共用方式為


如何為 Microsoft Entra 私人存取和 Microsoft Entra 應用程式 Proxy 設定私人網路連接器

連接器是輕量型代理程式,位於私人網路的伺服器上,且有助於與全球安全存取服務的輸出連線。 連接器必須安裝在可存取後端資源和應用程式的 Windows 伺服器上。 您可以在連接器群組內將連接器加以組織,每個群組處理特定應用程式的流量。 若要深入了解連接器,請參閱了解 Microsoft Entra 私人網路連接器

必要條件

若要將私人資源和應用程式新增至 Microsoft Entra ID,您需要:

您必須從內部部署目錄同步處理使用者身分識別,或是直接在您的 Microsoft Entra 租用戶內建立使用者身分識別。 身分識別同步處理可讓 Microsoft Entra ID 在授與使用者權限來存取應用程式 Proxy 發佈的應用程式之前先進行預先驗證,以及具有執行單一登入 (SSO) 所需的使用者識別碼資訊。

Windows Server

Microsoft Entra 私人網路連接器需要執行 Windows Server 2012 R2 或更新版本的伺服器。 您將在伺服器上安裝私人網路連接器。 此連接器伺服器必須連線到 Microsoft Entra 私人存取服務或應用程式 Proxy 服務,以及您計劃發佈的私人資源或應用程式。

重要

在 Windows Server 2019 或更新版本上使用 Microsoft Entra 私人網路連接器搭配 Microsoft Entra 應用程式 Proxy 時停用 HTTP 2.0。

停用 WinHttp 元件中的 HTTP2 通訊協定支援,以讓 Kerberos 限制委派正常運作。 在舊版的支援作業系統中,預設會停用此功能。 新增下列登錄機碼並重新啟動伺服器,即可在 Windows Server 2019 和更新版本上停用此功能。 這是整部機器適用的登錄機碼。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

您可以使用下列命令,透過 PowerShell 來設定機碼:

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

警告

如果您已部署 Microsoft Entra 密碼保護 Proxy,請勿在相同電腦上安裝 Microsoft Entra 應用程式 Proxy 和 Microsoft Entra 密碼保護 Proxy。 Microsoft Entra 應用程式 Proxy 和 Microsoft Entra 密碼保護 Proxy 會安裝不同版本的 Microsoft Entra Connect 代理程式更新程式服務。 這些不同的版本安裝在相同的機器上時,彼此會不相容。

傳輸層安全性 (TLS) 需求

安裝私人網路連接器之前,Windows 連接器伺服器必須已啟用 TLS 1.2。

啟用 TLS 1.2:

  1. 設定登錄機碼。

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. 重新啟動伺服器。

注意

Microsoft 正在更新 Azure 服務,以使用來自一組不同根憑證授權單位 (CA) 的 TLS 憑證。 由於目前的 CA 憑證不符合其中一個 CA/瀏覽器論壇基準需求,因此需要進行此項變更。 如需詳細資訊,請參閱 Azure TLS 憑證變更

針對連接器伺服器的建議

  • 將連接器與應用程式之間的效能最佳化。 實際找出靠近應用程式伺服器的連接器伺服器。 如需詳細資訊,請參閱使用 Microsoft Entra 應用程式 Proxy 最佳化流量流程
  • 確定連接器伺服器和 Web 應用程式伺服器屬於相同的 Active Directory 網域或橫跨信任網域。 伺服器必須位於相同網域或信任網域,才能搭配使用單一登入 (SSO) 與整合式 Windows 驗證 (IWA) 和 Kerberos 限制委派 (KCD) 的需求。 如果連接器伺服器和 Web 應用程式伺服器位於不同的 Active Directory 網域,請針對單一登入使用資源型委派。

準備內部部署環境

一開始先啟用與 Azure 資料中心的通訊,以準備適合 Microsoft Entra 應用程式 Proxy 的環境。 如果路徑中有防火牆,請確定防火牆已開啟。 防火牆開啟才能讓連接器對「應用程式 Proxy」提出 HTTPS (TCP) 要求。

重要

如果您要安裝適用於 Azure Government 雲端的連接器,請遵循必要條件安裝步驟。 您需要啟用一組不同 URL 的存取權,以及執行安裝的其他參數。

開啟連接埠

輸出流量開啟下列連接埠。

連接埠號碼 使用方式
80 下載憑證撤銷清單 (CRL) 時驗證 TLS/SSL 憑證
443 應用程式 Proxy 服務的所有傳出通訊

如果您的防火牆根據原始使用者強制執行流量,也請針對來自以網路服務形式執行的 Windows 服務的流量,開啟連接埠 80 和 443。

允許存取 URL

允許存取下列 URL:

URL 連接埠 使用方式
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS 連接器和應用程式 Proxy 雲端服務之間的通訊
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP 連接器會使用這些 URL 來確認憑證。
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS 連接器會在註冊程序進行期間使用這些 URL。
ctldl.windowsupdate.com
www.microsoft.com/pkiops
80/HTTP 連接器會在註冊程序進行期間使用這些 URL。

如果防火牆或 Proxy 可讓您根據網域尾碼設定存取規則,即可允許 *.msappproxy.net*.servicebus.windows.net 與上方其他 URL 的連線。 如果不是,您需要允許存取 Azure IP 範圍和服務標籤 - 公用雲端。 IP 範圍會每週更新。

重要

避免對 Microsoft Entra 私人網路連接器與 Microsoft Entra 應用程式 Proxy 雲端服務之間的輸出 TLS 通訊進行所有形式的內嵌檢查和終止。

安裝並註冊連接器

若要使用私人存取,在您針對 Microsoft Entra 私人存取使用的每部 Windows 伺服器上安裝連接器。 此連接器會作為代理程式,來管理從內部部署應用程式伺服器到全球安全存取的輸出連線。 您可以在同時還安裝了其他驗證代理程式 (例如,Microsoft Entra Connect) 的伺服器上安裝連接器。

注意

私人存取所需的連接器最低版本是 1.5.3417.0。 從 1.5.3437.0 版開始,需要有 .NET 4.7.1 版或更新版本才能成功安裝 (升級)。

注意

從個別 Marketplace 部署適用於 Azure、AWS 和 GCP 工作負載的專用網連接器 (預覽)

除了 Microsoft Entra 系統管理中心之外,Azure Marketplace、AWS MarketplaceGCP Marketplace 也提供專用網連接器。 Marketplace 供應項目可讓使用者透過簡化模型,使用預先安裝的私人網路連接器來部署 Windows 虛擬機器。 此流程會將安裝和註冊自動化,因此可改善易用性與效率。

若要從 Microsoft Entra 系統管理中心安裝連接器

  1. 以使用應用程式 Proxy 的目錄應用程式管理員身分登入 Microsoft Entra 系統管理中心

    • 例如,如果租用戶網域為 contoso.com,則系統管理員應該是 admin@contoso.com ,或該網域上的其他管理員別名。
  2. 在右上角選取您的使用者名稱。 請確認您已登入使用應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄],然後選擇會使用應用程式 Proxy 的目錄。

  3. 瀏覽至 [全球安全存取]>[連線]>[連接器]

  4. 選取 [下載連接器服務]

    應用程式 Proxy 頁面中 [下載連接器服務] 按鈕的螢幕擷取畫面。

  5. 閱讀服務條款。 當您準備好時,選取 [接受條款並下載]

  6. 在視窗底部選取 [執行] 以安裝連接器。 安裝精靈隨即開啟。

  7. 請遵循精靈內的指示安裝服務。 當系統提示您向 Microsoft Entra 租用戶的應用程式 Proxy 註冊連接器時,提供您的應用程式管理員認證。

    • 針對 Internet Explorer (IE):如果 [IE 增強式安全性設定] 設定為 [開啟],您可能不會看到註冊畫面。 若要取得存取權,請依照錯誤訊息中的指示。 確定 [Internet Explorer 增強式安全性設定] 設定為 [關閉]。

須知事項

如果您先前已安裝連接器,請重新安裝以取得最新版本。 升級時,解除安裝現有的連接器並刪除任何相關資料夾。 若要查看先前發行版本及其所含變更的相關資訊,請參閱應用程式 Proxy:版本發行記錄

如果您選擇為內部部署應用程式準備多部 Windows 伺服器,則必須在每部伺服器上安裝並註冊連接器。 您可以將連接器組織成連接器群組。 如需詳細資訊,請參閱連接器群組

如需有關連接器、容量規劃以及其如何保持最新狀態的相關資訊,請參閱了解 Microsoft Entra 私人網路連接器

注意

Microsoft Entra 私人存取不支援多地理位置連接器。 即使您已在與預設區域不同的區域中安裝連接器,仍會選取與您的 Microsoft Entra 租用戶位於相同的區域 (或與其最接近的區域) 連接器的雲端服務執行個體。

確認安裝和註冊

您可以使用全球安全存取入口網站或 Windows 伺服器,來確認新的連接器是否安裝正確。

如需針對應用程式 Proxy 問題進行疑難排解的詳細資訊,請參閱偵錯應用程式 Proxy 應用程式問題

透過 Microsoft Entra 系統管理中心確認安裝

若要確認連接器的安裝和註冊是否正確:

  1. 以使用應用程式 Proxy 的目錄應用程式管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [全球安全存取]>[連線]>[連接器]

    • 所有的連接器與連接器群組都會出現在此頁面上。
  3. 檢視連接器以確認其詳細資料。

    • 如果連接器尚未展開,請展開以檢視詳細資料。
    • 作用中的綠色標籤會指出連接器可以連線至服務。 不過,即使標籤是綠色的,仍可能會因為網路問題而讓連接器無法接收訊息。

    連接器群組和連接器群組詳細資料的螢幕擷取畫面。

如需安裝連接器的詳細資訊,請參閱針對連接器進行疑難排解

透過 Windows 伺服器確認安裝

若要確認連接器的安裝和註冊是否正確:

  1. 選取 [Windows] 機碼並輸入 services.msc,以開啟 Windows Service Manager。

  2. 確認下列服務的狀態是否為執行中

    • Microsoft Entra 私人網路連接器可啟用連線能力。
    • Microsoft Entra 私人網路連接器更新程式是自動更新服務。
    • 更新程式會檢查連接器的新版本,並且視需要更新連接器。

    Windows Services Manager 中私人網路連接器和連接器更新程式服務的螢幕擷取畫面。

  3. 如果服務的狀態不是執行中,請對每個服務按一下滑鼠右鍵加以選取,然後選擇 [啟動]

建立連接器群組

建立任意數量的連接器群組:

  1. 瀏覽至 [全球安全存取]>[連線]>[連接器]
  2. 選取 [新增連接器群組]
  3. 指定新連接器群組的名稱,然後使用下拉式功能表來選取哪些連接器屬於此群組。
  4. 選取 [儲存]。

若要深入了解連接器群組,請參閱了解 Microsoft Entra 私人網路連接器群組

下一步

開始使用 Microsoft Entra 私人存取的下一個步驟是設定快速存取或全球安全存取應用程式: