如何設定 Microsoft Entra 私人存取和 Microsoft Entra 應用程式 Proxy 的專用網連接器

  • 發行項

連線 器是位於專用網中伺服器的輕量型代理程序,有助於與全域安全存取服務的輸出連線。 連線 ors 必須安裝在可存取後端資源和應用程式的 Windows Server 上。 您可以將連接器組織成連接器群組,每個群組處理特定應用程式的流量。 若要深入了解連接器,請參閱 瞭解 Microsoft Entra 專用網連接器

必要條件

若要將私人資源和應用程式新增至 Microsoft Entra 識別碼,您需要:

使用者身分識別必須從內部部署目錄同步處理,或直接在 Microsoft Entra 租使用者內建立。 身分識別同步處理可讓 Microsoft Entra ID 預先驗證使用者,再授與應用程式 Proxy 已發佈應用程式的存取權,並具有執行單一登錄的必要使用者標識符資訊。

Windows Server

Microsoft Entra 專用網連接器需要執行 Windows Server 2012 R2 或更新版本的伺服器。 您將在伺服器上安裝專用網連接器。 此連接器伺服器必須連線到 Microsoft Entra 私人存取 服務或應用程式 Proxy 服務,以及您打算發佈的私人資源或應用程式。

  • 針對您環境中的高可用性,建議您擁有一部以上的 Windows 伺服器。
  • 連接器所需的最低 .NET 版本是 v4.7.1+。
  • 如需詳細資訊,請參閱 專用網連接器
  • 如需詳細資訊,請參閱 判斷已安裝哪些 .NET Framework 版本。

警告

如果您已部署 Microsoft Entra 密碼保護 Proxy,請勿在同一部計算機上安裝 Microsoft Entra 應用程式 Proxy 和 Microsoft Entra 密碼保護 Proxy。 Microsoft Entra 應用程式 Proxy 和 Microsoft Entra Password Protection Proxy 會安裝不同版本的 Microsoft Entra 連線 Agent Updater 服務。 這些不同的版本在相同電腦上安裝時不相容。

傳輸層安全性 (TLS) 需求

安裝專用網連接器之前,Windows 連接器伺服器必須啟用 TLS 1.2。

若要啟用 TLS 1.2:

  1. 設定登錄機碼。

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. 重新啟動伺服器。

注意

Microsoft 正在更新 Azure 服務,以使用來自不同跟證書授權單位 (CA) 的 TLS 憑證。 因為目前的 CA 憑證不符合其中一個 CA/瀏覽器論壇基準需求,因此正在進行這項變更。 如需詳細資訊,請參閱 Azure TLS 憑證變更

連接器伺服器的 建議

  • 將連接器與應用程式之間的效能優化。 實際找出靠近應用程式伺服器的連接器伺服器。 如需詳細資訊,請參閱 使用 Microsoft Entra 應用程式 Proxy 優化流量流程。
  • 請確定連接器伺服器和 Web 應用程式伺服器位於相同的 Active Directory 網域中,或跨越信任網域。 將伺服器放在相同網域或信任網域中,是搭配整合式 Windows 驗證 (IWA) 和 Kerberos 限制委派 (KCD) 使用單一登錄 (SSO) 的需求。 如果連接器伺服器和 Web 應用程式伺服器位於不同的 Active Directory 網域中,請使用以資源為基礎的委派進行單一登錄。

準備內部部署環境

首先,啟用與 Azure 資料中心的通訊,為您的環境準備 Microsoft Entra 應用程式 Proxy。 如果路徑中有防火牆,請確定防火牆已開啟。 防火牆開啟才能讓連接器對「應用程式 Proxy」提出 HTTPS (TCP) 要求。

重要

如果您要安裝適用於 Azure Government 雲端的連接器, 請遵循必要條件安裝步驟。 這需要啟用對不同 URL 集合的存取,以及執行安裝的其他參數。

開啟連接埠

開啟下列埠至 輸出 流量。

連接埠號碼 使用方式
80 正在驗證 TLS/SSL 憑證時下載憑證時下載憑證 ( CRL)
443 與 應用程式 Proxy 服務的所有輸出通訊

如果您的防火牆會根據原始用戶強制執行流量,也開啟埠 80 和 443 作為網路服務執行的 Windows 服務流量。

允許存取 URL

允許存取下列 URL:

URL 連接埠 使用方式
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS 連接器與 應用程式 Proxy 雲端服務之間的通訊
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP 連接器會使用這些 URL 來驗證憑證。
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS 連接器會在註冊程式期間使用這些 URL。
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP 連接器會在註冊程式期間使用這些 URL。

如果您的防火牆或 Proxy 可讓您根據網域後綴來設定存取規則,您可以允許連線至 *.msappproxy.net*.servicebus.windows.net、 和其他 URL。 如果沒有,您必須允許存取 Azure IP 範圍和服務標籤 - 公用雲端。 IP 範圍每周都會更新。

重要

避免 Microsoft Entra 專用網連接器與 Microsoft Entra 應用程式 Proxy 雲端服務之間輸出 TLS 通訊上的所有內嵌檢查和終止形式。

安裝並註冊連接器

若要使用 Private Access,請在您用於 Microsoft Entra 私人存取 的每個 Windows 伺服器上安裝連接器。 連接器是一種代理程式,可管理從內部部署應用程式伺服器到全域安全存取的輸出連線。 您可以在安裝其他驗證代理程式的伺服器上安裝連接器,例如 Microsoft Entra 連線。

注意

Private Access 所需的連接器最低版本為 1.5.3417.0。 從 1.5.3437.0 版開始,成功安裝 (升級) 需要 .NET 4.7.1 版或更新版本。

若要安裝連接器

  1. 以使用 應用程式 Proxy 之目錄的全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

    • 例如,如果租使用者網域 contoso.com,則系統管理員應該是 admin@contoso.com 該網域上的任何其他系統管理員別名。

  2. 選取右上角的用戶名稱。 確認您已登入使用 應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄],然後選擇使用 應用程式 Proxy 的目錄。

  3. 流覽至全域安全存取(預覽版)>連線> 連線 ors。

  4. 選取 [ 下載連接器服務]。

    應用程式 Proxy 頁面中 [下載連接器服務] 按鈕的螢幕快照。

  5. 閱讀服務條款。 當您準備好時,請選取 [ 接受條款及下載]。

  6. 在視窗底部,選取 [ 執行 ] 以安裝連接器。 安裝精靈隨即開啟。

  7. 請遵循精靈中的指示來安裝服務。 當系統提示您向 Microsoft Entra 租使用者的 應用程式 Proxy 註冊連接器時,請提供您的全域 管理員 istrator 認證。

    • 若為 Internet Explorer (IE):如果 IE 增強式安全性設定設定設為 [開啟],您可能看不到註冊畫面。 若要取得存取權,請遵循錯誤訊息中的指示。 請確定 Internet Explorer 增強式安全性組態已設定為 [關閉]。

須知事項

如果您先前已安裝連接器,請重新安裝以取得最新版本。 升級時,卸載現有的連接器並刪除任何相關資料夾。 若要查看先前發行版本的相關信息及其包含哪些變更,請參閱 應用程式 Proxy:版本發行歷程記錄

如果您選擇針對內部部署應用程式擁有多個 Windows 伺服器,您必須在每部伺服器上安裝並註冊連接器。 您可以將連接器組織成連接器群組。 如需詳細資訊,請參閱 連接器群組

如需連接器、容量規劃及其最新狀態的相關信息,請參閱 瞭解 Microsoft Entra 專用網連接器

注意

Microsoft Entra 私人存取 不支援多地理位置連接器。 即使您已將連接器安裝在不同於預設區域的區域中,您連接器的雲端服務實例仍會與 Microsoft Entra 租用戶位於相同的區域中(或最接近的區域)。

確認安裝和註冊

您可以使用全域安全存取入口網站或 Windows 伺服器來確認新連接器已正確安裝。

如需針對應用程式 Proxy 問題進行疑難解答的詳細資訊,請參閱 偵錯應用程式 Proxy 應用程式問題

透過 Microsoft Entra 系統管理中心確認安裝

若要確認連接器已安裝並正確註冊:

  1. 以使用 應用程式 Proxy 之目錄的全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至全域安全存取 (預覽)>連線> 連線 ors

    • 您所有的連接器和連接器群組都會出現在此頁面上。

  3. 檢視連接器以確認其詳細數據。

    • 如果連接器尚未展開,請展開連接器以檢視詳細數據。
    • 使用中的綠色標籤表示您的連接器可以連線到服務。 不過,即使標籤為綠色,網路問題仍可能會封鎖連接器接收訊息。

    連接器群組和連接器群組詳細數據的螢幕快照。

如需安裝連接器的詳細資訊,請參閱 針對連接器進行疑難解答。

透過 Windows 伺服器確認安裝

若要確認連接器已安裝並正確註冊:

  1. 選取 Windows 金鑰,然後輸入 services.msc 以開啟 Windows 服務管理員。

  2. 檢查下列服務 的狀態是否正在執行

    • Microsoft Entra 專用網連接器 可啟用連線能力。
    • Microsoft Entra 專用網連接器 Updater 是自動更新服務。
    • 更新程式會檢查連接器的新版本,並視需要更新連接器。

    Windows Services Manager 中專用網連接器和連接器更新程式服務的螢幕快照。

  3. 如果服務的狀態未 執行,請以滑鼠右鍵按下以選取每個服務,然後選擇 [ 啟動]。

建立連接器群組

若要視需要建立多個連接器群組:

  1. 流覽至全域安全存取(預覽版)>連線> 連線 ors。
  2. 選取 [ 新增連接器群組]。
  3. 為您的新連接器群組命名,然後使用下拉功能表來選取屬於此群組中的連接器。
  4. 選取 [儲存]。

若要深入瞭解連接器群組,請參閱 瞭解 Microsoft Entra 專用網連接器群組

使用規定

您使用 Microsoft Entra 私人存取 和 Microsoft Entra 網際網路存取 預覽體驗和功能,會受您取得服務之合約的預覽在線服務條款及條件所控管。 預覽可能會受限於降低或不同的安全性、合規性和隱私權承諾,如 在線服務和Microsoft 產品和服務數據保護增補條款(“DPA”)以及預覽版所提供的任何其他通知中所述。

下一步

開始使用 Microsoft Entra 私人存取 的下一個步驟是設定快速存取或全域安全存取應用程式: