Aracılığıyla paylaş

Microsoft Entra Özel Erişim ve Microsoft Entra uygulama ara sunucusu için özel ağ bağlayıcılarını yapılandırma

  • Makale

Bağlayıcılar, özel ağdaki bir sunucuda bulunan ve Genel Güvenli Erişim hizmetine giden bağlantıyı kolaylaştıran basit aracılardır. Bağlayıcılar, arka uç kaynaklarına ve uygulamalarına erişimi olan bir Windows Server'a yüklenmelidir. Her grup belirli uygulamalara yönelik trafiği işlerken bağlayıcıları bağlayıcı grupları halinde düzenleyebilirsiniz. Bağlayıcılar hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra özel ağ bağlayıcılarını anlama.

Önkoşullar

Microsoft Entra Id'ye özel kaynaklar ve uygulamalar eklemek için ihtiyacınız olan:

  • Ürün için lisans gerekir. Lisanslama hakkında daha fazla bilgi edinmek için Genel Güvenli Erişim nedir?'nin lisanslama bölümüne bakın. Gerekirse lisans satın alabilir veya deneme lisansları alabilirsiniz.
  • Uygulama Yöneticisi hesabı.

Kullanıcı kimlikleri bir şirket içi dizinden eşitlenmeli veya doğrudan Microsoft Entra kiracılarınızda oluşturulmalıdır. Kimlik eşitleme, Microsoft Entra Id'nin kullanıcılara uygulama ara sunucusu tarafından yayımlanan uygulamalara erişim vermeden önce ön kimlik doğrulaması yapmasına ve çoklu oturum açma (SSO) gerçekleştirmek için gerekli kullanıcı tanımlayıcı bilgilerine sahip olmasını sağlar.

Windows sunucusu

Microsoft Entra özel ağ bağlayıcısı, Windows Server 2012 R2 veya üzerini çalıştıran bir sunucu gerektirir. Özel ağ bağlayıcısını sunucuya yükleyeceksiniz. Bu bağlayıcı sunucusunun Microsoft Entra Özel Erişim hizmetine veya uygulama ara sunucusu hizmetine ve yayımlamayı planladığınız özel kaynaklara veya uygulamalara bağlanması gerekir.

Önemli

Windows Server 2019 veya sonraki sürümlerde Microsoft Entra uygulama ara sunucusu ile Microsoft Entra özel ağ bağlayıcısını kullanırken HTTP 2.0'ı devre dışı bırakın.

HTTP2 Kerberos Kısıtlanmış Temsilinin düzgün çalışması için bileşendeki WinHttp protokol desteğini devre dışı bırakın. Bu, desteklenen işletim sistemlerinin önceki sürümlerinde varsayılan olarak devre dışıdır. Aşağıdaki kayıt defteri anahtarının eklenmesi ve sunucunun yeniden başlatılması Windows Server 2019 ve sonraki sürümlerde devre dışı bırakılır. Bu, makine genelinde bir kayıt defteri anahtarıdır.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

Anahtar, PowerShell aracılığıyla aşağıdaki komutla ayarlanabilir:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Uyarı

Microsoft Entra Parola Koruması Proxy'sini dağıttıysanız, Microsoft Entra uygulama proxy'si ve Microsoft Entra Parola Koruması Proxy'sini aynı makineye birlikte yüklemeyin. Microsoft Entra uygulama ara sunucusu ve Microsoft Entra Parola Koruma Proxy'si, Microsoft Entra Connect Aracısı Güncelleştirici hizmetinin farklı sürümlerini yükler. Bu farklı sürümler aynı makineye birlikte yüklendiğinde uyumsuz.

Aktarım Katmanı Güvenliği (TLS) gereksinimleri

Özel ağ bağlayıcısını yüklemeden önce Windows bağlayıcı sunucusunda TLS 1.2'nin etkinleştirilmesi gerekir.

TLS 1.2'yi etkinleştirmek için:

  1. Kayıt defteri anahtarlarını ayarlayın.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Sunucuyu yeniden başlatın.

Not

Microsoft, Azure hizmetlerini farklı bir Kök Sertifika Yetkilileri (CA) kümesindeki TLS sertifikalarını kullanacak şekilde güncelleştiriyor. Geçerli CA sertifikaları CA/Browser Forum Temeli gereksinimlerinden birine uymadığından bu değişiklik yapılıyor. Daha fazla bilgi için bkz . Azure TLS sertifika değişiklikleri.

Bağlayıcı sunucusu için öneriler

  • Bağlayıcı ve uygulama arasındaki performansı en iyi duruma getirme. Bağlayıcı sunucusunu uygulama sunucularına yakın fiziksel olarak bulun. Daha fazla bilgi için bkz . Microsoft Entra uygulama ara sunucusu ile trafik akışını iyileştirme.
  • Bağlayıcı sunucusunun ve web uygulaması sunucularının aynı Active Directory etki alanında veya güvenen etki alanlarında olduğundan emin olun. Sunucuların aynı etki alanında olması veya etki alanlarına güvenmesi, tümleşik Windows kimlik doğrulaması (IWA) ve Kerberos Kısıtlanmış Temsili (KCD) ile çoklu oturum açma (SSO) kullanmak için bir gereksinimdir. Bağlayıcı sunucusu ve web uygulaması sunucuları farklı Active Directory etki alanlarındaysa çoklu oturum açma için kaynak tabanlı temsilci kullanın.

Şirket içi ortamınızı hazırlama

Ortamınızı Microsoft Entra uygulama ara sunucusuna hazırlamak için Azure veri merkezleriyle iletişimi etkinleştirerek başlayın. Yolda bir güvenlik duvarı varsa, açık olduğundan emin olun. Açık bir güvenlik duvarı bağlayıcının Uygulama Ara Sunucusuna HTTPS (TCP) istekleri göndermesine izin verir.

Önemli

Azure Kamu bulut için bağlayıcıyı yüklüyorsanız önkoşulları ve yükleme adımlarını izleyin. Bunun için farklı bir URL kümesine erişimin etkinleştirilmesi ve yüklemeyi çalıştırmak için ek bir parametre gerekir.

Açık bağlantı noktaları

Giden trafiğe yönelik aşağıdaki bağlantı noktalarını açın.

Bağlantı noktası numarası Nasıl kullanılır?
80 TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirme
443 Uygulama Ara Sunucusu hizmetiyle tüm giden iletişim

Güvenlik duvarınız trafiği kaynak kullanıcılara göre zorlarsa, Ağ Hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için 80 ve 443 bağlantı noktalarını da açın.

URL'lere erişime izin ver

Aşağıdaki URL'lere erişime izin verin:

URL Bağlantı noktası Nasıl kullanılır?
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Bağlayıcı ile Uygulama Ara Sunucusu bulut hizmeti arasındaki iletişim
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Bağlayıcı sertifikaları doğrulamak için bu URL'leri kullanır.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Bağlayıcı, kayıt işlemi sırasında bu URL'leri kullanır.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP Bağlayıcı, kayıt işlemi sırasında bu URL'leri kullanır.

Güvenlik duvarınız veya ara sunucunuz etki alanı soneklerini temel alarak erişim kurallarını yapılandırmanıza izin veriyorsa, yukarıdaki , *.servicebus.windows.netve diğer URL'lere bağlantılara *.msappproxy.netizin vekleyebilirsiniz. Aksi takdirde, Azure IP aralıklarına ve Hizmet Etiketleri - Genel Bulut'a erişime izin vermeniz gerekir. IP aralıkları her hafta güncelleştirilir.

Önemli

Microsoft Entra özel ağ bağlayıcıları ile Microsoft Entra uygulama ara sunucusu Bulut hizmetleri arasındaki giden TLS iletişimlerinde tüm satır içi inceleme ve sonlandırma biçimlerinden kaçının.

Bağlayıcı yükleme ve kaydetme

Özel Erişim'i kullanmak için, Microsoft Entra Özel Erişim için kullandığınız her Windows sunucusuna bir bağlayıcı yükleyin. Bağlayıcı, şirket içi uygulama sunucularından Genel Güvenli Erişim'e giden bağlantıyı yöneten bir aracıdır. Microsoft Entra Connect gibi başka kimlik doğrulama aracılarının da yüklü olduğu sunuculara bir bağlayıcı yükleyebilirsiniz.

Not

Özel Erişim için gereken en düşük bağlayıcı sürümü 1.5.3417.0'dır. 1.5.3437.0 sürümünden başlayarak, başarılı yükleme (yükseltme) için .NET sürüm 4.7.1 veya üzeri olması gerekir.

Not

Marketten Azure ve AWS İş Yükleriniz için Özel Ağ Bağlayıcısı Dağıtma (Önizleme)

Özel Ağ Bağlayıcısı artık Microsoft Entra yönetim merkezine ek olarak Azure Market ve AWS Market'te (önizlemede) kullanılabilir. Market teklifleri, kullanıcıların basitleştirilmiş bir model aracılığıyla önceden yüklenmiş Özel Ağ Bağlayıcısı ile bir Windows sanal makinesi dağıtmasına olanak tanır. Bu işlem, yükleme ve kaydı otomatikleştirerek kolaylık ve verimliliği artırır.

Bağlayıcıyı Microsoft Entra yönetim merkezinden yüklemek için:

  1. Uygulama Ara Sunucusu kullanan dizinin Uygulama Yöneticisi olarak Microsoft Entra yönetim merkezinde oturum açın.

    • Örneğin, kiracı etki alanı contoso.com, yöneticinin veya bu etki alanında başka bir yönetici diğer adı olması admin@contoso.com gerekir.

  2. Sağ üst köşedeki kullanıcı adınızı seçin. Uygulama Ara Sunucusu kullanan bir dizinde oturum açtığınızı doğrulayın. Dizinleri değiştirmeniz gerekiyorsa Dizini değiştir'i seçin ve Uygulama Ara Sunucusu kullanan bir dizin seçin.

  3. Genel Güvenli Erişim>Bağlantı>Bağlayıcıları'na göz atın.

  4. Bağlayıcı hizmetini indir'i seçin.

    Uygulama ara sunucusu sayfasındaki Bağlayıcı hizmetini indir düğmesinin ekran görüntüsü.

  5. Hizmet Koşulları'nı okuyun. Hazır olduğunuzda Koşulları kabul et ve İndir'i seçin.

  6. Bağlayıcıyı yüklemek için pencerenin en altında Çalıştır'ı seçin. Yükleme sihirbazı açılır.

  7. Hizmeti yüklemek için sihirbazdaki yönergeleri izleyin. Bağlayıcıyı Microsoft Entra kiracınızın Uygulama Ara Sunucusu kaydetmeniz istendiğinde Uygulama Yöneticisi kimlik bilgilerinizi sağlayın.

    • Internet Explorer (IE) için: IE Gelişmiş Güvenlik Yapılandırması Açık olarak ayarlandıysa kayıt ekranını göremeyebilirsiniz. Erişim elde etmek için hata iletisindeki yönergeleri izleyin. Internet Explorer Gelişmiş Güvenlik Yapılandırması'nın Kapalı olarak ayarlandığından emin olun.

Bilinmesi gerekenler

Daha önce bir bağlayıcı yüklediyseniz, en son sürümü edinmek için bağlayıcıyı yeniden yükleyin. Yükseltme sırasında mevcut bağlayıcıyı kaldırın ve ilgili klasörleri silin. Daha önce yayımlanan sürümler ve bunların hangi değişiklikleri içerdiği hakkında bilgi edinmek için bkz. Uygulama Ara Sunucusu: Sürüm Sürüm Geçmişi.

Şirket içi uygulamalarınız için birden fazla Windows sunucusuna sahip olmak isterseniz bağlayıcıyı her sunucuya yüklemeniz ve kaydetmeniz gerekir. Bağlayıcıları bağlayıcı grupları halinde düzenleyebilirsiniz. Daha fazla bilgi için bkz . bağlayıcı grupları.

Bağlayıcılar, kapasite planlaması ve bunların nasıl güncel kaldığı hakkında bilgi için bkz . Microsoft Entra özel ağ bağlayıcılarını anlama.

Not

Microsoft Entra Özel Erişim çok coğrafi bağlayıcıları desteklemez. Bağlayıcılarınız varsayılan bölgenizden farklı bölgelerde yüklü olsa bile, bağlayıcınızın bulut hizmeti örnekleri Microsoft Entra kiracınızla (veya bu kiracıya en yakın bölgeyle) aynı bölgede seçilir.

Yüklemeyi ve kaydı doğrulama

Yeni bir bağlayıcının doğru yüklendiğini onaylamak için Genel Güvenli Erişim portalını veya Windows sunucunuzu kullanabilirsiniz.

Uygulama ara sunucusu sorunlarını giderme hakkında bilgi için bkz . Uygulama ara sunucusu uygulama sorunlarını ayıklama.

Microsoft Entra yönetim merkezi aracılığıyla yüklemeyi doğrulama

Bağlayıcının doğru yüklendiğini ve kaydedilip kaydedilmediğini onaylamak için:

  1. Uygulama Ara Sunucusu kullanan dizinin Uygulama Yöneticisi olarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Genel Güvenli Erişim>Bağlantı>Bağlayıcıları'na göz atın

    • Tüm bağlayıcılarınız ve bağlayıcı gruplarınız bu sayfada görünür.

  3. Ayrıntılarını doğrulamak için bağlayıcıyı görüntüleyin.

    • Henüz genişletilmemişse ayrıntıları görüntülemek için bağlayıcıyı genişletin.
    • Etkin yeşil etiket, bağlayıcınızın hizmete bağlanabileceğini gösterir. Ancak etiket yeşil olsa da bir ağ sorunu bağlayıcının ileti almasını engelleyebilir.

    Bağlayıcı gruplarının ve bağlayıcı grubu ayrıntılarının ekran görüntüsü.

Bağlayıcı yükleme konusunda daha fazla yardım için bkz . Bağlayıcı sorunlarını giderme.

Windows sunucunuz aracılığıyla yüklemeyi doğrulama

Bağlayıcının doğru yüklendiğini ve kaydedilip kaydedilmediğini onaylamak için:

  1. Windows anahtarını seçin ve Windows Services Manager'ı açmak için girinservices.msc.

  2. Aşağıdaki hizmetlerin durumunun Çalışıyor olup olmadığını denetleyin.

    • Microsoft Entra özel ağ bağlayıcısı bağlantı sağlar.
    • Microsoft Entra özel ağ bağlayıcısı güncelleştiricisi otomatik güncelleştirme hizmetidir.
    • Güncelleştirici bağlayıcının yeni sürümlerini denetler ve bağlayıcıyı gerektiği gibi güncelleştirir.

    Windows Services Manager'daki özel ağ bağlayıcısı ve bağlayıcı güncelleştirici hizmetlerinin ekran görüntüsü.

  3. Hizmetlerin durumu Çalışıyor değilse, sağ tıklayarak her hizmeti seçin ve Başlat'ı seçin.

Bağlayıcı grupları oluşturma

İstediğiniz kadar bağlayıcı grubu oluşturmak için:

  1. Genel Güvenli Erişim>Bağlantı>Bağlayıcıları'na göz atın.
  2. Yeni bağlayıcı grubu'nı seçin.
  3. Yeni bağlayıcı grubunuz için bir ad verin, ardından açılan menüyü kullanarak bu gruba hangi bağlayıcıların ait olduğunu seçin.
  4. Kaydet'i seçin.

Bağlayıcı grupları hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra özel ağ bağlayıcı gruplarını anlama.

Sonraki adımlar

Microsoft Entra Özel Erişim kullanmaya başlamak için bir sonraki adım, Hızlı Erişim veya Genel Güvenli Erişim uygulamasını yapılandırmaktır: