Partager via


Présentation du connecteur de réseau privé Microsoft Entra

Les connecteurs rendent le proxy d’application et l’Accès privé Microsoft Entra possibles. Ils sont simples, faciles à déployer et à gérer et très puissants. Cet article présente les connecteurs, leur fonctionnement et des suggestions pour optimiser le déploiement.

Qu’est-ce qu’un connecteur de réseau privé ?

Les connecteurs sont des agents légers présents dans un réseau privé qui facilitent la connexion sortante vers les services de proxy d’application et d’Accès privé Microsoft Entra. Les connecteurs doivent être installés sur un serveur Windows qui a accès aux ressources de back-end. Vous pouvez organiser les connecteurs dans des groupes de connecteurs, et chaque groupe gère le trafic vers des ressources spécifiques. Pour plus d’informations sur le proxy d’application et pour avoir une représentation schématique de son architecture, consultez Utilisation du proxy d’application Microsoft Entra pour publier des applications locales pour les utilisateurs distants.

Pour savoir comment configurer le connecteur de réseau privé Microsoft Entra, consultez Comment configurer des connecteurs de réseau privé pour l’Accès privé Microsoft Entra.

Les connecteurs de réseau privé sont des agents légers déployés localement qui facilitent la connexion sortante au service de proxy d’application dans le cloud. Les connecteurs doivent être installés sur un serveur Windows ayant accès à l’application back-end. Les utilisateurs se connectent au service cloud de proxy d’application qui route leur trafic vers les applications en utilisant les connecteurs.

La configuration et l’inscription entre un connecteur et le service de proxy d’application s’effectuent de la manière suivante :

  1. L’administrateur informatique ouvre les ports 80 et 443 pour le trafic sortant et autorise l’accès à plusieurs URL servant au connecteur, au service de proxy d’application et à Microsoft Entra ID.
  2. L'administrateur se connecte au centre d'administration Microsoft Entra et exécute un exécutable pour installer le connecteur sur un serveur Windows sur site.
  3. Le connecteur commence à « écouter » sur le service de proxy d’application.
  4. L'administrateur ajoute l'application locale à Microsoft Entra ID et configure des paramètres comme l'URL dont les utilisateurs ont besoin pour se connecter à leurs applications.

Nous vous recommandons de toujours déployer plusieurs connecteurs pour des questions de redondance et de mise à l’échelle. Les connecteurs, conjointement avec le service, gèrent toutes les tâches de haute disponibilité et peuvent être ajoutés ou supprimés dynamiquement. Chaque fois qu’une nouvelle demande arrive, elle est routée vers l’un des connecteurs disponibles. Lorsqu’un connecteur est en cours d’exécution, il reste actif car il se connecte au service. Si un connecteur est temporairement indisponible, il ne répond pas à ce trafic. Les connecteurs inutilisés sont marqués comme inactifs et supprimés au bout de 10 jours d’inactivité.

Les connecteurs interrogent également le serveur pour déterminer si une version plus récente du connecteur est disponible. Bien que vous puissiez effectuer une mise à jour manuelle, les connecteurs sont mis à jour automatiquement tant que le service de mise à jour du connecteur de réseau privé est en cours d’exécution. Pour les abonnés avec plusieurs connecteurs, les mises à jour automatiques ciblent un seul connecteur à la fois dans chaque groupe afin d’éviter les temps d’arrêt dans votre environnement.

Remarque

Vous pouvez monitorer la page d’historique des versions pour rester informé des dernières mises à jour.

Chaque connecteur de réseau privé est affecté à un groupe de connecteurs. Les connecteurs d’un même groupe de connecteurs agissent comme une seule unité pour assurer la haute disponibilité et l’équilibrage de charge. Vous pouvez créer de nouveaux groupes, leur attribuer des connecteurs dans le centre d'administration Microsoft Entra, puis attribuer des connecteurs spécifiques pour servir des applications spécifiques. Nous vous recommandons d’avoir au moins deux connecteurs dans chaque groupe de connecteurs pour assurer la haute disponibilité.

Les groupes de connecteurs sont utiles pour prendre en charge les scénarios suivants :

  • Publication d’applications géographiques
  • Segmentation/isolation des applications
  • Publication d’applications web s’exécutant dans le cloud ou localement

Pour en savoir plus sur le choix de l'emplacement d'installation de vos connecteurs et l'optimisation de votre réseau, reportez-vous à Considérations relatives à la topologie de réseau lors de l'utilisation du proxy d'application Microsoft Entra.

Maintainance

Les connecteurs et le service se chargent de toutes les tâches de haut niveau de disponibilité. Vous pouvez les ajouter ou supprimer de manière dynamique. Les nouvelles requêtes sont routées vers l’un des connecteurs disponibles. Si un connecteur est temporairement indisponible, il ne répond pas à ce trafic.

Les connecteurs sont sans état et ne disposent d’aucune donnée de configuration sur l’ordinateur. Les seules données qu’ils stockent sont les paramètres de connexion au service et le certificat d’authentification. Lorsqu’ils se connectent au service, ils extraient toutes les données de configuration requises et les actualisent toutes les deux minutes.

Les connecteurs interrogent également le serveur pour déterminer s’il existe une version plus récente du connecteur. S’il en existe une, les connecteurs se mettent à jour.

Vous pouvez surveiller vos connecteurs à partir de l’ordinateur sur lequel ils s’exécutent, à l’aide du journal d’événements et des compteurs de performances. Vous pouvez également voir leur état dans le centre d’administration Microsoft Entra. Pour l’Accès privé Microsoft Entra, accédez à Accès global sécurisé, Connexion et sélectionnez Connecteurs. Pour le proxy d’application, accédez à Identité, Applications, Applications d’entreprise, puis sélectionnez l’application. Dans la page de l’application, sélectionnez Proxy d’application.

Vous n’êtes pas obligé de supprimer manuellement les connecteurs qui ne sont pas utilisés. Lorsqu’un connecteur est en cours d’exécution, il reste actif car il se connecte au service. Les connecteurs inutilisés sont marqués comme _inactive_ et sont supprimés au bout de 10 jours d’inactivité. Toutefois, si vous souhaitez réellement désinstaller un connecteur, désinstallez le service du connecteur et le service de mise à jour du serveur. Redémarrez l’ordinateur pour supprimer complètement le service.

Mises à jour automatiques

Microsoft Entra ID fournit les mises à jour automatiques pour tous les connecteurs que vous déployez. Tant que le service de mise à jour du connecteur de réseau privé s’exécute, vos connecteurs sont automatiquement mis à jour vers la dernière version principale du connecteur. Si vous ne voyez pas le service Connector Updater sur votre serveur, vous devez réinstaller votre connecteur pour obtenir les mises à jour.

Si vous ne souhaitez pas attendre le chargement d’une mise à jour automatique sur votre connecteur, vous pouvez effectuer une mise à niveau manuelle. Accédez à la page de téléchargement du connecteur sur le serveur où votre connecteur se trouve et sélectionnez Télécharger. Ce processus lance une mise à niveau du connecteur local.

Pour les abonnés avec plusieurs connecteurs, les mises à jour automatiques ciblent un seul connecteur à la fois dans chaque groupe afin d’éviter les temps d’arrêt dans votre environnement.

Vous pouvez rencontrer des temps d’arrêt lors de la mise à jour de votre connecteur si :

  • Vous n’avez qu’un seul connecteur. Un deuxième connecteur et un groupe de connecteurs sont recommandés pour éviter les temps d’arrêt et fournir une plus haute disponibilité.
  • Un connecteur se trouvait au milieu d’une transaction lorsque la mise à jour a commencé. Bien que la transaction d’origine soit perdue, votre navigateur devrait automatiquement relancer l’opération, ou vous pouvez actualiser votre page. Lorsque la demande est renvoyée, le trafic est acheminé vers un connecteur de secours.

Pour avoir des informations sur les versions précédentes et les changements qu’elles incluent, consultez Proxy d’application – Historique des versions.

Créer des groupe de connecteurs

Les groupes de connecteurs vous permettent d’assigner des connecteurs spécifiques afin de servir des applications spécifiques. Vous pouvez regrouper de nombreux connecteurs, puis attribuer chaque ressource ou application à un groupe.

Les groupes de connecteurs facilitent la gestion de déploiements à grande échelle. Ils améliorent aussi la latence pour les locataires dont les ressources et les applications sont hébergées dans différentes régions, car vous pouvez créer des groupes de connecteurs en fonction de la localisation pour servir uniquement des applications locales.

Pour en savoir plus sur les groupes de connecteurs, consultez Présentation des groupes de connecteurs de réseau privé Microsoft Entra.

Sécurité et mise en réseau

Les connecteurs peuvent être installés n’importe où sur le réseau du moment qu’ils peuvent envoyer des demandes aux services Proxy d’application et Accès privé Microsoft Entra. L’important est que l’ordinateur qui exécute le connecteur ait également accès à vos applications et ressources. Vous pouvez installer les connecteurs à l’intérieur de votre réseau d’entreprise ou sur une machine virtuelle qui s’exécute dans le cloud. Les connecteurs peuvent s’exécuter dans réseau de périmètre, également appelé zone démilitarisée (DMZ), mais ce n’est pas nécessaire car tout le trafic est sortant afin sécuriser votre réseau.

Les connecteurs envoient uniquement des demandes sortantes. Le trafic sortant est envoyé au service et aux applications et ressources publiées. Il n’est pas nécessaire pour ouvrir des ports d’entrée car le trafic passe dans les deux sens une fois qu’une session est établie. Il n’est pas non plus nécessaire de configurer l’accès entrant à travers les pare-feu.

Pour plus d’informations sur la configuration des règles sortantes de pare-feu, consultez Travailler avec des serveurs proxy locaux existants.

Performances et évolutivité

La mise à l’échelle des services Proxy d’application et Accès privé Microsoft Entra est transparente, mais l’échelle est un facteur pour les connecteurs. Vous devez disposer de suffisamment de connecteurs pour gérer les pics de trafic. Les connecteurs sont sans état, et le nombre d’utilisateurs ou de sessions ne les affecte pas. Ils varient plutôt selon le nombre de requêtes et leur taille de charge utile. Avec le trafic web standard, une machine moyenne peut gérer 2 000 requêtes par seconde. La capacité spécifique dépend des caractéristiques exactes de la machine.

Le processeur et le réseau définissent les performances du connecteur. Un processeur performant est nécessaire au chiffrement et au déchiffrement TLS, tandis que le réseau est important pour obtenir une connectivité rapide aux applications et au service en ligne.

En revanche, la mémoire est moins problématique pour les connecteurs. Le service en ligne s’occupe de la majeure partie du traitement et de tout le trafic non authentifié. Tout ce qui peut être effectué dans le cloud est réalisé dans le cloud.

Lorsque des connecteurs ou des machines ne sont pas disponibles, le trafic est dirigé vers un autre connecteur du groupe. Le fait de disposer de plusieurs connecteurs dans un groupe de connecteurs offre une résilience.

Un autre facteur affectant les performances est la qualité de la connexion réseau entre les connecteurs, y compris :

  • Service en ligne : les connexions à latence faible ou élevée au service Microsoft Entra influencent les performances du connecteur. Pour des performances optimales, connectez votre organisation à Microsoft avec Express Route. Sinon, demandez à l’équipe réseau de garantir que les connexions à Microsoft sont gérées le plus efficacement possible.
  • Applications de back-end : dans certains cas, il existe des proxys supplémentaires entre le connecteur et les applications et ressources de back-end susceptibles de ralentir ou d’empêcher des connexions. Pour résoudre les problèmes de ce scénario, ouvrez un navigateur à partir du serveur du connecteur et essayez d’accéder à l’application ou ressource. Si vous exécutez les connecteurs dans le cloud alors que les applications sont locales, l’expérience peut ne pas être celle attendue par vos utilisateurs.
  • Contrôleurs de domaine : Si les connecteurs assurent l’authentification unique (SSO) à l’aide de la délégation Kerberos contrainte, ils contactent les contrôleurs de domaine avant d’envoyer la demande au serveur principal. Les connecteurs ont un cache de tickets Kerberos, mais dans un environnement occupé, la réactivité des contrôleurs de domaine peut affecter les performances. Ce problème est plus courant pour les connecteurs qui s’exécutent dans Azure mais qui communiques avec les contrôleurs de domaine locaux.

Pour plus d’informations sur l’optimisation de votre réseau, consultez Considérations sur la topologie du réseau lors de l’utilisation du proxy d’application Microsoft Entra.

Jonction de domaine

Les connecteurs peuvent s’exécuter sur une machine qui n’est pas jointe à un domaine. Toutefois, si vous souhaitez utiliser l’authentification unique (SSO) pour les applications qui utilisent Authentification Windows intégrée (IWA), vous avez besoin d’un ordinateur joint à un domaine. Dans ce cas, les ordinateurs du connecteur doivent être joints à un domaine qui peut effectuer la délégation Kerberos contrainte pour le compte des utilisateurs pour les applications publiées.

Les connecteurs peuvent également être joints à des domaines ou forêts qui disposent d’une approbation partielle, ou à des contrôleurs de domaine en lecture seule.

Déploiements des connecteurs sur les environnements de sécurité renforcés

Généralement, le déploiement de connecteurs est simple et ne nécessite aucune configuration spéciale.

Mais certaines conditions uniques doivent être prises en compte :

  • Le trafic sortant nécessite l’ouverture de ports spécifiques. Pour plus d’informations, consultez Configurer les connecteurs.
  • Des machines conformes aux normes FIPS peuvent nécessiter une modification de configuration afin d’autoriser les processus du connecteur à générer et à stocker un certificat.
  • Les proxys de transfert sortants peuvent arrêter l’authentification de certificat bidirectionnelle et entraîner un échec de la communication.

Authentification du connecteur

Afin de fournir un service sécurisé, les connecteurs doivent s’authentifier sur le service, et le service doit s’authentifier sur les connecteurs. L’authentification est effectuée à l’aide de certificats client et serveur lorsque les connecteurs établissent la connexion. De cette façon, le nom d’utilisateur et le mot de passe de l’administrateur ne sont pas stockés sur l’ordinateur du connecteur.

Les certificats utilisés sont propres au service. Ils sont créés lors de l’inscription initiale, et sont renouvelés automatiquement tous les deux mois environ.

Après le premier renouvellement de certificat réussi, le service du connecteur de réseau privé Microsoft Entra (service réseau) n’a pas l’autorisation de supprimer l’ancien certificat dans le magasin de la machine locale. Si le certificat expire ou n’est pas utilisé par le service, vous pouvez le supprimer sans risque.

Pour éviter les problèmes de renouvellement de certificat, vérifiez que la communication réseau du connecteur vers les destinations documentées est activée.

Si un connecteur n’est pas connecté au service pendant plusieurs mois, ses certificats ont peut-être expiré. Dans ce cas, désinstallez et réinstallez le connecteur pour déclencher l’inscription. Vous pouvez exécuter les commandes PowerShell suivantes :

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Pour les administrations, utilisez -EnvironmentName "AzureUSGovernment". Pour plus d’informations, consultez Installer l’agent pour le cloud Azure Government.

Pour découvrir comment vérifier le certificat et résoudre les problèmes, consultez Vérifier la prise en charge du certificat de confiance du proxy d’application par la machine et les composants back-end.

Sous le capot

Comme les connecteurs sont installés sur Windows Server, ils ont la plupart des mêmes outils de gestion, y compris les journaux d’événements Windows et les compteurs de performances Windows.

Les connecteurs ont des journaux de session et d’administration. Le journal d’administration inclut les événements principaux et leurs erreurs. Le journal de session contient toutes les transactions et les détails de leur traitement.

Pour voir les journaux, ouvrez l’observateur d'événements et accédez à Journaux des applications et des services>Microsoft>Réseau privé Microsoft Entra>Connecteur. Pour rendre le journal de session visible, dans le menu Affichage, sélectionnez Afficher les journaux d’analyse et de débogage. Le journal de session est généralement utilisé pour la résolution des problèmes. Il est désactivé par défaut. Activez-le pour commencer à collecter des événements, et désactivez-le lorsqu’il n’est plus nécessaire.

Vous pouvez examiner l’état du service dans la fenêtre Services. Le connecteur se compose de deux services Windows : le connecteur lui-même et le programme de mise à jour. Tous deux doivent s’exécuter en permanence.

Connecteurs inactifs

Voici un problème courant : les connecteurs apparaissent comme inactifs dans un groupe de connecteurs. Un pare-feu bloquant les ports requis est une cause courante de connecteurs inactifs.

Étapes suivantes