Förstå grupper för privata Nätverksanslutningar i Microsoft Entra
Använd privata nätverksanslutningsgrupper för att tilldela specifika anslutningsappar till specifika program. Anslutningsgrupper ger dig mer kontroll och gör att du kan optimera dina distributioner.
Varje privat nätverksanslutning tilldelas till en anslutningsgrupp. Alla anslutningsappar som tillhör samma anslutningsgrupp fungerar som en separat enhet för hög tillgänglighet och belastningsutjämning. Alla anslutningsappar tillhör en anslutningsgrupp. Om du inte skapar grupper finns alla dina anslutningsappar i en standardgrupp. Du skapar nya anslutningsgrupper och tilldelar anslutningsappar i administrationscentret för Microsoft Entra.
Anslutningsgrupper är användbara om dina program finns på olika platser. Du skapar anslutningsgrupper baserat på plats. Program använder anslutningsappar som ligger fysiskt nära dem.
Dricks
Om du har en stor programproxydistribution ska du inte tilldela några program till standardanslutningsgruppen. På så sätt får inte nya anslutningsappar någon livetrafik förrän du tilldelar dem till en aktiv anslutningsgrupp. Med den här konfigurationen kan du också placera anslutningsappar i inaktivt läge genom att flytta tillbaka dem till standardgruppen, så att du kan utföra underhåll utan att påverka användarna.
Förutsättningar
Du måste ha flera anslutningsappar för att kunna använda anslutningsgrupper. Nya anslutningsappar läggs automatiskt till i gruppen Standardanslutning . Mer information om hur du installerar anslutningsappar finns i konfigurera anslutningsapparD.
Tilldela program till dina anslutningsgrupper
Du tilldelar ett program till en anslutningsgrupp när du först publicerar det. Du kan också uppdatera gruppen som en anslutningsapp har tilldelats.
Användningsfall för anslutningsgrupper
Anslutningsgrupper är användbara för olika scenarier, bland annat:
Platser med flera sammankopplade datacenter
Stora organisationer använder flera datacenter. Du vill behålla så mycket trafik inom ett specifikt datacenter som möjligt eftersom länkar mellan datacenter är dyra och långsamma. Du distribuerar anslutningsappar i varje datacenter för att endast hantera de program som finns i datacentret. Den här metoden minimerar länkar mellan datacenter och ger användarna en helt transparent upplevelse.
Program installerade i isolerade nätverk
Program kan finnas i nätverk som inte ingår i företagets huvudnätverk. Du kan använda anslutningsgrupper för att installera dedikerade anslutningsappar i isolerade nätverk för att även isolera program till nätverket. Scenariot är vanligt för leverantörer som underhåller ett visst program.
Program installerade på Infrastruktur som en tjänst (IaaS)
För program som är installerade på Infrastruktur som en tjänst (IaaS) för molnåtkomst tillhandahåller anslutningsgrupper en gemensam tjänst för säker åtkomst till alla appar. Anslutningsgrupper skapar inte fler beroenden i företagets nätverk eller fragmentera appupplevelsen. Anslutningsappar installeras på alla molndatacenter och hanterar endast program som finns i nätverket. Du installerar flera anslutningsappar för att uppnå hög tillgänglighet.
Ta som exempel en organisation som har flera virtuella datorer anslutna till sina egna virtuella IaaS-värdbaserade virtuella nätverk. För att anställda ska kunna använda dessa program är dessa privata nätverk anslutna till företagsnätverket med hjälp av vpn (site-to-site Virtual Private Network). Plats-till-plats-VPN ger en bra upplevelse för anställda som finns lokalt. Men det är inte idealiskt för distansanställda, eftersom det kräver mer lokal infrastruktur för att dirigera åtkomst, som illustreras i diagrammet:
Med microsoft Entra-grupper för privata nätverksanslutningar kan du aktivera en gemensam tjänst för att skydda åtkomsten till alla program utan att skapa fler beroenden i företagets nätverk:
Flera skogar – olika anslutningsgrupper för varje skog
Enkel inloggning uppnås ofta med kerberos-begränsad delegering (KCD). Anslutningsappens datorer är anslutna till en domän som kan delegera användarna till programmet. KCD stöder funktioner mellan skogar. Men för företag som har distinkta miljöer med flera skogar utan förtroende mellan dem kan en enda anslutningsapp inte användas för alla skogar. I stället distribueras specifika anslutningsappar per skog och är inställda på att hantera program som publiceras för att endast betjäna användare av den specifika skogen. Varje anslutningsgrupp representerar en annan skog. Klientorganisationen och det mesta av upplevelsen är enhetlig för alla skogar, men användarna kan tilldelas till sina skogsprogram med hjälp av Microsoft Entra-grupper.
Haveriberedskapsplatser
Det finns två metoder att överväga för haveriberedskapsplatser (DR):
- Dr-platsen är inbyggd i aktivt-aktivt läge där den är exakt som huvudplatsen. Webbplatsen har också samma inställningar för nätverk och Active Directory (AD). Du kan skapa anslutningsapparna på DR-platsen i samma anslutningsgrupp som huvudplatsen. Microsoft Entra ID identifierar redundans för dig.
- Dr-platsen är separat från huvudplatsen. Du skapar en annan anslutningsgrupp på DR-platsen. Du har antingen säkerhetskopieringsprogram eller manuellt vidarekoppla befintligt program till dr-anslutningsgruppen efter behov.
Betjäna flera företag från en enda klientorganisation
Du kan implementera en modell där en enda tjänstleverantör distribuerar och underhåller Microsoft Entra-relaterade tjänster för flera företag. Anslutningsgrupper hjälper dig att separera anslutningsappar och program i olika grupper. Ett sätt, som är lämpligt för små företag, är att ha en enda Microsoft Entra-klient medan de olika företagen har sitt eget domännamn och nätverk. Samma metod fungerar för fusionsscenarier och situationer där en enda division betjänar flera företag av regel- eller affärsskäl.
Exempelkonfigurationer
Överväg dessa exempel på gruppkonfigurationer för anslutningsappen.
Standardkonfiguration – ingen användning för anslutningsgrupper
Om du inte använder anslutningsgrupper ser konfigurationen ut så här:
Konfigurationen räcker för små distributioner och tester. Det fungerar också om din organisation har en platt nätverkstopologi.
Standardkonfiguration och ett isolerat nätverk
Konfigurationen är en utveckling av standardinställningen, en specifik app körs i ett isolerat nätverk som det virtuella IaaS-nätverket:
Rekommenderad konfiguration – flera specifika grupper och en standardgrupp för inaktiv
Den rekommenderade konfigurationen för stora och komplexa organisationer är att ha standardanslutningsgruppen som en grupp som inte hanterar några program och som används för inaktiva eller nyligen installerade anslutningsappar. Alla program hanteras med anpassade anslutningsgrupper.
I exemplet har företaget två datacenter, A och B, med två anslutningsappar som betjänar varje plats. Varje webbplats har olika program som körs på den.
