Dela via


Så här konfigurerar du privata nätverksanslutningar för Microsoft Entra privatni pristup och Microsoft Entra-programproxy

Anslutningsappar är lätta agenter som finns på en server i ett privat nätverk och underlättar den utgående anslutningen till den globala tjänsten för säker åtkomst. Anslutningsappar måste installeras på en Windows Server som har åtkomst till serverdelsresurserna och programmen. Du kan ordna anslutningsappar i anslutningsgrupper, där varje grupp hanterar trafik till specifika program. Mer information om anslutningsappar finns i Förstå privata Anslutningsprogram för privata Microsoft Entra-nätverk.

Förutsättningar

Om du vill lägga till privata resurser och program i Microsoft Entra-ID behöver du:

Användaridentiteter måste synkroniseras från en lokal katalog eller skapas direkt i dina Microsoft Entra-klienter. Med identitetssynkronisering kan Microsoft Entra-ID förautentisera användare innan de beviljas åtkomst till programproxypublicerade program och ha nödvändig information om användaridentifierare för att utföra enkel inloggning (SSO).

Windows-server

Den privata Nätverksanslutningen för Microsoft Entra kräver en server som kör Windows Server 2012 R2 eller senare. Du installerar den privata nätverksanslutningen på servern. Den här anslutningsservern måste ansluta till den Microsoft Entra privatni pristup tjänsten eller programproxytjänsten och de privata resurser eller program som du planerar att publicera.

Viktigt!

Inaktivera HTTP 2.0 när du använder den privata Microsoft Entra-nätverksanslutningen med Microsoft Entra-programproxy på Windows Server 2019 eller senare.

HTTP2 Inaktivera protokollstödet i komponenten WinHttp för Kerberos-begränsad delegering för att fungera korrekt. Detta är inaktiverat som standard i tidigare versioner av operativsystem som stöds. Om du lägger till följande registernyckel och startar om servern inaktiveras den på Windows Server 2019 och senare. Det här är en datoromfattande registernyckel.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Nyckeln kan anges via PowerShell med följande kommando:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Varning

Om du har distribuerat Microsoft Entra-lösenordsskyddsproxy ska du inte installera Microsoft Entra-programproxyn och Microsoft Entra-lösenordsskyddsproxyn på samma dator. Microsoft Entra-programproxy och Microsoft Entra Password Protection Proxy installerar olika versioner av Microsoft Entra Connect Agent Updater-tjänsten. Dessa olika versioner är inkompatibla när de installeras tillsammans på samma dator.

TLS-krav (Transport Layer Security)

Windows-anslutningsservern måste ha TLS 1.2 aktiverat innan du installerar den privata nätverksanslutningen.

Aktivera TLS 1.2:

  1. Ange registernycklar.

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Starta om servern.

Kommentar

Microsoft uppdaterar Azure-tjänster för att använda TLS-certifikat från en annan uppsättning rotcertifikatutfärdare (CA). Den här ändringen görs eftersom de aktuella CA-certifikaten inte uppfyller något av kraven för CA/Browser-forumets baslinje. Mer information finns i Ändringar i Azure TLS-certifikat.

Rekommendationer för anslutningsservern

  • Optimera prestanda mellan anslutningsappen och programmet. Leta fysiskt upp anslutningsservern nära programservrarna. Mer information finns i Optimera trafikflödet med Microsoft Entra-programproxy.
  • Kontrollera att anslutningsservern och webbprogramservrarna finns i samma Active Directory-domän eller omfattar betrodda domäner. Att ha servrarna i samma domän eller betrodda domäner är ett krav för att använda enkel inloggning (SSO) med integrerad Windows-autentisering (IWA) och Kerberos-begränsad delegering (KCD). Om anslutningsservern och webbprogramservrarna finns i olika Active Directory-domäner använder du resursbaserad delegering för enkel inloggning.

Förbered din lokala miljö

Börja med att aktivera kommunikation till Azure-datacenter för att förbereda din miljö för Microsoft Entra-programproxy. Om det finns en brandvägg i sökvägen kontrollerar du att den är öppen. En öppen brandvägg gör att anslutningsappen kan göra HTTPS-begäranden (TCP) till programproxyn.

Viktigt!

Om du installerar anslutningsappen för Azure Government-molnet följer du kraven och installationsstegen. Detta kräver att du aktiverar åtkomst till en annan uppsättning URL:er och ytterligare en parameter för att köra installationen.

Öppna portar

Öppna följande portar för utgående trafik.

Portnummer Hur den används
80 Ladda ned listor över återkallade certifikat (CRL: er) vid validering av TLS/SSL-certifikatet
443 All utgående kommunikation med programproxytjänsten

Om brandväggstrafiken hanteras baserat på användarna som genererar den ska du även öppna portarna 80 och 443 för trafik som kommer från Windows-tjänster som körs som en nätverkstjänst.

Tillåt åtkomst till webbadresser

Tillåt åtkomst till följande webbadresser:

webbadress Port Hur den används
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Kommunikation mellan anslutningsprogrammet och molntjänsten för programproxy
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP Anslutningsappen använder dessa URL:er för att verifiera certifikat.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS Anslutningsprogrammet använder dessa webbadresser under registreringen.
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP Anslutningsprogrammet använder dessa webbadresser under registreringen.

Du kan tillåta anslutningar till *.msappproxy.net, *.servicebus.windows.netoch andra URL:er ovan om brandväggen eller proxyn låter dig konfigurera åtkomstregler baserat på domänsuffix. Annars måste du tillåta åtkomst till Azures IP-intervall och tjänsttaggar – offentligt moln. IP-adressintervallen uppdateras varje vecka.

Viktigt!

Undvik alla former av intern inspektion och avslutning av utgående TLS-kommunikation mellan privata Microsoft Entra-nätverksanslutningar och Molntjänster för Microsoft Entra-programproxy.

Installera och registrera ett anslutningsprogram

Om du vill använda Privat åtkomst installerar du en anslutningsapp på varje Windows-server som du använder för Microsoft Entra privatni pristup. Anslutningsappen är en agent som hanterar den utgående anslutningen från de lokala programservrarna till Global säker åtkomst. Du kan installera en anslutningsapp på servrar som även har andra autentiseringsagenter installerade, till exempel Microsoft Entra Connect.

Kommentar

Den lägsta versionen av anslutningsappen som krävs för privat åtkomst är 1.5.3417.0. Från och med version 1.5.3437.0 krävs .NET version 4.7.1 eller senare för lyckad installation (uppgradering).

Så här installerar du anslutningsappen:

  1. Logga in på administrationscentret för Microsoft Entra som global administratör för katalogen som använder programproxy.

    • Om klientdomänen exempelvis är contoso.com ska administratören vara admin@contoso.com eller något annat administratörsalias på den domänen.
  2. Välj ditt användarnamn i det övre högra hörnet. Kontrollera att du är inloggad i en katalog som använder programproxy. Om du behöver ändra kataloger väljer du Växla katalog och väljer en katalog som använder programproxy.

  3. Bläddra till Globala anslutningsappar för säker åtkomstanslutning>>.

  4. Välj Ladda ned anslutningstjänsten.

    Skärmbild av knappen Ladda ned anslutningstjänsten på sidan Appproxy.

  5. Läs användningsvillkoren. När du är klar väljer du Acceptera villkor och Ladda ned.

  6. Längst ned i fönstret väljer du Kör för att installera anslutningsappen. Installationsguiden öppnas.

  7. Följ anvisningarna i guiden för att installera tjänsten. När du uppmanas att registrera anslutningsappen med programproxyn för din Microsoft Entra-klientorganisation anger du dina autentiseringsuppgifter för global administratör.

    • För Internet Explorer (IE): Om IE Enhanced Security Configuration är inställt på På kanske du inte ser registreringsskärmen. Följ instruktionerna i felmeddelandet för att få åtkomst. Kontrollera att Internet Explorer Enhanced Security Configuration är inställt på Av.

Bra att känna till

Om du tidigare har installerat en anslutningsapp installerar du om den för att hämta den senaste versionen. När du uppgraderar avinstallerar du den befintliga anslutningsappen och tar bort eventuella relaterade mappar. Information om tidigare utgivna versioner och vilka ändringar de innehåller finns i Programproxy: Versionshistorik.

