Dela via

Förstå grupper för privata Nätverksanslutningar i Microsoft Entra

  • Artikel

Använd privata nätverksanslutningsgrupper för att tilldela specifika anslutningsappar till specifika program. Anslut eller-grupper ger dig mer kontroll och gör att du kan optimera dina distributioner.

Varje privat nätverksanslutning tilldelas till en anslutningsgrupp. Alla anslutningsappar som tillhör samma anslutningsgrupp fungerar som en separat enhet för hög tillgänglighet och belastningsutjämning. Alla anslutningsappar tillhör en anslutningsgrupp. Om du inte skapar grupper finns alla dina anslutningsappar i en standardgrupp. Du skapar nya anslutningsgrupper och tilldelar anslutningsappar i administrationscentret för Microsoft Entra.

Anslut eller-grupper är användbara om dina program finns på olika platser. Du skapar anslutningsgrupper baserat på plats. Program använder anslutningsappar som ligger fysiskt nära dem.

Dricks

Om du har en stor programproxydistribution ska du inte tilldela några program till standardanslutningsgruppen. På så sätt får inte nya anslutningsappar någon livetrafik förrän du tilldelar dem till en aktiv anslutningsgrupp. Med den här konfigurationen kan du också placera anslutningsappar i inaktivt läge genom att flytta tillbaka dem till standardgruppen, så att du kan utföra underhåll utan att påverka användarna.

Förutsättningar

Du måste ha flera anslutningsappar för att kunna använda anslutningsgrupper. Nya anslutningsappar läggs automatiskt till i gruppen Standardanslutning . Mer information om hur du installerar anslutningsappar finns i konfigurera anslutningsapparD.

Tilldela program till dina anslutningsgrupper

Du tilldelar ett program till en anslutningsgrupp när du först publicerar det. Du kan också uppdatera gruppen som en anslutningsapp har tilldelats.

Användningsfall för anslutningsgrupper

Anslut ellergrupper är användbara för olika scenarier, till exempel:

Platser med flera sammankopplade datacenter

Stora organisationer använder flera datacenter. Du vill behålla så mycket trafik inom ett specifikt datacenter som möjligt eftersom länkar mellan datacenter är dyra och långsamma. Du distribuerar anslutningsappar i varje datacenter för att endast hantera de program som finns i datacentret. Den här metoden minimerar länkar mellan datacenter och ger användarna en helt transparent upplevelse.

Program installerade i isolerade nätverk

Program kan finnas i nätverk som inte ingår i företagets huvudnätverk. Du kan använda anslutningsgrupper för att installera dedikerade anslutningsappar i isolerade nätverk för att även isolera program till nätverket. Scenariot är vanligt för leverantörer som underhåller ett visst program.

Program installerade på Infrastruktur som en tjänst (IaaS)

För program som är installerade på Infrastruktur som en tjänst (IaaS) för molnåtkomst tillhandahåller anslutningsgrupper en gemensam tjänst för säker åtkomst till alla appar. Anslut ellergrupper skapar inte fler beroenden i företagets nätverk eller fragmentera appupplevelsen. Anslut orer installeras på alla molndatacenter och hanterar endast program som finns i nätverket. Du installerar flera anslutningsappar för att uppnå hög tillgänglighet.

Ta som exempel en organisation som har flera virtuella datorer anslutna till sina egna virtuella IaaS-värdbaserade virtuella nätverk. För att anställda ska kunna använda dessa program är dessa privata nätverk anslutna till företagsnätverket med hjälp av vpn (site-to-site Virtual Private Network). Plats-till-plats-VPN ger en bra upplevelse för anställda som finns lokalt. Men det är inte idealiskt för distansanställda, eftersom det kräver mer lokal infrastruktur för att dirigera åtkomst, som illustreras i diagrammet:

Diagram som illustrerar Microsoft Entra IaaS-nätverket

Med microsoft Entra-grupper för privata nätverksanslutningar kan du aktivera en gemensam tjänst för att skydda åtkomsten till alla program utan att skapa fler beroenden i företagets nätverk:

Microsoft Entra IaaS Flera molnleverantörer

Flera skogar – olika anslutningsgrupper för varje skog

Enkel inloggning uppnås ofta med kerberos-begränsad delegering (KCD). Anslutningsappens datorer är anslutna till en domän som kan delegera användarna till programmet. KCD stöder funktioner mellan skogar. Men för företag som har distinkta miljöer med flera skogar utan förtroende mellan dem kan en enda anslutningsapp inte användas för alla skogar. I stället distribueras specifika anslutningsappar per skog och är inställda på att hantera program som publiceras för att endast betjäna användare av den specifika skogen. Varje anslutningsgrupp representerar en annan skog. Klientorganisationen och det mesta av upplevelsen är enhetlig för alla skogar, men användarna kan tilldelas till sina skogsprogram med hjälp av Microsoft Entra-grupper.

Haveriberedskapsplatser

Det finns två metoder att överväga för haveriberedskapsplatser (DR):

  • Dr-platsen är inbyggd i aktivt-aktivt läge där den är exakt som huvudplatsen. Webbplatsen har också samma inställningar för nätverk och Active Directory (AD). Du kan skapa anslutningsapparna på DR-platsen i samma anslutningsgrupp som huvudplatsen. Microsoft Entra ID identifierar redundans för dig.
  • Dr-platsen är separat från huvudplatsen. Du skapar en annan anslutningsgrupp på DR-platsen. Du har antingen säkerhetskopieringsprogram eller manuellt vidarekoppla befintligt program till dr-anslutningsgruppen efter behov.

Betjäna flera företag från en enda klientorganisation

Du kan implementera en modell där en enda tjänstleverantör distribuerar och underhåller Microsoft Entra-relaterade tjänster för flera företag. Anslut eller-grupper hjälper dig att separera anslutningsappar och program i olika grupper. Ett sätt, som är lämpligt för små företag, är att ha en enda Microsoft Entra-klient medan de olika företagen har sitt eget domännamn och nätverk. Samma metod fungerar för fusionsscenarier och situationer där en enda division betjänar flera företag av regel- eller affärsskäl.

Exempelkonfigurationer

Överväg dessa exempel på gruppkonfigurationer för anslutningsappen.

Standardkonfiguration – ingen användning för anslutningsgrupper

Om du inte använder anslutningsgrupper ser konfigurationen ut så här:

Exempel utan anslutningsgrupper

Konfigurationen räcker för små distributioner och tester. Det fungerar också om din organisation har en platt nätverkstopologi.

Standardkonfiguration och ett isolerat nätverk

Konfigurationen är en utveckling av standardinställningen, en specifik app körs i ett isolerat nätverk som det virtuella IaaS-nätverket:

Exempel på Microsoft Entra utan anslutningsgrupper i ett isolerat nätverk

Rekommenderad konfiguration – flera specifika grupper och en standardgrupp för inaktiv

Den rekommenderade konfigurationen för stora och komplexa organisationer är att ha standardanslutningsgruppen som en grupp som inte hanterar några program och som används för inaktiva eller nyligen installerade anslutningsappar. Alla program hanteras med anpassade anslutningsgrupper.

I exemplet har företaget två datacenter, A och B, med två anslutningsappar som betjänar varje plats. Varje webbplats har olika program som körs på den.

Exempel på företag med 2 datacenter och 2 anslutningsappar

Användningsvillkor

Din användning av Microsoft Entra privatåtkomst och Microsoft Entra internetåtkomst förhandsversionsupplevelser och funktioner styrs av förhandsversionen av onlinetjänstens villkor för de avtal där du fick tjänsterna. Förhandsversioner kan omfattas av begränsade eller olika säkerhets-, efterlevnads- och sekretessåtaganden, vilket beskrivs ytterligare i de universella licensvillkoren för onlinetjänster och Microsoft Products and Services Data Protection Addendum ("DPA") och eventuella andra meddelanden som tillhandahålls med förhandsversionen.

Nästa steg