Förstå anslutningsprogrammet för privata Microsoft Entra-nätverk

Anslutningsprogram är det som gör Microsoft Entra privatåtkomst och programproxy möjligt. De är enkla, enkla att distribuera och underhålla och superstarka. I den här artikeln beskrivs vad anslutningsappar är, hur de fungerar och några förslag på hur du optimerar distributionen.

Vad är en privat nätverksanslutning?

Anslutningsappar är enkla agenter som finns i ett privat nätverk och underlättar utgående anslutning till Microsoft Entra privatåtkomst- och programproxytjänster. Anslutningsappar måste installeras på en Windows Server som har åtkomst till serverdelsresurserna. Du kan ordna anslutningsappar i anslutningsgrupper, där varje grupp hanterar trafik till specifika resurser. Mer information om programproxy och en diagrammatisk representation av programproxyarkitektur finns i Använda Microsoft Entra-programproxy för att publicera lokala appar för fjärranvändare.

Mer information om hur du konfigurerar den privata Nätverksanslutningen för Microsoft Entra finns i Konfigurera privata nätverksanslutningar för Microsoft Entra privatåtkomst.

Privata nätverksanslutningar är lätta agenter som distribueras lokalt och som underlättar den utgående anslutningen till programproxytjänsten i molnet. Anslutningsprogrammen måste vara installerade på en Windows Server som har åtkomst till serverdelsprogrammet. Användare ansluter till molntjänsten för programproxy som dirigerar sin trafik till apparna via anslutningsapparna.

Installation och registrering mellan en anslutningsapp och programproxytjänsten utförs på följande sätt:

1. IT-administratören öppnar portarna 80 och 443 för utgående trafik och ger åtkomst till flera URL:er som behövs av anslutningsappen, programproxytjänsten och Microsoft Entra-ID.
2. Administratören loggar in på administrationscentret för Microsoft Entra och kör en körbar fil för att installera anslutningsappen på en lokal Windows-server.
3. Anslutningsappen börjar "lyssna" på programproxytjänsten.
4. Administratören lägger till det lokala programmet i Microsoft Entra-ID:t och konfigurerar inställningar som de URL:er som användarna behöver för att ansluta till sina appar.

Vi rekommenderar att du alltid distribuerar flera anslutningsappar för redundans och skalning. Anslutningsapparna tar tillsammans med tjänsten hand om alla uppgifter med hög tillgänglighet och kan läggas till eller tas bort dynamiskt. Varje gång en ny begäran tas emot dirigeras den till en av de anslutningsappar som är tillgängliga. När en anslutningsapp körs förblir den aktiv när den ansluter till tjänsten. Om en anslutningsapp är tillfälligt otillgänglig svarar den inte på den här trafiken. Oanvända anslutningsappar taggas som inaktiva och tas bort efter 10 dagars inaktivitet.

Anslutningsappar avsöker också servern för att ta reda på om det finns en nyare version av anslutningsappen. Även om du kan göra en manuell uppdatering uppdateras anslutningsapparna automatiskt så länge uppdateringstjänsten för privata nätverksanslutningar körs. För klienter med flera anslutningsappar är de automatiska uppdateringarna inriktade på en anslutningsapp i taget i varje grupp för att förhindra stilleståndstid i din miljö.

Kommentar

Du kan övervaka sidan versionshistorik för att hålla dig informerad om de senaste uppdateringarna.

Varje privat nätverksanslutning tilldelas till en anslutningsgrupp. Anslutningsappar i samma anslutningsgrupp fungerar som en enda enhet för hög tillgänglighet och belastningsutjämning. Du kan skapa nya grupper, tilldela anslutningsappar till dem i administrationscentret för Microsoft Entra och sedan tilldela specifika anslutningsappar för att hantera specifika program. Vi rekommenderar att du har minst två anslutningsappar i varje anslutningsgrupp för hög tillgänglighet.

Anslutningsgrupper är användbara när du behöver stöd för följande scenarier:

• Geografisk apppublicering
• Programsegmentering/isolering
• Publicera webbappar som körs i molnet eller lokalt

Mer information om hur du väljer var du vill installera dina anslutningsappar och optimera nätverket finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.

Underhåll

Anslutningsapparna och tjänsten tar hand om alla uppgifter med hög tillgänglighet. De kan läggas till eller tas bort dynamiskt. Nya begäranden dirigeras till en av de tillgängliga anslutningsprogrammen. Om en anslutningsapp är tillfälligt otillgänglig svarar den inte på den här trafiken.

Anslutningsapparna är tillståndslösa och har inga konfigurationsdata på datorn. De enda data de lagrar är inställningarna för att ansluta tjänsten och dess autentiseringscertifikat. När de ansluter till tjänsten hämtar de alla nödvändiga konfigurationsdata och uppdaterar dem med några minuters mellanrum.

Anslutningsappar avsöker också servern för att ta reda på om det finns en nyare version av anslutningsappen. Om en hittas uppdateras anslutningsapparna själva.

Du kan övervaka dina anslutningsappar från den dator som de körs på med antingen händelseloggen och prestandaräknaren. Du kan också visa deras status i administrationscentret för Microsoft Entra. För Microsoft Entra privatåtkomst går du till Global säker åtkomst, Anslut och väljer Anslutningsappar. För programproxy går du till Identitet, Program, Företagsprogram och väljer programmet. På programsidan väljer du programproxy.

Du behöver inte ta bort anslutningsappar som inte används manuellt. När en anslutningsapp körs förblir den aktiv när den ansluter till tjänsten. Oanvända anslutningsappar taggas som _inactive_ och tas bort efter 10 dagars inaktivitet. Om du vill avinstallera en anslutningsapp avinstallerar du dock både anslutningstjänsten och Updater-tjänsten från servern. Starta om datorn för att ta bort tjänsten helt.

Automatiska uppdateringar

Microsoft Entra ID tillhandahåller automatiska uppdateringar för alla anslutningsappar som du distribuerar. Så länge uppdateringstjänsten för privata nätverksanslutningar körs uppdateras anslutningsapparna automatiskt med den senaste versionen av huvudanslutningsappen. Om du inte ser tjänsten Connector Updater på servern måste du installera om anslutningsappen för att få uppdateringar.

Om du inte vill vänta på att en automatisk uppdatering ska komma till anslutningsappen kan du göra en manuell uppgradering. Gå till nedladdningssidan för anslutningsappen på servern där anslutningsappen finns och välj Ladda ned. Den här processen startar en uppgradering för den lokala anslutningsappen.

För klienter med flera anslutningsappar är de automatiska uppdateringarna inriktade på en anslutningsapp i taget i varje grupp för att förhindra stilleståndstid i din miljö.

Du kan uppleva stilleståndstid när anslutningsappen uppdateras om:

• Du har bara en anslutningsapp. En andra anslutningsapp och en anslutningsgrupp rekommenderas för att undvika stilleståndstid och ge högre tillgänglighet.
• En anslutningsapp var mitt i en transaktion när uppdateringen påbörjades. Även om den första transaktionen går förlorad bör webbläsaren automatiskt försöka utföra åtgärden igen eller så kan du uppdatera sidan. När begäran skickas igen dirigeras trafiken till en anslutningsapp för säkerhetskopiering.

Information om tidigare utgivna versioner och vilka ändringar de innehåller finns i Programproxy – Versionshistorik.

Skapa anslutningsgrupper

Med anslutningsgrupper kan du tilldela specifika anslutningsappar för att hantera specifika program. Du kan gruppera många anslutningsappar och sedan tilldela varje resurs eller program till en grupp.

Anslutningsgrupper gör det enklare att hantera stora distributioner. De förbättrar också svarstiden för klienter som har resurser och program i olika regioner, eftersom du kan skapa platsbaserade anslutningsgrupper för att endast hantera lokala program.

Mer information om anslutningsgrupper finns i Förstå grupper för privata nätverksanslutningar i Microsoft Entra.

Säkerhet och nätverk

Anslutningsappar kan installeras var som helst i nätverket så att de kan skicka begäranden till Microsoft Entra privatåtkomst- och programproxytjänsten. Det viktiga är att datorn som kör anslutningsappen också har åtkomst till dina appar och resurser. Du kan installera anslutningsappar i företagets nätverk eller på en virtuell dator som körs i molnet. Anslutningsappar kan köras inom ett perimeternätverk, även kallat en demilitariserad zon (DMZ), men det är inte nödvändigt eftersom all trafik är utgående så att nätverket förblir säkert.

Anslutningsappar skickar endast utgående begäranden. Den utgående trafiken skickas till tjänsten och till de publicerade resurserna och programmen. Du behöver inte öppna inkommande portar eftersom trafiken flödar åt båda hållen när en session har upprättats. Du behöver inte heller konfigurera inkommande åtkomst via brandväggarna.

Mer information om hur du konfigurerar regler för utgående brandvägg finns i Arbeta med befintliga lokala proxyservrar.

Prestanda och skalbarhet   

Skala för Microsoft Entra privatåtkomst och programproxytjänsterna är transparenta, men skalning är en faktor för anslutningsappar. Du måste ha tillräckligt med anslutningsappar för att hantera trafiktoppar. Anslutningsappar är tillståndslösa och antalet användare eller sessioner påverkar dem inte. I stället svarar de på antalet begäranden och deras nyttolaststorlek. Med standardwebbtrafik kan en genomsnittlig dator hantera 2 000 begäranden per sekund. Den specifika kapaciteten beror på de exakta datoregenskaperna.

Cpu- och nätverksdefinierade anslutningsprestanda. Processorprestanda krävs för TLS-kryptering och dekryptering, medan nätverk är viktigt för att få snabb anslutning till programmen och onlinetjänsten.

Däremot är minnet mindre av ett problem för anslutningsappar. Onlinetjänsten tar hand om mycket av bearbetningen och all oautentiserad trafik. Allt som kan göras i molnet görs i molnet.

När anslutningsappar eller datorer inte är tillgängliga går trafiken till en annan anslutningsapp i gruppen. Flera anslutningsappar i en anslutningsgrupp ger återhämtning.

En annan faktor som påverkar prestanda är kvaliteten på nätverken mellan anslutningsprogrammen, inklusive:

• Onlinetjänsten: Långsamma eller långa anslutningar till Microsoft Entra-tjänsten påverkar anslutningsprestandan. För bästa prestanda kan du ansluta din organisation till Microsoft med Express Route. Annars måste nätverksteamet se till att anslutningarna till Microsoft hanteras så effektivt som möjligt.
• Serverdelsprogram: I vissa fall finns det extra proxyservrar mellan anslutningsappen och serverdelsresurserna och programmen som kan sakta ned eller förhindra anslutningar. Om du vill felsöka det här scenariot öppnar du en webbläsare från anslutningsservern och försöker komma åt programmet eller resursen. Om du kör anslutningsapparna i molnet men programmen är lokala kanske upplevelsen inte är vad användarna förväntar sig.
• Domänkontrollanterna: Om anslutningsapparna utför enkel inloggning (SSO) med Kerberos-begränsad delegering kontaktar de domänkontrollanterna innan de skickar begäran till serverdelen. Anslutningsprogrammen har en cache med Kerberos-biljetter, men i en upptagen miljö kan svarstiden hos domänkontrollanterna påverka prestandan. Det här problemet är vanligare för anslutningsappar som körs i Azure men som kommunicerar med domänkontrollanter som är lokala.

Mer information om hur du optimerar nätverket finns i Överväganden för nätverkstopologi när du använder Microsoft Entra-programproxy.

Specifikationer och storlekskrav

Följande specifikationer rekommenderas för varje Entra Private Network-konnektor:

• minne: 8 GiB eller mer
• CPU: 4 CPU-kärnor eller mer

Se till att dina kontakter är mindre än 70% för optimal minnesanvändning och CPU-användning. Om processor- eller minnesanvändningen överskrider det föreslagna maxvärdet kan du överväga att lägga till fler anslutningsappar för att distribuera dina arbetsbelastningar effektivt.

• Dataflöde: Varje anslutningsapp, konfigurerad med ovanstående specifikationer, kan ha stöd för upp till 1,5 Gbit/s dataflöde över TCP på en virtuell Azure-dator. Dataflödet mäts som summan av både inkommande och utgående trafik. Högre dataflöde kan uppnås genom att köra anslutningsappen på virtuella datorer med ökat minne, processorresurser och förbättrade nätverkslänkhastigheter.

ytterligare information:

• Storleksrekommendationerna ovan baseras på prestandatestning som utförs på en testklientorganisation med hjälp av iPerf3-verktyget med TCP-dataströmmar. Faktiska prestanda kan variera i olika testmiljöer. Mer information om specifika testfall kommer att publiceras som en del av den här dokumentationen under de kommande månaderna.
• När en anslutning har registrerats upprättas utgående TLS-tunnlar till molninfrastrukturen för privat åtkomst. Dessa tunnlar hanterar all datavägstrafik. Dessutom har vi en kontrollplanskanal som driver pulsslag som håller vid liv, hälsorapportering, anslutningsuppgraderingar och så vidare med minimal bandbredd.
• Du kan distribuera ytterligare kontakter inom samma anslutningsgrupp för att öka det totala dataflödet, förutsatt att det finns tillräcklig nätverks- och internetanslutning. Vi rekommenderar att du upprätthåller minst två hälsosamma kontakter för att säkerställa motståndskraft och konsekvent tillgänglighet. Metodtips för hög tillgänglighet finns i vägledningen här.

Domänanslutning

Anslutningsappar kan köras på en dator som inte är domänansluten. Men om du vill ha enkel inloggning (SSO) för program som använder integrerad Windows-autentisering (IWA) behöver du en domänansluten dator. I det här fallet måste anslutningsdatorerna vara anslutna till en domän som kan utföra Kerberos-begränsad delegering för användarnas räkning för de publicerade programmen.

Anslutningsappar kan också anslutas till domäner i skogar som har ett partiellt förtroende eller till skrivskyddade domänkontrollanter.

Anslutningsdistributioner i härdade miljöer

Distributionen av anslutningsappen är vanligtvis enkel och kräver ingen särskild konfiguration.

Det finns dock några unika villkor som bör beaktas:

• Utgående trafik kräver att specifika portar är öppna. Mer information finns i konfigurera anslutningsappar.
• FIPS-kompatibla datorer kan kräva en konfigurationsändring så att anslutningsprocesserna kan generera och lagra ett certifikat.
• Utgående proxyservrar för vidarebefordran kan bryta tvåvägscertifikatautentiseringen och orsaka att kommunikationen misslyckas.

Autentisering av anslutningsapp

För att tillhandahålla en säker tjänst måste anslutningsappar autentiseras mot tjänsten och tjänsten måste autentisera mot anslutningsappen. Den här autentiseringen görs med hjälp av klient- och servercertifikat när anslutningsapparna initierar anslutningen. På så sätt lagras inte administratörens användarnamn och lösenord på anslutningsdatorn.

De certifikat som används är specifika för tjänsten. De skapas under den första registreringen och förnyas automatiskt varannan månad.

Efter den första lyckade certifikatförnyelsen har Microsoft Entra-tjänsten för privata nätverksanslutningar (nätverkstjänst) ingen behörighet att ta bort det gamla certifikatet från det lokala datorarkivet. Om certifikatet upphör att gälla eller inte används av tjänsten kan du ta bort det på ett säkert sätt.

För att undvika problem med certifikatförnyelse kontrollerar du att nätverkskommunikationen från anslutningsappen mot de dokumenterade destinationerna är aktiverad.

Om en anslutningsapp inte är ansluten till tjänsten på flera månader kan dess certifikat vara inaktuella. I det här fallet avinstallerar och installerar du om anslutningsappen för att utlösa registreringen. Du kan köra följande PowerShell-kommandon:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

För myndigheter använder du -EnvironmentName "AzureUSGovernment". Mer information finns i Installera agent för Azure Government Cloud.

Information om hur du verifierar certifikatet och felsöker problem finns i Verifiera stöd för dator- och serverdelskomponenter för programproxyförtroendecertifikat.

Under huven

Anslutningsappar är installerade på Windows Server, så de har de flesta av samma hanteringsverktyg, inklusive Windows-händelseloggar och Windows-prestandaräknare.

Anslutningsapparna har både administratörs - och sessionsloggar . Administratörsloggen innehåller viktiga händelser och deras fel. Sessionsloggen innehåller alla transaktioner och deras bearbetningsinformation.

Om du vill se loggarna öppnar du Loggboken och går till Program- och tjänstloggar>Microsoft>Microsoft Entra private network>Connector. Om du vill göra sessionsloggen synlig går du till menyn Visa och väljer Visa analys- och felsökningsloggar. Sessionsloggen används vanligtvis för felsökning och är inaktiverad som standard. Aktivera den för att börja samla in händelser och inaktivera den när den inte längre behövs.

Du kan undersöka tjänstens tillstånd i fönstret Tjänster. Anslutningsappen består av två Windows-tjänster: den faktiska anslutningsappen och uppdateringstjänsten. Båda måste köras hela tiden.

Inaktiva anslutningsappar

Ett vanligt problem är att anslutningsappar visas som inaktiva i en anslutningsgrupp. En brandvägg som blockerar de portar som krävs är en vanlig orsak till inaktiva anslutningsappar.

Nästa steg

• Förstå grupper för privata Nätverksanslutningar i Microsoft Entra
• Arbeta med befintliga lokala proxyservrar
• Felsöka programproxy- och anslutningsfel
• Så här installerar du den privata Nätverksanslutningen för Microsoft Entra tyst