Compartilhar via

Grupos de conectores de rede privada do Microsoft Entra

Use grupos de conectores de rede privados para atribuir conectores a aplicativos. Os grupos de conectores oferecem mais controle e ajudam você a otimizar as implantações.

Cada conector de rede privada está em um grupo de conectores. Os conectores no mesmo grupo atuam como uma unidade para alta disponibilidade e balanceamento de carga. Se você não criar grupos, todos os conectores estarão no grupo padrão. Crie novos grupos e atribua conectores no Centro de administração do Microsoft Entra.

Use grupos de conectores quando os aplicativos forem executados em locais diferentes. Crie grupos por local para que cada aplicativo use conectores próximos.

Dica

Se você tiver uma grande implantação do proxy de aplicativo do Microsoft Entra, não atribua aplicativos ao grupo de conectores padrão. Os novos conectores não recebem tráfego ao vivo até que você os mova para um grupo ativo. Você também pode deixar os conectores ociosos movendo-os de volta para o grupo padrão, permitindo assim a execução de manutenção sem afetar os usuários.

Pré-requisitos

Você precisa de vários conectores para usar grupos de conectores. O serviço adiciona automaticamente novos conectores ao grupo de conectores padrão. Para instalar conectores, consulte Configurar conectores de rede privada para o Acesso Privado do Microsoft Entra e o proxy de aplicativo.

Atribuição de aplicativos para seus grupos de conectores

Atribua um aplicativo a um grupo de conectores ao publicá-lo. Altere o grupo de conectores a qualquer momento.

Casos de uso para grupos de conectores

Use grupos de conectores nos cenários a seguir.

Sites com vários datacenters interconectados

Grandes organizações usam vários datacenters. Mantenha o máximo de tráfego possível em um datacenter, pois os links entre datacenter são caros e lentos.

Implante conectores em cada datacenter para atender apenas aos aplicativos nesse datacenter. Essa abordagem reduz o tráfego entre datacenters e é transparente para os usuários.

Aplicativos instalados em redes isoladas

Os aplicativos são executados em redes que não fazem parte da rede corporativa principal. Use grupos de conectores para instalar conectores dedicados em redes isoladas e manter esses aplicativos contidos lá. Esse cenário é comum para fornecedores que mantêm um aplicativo específico.

Aplicativos instalados no IaaS

Para aplicativos em IaaS (infraestrutura como serviço), use grupos de conectores para ajudar a proteger o acesso a todos os aplicativos sem adicionar dependências de rede corporativa ou fragmentar a experiência. Instale conectores em cada Data Center de nuvem e vincule-os aos aplicativos nesta rede. Instale vários conectores para alta disponibilidade.

Por exemplo, uma organização tem várias máquinas virtuais conectadas à sua própria rede virtual hospedada em IaaS. Para permitir que os funcionários usem esses aplicativos, essas máquinas virtuais são conectadas à rede corporativa por meio da VPN (rede virtual privada) site a site. Uma VPN site-to-site oferece aos funcionários no local uma boa experiência. No entanto, não é ideal para funcionários remotos porque requer mais infraestrutura local para rotear o acesso, conforme mostrado no diagrama a seguir.

Diagrama que mostra a rede IaaS do Microsoft Entra.

Com os grupos de conectores de rede privada do Microsoft Entra, você pode habilitar um serviço comum para ajudar a proteger o acesso a todos os aplicativos sem adicionar dependências de rede corporativa.

Diagrama que mostra vários fornecedores de nuvem para o Microsoft Entra IaaS.

Diferentes grupos de conectores para cada floresta em um ambiente de várias florestas

O logon único geralmente usa a delegação restrita Kerberos (KCD). Computadores conectores ingressam em um domínio que pode delegar usuários ao aplicativo. O KCD dá suporte a cenários entre florestas, mas em ambientes distintos de várias florestas sem confiança, um único conector não pode atender a todas as florestas.

Implante conectores dedicados para cada floresta e associe-os especificamente a aplicativos para usuários dessa floresta. Cada grupo de conectores representa uma floresta. O locatário e a maior parte da experiência estão unificados, e você atribui usuários aos seus aplicativos no ambiente de floresta usando grupos do Microsoft Entra.

Sites de recuperação de desastre

Há duas abordagens a serem consideradas para sites de recuperação de desastre (DR):

  • Seu site de recuperação de desastre é executado no modo ativo/ativo e corresponde à rede de sites principal e às configurações do Active Directory. Crie os conectores no site de DR no mesmo grupo de conectores que o site principal. O Microsoft Entra ID detecta failovers.
  • Seu site de recuperação de desastre é separado do site principal. Crie um grupo de conectores diferente lá. Use aplicativos de backup ou desvie manualmente os aplicativos existentes para o grupo de conectores de DR, conforme necessário.

Atendendo várias empresas de um único locatário

Você pode implementar um modelo no qual um único provedor de serviços implanta e mantém serviços relacionados ao Microsoft Entra para várias empresas. Os grupos de conectores ajudam você a separar conectores e aplicativos em grupos.

Uma opção para pequenas empresas é usar um único locatário do Microsoft Entra, enquanto cada empresa mantém seu próprio nome de domínio e redes. A mesma abordagem funciona para cenários de fusão e situações em que uma única divisão atende a várias empresas por motivos regulatórios ou comerciais.

Configurações de amostra

Considere essas configurações de exemplo de grupos de conectores.

Configuração padrão: sem uso para grupos de conectores

Se você não usar grupos de conectores, sua configuração será semelhante ao exemplo a seguir. O grupo de conectores proxy padrão manipula todos os aplicativos publicados.

Captura de tela de uma configuração com apenas o grupo de conectores padrão e dois conectores que manipulam todos os aplicativos publicados.

A configuração é suficiente para pequenas implantações e testes. Também funcionará se sua organização tiver uma topologia de rede simples.

Um grupo de conectores para uma rede isolada

Essa configuração estende o padrão. Um aplicativo específico é executado em uma rede isolada, como uma rede virtual IaaS. A empresa criou um grupo de conectores para essa rede isolada.

Captura de tela do proxy de aplicativo em que um aplicativo é executado em uma rede virtual IaaS isolada com um grupo de conectores.

Para organizações grandes e complexas, defina o grupo de conectores padrão para manter conectores ociosos ou recém-instalados. Não atribua aplicativos a ele. Atenda a todos os aplicativos por meio de grupos de conectores personalizados.

Neste exemplo, a empresa tem dois datacenters (A e B). Dois conectores servem a cada site. Cada site executa aplicativos diferentes.

Captura de tela de uma configuração recomendada com dois datacenters, dois conectores por site, um grupo de conectores ocioso padrão e grupos personalizados que atendem a todos os aplicativos.

Conteúdo relacionado