Noções básicas sobre os grupos de conectores de rede privada do Microsoft Entra

Use grupos de conectores de rede privada para atribuir conectores específicos a aplicativos específicos. Os grupos de conectores oferecem mais controle e permitem otimizar suas implantações.

Cada conector de rede privada é atribuído a um grupo de conectores. Todos os conectores que pertencem ao mesmo grupo de conectores agem como uma unidade separada em relação à alta disponibilidade e ao balanceamento de carga. Todos os conectores pertencem a um grupo de conectores. Se você não criar grupos, todos os seus conectores estão em um grupo padrão. Crie novos grupos de conectores e atribua conectores no Centro de administração do Microsoft Entra.

Os grupos de conectores serão úteis se seus aplicativos estiverem hospedados em locais diferentes. Você cria grupos de conectores com base na localização. Os aplicativos usam conectores que estão fisicamente próximos a eles.

Dica

Se você tiver uma grande implantação de Proxy de Aplicativo, não atribua nenhum aplicativo ao grupo de conectores padrão. Dessa forma, novos conectores não recebem nenhum tráfego ao vivo até você atribuí-los a um grupo de conectores ativo. Essa configuração permite que você coloque conectores em um modo ocioso, movendo-os de volta ao grupo padrão, para que você possa executar manutenções sem afetar os usuários.

Pré-requisitos

Você deve ter vários conectores para usar grupos de conectores. Novos conectores são adicionados automaticamente ao grupo de conectores Padrão. Para obter mais informações sobre como instalar conectores, consulte Configurar conectores.

Atribuir aplicativos aos grupos de conectores

Você atribui um aplicativo a um grupo de conectores quando o publica pela primeira vez. Você também pode atualizar o grupo ao qual um conector é atribuído.

Casos de uso para grupos de conectores

Os grupos de conectores são úteis para diversos cenários, incluindo:

Sites com vários datacenters interconectados

Grandes organizações usam vários datacenters. Você deseja manter o máximo de tráfego em um datacenter específico possível porque os links entre datacenter são caros e lentos. Você implanta conectores em cada datacenter para atender apenas aos aplicativos que residem no datacenter. Essa abordagem minimiza os links entre datacenters e fornece uma experiência totalmente transparente para os usuários.

Aplicativos instalados em redes isoladas

Os aplicativos podem ser hospedados em redes que não fazem parte da rede corporativa principal. Você pode usar grupos de conectores para instalar conectores dedicados em redes isoladas para isolar também os aplicativos para a rede. O cenário é comum para fornecedores que mantêm um aplicativo específico.

Aplicativos instalados na IaaS (Infraestrutura como Serviço)

Para aplicativos instalados na IaaS (Infraestrutura como Serviço) para acesso à nuvem, os grupos de conectores fornecem um serviço comum para proteger o acesso a todos os aplicativos. Os grupos de conectores não criam mais dependências em sua rede corporativa ou fragmentam a experiência do aplicativo. Os conectores são instalados em cada datacenter de nuvem e servem apenas aplicativos que residem nessa rede. Instale vários conectores para obter alta disponibilidade.

Veja um exemplo de uma organização que tem diversas máquinas virtuais conectadas à própria rede virtual IaaS hospedada. Para permitir que os funcionários usem esses aplicativos, essas redes privadas são conectadas à rede corporativa usando VPN (Rede Virtual Privada) site a site. A VPN site a site fornece uma boa experiência para os funcionários que estão localizados localmente. Porém, não é ideal para funcionários remotos, pois requer mais infraestrutura local para rotear o acesso, conforme ilustrado no diagrama:

Diagrama que ilustra a rede de IaaS do Microsoft Entra

Com os grupos de conectores de rede privada do Microsoft Entra, você habilita um serviço comum para proteger o acesso a todos os aplicativos sem criar mais dependências na sua rede corporativa:

Fornecedores de várias nuvens de IaaS do Microsoft Entra

Várias florestas – grupos de conectores diferentes para cada floresta

O logon único geralmente é obtido usando KCD (Delegação Restrita de Kerberos). Os computadores do conector são ingressados em um domínio que pode delegar os usuários ao aplicativo. O KCD oferece suporte a recursos entre florestas. No entanto, para empresas que têm ambientes diferentes de várias florestas sem confiança entre elas, um único conector não pode ser usado para todas as florestas. Em vez disso, conectores específicos são implantados por floresta e definidos para atender aplicativos que são publicados para atender somente aos usuários dessa floresta específica. Cada grupo de conectores representa uma floresta diferente. Embora o locatário e a maior parte da experiência sejam unificados para todas as florestas, os usuários podem ser atribuídos aos seus aplicativos de floresta usando os grupos do Microsoft Entra.

Sites de Recuperação de Desastre

Há duas abordagens a serem consideradas para sites de recuperação de desastre (DR):

  • Seu site de recuperação de desastre é criado no modo ativo-ativo, onde é exatamente como o site principal. O site também tem as mesmas configurações de rede e Active Directory (AD). Você pode criar os conectores no site de DR no mesmo grupo de conectores que o site principal. A ID do Microsoft Entra detecta failovers para você.
  • Seu site de recuperação de desastre é separado do site principal. Você cria um grupo de conectores diferente no site de DR. Você tem aplicativos de backup ou desvia manualmente o aplicativo existente para o grupo de conectores de DR, conforme necessário.

Atender a várias empresas de um único locatário

Você pode implementar um modelo no qual um único provedor de serviços implanta e mantém os serviços relacionados ao Microsoft Entra para várias empresas. Os grupos de conectores ajudam você a separar os conectores e aplicativos em grupos diferentes. Uma maneira, que é adequada para pequenas empresas, é ter um único locatário do Microsoft Entra, e cada empresas têm seus próprios nome de domínio e redes. A mesma abordagem funciona para cenários de fusão e situações em que uma única divisão atende a várias empresas por motivos regulatórios ou comerciais.

Configurações de amostra

Considere essas configurações de grupo de conectores de exemplo.

Configuração padrão – não usa grupos de conectores

Se você não usar grupos de conector, sua configuração terá esta aparência:

Exemplo sem grupos de conectores

A configuração é suficiente para pequenas implantações e testes. Também funcionará se sua organização tiver uma topologia de rede simples.

Configuração padrão e uma rede isolada

A configuração é uma evolução do padrão, um aplicativo específico é executado em uma rede isolada, como a rede virtual IaaS:

Exemplo do Microsoft Entra sem grupos de conectores em uma rede isolada

A configuração recomendada para organizações complexas e de grande porte é ter o grupo de conectores padrão como um grupo que não atende aos aplicativos e é usado para conectores ociosos ou recém-instalados. Todos os aplicativos são atendidos usando grupos de conectores personalizados.

No exemplo, a empresa tem dois datacenters, A e B, com dois conectores que atendem cada site. Cada site possui aplicativos diferentes em execução.

Exemplo de empresa com dois datacenters e dois conectores

Próximas etapas