Informazioni sul connettore di rete privata di Microsoft Entra
I connettori rendono possibile il funzionamento di Accesso privato Microsoft Entra e del proxy dell'applicazione. Sono semplici, estremamente potenti e facile da distribuire e gestire. Questo articolo illustra i connettori, il loro funzionamento e alcune procedure consigliate per ottimizzare al meglio la distribuzione.
Che cos'è un connettore di rete privata?
I connettori sono agenti leggeri che si trovano in una rete privata e facilitano la connessione in uscita ai servizi di Accesso privato Microsoft Entra e proxy dell'applicazione. I connettori devono essere installati su un server Windows dotato di accesso alle risorse back-end. È possibile organizzare i connettori in gruppi di connettori; ogni gruppo gestisce il traffico per applicazioni specifiche. Per altre informazioni sul proxy dell'applicazione e una rappresentazione schematica dell'architettura del proxy dell'applicazione, vedere Uso del proxy di applicazione di Microsoft Entra per pubblicare app locali per gli utenti remoti.
Per informazioni su come configurare il connettore di rete privata di Microsoft Entra, vedere Come configurare i connettori di rete privata per Accesso privato Microsoft Entra.
I connettori di rete privata sono agenti semplici, distribuiti a livello locale, che facilitano la connessione in uscita verso il servizio di proxy dell'applicazione nel cloud. I connettori devono essere installati in un server Windows dotato di accesso all'applicazione back-end. Gli utenti si connettono al servizio cloud di proxy dell'applicazione che indirizza il traffico alle app tramite i connettori, come illustrato di seguito.
Le operazioni di installazione e registrazione tra un connettore e il servizio di proxy dell'applicazione vengono eseguite nel modo seguente:
- L'amministratore IT apre le porte 80 e 443 al traffico in uscita e consente l'accesso agli URL richiesti dal connettore, dal servizio di proxy dell'applicazione e da Microsoft Entra ID.
- L'amministratore accede all'interfaccia di amministrazione di Microsoft Entra e avvia un file eseguibile per installare il connettore su un server Windows in locale.
- Il connettore inizia ad "ascoltare" le richieste del servizio di proxy dell'applicazione.
- L'amministratore aggiunge l'applicazione locale a Microsoft Entra ID e configura le impostazioni, ad esempio gli URL che gli utenti devono usare per connettersi alle proprie app.
È consigliabile distribuire in ogni caso più connettori per garantire ridondanza e scalabilità. Insieme al servizio, i connettori si occupano di tutte le attività che richiedono disponibilità elevata e possono essere aggiunti o rimossi in modo dinamico. Ogni volta che arriva una nuova richiesta, questa viene indirizzata a uno dei connettori disponibili. Quando un connettore è in esecuzione, rimane attivo quando si connette al servizio. Se un connettore è temporaneamente non disponibile, non risponde a questo traffico. I connettori inutilizzati vengono contrassegnati come inattivi e rimossi dopo 10 giorni di inattività.
Viene inoltre eseguito automaticamente il polling del server per verificare se per i connettori è disponibile una versione più recente. Anche se è possibile eseguire un aggiornamento manuale, i connettori vengono aggiornati automaticamente, purché il servizio Application Proxy Connector Updater sia in esecuzione. In caso di tenant con più connettori, gli aggiornamenti automatici vengono applicati a un connettore per volta in ogni gruppo, al fine di evitare tempo di inattività nell'ambiente in uso.
Nota
È possibile monitorare la pagina della cronologia versioni per rimanere informati sugli aggiornamenti più recenti.
Ogni connettore di rete privata viene assegnato a un gruppo di connettori. I connettori appartenenti allo stesso gruppo agiscono come singola unità per la disponibilità elevata e il bilanciamento del carico. È possibile creare nuovi gruppi, assegnare connettori a tali gruppi nell'interfaccia di amministrazione di Microsoft Entra e quindi assegnare connettori specifici per gestire determinate applicazioni. È consigliabile avere almeno due connettori in ogni gruppo per garantire disponibilità elevata.
I gruppi di connettori sono utili quando è necessario supportare gli scenari seguenti:
- Pubblicazione di app geografiche
- Segmentazione/isolamento di applicazioni
- Pubblicazione di app Web in esecuzione nel cloud o in locale
Per altre informazioni sulla scelta della posizione dei connettori e sull'ottimizzazione della rete, vedere Considerazioni relative alla topologia di rete quando si usa il servizio di proxy dell'applicazione di Microsoft Entra.
Gestione
I connettori e il servizio si occupano di tutte le attività che richiedono disponibilità elevata. Possono essere aggiunti o rimossi in modo dinamico. Le nuove richieste vengono instradate a uno dei connettori disponibili. Se un connettore è temporaneamente non disponibile, non risponde a questo traffico.
I connettori sono senza stato e senza dati di configurazione nel computer. Gli unici dati che archiviano sono le impostazioni per la connessione del servizio e il relativo certificato di autenticazione. Quando si connettono al servizio, eseguono il pull di tutti i dati di configurazione necessari e li aggiornano ogni due minuti.
I connettori eseguono inoltre il polling del server per verificare se è disponibile una versione più recente del connettore. Se ne viene individuata una, i connettori vengono aggiornati.
È possibile monitorare i connettori dal computer in cui vengono eseguiti usando il registro eventi e i contatori delle prestazioni. È anche possibile visualizzarne lo stato nell'interfaccia di amministrazione di Microsoft Entra. Per Accesso privato Microsoft Entra, passare a Accesso sicuro globale, Connetti e selezionare Connettori. Per il proxy dell'applicazione, andare a Identità, Applicazioni, Applicazioni aziendali e selezionare l'applicazione. Nella pagina dell'applicazione, selezionare il proxy dell'applicazione.
Non è necessario eliminare manualmente i connettori che non vengono usati. Quando un connettore è in esecuzione, rimane attivo quando si connette al servizio. I connettori inutilizzati vengono contrassegnati come _inactive_
e rimossi dopo 10 giorni di inattività. Per disinstallare un connettore, disinstallare sia il servizio connettore che il servizio di aggiornamento dal server. Riavviare il computer per rimuovere completamente il servizio.
Aggiornamenti automatici
Microsoft Entra ID offre aggiornamenti automatici per tutti i connettori distribuiti. Se il servizio di aggiornamento del connettore di rete privata è in esecuzione, i connettori vengono aggiornati con la versione principale più recente del connettore automaticamente. Se non viene visualizzato il servizio di aggiornamento del connettore nel server, è necessario reinstallare il connettore per ottenere gli aggiornamenti.
Se non si vuole attendere l'aggiornamento automatico del connettore, è possibile eseguire un aggiornamento manuale. Passare alla pagina di download del connettore nel server in cui si trova il connettore e selezionare Download. Grazie a questo processo viene avviato un aggiornamento del connettore locale.
In caso di tenant con più connettori, gli aggiornamenti automatici vengono applicati a un connettore per volta in ogni gruppo, al fine di evitare tempo di inattività nell'ambiente in uso.
Potrebbero verificarsi tempi di inattività quando viene aggiornato il connettore se:
- Si ha un solo connettore. È consigliabile usare un secondo connettore e un gruppo di connettori per evitare tempo di inattività e garantire una maggiore disponibilità.disponibilità.
- Un connettore si trovava nel mezzo di una transazione quando è iniziato l'aggiornamento. Anche se la transazione iniziale viene persa, il browser dovrebbe ripetere automaticamente l'operazione. In caso contrario, è possibile aggiornare la pagina. Quando la richiesta viene inviata di nuovo, il traffico viene indirizzato a un connettore di backup.
Per informazioni sulle versioni rilasciate in precedenza e le modifiche incluse, vedere Cronologia delle versioni del proxy dell'applicazione.
Creazione di gruppi di connettori
I gruppi di connettori consentono di assegnare connettori specifici per gestire applicazioni specifiche. È possibile raggruppare una serie di connettori e quindi assegnare ogni risorsa o applicazione a un gruppo.
I gruppi di connettori rendono più semplice gestire le distribuzioni di grandi dimensioni. Migliorano inoltre la latenza per i tenant che dispongono di risorse e applicazioni ospitate in diverse aree geografiche, poiché è possibile creare gruppi di connettori basati sulla posizione per gestire solo le applicazioni in locale.
Per altre informazioni sui gruppi di connettori, vedere Informazioni sui gruppi connettori di rete privata di Microsoft Entra.
Sicurezza e rete
I connettori possono essere installati in qualsiasi punto della rete che consenta loro di inviare richieste al servizio di proxy dell'applicazione e Accesso privato Microsoft Entra. È importante che il computer che esegue il connettore abbia anche accesso alle app e alle risorse. È possibile installare i connettori all'interno della rete aziendale o in una macchina virtuale che viene eseguita nel cloud. I connettori possono essere eseguiti all'interno di una rete perimetrale, ma non è necessario poiché tutto il traffico è in uscita, in modo che la rete sia protetta.
I connettori inviano le richieste soltanto in uscita. Il traffico in uscita viene inviato al servizio e alle risorse e alle applicazioni pubblicate. Non è necessario aprire porte in ingresso perché il traffico scorre in entrambe le direzioni, dopo aver stabilito una sessione. Non è inoltre necessario configurare l'accesso in ingresso attraverso firewall.
Per maggiori informazioni sulla configurazione delle regole del firewall in uscita, vedere Usare server proxy locali esistenti.
Prestazioni e scalabilità
Anche se la scalabilità per il servizio di proxy dell'applicazione e Accesso privato Microsoft Entra è trasparente, è comunque un fattore per i connettori. È necessario disporre di connettori sufficienti per gestire il traffico di picco. I connettori sono senza stato e il numero di utenti o sessioni non influisce sui connettori. Dipendono invece dal numero di richieste e dalle dimensioni del payload. In caso di traffico Web standard, un computer medio può gestire circa 2.000 richieste al secondo. La capacità specifica dipende dalle esatte caratteristiche del computer.
CPU e rete definiscono le prestazioni del connettore. Le prestazioni della CPU sono necessarie per la crittografia e la decrittografia TLS, mentre la rete è fondamentale per una connettività veloce alle applicazioni e al servizio online.
La memoria, al contrario, ha meno importanza per i connettori. Il servizio online si occupa di gran parte dell'elaborazione e di tutto il traffico non autenticato. Tutto ciò che può essere fatto nel cloud viene fatto nel cloud.
Quando i connettori o i computer non sono disponibili, il traffico passa a un altro connettore nel gruppo. Più connettori in un gruppo di connettori garantiscono la resilienza.
Un altro fattore che influenza le prestazioni è la qualità della connessione di rete tra i connettori, inclusi:
- Il servizio online: connessioni lente o a elevata latenza al servizio di proxy dell'applicazione in Microsoft Entra influenzano le prestazioni del connettore. Per ottenere prestazioni ottimali, connettere l'organizzazione a Microsoft con Express Route. In caso contrario, assicurarsi che il team di rete garantisca una gestione il più possibile efficiente delle connessioni a Microsoft.
- Applicazioni back-end: in alcuni casi tra il connettore e le risorse e applicazioni back-end sono presenti altri proxy che possono rallentare o impedire la connessione. Per risolvere questo scenario, aprire un browser dal server del connettore e tentare di accedere all'applicazione o alla risorsa. Se si eseguono i connettori nel cloud, ma le applicazioni sono locali, l'esperienza degli utenti potrebbe essere diversa da quella prevista.
- Controller di dominio: se i connettori eseguono l'accesso Single Sign-On (SSO) mediante la delega vincolata Kerberos, contattano i controller di dominio prima di inviare la richiesta al back-end. I connettori hanno una cache dei ticket Kerberos, ma in ambienti affollati la velocità di risposta dei controller di dominio può influenzare le prestazioni. Questa situazione è più comune per i connettori eseguiti in Azure, ma che comunicano con i controller di dominio locali.
Per maggiori informazioni sull'ottimizzazione della rete, vedere Considerazioni relative alla topologia di rete quando si usa il proxy di applicazione di Microsoft Entra.
Aggiunta al dominio
I connettori possono essere eseguiti in un computer che non fa parte del dominio. È necessario tuttavia un computer appartenente al dominio se si sceglie di implementare un accesso Single Sign-On (SSO) per le applicazioni che usano l'Autenticazione integrata di Windows. In questo caso i computer di connessione devono appartenere a un dominio che può eseguire la delega vincolata Kerberos per conto degli utenti per le applicazioni pubblicate.
I connettori possono anche essere aggiunti a domini in foreste con attendibilità parziale o a controller di dominio di sola lettura.
Distribuzione dei connettori in ambienti protetti
Nella maggior parte dei casi la distribuzione dei connettori è molto semplice e non richiede una configurazione speciale.
Esistono tuttavia alcune condizioni specifiche che devono essere considerate:
- Il traffico in uscita richiede l'apertura di porte specifiche. Per altre informazioni, vedere configurare i connettori.
- Per i computer conformi a FIPS potrebbe essere necessario modificare la configurazione per consentire ai processi connettore di generare e archiviare un certificato.
- I proxy di inoltro in uscita potrebbero interrompere l'autenticazione bidirezionale con certificato e non consentire la comunicazione.
Autenticazione del connettore
Per garantire un servizio sicuro, i connettori devono eseguire l'autenticazione verso il servizio e il servizio deve eseguire l'autenticazione verso il connettore. Questa autenticazione viene eseguita usando i certificati client e server quando i connettori avviano la connessione. In questo modo il nome utente e la password dell'amministratore non sono archiviati sul computer di connessione.
I certificati utilizzati sono specifici per il servizio. Vengono creati durante la registrazione iniziale e rinnovati automaticamente ogni due mesi.
Dopo il primo rinnovo riuscito del certificato, il servizio connettore rete privata (servizio di rete) di Microsoft Entra non ha autorizzazioni per la rimozione del certificato precedente dall'archivio del computer locale. Se il certificato scade o non viene usato dal servizio, è possibile eliminarlo in modo sicuro.
Per evitare problemi con il rinnovo del certificato, assicurarsi che la comunicazione di rete dal connettore verso le destinazioni documentate sia abilitata.
Se un connettore non viene connesso al servizio per molti mesi, i relativi certificati potrebbero non essere più aggiornati. In questo caso, disinstallare e reinstallare il connettore per attivare la registrazione. È possibile eseguire i seguenti comandi di PowerShell:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Per enti pubblici, usare -EnvironmentName "AzureUSGovernment"
. Per altre informazioni, vedere Installare l'agente per il cloud di Azure per enti pubblici.
Per informazioni su come verificare il certificato e risolvere i problemi, vedere Verificare il supporto dei componenti del computer e del back-end per il certificato di attendibilità del proxy di applicazione.
Informazioni dettagliate
I connettori sono installati su Windows Server, quindi condividono la maggior parte degli strumenti di gestione, inclusi i log eventi di Windows e i contatori delle prestazioni di Windows.
I connettori hanno sia log di amministrazione che log di sessione. Il log di Amministrazione include gli eventi chiave e i relativi errori. Il log di Sessione include tutte le transazioni e i relativi dettagli di elaborazione.
Per visualizzare i log, aprire Visualizzatore eventi e passare a Registri applicazioni e servizi>Microsoft>Rete privata di Microsoft Entra>Connettore. Per rendere visibile il log di Sessione, nel menu Visualizza selezionare Mostra log analitici e di debug. Il log di Sessione viene in genere usato per la risoluzione dei problemi ed è disabilitato per impostazione predefinita. Abilitarlo per avviare la raccolta di eventi e disabilitarlo quando non è più necessario.
È possibile esaminare lo stato del servizio nella finestra Servizi. Il connettore è costituito da due servizi di Windows, ovvero il connettore stesso e il programma di aggiornamento. Entrambi devono essere eseguiti costantemente.
Connettori inattivi
Un problema comune è che i connettori vengono visualizzati come inattivi in un gruppo di connettori. Un firewall che blocca le porte necessarie è una causa comune per i connettori inattivi.