Dela via

Förstå privata nätverkskopplargrupper i Microsoft Entra

  • Artikel

Använd privata nätverksanslutningsgrupper för att tilldela specifika kontakter till specifika applikationer. Anslutningsgrupper ger dig mer kontroll och gör att du kan optimera dina distributioner.

Varje privat nätverksanslutning tilldelas till en anslutningsgrupp. Alla anslutningar som tillhör samma anslutningsgrupp fungerar som en enskild enhet för hög-tillgänglighet och belastningsutjämning. Alla anslutningar tillhör en anslutningsgrupp. Om du inte skapar grupper, så hamnar alla dina kontakter i en standardgrupp. Du skapar nya anslutningsgrupper och tilldelar anslutningar i administrationscentret för Microsoft Entra.

Anslutningsgrupper är användbara om dina program finns på olika platser. Du skapar anslutningsgrupper baserat på plats. Applikationer använder kontakter som är fysiskt nära dem.

Tips

Om du har en stor programproxydistribution ska du inte tilldela några program till standardanslutningsgruppen. På så sätt får inte nya anslutningsappar någon livetrafik förrän du tilldelar dem till en aktiv anslutningsgrupp. Med den här konfigurationen kan du också placera anslutningsappar i inaktivt läge genom att flytta tillbaka dem till standardgruppen, så att du kan utföra underhåll utan att påverka användarna.

Förutsättningar

Du måste ha flera kontakter för att kunna använda kontaktgrupper. Nya kontakter läggs automatiskt till i Default-anslutningsgruppen. Mer information om hur du installerar anslutningsappar finns i konfigurera anslutningsapparD.

Tilldela program till dina anslutningsgrupper

Du tilldelar ett program till en anslutningsgrupp när du först publicerar det. Du kan också uppdatera den grupp en anslutning är tilldelad.

Användningsfall för anslutningsgrupper

Anslutningsgrupper är användbara för olika scenarier, bland annat:

Platser med flera sammankopplade datacenter

Stora organisationer använder flera datacenter. Du vill behålla så mycket trafik inom ett specifikt datacenter som möjligt eftersom länkar mellan datacenter är dyra och långsamma. Du distribuerar kontakter i varje datacenter för att endast betjäna de applikationer som finns i datacentret. Den här metoden minimerar länkar mellan datacenter och ger användarna en helt transparent upplevelse.

Program installerade i isolerade nätverk

Program kan finnas i nätverk som inte ingår i företagets huvudnätverk. Du kan använda anslutningsgrupper för att installera dedikerade anslutningar i isolerade nätverk och därigenom även isolera applikationer till nätverket. Scenariot är vanligt för leverantörer som underhåller ett visst program.

Program installerade på Infrastruktur som en tjänst (IaaS)

För program som är installerade på Infrastruktur som en tjänst (IaaS) för molnåtkomst tillhandahåller anslutningsgrupper en gemensam tjänst för säker åtkomst till alla appar. Anslutningsgrupper skapar inte fler beroenden i företagets nätverk eller fragmentera appupplevelsen. Kontakter installeras på alla molndatacenter och betjänar endast applikationer som finns i det nätverket. Du installerar flera kontakter för att uppnå hög tillgänglighet.

Ta som exempel en organisation som har flera virtuella datorer anslutna till sitt egna IaaS-värdbaserade nätverk. För att anställda ska kunna använda dessa program är dessa privata nätverk anslutna till företagsnätverket med hjälp av vpn (site-to-site Virtual Private Network). Plats-till-plats-VPN ger en bra upplevelse för anställda som finns lokalt. Men det är inte idealiskt för distansanställda, eftersom det kräver mer lokal infrastruktur för att dirigera åtkomst, som illustreras i diagrammet:

Diagram som illustrerar Microsoft Entra IaaS-nätverket

Med microsoft Entra-grupper för privata nätverksanslutningar kan du aktivera en gemensam tjänst för att skydda åtkomsten till alla program utan att skapa fler beroenden i företagets nätverk:

Microsoft Entra IaaS Flera molnleverantörer

Flera skogar – olika anslutningsgrupper för varje skog

Enkel inloggning uppnås ofta med kerberos-begränsad delegering (KCD). Anslutningsenheternas maskiner är anslutna till en domän som kan ge åtkomstförmåner till användarna i programmet. KCD stöder funktioner mellan skogar. Men för företag som har separata multi-forest miljöer utan förtroende mellan dem kan en enda anslutning inte användas för alla skogsområden. I stället distribueras specifika anslutningar per forest och är inställda på att hantera program som publiceras för att endast tjäna användarna i den specifika skogen. Varje anslutningsgrupp representerar en annan skog. Hyresgästen och större delen av upplevelsen är enhetlig för alla domäner, men användare kan tilldelas till sina applikationer kopplade till skogsdomäner med hjälp av Microsoft Entra-grupper.

Haveriberedskapsplatser

Det finns två metoder att överväga för katastrofåterställningsplatser (DR):

  • DR-webbplatsen är byggd i active-active-läge där den är exakt som huvudwebbplatsen. Webbplatsen har också samma inställningar för nätverk och Active Directory (AD). Du kan skapa anslutningarna på DR-platsen i samma anslutningsgrupp som huvudplatsen. Microsoft Entra ID identifierar redundans för dig.
  • DR-anläggningen är separat från huvudanläggningen. Du skapar en annan anslutningsgrupp på DR-platsen. Du har antingen säkerhetskopieringsapplikationer, eller så vidarekopplar du manuellt befintliga applikationer till DR-anslutningsgruppen efter behov.

Betjäna flera företag från en enda klientorganisation

Du kan implementera en modell där en enda tjänstleverantör distribuerar och underhåller Microsoft Entra-relaterade tjänster för flera företag. Anslutningsgrupper hjälper dig att separera anslutningsappar och program i olika grupper. Ett sätt, som är lämpligt för små företag, är att ha en enda Microsoft Entra-klient medan de olika företagen har sitt eget domännamn och nätverk. Samma metod fungerar för fusionsscenarier och situationer där en enda division betjänar flera företag av regel- eller affärsskäl.

Exempelkonfigurationer

Överväg dessa exempel på anslutningsgruppkonfigurationer.

Standardkonfiguration – ingen användning för anslutningsgrupper

Om du inte använder anslutningsgrupper ser konfigurationen ut så här:

Exempel utan anslutningsgrupper

Konfigurationen räcker för små distributioner och tester. Det fungerar också om din organisation har en platt nätverkstopologi.

Standardkonfiguration och ett isolerat nätverk

Konfigurationen är en utveckling av standardinställningen, en specifik app körs i ett isolerat nätverk som det virtuella IaaS-nätverket:

Exempel på Microsoft Entra utan anslutningsgrupper i ett isolerat nätverk

Rekommenderad konfiguration – flera specifika grupper och en standardgrupp för inaktiv

Den rekommenderade konfigurationen för stora och komplexa organisationer är att ha standardanslutningsgruppen som en grupp som inte hanterar några program och som används för inaktiva eller nyligen installerade anslutningsappar. Alla program hanteras med anpassade anslutningsgrupper.

I exemplet har företaget två datacenter, A och B, med två kontakter som betjänar varje anläggning. Varje webbplats har olika program som körs på den.

Exempel på företag med 2 datacenter och 2 kontakter

Nästa steg