Om du väljer att ha fler än en Windows-server för dina lokala program måste du installera och registrera anslutningsappen på varje server. Du kan ordna anslutningsprogrammen i anslutningsgrupper. Mer information finns i anslutningsgrupper.

Information om anslutningsappar, kapacitetsplanering och hur de håller sig uppdaterade finns i Förstå privata Nätverksanslutningar i Microsoft Entra.

Kommentar

Microsoft Entra privatni pristup stöder inte multi-geo-anslutningsappar. Molntjänstinstanserna för din anslutningsapp väljs i samma region som din Microsoft Entra-klientorganisation (eller den närmaste regionen) även om du har anslutningsappar installerade i regioner som skiljer sig från din standardregion.

Verifiera installationen och registreringen

Du kan använda portalen global säker åtkomst eller Windows-servern för att bekräfta att en ny anslutningsapp är korrekt installerad.

Information om hur du felsöker problem med programproxy finns i Felsöka programproxyprogramproblem.

Verifiera installationen via administrationscentret för Microsoft Entra

Så här bekräftar du att anslutningsprogrammet installerats och registrerats på rätt sätt:

  1. Logga in på administrationscentret för Microsoft Entra som global administratör för katalogen som använder programproxy.

  2. Bläddra till Globala anslutningsappar för säker åtkomstanslutning>>

    • Alla dina anslutningsprogram och anslutningsgrupper visas på den här sidan.
  3. Visa en anslutningsapp för att verifiera dess information.

    • Expandera anslutningsappen för att visa information om den inte redan har expanderats.
    • En aktiv grön etikett innebär att ditt anslutningsprogram kan ansluta till tjänsten. Även om etiketten är grön kan dock ett nätverksproblem fortfarande blockera anslutningsprogrammet från att ta emot meddelanden.

    Skärmbild av information om anslutningsgrupper och anslutningsgrupper.

Mer hjälp med att installera en anslutningsapp finns i Felsöka anslutningsappar.

Verifiera installationen via Windows-servern

Så här bekräftar du att anslutningsprogrammet installerats och registrerats på rätt sätt:

  1. Välj Windows-nyckeln och ange services.msc för att öppna Windows Services Manager.

  2. Kontrollera om statusen för följande tjänster körs.

    • Microsoft Entra privat nätverksanslutning möjliggör anslutning.
    • Microsoft Entra Private Network Connector Updater är en automatiserad uppdateringstjänst.
    • Uppdateringsverktyget söker efter nya versioner av anslutningsprogrammet och uppdaterar det efter behov.

    Skärmbild av uppdateringstjänster för privata nätverk och anslutningsappar i Windows Services Manager.

  3. Om statusen för tjänsterna inte körs högerklickar du för att välja varje tjänst och väljer Starta.

Skapa anslutningsgrupper

Så här skapar du så många anslutningsgrupper som du vill:

  1. Bläddra till Globala anslutningsappar för säker åtkomstanslutning>>.
  2. Välj Ny anslutningsgrupp.
  3. Ge den nya anslutningsgruppen ett namn och använd sedan den nedrullningsbara menyn för att välja vilka anslutningsappar som hör hemma i den här gruppen.
  4. Välj Spara.

Mer information om anslutningsgrupper finns i Förstå grupper för privata nätverksanslutningar i Microsoft Entra.

Användningsvillkor

Din användning av Microsoft Entra privatni pristup och Microsoft Entra internetski pristup förhandsversionsupplevelser och funktioner styrs av förhandsversionen av onlinetjänstvillkoren för de avtal som du fick tjänsterna enligt. Förhandsversioner kan omfattas av begränsade eller olika säkerhets-, efterlevnads- och sekretessåtaganden, vilket beskrivs ytterligare i de universella licensvillkoren för onlinetjänster och Microsoft Products and Services Data Protection Addendum ("DPA") och eventuella andra meddelanden som tillhandahålls med förhandsversionen.

Nästa steg

Nästa steg för att komma igång med Microsoft Entra privatni pristup är att konfigurera programmet Snabbåtkomst eller Global säker åtkomst: