Entender o conector de rede privada do Microsoft Entra

Conectores são o que possibilitam o Acesso Privado do Microsoft Entra e o proxy de aplicativo. Eles são simples, fáceis de implantar e manter, além de superpotentes. Este artigo aborda o que são conectores, como eles funcionam e algumas sugestões sobre como otimizar sua implantação.

O que é um conector de rede privado?

Os conectores são agentes leves que ficam em uma rede privada e facilitam a conexão de saída com o Acesso Privado do Microsoft Entra e os serviços de proxy de aplicativo. Os conectores devem ser instalados em um Windows Server que tenha acesso aos recursos de back-end. Você pode organizar conectores em grupos de conectores, com cada grupo tratando o tráfego para recursos específicos. Para obter mais informações sobre o proxy de aplicativo e uma representação diagramática da arquitetura de proxy de aplicativo, consulte Usando o proxy de aplicativo do Microsoft Entra para publicar aplicativos locais para usuários remotos.

Para saber como configurar o conector de rede privada do Microsoft Entra, confira Como configurar conectores de rede privada para o Microsoft Entra Private Access.

Os conectores de rede privada são agentes leves implantados no local que facilitam a conexão de saída com o serviço de proxy de aplicativos na nuvem. Os conectores devem ser instalados em um servidor Windows que tenha acesso ao aplicativo de back-end. Os usuários se conectam ao serviço de nuvem de proxy de aplicativo que roteia o tráfego para os aplicativos por meio dos conectores.

A configuração e o registro entre um conector e o serviço de proxy de aplicativo são realizados da seguinte forma:

  1. O administrador de TI abre as portas 80 e 443 para o tráfego de saída e permite o acesso a várias URLs necessárias para o conector, o serviço de proxy de aplicativo e o Microsoft Entra ID.
  2. O administrador se conecta pelo centro de administração do Microsoft Entra e executa um executável para instalar o conector em um servidor Windows local.
  3. O conector começa a "escutar" o serviço de proxy de aplicativo.
  4. O administrador adiciona o aplicativo local ao Microsoft Entra ID e define configurações, como as URLs necessárias para se conectar aos aplicativos.

É recomendável que você sempre implante vários conectores para redundância e dimensionamento. Os conectores, juntamente com o serviço, cuidam de todas as tarefas de alta disponibilidade e podem ser adicionados ou removidos dinamicamente. Sempre que uma nova solicitação chega, ela é roteada para um dos conectores que está disponível. Quando um conector está em execução, ele permanece ativo, pois se conecta ao serviço. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego. Os conectores não utilizados são marcados como inativos e são removidos depois de 10 dias de inatividade.

Os conectores também sondam o servidor para descobrir se há uma versão mais recente do conector. Embora a atualização possa ser feita manualmente, os conectores serão atualizados automaticamente se o serviço Atualizador do conector de rede privada estiver em execução. Para locatários com vários conectores, as atualizações automáticas destinam-se a um conector de cada vez em cada grupo para evitar tempo de inatividade em seu ambiente.

Observação

Você pode monitorar a página de histórico de versões para se manter informado sobre as últimas atualizações.

Cada conector de rede privada é atribuído a um grupo de conectores. Os conectores que pertencem ao mesmo grupo de conectores agem como uma unidade única em relação à alta disponibilidade e ao balanceamento de carga. Você pode criar novos grupos, atribuir conectores a eles no centro de administração do Microsoft Entra e, em seguida, atribuir conectores específicos para fornecer aplicativos específicos. Para alta disponibilidade, é recomendável ter pelo menos dois conectores em cada grupo de conectores.

Os grupos de conectores são úteis quando você precisa dá suporte aos seguintes cenários:

  • Publicação de aplicativos geográficos
  • Isolamento/segmentação de aplicativos
  • Publicar aplicativos Web em execução na nuvem ou no local

Para saber mais sobre como escolher o local de instalação dos conectores e otimizar sua rede, confira Considerações sobre a topologia de rede ao usar o Proxy de Aplicativo do Microsoft Entra.

Manutenção

Os conectores e o serviço cuidam de todas as tarefas de alta disponibilidade. Eles podem ser adicionados ou removidos dinamicamente. Novas solicitações são roteadas para um dos conectores disponíveis. Se um conector estiver temporariamente indisponível, ele não responderá a esse tráfego.

Os conectores são sem estado e não têm nenhum dado de configuração no computador. Os únicos dados que eles armazenam são as configurações para conectar o serviço e seu certificado de autenticação. Quando se conectam ao serviço, eles extraem todos os dados de configuração necessários e os atualizam a cada dois minutos.

Os conectores também sondam o servidor para descobrir se há uma versão mais recente do conector. Se for encontrada, os próprios conectores se atualizam.

É possível monitorar os conectores no computador em que eles estão em execução, usando o log de eventos e os contadores de desempenho. Para obter mais informações, consulte Monitorar e revisar os logs do Microsoft Entra local.

Você também pode exibir seu status no Centro de administração do Microsoft Entra. Para o Microsoft Entra Private Access, navegue até Acesso Seguro Global (versão prévia), Conecte-se e selecione Conectores. Para proxy de aplicativo, navegue até Identidade, Aplicativos, Aplicativos Empresariais e selecione o aplicativo. Na página do aplicativo, selecione o proxy de aplicativo.

Não é necessário excluir manualmente os conectores que não foram utilizados. Quando um conector está em execução, ele permanece ativo, pois se conecta ao serviço. Conectores não utilizados são marcados como _inactive_ e removidos após 10 dias de inatividade. No entanto, se você quiser desinstalar um conector, desinstale o serviço Conector e o serviço Atualizador do servidor. Reinicie o computador para remover totalmente o serviço.

Atualizações automáticas

O Microsoft Entra ID fornece atualizações automáticas para todos conectores que você implanta. Enquanto o serviço do atualizador de conector de rede privada estiver em execução, os conectores serão atualizados com a versão mais recente do conector principal automaticamente. Se você não vir o serviço do Atualizador do Conector em seu servidor, precisará reinstalar o conector para obter atualizações.

Se você não quiser aguardar uma atualização automática chegar ao seu conector, você poderá fazer uma atualização manual. Vá para o página de download do conector no servidor em que o conector está localizado e selecione Baixar. Esse processo inicia uma atualização do conector local.

Para locatários com vários conectores, as atualizações automáticas destinam-se a um conector de cada vez em cada grupo para evitar tempo de inatividade em seu ambiente.

Poderá ocorrer tempo de inatividade quando o conector for atualizado se:

  • Você só tiver um conector. Um segundo conector e um grupo de conectores são recomendados para evitar o tempo de inatividade e fornecer maior disponibilidade.
  • Um conector estava no meio de uma transação quando a atualização foi iniciada. Embora a transação inicial seja perdida, o navegador deverá repetir a operação automaticamente ou você poderá atualizar a página. Quando a solicitação é enviada novamente, o tráfego é direcionado para um conector de backup.

Para obter informações sobre as versões lançadas anteriormente e quais alterações elas incluem, consulte Proxy de Aplicativo – Histórico de Lançamento de Versão.

Criando grupos de conector

Os grupos de conectores permitem atribuir conectores específicos para atender a aplicativos específicos. Você pode agrupar muitos conectores e atribuir cada recurso ou aplicativo a um grupo.

Os grupos de conectores facilitam o gerenciamento de grandes implantações. Eles também melhoram a latência para locatários que têm recursos e aplicativos hospedados em regiões diferentes, pois você pode criar grupos de conectores baseados em localização para atender somente aplicativos locais.

Para saber mais sobre grupos de conectores, confira Entender os grupos de conectores de rede privada do Microsoft Entra.

planejamento de capacidade

Planeje capacidade suficiente entre conectores para lidar com o volume de tráfego esperado. Pelo menos dois conectores em um grupo de conectores fornecem alta disponibilidade e escala. Mas três conectores são ideais.

A tabela fornece volume e latência esperada para especificações de computador diferentes. Observe que isso é baseado em Transações por Segundo (TPS) esperadas e não em usuário, já que os padrões de uso variam e não podem ser usados para prever a carga. Haverá também algumas diferenças com base no tamanho das respostas e no tempo de resposta do aplicativo de back-end. Tamanhos de resposta maiores e tempos de resposta mais lentos resultarão em uma menor TPS máxima. Mais computadores distribuem carga e fornecem um buffer amplo. A capacidade extra garante alta disponibilidade e resiliência.

Núcleos RAM Latência esperada (MS)-P99 TPS máximo
2 8 325 586
4 16 320 1150
8 32 270 1190
16 64 245 1200*

* A máquina usou uma configuração personalizada para aumentar alguns dos limites de conexão padrão além das configurações recomendadas do .NET. Recomendamos a execução de um teste com as configurações padrão antes de contatar o suporte para alterar esse limite para o seu locatário.

Observação

Não há muita diferença no TPS máximo entre computadores de 4, 8 e 16 núcleos. A principal diferença é a latência esperada.

Essa tabela também enfoca o desempenho esperado de um conector com base no tipo de máquina em que está instalado. Isso é separado dos limites de limitação do serviço, consulte limites de serviço e restrições.

Rede e segurança

Os conectores podem ser instalados em qualquer lugar da rede que lhes permita enviar solicitações para o Microsoft Entra Private Access e o serviço de proxy de aplicativo. O importante é que o computador que executa o conector também tenha acesso aos seus aplicativos e recursos. Você pode instalar conectores dentro de sua rede corporativa ou em uma máquina virtual que é executada na nuvem. Os conectores podem ser executados em uma rede de perímetro, também conhecida como zona desmilitarizada (DMZ), mas não é necessário porque todo o tráfego é enviado para que sua rede permaneça segura.

Os conectores só enviam solicitações de saída. O tráfego de saída é enviado para o serviço e para os recursos e aplicativos publicados. Você não precisa abrir portas de entrada porque o tráfego flui nos dois sentidos quando uma sessão é estabelecida. Você também não precisa configurar o acesso de entrada por meio de firewalls.

Para saber mais sobre como configurar regras de firewall de saída, confira Trabalhar com servidores proxy locais existentes.

Desempenho e escala

A escala para o Acesso Privado do Microsoft Entra e os serviços proxy de aplicativo é transparente, mas a escala é um fator para os conectores. Você precisa ter conectores suficientes para tratar do pico de tráfego. Os conectores são sem estado e o número de usuários ou sessões não os afeta. Em vez disso, eles respondem ao número de solicitações e a seu tamanho do conteúdo. Com o tráfego padrão da Web, um computador médio pode manipular 2 mil solicitações por segundo. A capacidade específica depende das características exatas do computador.

A CPU e a rede definem o desempenho do conector. O desempenho da CPU é necessário para criptografia e descriptografia TLS, enquanto a rede é importante para obter conectividade rápida para os aplicativos e o serviço online no Azure.

Por outro lado, a memória é uma questão menos significativa para os conectores. O serviço online cuida de grande parte do processamento e de todo o tráfego não autenticado. Tudo o que pode ser feito na nuvem é feito na nuvem.

Quando conectores ou computadores não estão disponíveis, o tráfego vai para outro conector no grupo. Vários conectores em um grupo de conectores fornecem resiliência.

Outro fator que afeta o desempenho é a qualidade da rede entre os conectores, incluindo:

  • O serviço online: conexões lentas ou de alta latência com o serviço Microsoft Entra influenciam o desempenho do conector. Para obter o melhor desempenho, conecte sua organização à Microsoft com o Express Route. Caso contrário, faça com que sua equipe de rede garanta que as conexões com a Microsoft sejam tratadas da maneira mais eficiente possível.
  • Os aplicativos de back-end: em alguns casos, há proxies extras entre o conector e os recursos e aplicativos de back-end que podem diminuir ou impedir conexões. Para solucionar esse cenário, abra um navegador do servidor conector e tente acessar o aplicativo ou o recurso. Se você executar os conectores na nuvem, mas os aplicativos forem locais, talvez a experiência não seja o que seus usuários esperam.
  • Os controladores de domínio: Se os conectores executam logon único (SSO) usando a Delegação restrita de Kerberos, eles entram em contato com os controladores de domínio antes de enviar a solicitação ao back-end. Os conectores têm um cache de tíquetes Kerberos, mas em um ambiente ocupado, a capacidade de resposta dos controladores de domínio pode afetar o desempenho. Esse problema é mais comum em conectores executados no Azure, mas que se comunicam com os controladores de domínio locais.

Para saber mais sobre como otimizar sua rede, consulteConsiderações sobre a topologia de rede ao usar o proxy de aplicativo do Microsoft Entra.

Ingresso no domínio

Os conectores podem ser executados em um computador que não foi ingressado no domínio. Entretanto, se você desejar efetuar SSO (logon único) em aplicativos que usam a IWA (Autenticação Integrada do Windows), precisará de um computador conectado ao domínio. Nesse caso, os computadores do conector devem ser adicionados a um domínio que possa executar a Delegação Restrita de Kerberos em nome dos usuários para os aplicativos publicados.

Os conectores também podem ser associados a domínios em florestas que tenham uma relação de confiança parcial ou a controladores de domínio somente leitura.

Implantações de conector em ambientes protegidos

Normalmente, a implantação do conector é simples e não exige nenhuma configuração especial.

No entanto, há algumas condições exclusivas que devem ser consideradas:

  • O tráfego de saída requer portas específicas para serem abertas. Para saber mais, confira Configurar conectores.
  • Os computadores em conformidade com FIPS podem precisar alterar sua configuração para permitir que os processos do conector gerem e armazenem um certificado.
  • Em alguns casos, os proxies de encaminhamento de saída podem interromper a autenticação de certificado bidirecional e causar falha na comunicação.

Autenticação do conector

Para fornecer um serviço seguro, os conectores devem fazer a autenticação no serviço e o serviço deve fazer a autenticação no conector. Essa autenticação é feita usando certificados de cliente e servidor quando os conectores iniciam a conexão. Dessa forma, o nome de usuário e a senha do administrador não são armazenados no computador do conector.

Os certificados usados são específicos para o serviço. Eles são criados durante o registro inicial e renovados automaticamente a cada dois meses.

Após a primeira renovação de certificado bem-sucedida, o serviço conector de rede privada do Microsoft Entra (Serviço de Rede) não tem permissão para remover o certificado antigo do armazenamento do computador local. Se o certificado expirar ou não for usado pelo serviço, você poderá excluí-lo com segurança.

Para evitar problemas com a renovação do certificado, verifique se a comunicação de rede do conector para o destinos documentados está habilitada.

Se um conector não estiver conectado ao serviço por vários meses, seus certificados poderão estar desatualizados. Nesse caso, desinstale e reinstale o conector para disparar o registro. É possível executar os seguintes comandos do PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Para o governo, use -EnvironmentName "AzureUSGovernment". Para obter mais detalhes, consulte Instalar o Agente para a Nuvem do Microsoft Azure Governamental.

Para saber mais sobre como verificar o certificado e solucionar problemas, consulte Verificar máquina e suporte a componentes de back-end para certificado de confiança do Proxy de Aplicativo.

Nos bastidores

Os conectores são instalados no Windows Server, portanto, eles têm a maioria das mesmas ferramentas de gerenciamento, incluindo logs de eventos do Windows e contadores de desempenho do Windows.

Os conectores têm logs de Admin e Sessão. Os logs Admin incluem eventos de chave e seus erros. Os logs de sessão incluem todas as transações e seus detalhes de processamento.

Para ver os logs, abra o Visualizador de Eventos e acesse os Logs de Aplicativos e Serviços>Microsoft>Microsoft Entra private network>Connector. Para tornar o log de sessão visível, no menu Exibir, selecione Mostrar logs analíticos e de depuração. O log de Sessão é normalmente usado para solução de problemas e é desabilitado por padrão. Habilite-o para começar a coletar eventos e desative-o quando não for mais necessário.

Você pode examinar o estado do serviço na janela Serviços. O conector é composto por dois Serviços do Windows: o conector real e o atualizador. Ambos devem ser executados o tempo todo.

Conectores inativos

Um problema comum é que os conectores aparecem como inativos em um grupo de conectores. Um firewall que bloqueia as portas necessárias é uma causa comum para conectores inativos.

Termos de Uso

Seu uso do Acesso Privado do Microsoft Entra e Acesso à Internet do Microsoft Entra experiências e recursos de preview é regido pelos termos e condições de serviço online de preview dos contratos sob os quais você obteve os serviços. As prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado nos Termos de Licença Universais para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (“DPA”) e quaisquer outros avisos fornecidos com a preview.

Próximas etapas