Partilhar via

Como configurar conectores de rede privada para Microsoft Entra Private Access e proxy de aplicativo Microsoft Entra

  • Artigo

Os conectores são agentes leves que ficam em um servidor em uma rede privada e facilitam a conexão de saída com o serviço Global Secure Access. Os conectores devem ser instalados em um Windows Server que tenha acesso aos recursos e aplicativos de back-end. Você pode organizar conectores em grupos de conectores, com cada grupo lidando com o tráfego para aplicativos específicos. Para saber mais sobre conectores, consulte Compreender os conectores de rede privada do Microsoft Entra.

Pré-requisitos

Para adicionar recursos e aplicativos privados ao Microsoft Entra ID, você precisa:

  • O produto requer uma licença. Para saber mais sobre licenciamento, consulte a seção de licenciamento de O que é Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
  • Uma conta de administrador de aplicativos.

As identidades de usuário devem ser sincronizadas a partir de um diretório local ou criadas diretamente em seus locatários do Microsoft Entra. A sincronização de identidade permite que o Microsoft Entra ID pré-autentique os usuários antes de conceder-lhes acesso a aplicativos publicados por proxy de aplicativo e tenha as informações de identificador de usuário necessárias para executar o logon único (SSO).

Windows server

O conector de rede privada Microsoft Entra requer um servidor que execute o Windows Server 2012 R2 ou posterior. Você instalará o conector de rede privada no servidor. Esse servidor conector precisa se conectar ao serviço de Acesso Privado do Microsoft Entra ou ao serviço de proxy de aplicativo e aos recursos ou aplicativos privados que você planeja publicar.

Importante

Desative o HTTP 2.0 ao usar o conector de rede privada do Microsoft Entra com o proxy do aplicativo Microsoft Entra no Windows Server 2019 ou posterior.

Desative o suporte de HTTP2 WinHttp protocolo no componente para que a Delegação Restrita de Kerberos funcione corretamente. Isso é desabilitado por padrão em versões anteriores de sistemas operacionais suportados. Adicionar a seguinte chave do Registro e reiniciar o servidor o desabilita no Windows Server 2019 e posterior. Esta é uma chave de registo em toda a máquina.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

A chave pode ser definida via PowerShell com o seguinte comando:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Aviso

Se você implantou o Proxy de Proteção por Senha do Microsoft Entra, não instale o proxy de aplicativo do Microsoft Entra e o Proxy de Proteção por Senha do Microsoft Entra juntos na mesma máquina. O proxy de aplicativo Microsoft Entra e o Microsoft Entra Password Protection Proxy instalam versões diferentes do serviço Microsoft Entra Connect Agent Updater. Estas diferentes versões são incompatíveis quando instaladas em conjunto na mesma máquina.

Requisitos de TLS (Transport Layer Security, segurança da camada de transporte)

O servidor conector do Windows deve ter o TLS 1.2 habilitado antes de instalar o conector de rede privada.

Para ativar o TLS 1.2:

  1. Defina chaves do Registro.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Reinicie o servidor.

Nota

A Microsoft está atualizando os serviços do Azure para usar certificados TLS de um conjunto diferente de Autoridades de Certificação (CAs) Raiz. Essa alteração está sendo feita porque os certificados de autoridade de certificação atuais não estão em conformidade com um dos requisitos de linha de base do CA/Browser Forum. Para obter mais informações, consulte Alterações de certificado TLS do Azure.

Recomendações para o servidor conector

  • Otimize o desempenho entre o conector e o aplicativo. Localize fisicamente o servidor conector perto dos servidores de aplicativos. Para obter mais informações, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo Microsoft Entra.
  • Verifique se o servidor conector e os servidores de aplicativos Web estão no mesmo domínio do Ative Directory ou em domínios confiáveis de extensão. Ter os servidores no mesmo domínio ou domínios confiáveis é um requisito para usar o logon único (SSO) com autenticação integrada do Windows (IWA) e delegação restrita de Kerberos (KCD). Se o servidor conector e os servidores de aplicativos Web estiverem em domínios diferentes do Ative Directory, use a delegação baseada em recursos para logon único.

Prepare seu ambiente local

Comece habilitando a comunicação com os data centers do Azure para preparar seu ambiente para o proxy de aplicativo Microsoft Entra. Se existir uma firewall no caminho, confirme que está aberta. Uma firewall aberta permite ao conector fazer pedidos HTTPS (TCP) ao Proxy de Aplicações.

Importante

Se você estiver instalando o conector para a nuvem do Azure Government, siga os pré-requisitos e as etapas de instalação. Isso requer habilitar o acesso a um conjunto diferente de URLs e um parâmetro adicional para executar a instalação.

Portas abertas

Abra as seguintes portas para o tráfego de saída.

Número da porta Como é utilizado
80 Download de listas de revogação de certificados (CRLs) ao validar o certificado TLS/SSL
443 Toda a comunicação de saída com o serviço de Proxy de Aplicativo

Se o firewall impõe o tráfego de acordo com os usuários de origem, abra também as portas 80 e 443 para o tráfego dos serviços do Windows executados como um Serviço de Rede.

Permitir acesso a URLs

Permita acesso aos seguintes URLs:

URL Porta Como é utilizado
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Comunicação entre o conector e o serviço de nuvem do Proxy de Aplicativo
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP O conector usa essas URLs para verificar certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS O conector usa essas URLs durante o processo de registro.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP O conector usa essas URLs durante o processo de registro.

Você pode permitir conexões com *.msappproxy.net, *.servicebus.windows.nete outras URLs acima se seu firewall ou proxy permitir que você configure regras de acesso com base em sufixos de domínio. Caso contrário, você precisará permitir o acesso aos intervalos de IP do Azure e às Tags de Serviço - Nuvem Pública. Os intervalos de IP são atualizados a cada semana.

Importante

Evite todas as formas de inspeção e terminação em linha nas comunicações TLS de saída entre os conectores de rede privada do Microsoft Entra e os serviços de nuvem de proxy de aplicativo Microsoft Entra.

Instalar e registrar um conector

Para usar o Private Access, instale um conector em cada servidor Windows que você está usando para o Microsoft Entra Private Access. O conector é um agente que gerencia a conexão de saída dos servidores de aplicativos locais para o Acesso Seguro Global. Você pode instalar um conector em servidores que também tenham outros agentes de autenticação instalados, como o Microsoft Entra Connect.

Nota

A versão mínima do conector necessária para o Private Access é 1.5.3417.0. A partir da versão 1.5.3437.0, ter o .NET versão 4.7.1 ou superior é necessário para uma instalação bem-sucedida (atualização).

Nota

Implantar o conector de rede privada para suas cargas de trabalho do Azure, AWS e GCP dos respetivos mercados (visualização)

O Private Network Connector agora está disponível no Azure Marketplace, AWS Marketplace e GCP Marketplace (em visualização), além do centro de administração do Microsoft Entra. As ofertas do Marketplace permitem que os usuários implantem uma máquina virtual do Windows com um conector de rede privada pré-instalado por meio de um modelo simplificado. O processo automatiza a instalação e o registo, melhorando assim a facilidade e a eficiência.

Para instalar o conector a partir do centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Aplicativo do diretório que usa o Proxy de Aplicativo.

    • Por exemplo, se o domínio do locatário estiver contoso.com, o administrador deverá ser admin@contoso.com ou qualquer outro alias de administrador nesse domínio.

  2. Selecione seu nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa o Proxy de Aplicativo. Se você precisar alterar diretórios, selecione Alternar diretório e escolha um diretório que use o Proxy de Aplicativo.

  3. Navegue até Global Secure Access>Connect>Connectors.

  4. Selecione Baixar serviço de conector.

    Captura de ecrã do botão Transferir serviço de conector na página Proxy da aplicação.

  5. Leia os Termos de Serviço. Quando estiver pronto, selecione Aceitar termos e Download.

  6. Na parte inferior da janela, selecione Executar para instalar o conector. Um assistente de instalação é aberto.

  7. Siga as instruções no assistente para instalar o serviço. Quando você for solicitado a registrar o conector com o Proxy de Aplicativo para seu locatário do Microsoft Entra, forneça suas credenciais de Administrador de Aplicativo.

    • Para o Internet Explorer (IE): Se a Configuração de Segurança Reforçada do IE estiver definida como Ativado, poderá não ver o ecrã de registo. Para obter acesso, siga as instruções na mensagem de erro. Certifique-se de que a Configuração de Segurança Reforçada do Internet Explorer está definida como Desativado.

Aspetos importantes

Se já tiver instalado um conector, reinstale-o para obter a versão mais recente. Ao atualizar, desinstale o conector existente e exclua todas as pastas relacionadas. Para ver informações sobre versões lançadas anteriormente e quais alterações elas incluem, consulte Application Proxy: Version Release History.

Se você optar por ter mais de um servidor Windows para seus aplicativos locais, precisará instalar e registrar o conector em cada servidor. Você pode organizar os conectores em grupos de conectores. Para obter mais informações, consulte Grupos de conectores.

Para obter informações sobre conectores, planejamento de capacidade e como eles se mantêm atualizados, consulte Compreender os conectores de rede privada do Microsoft Entra.

Nota

O Microsoft Entra Private Access não suporta conectores multi-geo. As instâncias de serviço de nuvem para seu conector são escolhidas na mesma região que seu locatário do Microsoft Entra (ou a região mais próxima a ele), mesmo que você tenha conectores instalados em regiões diferentes da sua região padrão.

Verificar a instalação e o registo

Você pode usar o portal de Acesso Seguro Global ou o servidor Windows para confirmar se um novo conector foi instalado corretamente.

Para obter informações sobre como solucionar problemas de proxy de aplicativo, consulte Depurar problemas de aplicativo de proxy de aplicativo.

Verifique a instalação através do centro de administração do Microsoft Entra

Para confirmar o conector instalado e registrado corretamente:

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Aplicativo do diretório que usa o Proxy de Aplicativo.

  2. Navegue até Global Secure Access>Connect>Connectors

    • Todos os seus conectores e grupos de conectores aparecem nesta página.

  3. Visualize um conector para verificar seus detalhes.

    • Expanda o conector para visualizar os detalhes, se ainda não estiver expandido.
    • Uma etiqueta verde ativa indica que o conector pode se conectar ao serviço. No entanto, mesmo que o rótulo seja verde, um problema de rede ainda pode bloquear o conector de receber mensagens.

    Captura de ecrã dos grupos de conectores e dos detalhes do grupo de conectores.

Para obter mais ajuda com a instalação de um conector, consulte solucionar problemas de conectores.

Verificar a instalação através do servidor Windows

Para confirmar o conector instalado e registrado corretamente:

  1. Selecione a tecla Windows e digite services.msc para abrir o Gerenciador de Serviços do Windows.

  2. Verifique se o status dos seguintes serviços em execução.

    • O conector de rede privada Microsoft Entra permite a conectividade.
    • O atualizador do conector de rede privada Microsoft Entra é um serviço de atualização automatizado.
    • O atualizador verifica se há novas versões do conector e atualiza o conector conforme necessário.

    Captura de ecrã dos serviços de conector de rede privada e atualizador de conector no Gestor de Serviços do Windows.

  3. Se o status dos serviços não for Em execução, clique com o botão direito do mouse para selecionar cada serviço e escolha Iniciar.

Criar grupos de conectores

Para criar quantos grupos de conectores desejar:

  1. Navegue até Global Secure Access>Connect>Connectors.
  2. Selecione Novo grupo de conectores.
  3. Dê um nome ao seu novo grupo de conectores e use o menu suspenso para selecionar quais conectores pertencem a esse grupo.
  4. Selecione Guardar.

Para saber mais sobre grupos de conectores, consulte Compreender os grupos de conectores de rede privada do Microsoft Entra.

Próximos passos

A próxima etapa para começar a usar o Microsoft Entra Private Access é configurar o aplicativo Quick Access ou Global Secure Access: