次の方法で共有

Microsoft Entra プライベート ネットワーク コネクタ グループ

プライベート ネットワーク コネクタ グループを使用して、アプリケーションにコネクタを割り当てます。 コネクタ グループを使用すると、より詳細な制御が得られ、デプロイの最適化に役立ちます。

各プライベート ネットワーク コネクタは、コネクタ グループ内にあります。 同じグループ内のコネクタは、高可用性と負荷分散のためのユニットとして機能します。 グループを作成しない場合、すべてのコネクタが既定のグループに含まれます。 Microsoft Entra 管理センターで新しいグループを作成し、コネクタを割り当てます。

アプリケーションが異なる場所で実行されている場合は、コネクタ グループを使用します。 各アプリケーションが近くのコネクタを使用するように、場所別にグループを作成します。

ヒント

Microsoft Entra アプリケーション プロキシの大規模なデプロイがある場合は、既定のコネクタ グループにアプリケーションを割り当てないでください。 新しいコネクタは、アクティブなグループに移動するまでライブ トラフィックを受信しません。 また、コネクタを既定のグループに戻してアイドル状態にして、ユーザーに影響を与えずにメンテナンスを実行することもできます。

前提条件

コネクタ グループを使用するには、複数のコネクタが必要です。 サービスは、既定のコネクタ グループに新しいコネクタを自動的に追加します。 コネクタをインストールするには、「 Microsoft Entra Private Access とアプリケーション プロキシのプライベート ネットワーク コネクタを構成する」を参照してください。

コネクタ グループへのアプリケーションの割り当て

アプリケーションを発行するときにコネクタ グループに割り当てます。 コネクタ グループはいつでも変更できます。

コネクタ グループのユース ケース

次のシナリオでは、コネクタ グループを使用します。

複数のデータセンターが相互接続されたサイト

ある大規模な組織は、複数のデータセンターを使っています。 データセンター間のリンクはコストが高く低速であるため、データセンター内のトラフィックをできるだけ多く保持します。

各データセンターにコネクタをデプロイして、そのデータセンター内のアプリのみを提供します。 このアプローチにより、データセンター間のトラフィックが減少し、ユーザーに対して透過的になります。

分離されたネットワークにインストールされたアプリケーション

アプリは、主要な企業ネットワークの一部ではないネットワークで実行されます。 コネクタ グループを使用して、分離されたネットワークに専用コネクタをインストールし、それらのアプリをそこに保持します。 このシナリオは、特定のアプリを管理するベンダーに共通です。

IaaS にインストールされているアプリケーション

サービスとしてのインフラストラクチャ (IaaS) 上のアプリの場合は、コネクタ グループを使用して、企業ネットワークの依存関係を追加したり、エクスペリエンスを断片化したりすることなく、すべてのアプリへのアクセスをセキュリティで保護します。 各クラウド データセンターにコネクタをインストールし、そのネットワーク内のアプリにスコープを設定します。 高可用性のために複数のコネクタをインストールします。

たとえば、組織は、独自の IaaS でホストされる仮想ネットワークに接続された複数の仮想マシンを持っています。 従業員がこれらのアプリケーションを使用できるように、これらの仮想マシンはサイト間仮想プライベート ネットワーク (VPN) 経由で企業ネットワークに接続されます。 サイト間 VPN を使用すると、オンプレミスの従業員に優れたエクスペリエンスが提供されます。 ただし、次の図に示すように、アクセスをルーティングするためにより多くのオンプレミス インフラストラクチャが必要なため、リモート従業員には理想的ではありません。

Microsoft Entra IaaS ネットワークを示す図。

Microsoft Entra プライベート ネットワーク コネクタ グループを使用すると、共通サービスを有効にして、企業ネットワークの依存関係を追加することなく、すべてのアプリへのアクセスをセキュリティで保護できます。

Microsoft Entra IaaS の複数のクラウド ベンダーを示す図。

複数フォレスト環境のフォレストごとに異なるコネクタ グループ

シングル サインオンでは、多くの場合、Kerberos の制約付き委任 (KCD) が使用されます。 コネクタ マシンは、ユーザーをアプリケーションに委任できるドメインに参加します。 KCD はフォレスト間のシナリオをサポートしますが、信頼のない個別の複数フォレスト環境では、1 つのコネクタですべてのフォレストを処理することはできません。

フォレストごとに専用コネクタをデプロイし、そのフォレスト内のユーザーのアプリにスコープを設定します。 各コネクタ グループはフォレストを表します。 テナントとほとんどのエクスペリエンスは統合されており、Microsoft Entra グループを使用してユーザーをフォレスト アプリに割り当てます。

ディザスター リカバリー サイト

ディザスター リカバリー (DR) サイトについて考慮するには、2 つの方法があります。

  • DR サイトはアクティブ/アクティブ モードで実行され、メイン サイトのネットワークと Active Directory の設定と一致します。 DR サイト上のコネクタは、メイン サイトと同じコネクタ グループに作成します。 Microsoft Entra ID はフェールオーバーを検出します。
  • DR サイトをメイン サイトから分離します。 そこに別のコネクタ グループを作成します。 バックアップ アプリを使用するか、必要に応じて既存のアプリを DR コネクタ グループに手動で転送します。

1 つのテナントから複数の企業にサービスを提供する

1 つのサービス プロバイダーが複数の企業に対して Microsoft Entra 関連のサービスを展開および管理するモデルを実装できます。 コネクタ グループは、コネクタとアプリをグループに分けるのに役立ちます。

小規模企業の 1 つのオプションは、1 つの Microsoft Entra テナントを使用することですが、各会社は独自のドメイン名とネットワークを保持します。 同じアプローチを、合併のシナリオや、規制またはビジネス上の理由で単一の部門が複数の企業にサービスを提供する状況にも利用できます。

構成の例

コネクタ グループのこれらのサンプル構成について考えてみましょう。

既定の構成: コネクタ グループには使用しません

コネクタ グループを使用しない場合、構成は次の例のようになります。 既定のプロキシ コネクタ グループは、発行されたすべてのアプリケーションを処理します。

既定のコネクタ グループと、すべての発行済みアプリケーションを処理する 2 つのコネクタのみを含むセットアップのスクリーンショット。

小規模な展開とテストには、この構成で十分です。 また、組織にフラットなネットワーク トポロジがある場合にも機能します。

分離ネットワーク用の 1 つのコネクタ グループ

この構成では、既定値が拡張されます。 特定のアプリは、IaaS 仮想ネットワークなどの分離されたネットワークで実行されます。 会社は、この分離されたネットワーク用のコネクタ グループを作成しました。

1 つのコネクタ グループを持つ分離された IaaS 仮想ネットワークで 1 つのアプリが実行されているアプリケーション プロキシのスクリーンショット。

大規模で複雑な組織の場合は、アイドル状態または新しくインストールされたコネクタを保持するように既定のコネクタ グループを設定します。 アプリケーションを割り当てないでください。 カスタム コネクタ グループを使用して、すべてのアプリケーションにサービスを提供します。

この例では、会社には 2 つのデータセンター (A と B) があります。 2 つのコネクタが各サイトに対応します。 各サイトは、異なるアプリケーションを実行します。

2 つのデータセンター、サイトごとに 2 つのコネクタ、既定のアイドル 状態のコネクタ グループ、およびすべてのアプリケーションにサービスを提供するカスタム グループを含む、推奨されるセットアップのスクリーンショット。

関連コンテンツ

  • Last updated on