de conectores
Os grupos de conectores permitem que você atribua conectores específicos para atender a aplicativos específicos. Você pode agrupar vários conectores e, em seguida, atribuir cada recurso ou aplicativo a um grupo.
Os grupos de conectores facilitam o gerenciamento de grandes implantações. Eles também melhoram a latência para locatários que têm recursos e aplicativos hospedados em regiões diferentes, porque você pode criar grupos de conectores baseados em local para atender apenas aplicativos locais.
Para saber mais sobre grupos de conectores, consulte Compreender os grupos de conectores de rede privada do Microsoft Entra.
Segurança e rede
Os conectores podem ser instalados em qualquer lugar da rede que lhes permita enviar solicitações para o Microsoft Entra Private Access e serviço de proxy de aplicativo. O importante é que o computador que executa o conector também tenha acesso aos seus aplicativos e recursos. Você pode instalar conectores dentro de sua rede corporativa ou em uma máquina virtual executada na nuvem. Os conectores podem ser executados dentro de uma rede de perímetro, também conhecida como zona desmilitarizada (DMZ), mas não é necessário porque todo o tráfego é de saída para que sua rede permaneça segura.
Os conectores só enviam solicitações de saída. O tráfego de saída é enviado para o serviço e para os recursos e aplicativos publicados. Não é necessário abrir portas de entrada porque o tráfego flui nos dois sentidos depois que uma sessão é estabelecida. Também não é necessário configurar o acesso de entrada através dos firewalls.
Para obter mais informações sobre como configurar regras de firewall de saída, consulte Trabalhar com servidores proxy locais existentes.
Desempenho e Escalabilidade
A escala para o Microsoft Entra Private Access e os serviços de proxy de aplicativo é transparente, mas a escala é um fator para conectores. Você precisa ter conectores suficientes para lidar com o pico de tráfego. Os conectores são sem monitoração de estado e o número de usuários ou sessões não os afeta. Em vez disso, eles respondem ao número de solicitações e ao tamanho da carga útil. Com o tráfego da Web padrão, uma máquina média pode lidar com 2.000 solicitações por segundo. A capacidade específica depende das características exatas da máquina.
A CPU e a rede definem o desempenho do conector. O desempenho da CPU é necessário para criptografia e descriptografia TLS, enquanto a rede é importante para obter conectividade rápida com os aplicativos e o serviço online.
Em contraste, a memória é menos um problema para conectores. O serviço online cuida de grande parte do processamento e de todo o tráfego não autenticado. Tudo o que pode ser feito na nuvem é feito na nuvem.
Quando conectores ou máquinas não estão disponíveis, o tráfego vai para outro conector no grupo. Vários conectores em um grupo de conectores fornecem resiliência.
Outro fator que afeta o desempenho é a qualidade da rede entre os conectores, incluindo:
- O serviço online: conexões lentas ou de alta latência com o serviço Microsoft Entra influenciam o desempenho do conector. Para obter o melhor desempenho, conecte sua organização à Microsoft com a Rota Expressa. Caso contrário, peça à sua equipe de rede para garantir que as conexões com a Microsoft sejam tratadas da forma mais eficiente possível.
- Os aplicativos de back-end: em alguns casos, há proxies extras entre o conector e os recursos e aplicativos de back-end que podem retardar ou impedir conexões. Para solucionar esse cenário, abra um navegador no servidor conector e tente acessar o aplicativo ou recurso. Se você executar os conectores na nuvem, mas os aplicativos estiverem no local, a experiência pode não ser a esperada pelos usuários.
- Os controladores de domínio: se os conectores executarem logon único (SSO) usando a Delegação Restrita de Kerberos, eles contatarão os controladores de domínio antes de enviar a solicitação para o back-end. Os conectores têm um cache de tíquetes Kerberos, mas em um ambiente ocupado a capacidade de resposta dos controladores de domínio pode afetar o desempenho. Esse problema é mais comum para conectores que são executados no Azure, mas se comunicam com controladores de domínio locais.
Para obter mais informações sobre como otimizar sua rede, consulte Considerações sobre topologia de rede ao usar o proxy de aplicativo do Microsoft Entra.
Ingresso no domínio
Os conectores podem ser executados em uma máquina que não esteja associada ao domínio. No entanto, se você quiser logon único (SSO) para aplicativos que usam autenticação integrada do Windows (IWA), você precisa de uma máquina associada ao domínio. Nesse caso, as máquinas conectoras devem ser associadas a um domínio que possa executar a Delegação Restrita de Kerberos em nome dos usuários para os aplicativos publicados.
Os conectores também podem ser associados a domínios em florestas que têm uma confiança parcial ou a controladores de domínio somente leitura.
Implantações de conector em ambientes protegidos
Normalmente, a implantação do conector é simples e não requer nenhuma configuração especial.
No entanto, existem algumas condições únicas que devem ser consideradas:
- O tráfego de saída requer portas específicas para estar abertas. Para saber mais, consulte Configurar conectores.
- Máquinas compatíveis com FIPS podem exigir uma alteração de configuração para permitir que os processos do conector gerem e armazenem um certificado.
- Os proxies de encaminhamento de saída podem quebrar a autenticação de certificado bidirecional e fazer com que a comunicação falhe.
Autenticação do conector
Para fornecer um serviço seguro, os conectores têm de se autenticar para o serviço e o serviço tem de autenticar para o conector. Essa autenticação é feita usando certificados de cliente e servidor quando os conectores iniciam a conexão. Desta forma, o nome de utilizador e a palavra-passe do administrador não são armazenados na máquina conectora.
Os certificados utilizados são específicos para o serviço. Eles são criados durante o registro inicial e renovados automaticamente a cada dois meses.
Após a primeira renovação de certificado bem-sucedida, o serviço de conector de rede privada Microsoft Entra (Serviço de Rede) não tem permissão para remover o certificado antigo do armazenamento da máquina local. Se o certificado expirar ou não for usado pelo serviço, você poderá excluí-lo com segurança.
Para evitar problemas com a renovação de certificados, verifique se a comunicação de rede do conector para os destinos documentados está ativada.
Se um conector não estiver conectado ao serviço por vários meses, seus certificados podem estar desatualizados. Nesse caso, desinstale e reinstale o conector para acionar o registro. Você pode executar os seguintes comandos do PowerShell:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Para o governo, use -EnvironmentName "AzureUSGovernment"
. Para obter mais informações, consulte Instalar o agente para a nuvem governamental do Azure.
Para saber como verificar o certificado e solucionar problemas, consulte Verificar o suporte de componentes de máquina e back-end para certificado de confiança de proxy de aplicativo.
Under the hood (Como funciona o Azure RMS? Nos bastidores)
Os conectores são instalados no Windows Server, portanto, eles têm a maioria das mesmas ferramentas de gerenciamento, incluindo Logs de Eventos do Windows e contadores de desempenho do Windows.
Os conectores têm logs Admin e Session . O log Admin inclui eventos importantes e seus erros. O log de sessão inclui todas as transações e seus detalhes de processamento.
Para ver os logs, abra o Visualizador de Eventos e vá para Logs de Aplicativos>e Serviços Microsoft>Microsoft Entra private network>Connector. Para tornar o log de sessão visível, no menu Exibir , selecione Mostrar logs analíticos e de depuração. O log de sessão normalmente é usado para solução de problemas e é desabilitado por padrão. Habilite-o para começar a coletar eventos e desative-o quando não for mais necessário.
Você pode examinar o estado do serviço na janela Serviços. O conector é composto por dois Serviços do Windows: o conector real e o atualizador. Ambos devem funcionar o tempo todo.
Conectores inativos
Um problema comum é que os conectores aparecem como inativos em um grupo de conectores. Um firewall bloqueando as portas necessárias é uma causa comum para conectores inativos.
Termos de Utilização
A sua utilização das experiências e funcionalidades de pré-visualização do Microsoft Entra Private Access e do Microsoft Entra Internet Access é regida pelos termos e condições do serviço online de pré-visualização do(s) contrato(s) ao abrigo do(s) qual(is) obteve os serviços. As Visualizações Prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado mais detalhadamente nos Termos de Licença Universal para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft ("DPA") e em quaisquer outros avisos fornecidos com a Visualização.