Como configurar conectores de rede privada para Microsoft Entra Private Access e proxy de aplicativo Microsoft Entra
Os conectores são agentes leves que estão localizados em um servidor em uma rede privada e facilitam a conexão de saída com o serviço Acesso Seguro Global. Os conectores devem ser instalados em um Windows Server que tenha acesso aos recursos e aplicativos de back-end. Você pode organizar os conectores em grupos de conector, com cada grupo tratando o tráfego de aplicativos específicos. Para saber mais sobre conectores, confira Noções básicas sobre conectores de rede privada do Microsoft Entra.
Pré-requisitos
Para adicionar recursos e aplicativos privados ao Microsoft Entra ID, você precisa:
- O produto requer uma licença. Para saber mais sobre licenciamento, consulte a seção de licenciamento de O que é Acesso Seguro Global. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.
- Uma conta de Administrador de Aplicativo.
As identidades de usuário precisam ser sincronizadas de um diretório local ou criadas diretamente nos locatários do Microsoft Entra. A Sincronização de Identidades permite que o Microsoft Entra ID pré-autentique os usuários antes de conceder-lhes acesso aos aplicativos publicados pelo proxy de aplicativo e tenha as informações de identificação do usuário necessárias para executar o SSO (logon único).
Windows Server
O conector de rede privada Microsoft Entra requer um servidor que execute o Windows Server 2012 R2 ou posterior. Você vai instalar o conector de rede privada no servidor. Esse servidor conector precisa se conectar ao serviço Microsoft Entra Private Access ou ao serviço de proxy de aplicativo e aos recursos ou aplicativos privados que você planeja publicar.
- Para alta disponibilidade no seu ambiente, é recomendável ter mais de um servidor Windows.
- A versão mínima do .NET necessária para o conector é v4.7.1+.
- Para obter mais informações, confira conectores de rede privada
- Para obter mais informações, consulte Determinar quais versões do .NET Framework estão instaladas.
Importante
Desabilite HTTP 2.0 ao usar o conector de rede privada do Microsoft Entra com o proxy de aplicativo do Microsoft Entra no Windows Server 2019 ou posterior.
Desabilite o suporte ao protocolo HTTP2
no componente WinHttp
para que a Delegação Restrita do Kerberos funcione corretamente. Isso é desabilitado por padrão em versões anteriores de sistemas operacionais compatíveis. Adicionar a chave do Registro a seguir e reiniciar o servidor a desabilitará no Windows Server 2019 e versões posteriores. Essa é uma chave do Registro em todo o computador.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000
A chave pode ser definida por meio do PowerShell com o seguinte comando:
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
Aviso
Se você implantou o Proxy de Proteção de Senha, não instale o Proxy de Aplicativo do Microsoft Entra e o Proxy de Proteção de Senha do Microsoft Entra juntos no mesmo computador. O Proxy de Aplicativo do Microsoft Entra e o Proxy de Proteção de Senha do Microsoft Entra instalam versões diferentes do Serviço Atualizador do Agente do Microsoft Entra Connect. Essas diferentes versões são incompatíveis quando instaladas juntas no mesmo computador.
Requisitos de TLS (protocolo TLS)
O servidor conector do Windows deve ter o TLS 1.2 habilitado antes de instalar o conector de rede privada.
Para habilitar o TLS 1.2:
Definir chaves do Registro.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Reinicie o servidor.
Observação
A Microsoft está atualizando os serviços do Azure para que eles usem certificados TLS de outro conjunto de ACs (autoridades de certificação) raiz. Essa alteração está sendo feita porque os Certificados de Autoridade de Certificação atuais não estão em conformidade com um dos requisitos de linha de base do fórum do navegador/da AC. Para mais informações, confira Alterações no certificado TLS do Azure.
Recomendações para o servidor do conector
- Otimize o desempenho entre o conector e o aplicativo. Localize fisicamente o servidor conector perto dos servidores de aplicativos. Para obter mais informações, confira Otimizar o fluxo de tráfego com o Proxy de Aplicativo do Microsoft Entra.
- Certifique-se de que o servidor do conector e os servidores de aplicativos Web estejam no mesmo domínio do Active Directory ou abranjam domínios confiáveis. Ter os servidores no mesmo domínio ou em domínios confiáveis é um requisito para usar o SSO (logon único) com IWA (autenticação integrada do Windows) e KCD (Delegação Restrita do Kerberos). Se o servidor do conector e os servidores de aplicativos Web estiverem em domínios diferentes do Active Directory, use a delegação baseada em recursos para logon único.
Preparar o ambiente local
Primeiro, habilite a comunicação com os data centers do Azure para preparar o ambiente para o Proxy de Aplicativo do Microsoft Entra. Se houver um firewall no caminho, verifique se ele está aberto. Com o firewall aberto, o conector pode enviar solicitações HTTPS (TCP) para o Proxy de Aplicativo.
Importante
Se você estiver instalando o conector para a nuvem do Azure Government, siga os pré-requisitos e as etapas de instalação. Isso requer a habilitação do acesso a um conjunto diferente de URLs e um parâmetro adicional para executar a instalação.
Abrir portas
Abra as seguintes portas para o tráfego de saída.
Número da porta | Como ele é usado |
---|---|
80 | Baixando as CRLs (listas de certificados revogados) ao validar o certificado TLS/SSL |
443 | Toda a comunicação de saída com o serviço do proxy de aplicativo |
Se o firewall impor o tráfego de acordo com os usuários originadores, abra também as portas 80 e 443 para o tráfego proveniente dos serviços do Windows que são executados como um serviço de rede.
Permitir acesso às URLs
Permita o acesso às seguintes URLs:
URL | Porta | Como ele é usado |
---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Comunicação entre o conector e o serviço de nuvem do Proxy de Aplicativo |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | O conector usa essas URLs para verificar certificados. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | O conector usa essas URLs durante o processo de registro. |
ctldl.windowsupdate.com www.microsoft.com/pkiops |
80/HTTP | O conector usa essas URLs durante o processo de registro. |
Você poderá permitir conexões a *.msappproxy.net
, *.servicebus.windows.net
e outras URLs acima se o firewall ou o proxy permitir a configuração de regras de acesso com base em sufixos de domínio. Caso contrário, você precisa permitir o acesso aos Intervalos de IP e Marcas de Serviço – Nuvem Pública do Azure. Os intervalos de IP são atualizados a cada semana.
Importante
Evite todas as formas de inspeção e finalização embutidas nas comunicações TLS de saída entre os conectores de rede privada do Microsoft Entra e os serviços de nuvem do proxy de aplicativo do Microsoft Entra.
Instalar e registrar um conector
Para usar o Acesso Privado, instale um conector em cada servidor Windows que você está usando para o Acesso privado do Microsoft Entra. O conector é um agente que gerencia a conexão de saída de servidores de aplicativos locais para o Acesso Global Seguro. Você pode instalar um conector em servidores que também tenham outros agentes de autenticação instalados, como o Microsoft Entra Connect.
Observação
A versão mínima do conector necessária para o Acesso Privado é 1.5.3417.0. A partir da versão 1.5.3437.0, ter o .NET versão 4.7.1 ou superior é necessário para uma instalação bem-sucedida (atualização).
Observação
Implantar o Conector de Rede Privada para suas cargas de trabalho do Azure, AWS e GCP dos respectivos Marketplaces (versão prévia)
O Conector de Rede Privada agora está disponível no Azure Marketplace, no AWS Marketplace e no GCP Marketplace (em versão prévia), além do centro de administração do Microsoft Entra. As ofertas do Marketplace permitem que os usuários implantem uma máquina virtual do Windows com um Conector de Rede Privada pré-instalado por meio de um modelo simplificado. O processo automatiza a instalação e o registro, melhorando assim a facilidade e a eficiência.
Para instalar o conector do centro de administração do Microsoft Entra:
Entre no centro de administração Microsoft Entra como Administrador de Aplicativos do diretório que usa o Proxy de Aplicativos.
- Por exemplo, se o domínio de locatário for contoso.com, o administrador deverá ser
admin@contoso.com
ou qualquer outro alias de administrador nesse domínio.
- Por exemplo, se o domínio de locatário for contoso.com, o administrador deverá ser
Escolha o nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa o Proxy de Aplicativo. Se for necessário alterar diretórios, escolha Mudar diretório e escolha um diretório que usa o Proxy de Aplicativo.
Navegue até Acesso Global Seguro>Conectar>Conectores.
Escolha Baixar o serviço do conector.
Leia os Termos de serviço. Quando estiver pronto, escolha Aceitar termos e baixar.
Na parte inferior da janela, escolha Executar para instalar o conector. Um assistente de instalação é aberto.
Siga as instruções do assistente para instalar o serviço. Quando for solicitado que você registre o conector com o Proxy de Aplicativo do seu locatário do Microsoft Entra, forneça suas credenciais de Administrador do Aplicativo.
- Para IE (Internet Explorer): se a Configuração de Segurança Aprimorada do IE estiver Ativada, você poderá não ver a tela de registro. Siga as instruções na mensagem de erro para obter o acesso. Verifique se a Configuração da Segurança Aprimorada do Internet Explorer está definida como Desativada.
Observações importantes
Se você já instalou um conector, reinstale-o para obter a versão mais recente. Ao atualizar, desinstale o conector existente e exclua as pastas relacionadas. Para saber mais sobre as versões lançadas anteriormente e quais alterações elas incluem, confira Proxy de Aplicativo: histórico de lançamento de versões.
Se você optar por ter mais de um servidor Windows para seus aplicativos locais, será necessário instalar e registrar o conector em cada servidor. Você pode organizar os conectores em grupos de conectores. Para obter mais informações, veja grupos de conectores.
Para obter informações sobre conectores, planejamento de capacidade e como eles permanecem atualizados, confira Noções básicas sobre conectores de rede privada do Microsoft Entra.
Observação
O Microsoft Entra Private Access não oferece suporte a conectores multigeográficos. As instâncias do serviço de nuvem para o conector são escolhidas na mesma região que o locatário do Microsoft Entra (ou na região mais próxima), mesmo se você tiver conectores instalados em regiões diferentes da região padrão.
Verificar a instalação e o registro
Você pode usar o portal do Acesso Global Seguro ou seu servidor Windows para confirmar que um novo conector foi instalado corretamente.
Para obter informações sobre como solucionar problemas de proxy de aplicativo, veja Depurar problemas de aplicativo de proxy de aplicativo.
Verificar a instalação por meio do centro de administração do Microsoft Entra
Para confirmar se o conector foi instalado e registrado corretamente:
Entre no centro de administração Microsoft Entra como Administrador de Aplicativos do diretório que usa o Proxy de Aplicativos.
Navegue até Acesso Global Seguro>Conectar>Conectores
- Todos os seus conectores e grupos de conector são exibidos nesta página.
Exiba um conector para verificar os detalhes.
- Expanda o conector para exibir os detalhes, se ele ainda não estiver expandido.
- Um rótulo verde ativo indica que seu conector pode se conectar ao serviço. No entanto, mesmo que o rótulo esteja verde, um problema de rede ainda poderá bloquear o recebimento de mensagens pelo conector.
Para obter mais ajuda com a instalação de um conector, veja solucionar problemas de conectores.
Verificar a instalação por meio do servidor Windows
Para confirmar se o conector foi instalado e registrado corretamente:
Selecione a chave Windows e digite
services.msc
para abrir o Gerenciador de Serviços do Windows.Verifique se o status dos serviços a seguir é Em Execução.
- O conector de rede privada do Microsoft Entra habilita a conectividade.
- O Atualizador do conector de rede privada do Microsoft Entra é um serviço de atualização automatizado.
- O atualizador verifica novas versões do conector e o atualiza conforme necessário.
Se o status dos serviços não for Em execução, clique com o botão direito do mouse em cada serviço e escolha Iniciar.
Criar grupos de conectores
Para criar tantos grupos de conectores quantos você desejar:
- Navegue até Acesso Global Seguro>Conectar>Conectores.
- Selecione Novo grupo de conectores.
- Nomeie o novo grupo de conectores e use o menu suspenso para selecionar quais conectores pertencem a esse grupo.
- Selecione Salvar.
Para saber mais sobre grupos de conectores, confira Entender os grupos de conectores de rede privada do Microsoft Entra.
Próximas etapas
A próxima etapa para começar a usar o Acesso privado do Microsoft Entra é configurar o aplicativo Acesso Rápido ou o Acesso Global Seguro: