Compartilhar via

Conectores de rede privada do Microsoft Entra

Os conectores possibilitam o Acesso Privado do Microsoft Entra e o proxy de aplicativo. Este artigo explica o que são conectores, como eles funcionam e como otimizar sua implantação.

O que é um conector de rede privado?

Conectores de rede privada são agentes leves que você instala no Windows Server dentro de sua rede. Eles estabelecem conexões de saída com os serviços de Acesso Privado e proxy de aplicativo para acessar recursos no back-end.

Os usuários se conectam ao serviço de nuvem, que roteia o tráfego para aplicativos por meio dos conectores. Para obter uma visão geral da arquitetura, consulte Como usar o proxy de aplicativo do Microsoft Entra para publicar aplicativos locais para usuários remotos.

Para configurar e registrar um conector com o serviço proxy de aplicativo:

  1. Abra as portas de saída 80 e 443 e permita o acesso ao serviço necessário e às URLs de ID do Microsoft Entra.
  2. Entre no Centro de administração do Microsoft Entra e execute o instalador em um computador local do Windows Server.
  3. Inicie o conector para escutar o serviço de proxy do aplicativo.
  4. Adicione o aplicativo local à ID do Microsoft Entra e defina as URLs voltadas para o usuário.

Para obter mais informações sobre a configuração, consulte Como configurar conectores de rede privada para o Acesso Privado do Microsoft Entra e o proxy de aplicativo.

Os conectores e o serviço lidam com a alta disponibilidade. Você pode adicionar ou remover conectores a qualquer momento.

Grupos de conectores

Você pode organizar conectores em grupos de conectores que lidam com o tráfego para recursos específicos. Os conectores no mesmo grupo atuam como uma única unidade para alta disponibilidade e balanceamento de carga.

Crie grupos e atribua conectores no Centro de administração do Microsoft Entra e mapeie grupos para aplicativos específicos. Use pelo menos dois conectores em cada grupo para alta disponibilidade.

Use grupos de conectores para:

  • Publicação de aplicativo geográfico.
  • Segmentação e isolamento do aplicativo.
  • Publicando aplicativos Web em execução na nuvem ou no local.

Os grupos de conectores simplificam o gerenciamento de implantações grandes. Eles podem reduzir a latência para locatários que têm recursos e aplicativos em regiões diferentes. Crie grupos de conectores baseados em localização para atender somente aplicativos locais.

Saiba mais em grupos de conectores de rede privada do Microsoft Entra.

Manutenção

O serviço roteia novas solicitações para um conector disponível. Se um conector estiver temporariamente indisponível, ele não receberá tráfego.

Os conectores são sem estado e não armazenam dados de configuração no computador. Eles armazenam apenas as configurações para se conectar ao serviço e ao certificado de autenticação. Quando eles se conectam ao serviço, eles extraem os dados de configuração necessários e os atualizam a cada poucos minutos.

Status do conector

Você pode exibir o status dos conectores no Centro de administração do Microsoft Entra:

  • Para acesso privado: vá para Global Secure Access>Connect>Connectors.
  • Para proxy de aplicativo: vá para Identidade>Aplicativos>aplicativos Empresariais, e selecione o aplicativo. Na página do aplicativo, selecione Proxy de aplicativo.

Logs

Os conectores são instalados no Windows Server, portanto, eles têm a maioria das mesmas ferramentas de gerenciamento. Você pode usar logs de eventos do Windows e contadores de desempenho do Windows para monitorar conectores.

Os conectores têm os logs de administração e de sessão. Os logs Admin incluem eventos de chave e seus erros. Os logs de sessão incluem todas as transações e seus detalhes de processamento.

Para exibir os logs:

  1. Abra o Visualizador de Eventos e acesse Logs de Aplicativos e Serviços>Microsoft>Microsoft Entra Private Network>Connector.

    O log do Administrador é visível por padrão.

  2. Para tornar o log de sessão visível, no menu Exibir, selecione Mostrar logs analíticos e de depuração.

    O log de sessão normalmente é usado para solução de problemas e está desabilitado por padrão. Habilite-o para começar a coletar eventos e desabilitá-los quando você não precisar mais dele.

Estado do serviço

O conector é composto por dois serviços do Windows: o conector principal e o atualizador. Ambos devem ser executados o tempo todo. Você pode examinar o estado dos serviços na janela Serviços .

Tratando problemas do servidor de conectores

Se um ou mais servidores conectores estiverem inativos devido a um servidor, rede ou interrupção semelhante, siga estas etapas para manter a continuidade:

  1. Identifique e remova os servidores afetados do grupo de conectores.
  2. Adicione servidores íntegros ou servidores de backup disponíveis ao grupo de conectores para restaurar a capacidade.
  3. Reinicie os servidores afetados para esvaziar todas as conexões pré-existidos. As conexões existentes em andamento não se encerram imediatamente quando há mudanças no grupo de conectores.

Use essa sequência para manter o serviço estável e minimizar a interrupção quando os servidores conectores tiverem problemas.

Atualizações do conector

A ID do Microsoft Entra ocasionalmente fornece atualizações automáticas para os conectores que você implanta. Os conectores consultam regularmente o serviço do atualizador em busca de atualizações. Quando uma versão mais recente está disponível para uma atualização automática, os conectores se atualizam. Enquanto o serviço do atualizador estiver em execução, os conectores poderão atualizar automaticamente para a versão mais recente do conector principal. Se você não encontrar o serviço de atualização em seu servidor, será necessário reinstalar o conector para receber atualizações.

Nem todas as versões são programadas para atualizações automáticas. Monitore a página de histórico de versão para ver se uma atualização é implantada automaticamente ou requer uma implantação manual no portal do Microsoft Entra. Se você precisar fazer uma atualização manual, no servidor que hospeda o conector, acesse a página de download do conector e selecione Baixar. Essa ação inicia uma atualização para o conector local.

Em locatários que têm vários conectores, as atualizações automáticas visam um conector de cada vez em cada grupo para evitar o tempo de inatividade. Você poderá experimentar tempo de inatividade durante uma atualização se:

  • Você tem apenas um conector. Para evitar o tempo de inatividade e fornecer maior disponibilidade, adicione um segundo conector e um grupo de conectores.
  • A atualização é iniciada enquanto um conector processa uma transação. A transação inicial é perdida, mas o navegador tenta a operação automaticamente ou você pode atualizar a página. A solicitação reenviada é roteada para um conector de backup.

Para obter detalhes sobre as versões anteriores e suas alterações, consulte o conector de rede privada do Microsoft Entra: histórico de lançamentos de versão.

Rede e segurança

Os conectores podem ser instalados em qualquer lugar da rede que lhes permita enviar solicitações para os serviços de acesso privado e proxy de aplicativo. O importante é que o computador que executa o conector também tenha acesso aos seus aplicativos e recursos.

Você pode instalar conectores dentro de sua rede corporativa ou em uma VM (máquina virtual) executada na nuvem. Os conectores podem ser executados em uma rede de perímetro, mas não é necessário porque todo o tráfego é de saída, garantindo assim a segurança da rede.

Os conectores só enviam solicitações de saída. O tráfego de saída é enviado para o serviço e para os recursos e aplicativos publicados. Você não precisa abrir portas de entrada porque o tráfego flui para ambos os sentidos depois que uma sessão é estabelecida. Você também não precisa configurar o acesso de entrada por meio de firewalls.

Desempenho e escala

A escala para o Acesso Privado e os serviços de proxy de aplicações é transparente, mas a escala é um fator para os conectores. Você precisa ter conectores suficientes para lidar com o tráfego de pico.

Os conectores são sem estado e o número de usuários ou sessões não os afeta. Em vez disso, eles respondem ao número de solicitações e ao tamanho da carga. Com o tráfego padrão da Web, um computador médio pode manipular 2 mil solicitações por segundo. A capacidade específica depende das características exatas do computador.

A CPU e a rede definem o desempenho do conector. O desempenho da CPU é necessário para criptografia e descriptografia do TLS, enquanto a rede é importante para obter conectividade rápida com os aplicativos e o serviço online.

Por outro lado, a memória é uma questão menos significativa para os conectores. O serviço online cuida de grande parte do processamento e de todo o tráfego não autenticado. Tudo o que pode ser feito na nuvem é feito na nuvem.

Quando conectores ou computadores não estão disponíveis, o tráfego vai para outro conector no grupo. Vários conectores em um grupo de conectores fornecem resiliência.

Outro fator que afeta o desempenho é a qualidade da rede entre os conectores, incluindo:

  • Serviço online: conexões lentas ou de alta latência com o serviço Microsoft Entra influenciam o desempenho do conector. Para obter o melhor desempenho, conecte sua organização à Microsoft por meio do Azure ExpressRoute. Caso contrário, faça com que sua equipe de rede garanta que as conexões com a Microsoft sejam tratadas da maneira mais eficiente possível.
  • Aplicativos de back-end: em alguns casos, há proxies extras entre o conector e os recursos de back-end e aplicativos que podem diminuir ou impedir conexões. Para solucionar esse cenário, abra um navegador do servidor conector e tente acessar o aplicativo ou o recurso. Se você executar os conectores na nuvem, mas os aplicativos forem locais, talvez a experiência não seja o que seus usuários esperam.
  • Controladores de domínio: se os conectores executarem SSO (logon único) usando KCD (delegação restrita) Kerberos , eles entrarão em contato com os controladores de domínio antes de enviar a solicitação para o back-end. Os conectores têm um cache de tíquetes Kerberos, mas a capacidade de resposta dos controladores de domínio pode afetar o desempenho em um ambiente de alta demanda. Esse problema é mais comum em conectores executados no Azure, mas que se comunicam com os controladores de domínio locais.

Para obter diretrizes sobre onde instalar conectores e como otimizar sua rede, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo do Microsoft Entra.

Expansão do intervalo de portas efêmeras

Conectores de rede privada iniciam conexões TCP e UDP para pontos de extremidade de destino designados. Essas conexões exigem portas de origem disponíveis no computador host do conector. Expandir o intervalo de portas efêmeras pode melhorar a disponibilidade das portas de origem, especialmente quando você está gerenciando um alto volume de conexões simultâneas.

Para exibir o intervalo de portas dinâmicas atual em um sistema, use os seguintes netsh comandos:

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

Aqui estão os comandos de exemplo netsh para aumentar as portas:

  • netsh int ipv4 set dynamicport tcp start=1025 num=64511
  • netsh int ipv4 set dynamicport udp start=1025 num=64511
  • netsh int ipv6 set dynamicport tcp start=1025 num=64511
  • netsh int ipv6 set dynamicport udp start=1025 num=64511

Esses comandos definem o intervalo de portas dinâmicas de 1025 até o máximo de 65535. A porta inicial mínima é 1025.

Especificações e requisitos de dimensionamento

Recomendamos as seguintes especificações para cada conector de rede privada do Microsoft Entra:

  • Memória: 8 GiB ou mais.
  • CPU: quatro núcleos de CPU ou mais.

Mantenha o pico de utilização de CPU e memória por conector abaixo de 70%. Se a utilização sustentada exceder 70%, adicione conectores ao grupo ou amplie a capacidade do host para distribuir a carga. Monitore com contadores de desempenho do Windows para validar que a utilização retorna a um intervalo aceitável.

Você pode esperar uma taxa de transferência TCP agregada de até 1,5 Gbps (entrada e saída combinadas) por conector em uma VM do Azure dimensionada em quatro vCPUs e 8 GiB de RAM com rede padrão. Você pode obter maior taxa de transferência usando tamanhos de VM maiores (mais vCPUs, mais memória e NICs aceleradas ou de alta largura de banda) ou adicionando mais conectores no mesmo grupo para escalar horizontalmente.

Derivamos essa orientação de desempenho de testes de laboratório controlados que usavam fluxos de dados TCP iPerf3 em um locatário de teste dedicado. A taxa de transferência real pode variar com base em:

  • Geração de CPU.
  • Funcionalidades de NIC (rede acelerada, descarregamentos).
  • Pacotes de criptografia TLS.
  • Latência de rede e tremulação.
  • Perda de pacote.
  • Combinação de protocolo simultânea (HTTPS, SMB, RDP).
  • Dispositivos intermediários (firewalls, IDS/IPS, inspeção SSL).
  • Capacidade de resposta do aplicativo de back-end.

Os dados de parâmetro de comparação baseados em cenário (cargas de trabalho mistas, simultaneidade de alta conexão, aplicativos sensíveis à latência) serão adicionados a essa documentação à medida que estiverem disponíveis.

Depois que um conector é registrado, ele estabelece túneis TLS de saída para a infraestrutura de nuvem de Acesso Privado. Esses túneis lidam com todo o tráfego de caminho de dados. Além disso, o canal do plano de controle usa largura de banda mínima para conduzir o sinal de vida, relatórios de integridade, atualizações de conectores e outras funções.

Você pode implantar mais conectores no mesmo grupo de conectores para aumentar a taxa de transferência geral, se a conectividade adequada de rede e internet estiver disponível. Recomendamos que você mantenha no mínimo dois conectores íntegros para garantir a resiliência e a disponibilidade consistente.

Para saber mais, confira as práticas recomendadas para alta disponibilidade de conectores.

Ingresso no domínio

Os conectores podem ser executados em um computador que não está associado ao domínio. No entanto, se você quiser SSO para aplicativos que usam autenticação integrada do Windows, precisará de um computador ingressado no domínio. Nesse caso, os computadores conectores devem ser unidos a um domínio que possa executar KCD em nome dos usuários para os aplicativos publicados.

Você também pode unir conectores para:

  • Domínios em florestas que têm uma confiança parcial.
  • Controladores de domínio somente leitura.

Implantações de conector em ambientes protegidos

Normalmente, a implantação do conector é simples e não exige nenhuma configuração especial. Mas considere estas condições exclusivas:

  • O tráfego de saída requer portas específicas para serem abertas (80 e 443).
  • Os computadores em conformidade com FIPS podem precisar alterar sua configuração para permitir que os processos do conector gerem e armazenem um certificado.
  • Em alguns casos, os proxies de encaminhamento de saída podem interromper a autenticação de certificado bidirecional e causar falha na comunicação.

Autenticação do conector

Para fornecer um serviço seguro, é necessário que os conectores autentiquem-se no serviço e que o serviço autentique-se nos conectores. Essa autenticação usa certificados de cliente e servidor quando os conectores iniciam a conexão. Dessa forma, o nome de usuário e a senha do administrador não são armazenados no computador conector.

Os certificados são específicos para o serviço. Eles são criados durante o registro inicial e renovados automaticamente a cada dois meses.

Após a primeira renovação de certificado bem-sucedida, o serviço do conector não tem permissão para remover o certificado antigo do repositório de máquinas local. Se o certificado expirar ou o serviço não o usar, você poderá excluí-lo com segurança.

Para evitar problemas com a renovação do certificado, verifique se a comunicação de rede do conector para os destinos documentados está habilitada.

Se um conector não estiver conectado ao serviço por vários meses, seus certificados poderão estar desatualizados. Nesse caso, desinstale e reinstale o conector para disparar o registro. É possível executar os seguintes comandos do PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Para o Azure Government, use -EnvironmentName "AzureUSGovernment". Para obter mais informações, consulte Instalar o agente para Azure Government Cloud.

Para saber como verificar o certificado e solucionar problemas, confira Solucionar problemas ao instalar o conector de rede privado.

Conectores inativos

Você não precisa excluir conectores não utilizados manualmente. O serviço marca conectores inativos como _inactive_ e os remove após 10 dias.

Para desinstalar um conector, desinstale o serviço do conector e o serviço do atualizador. Em seguida, reinicie o computador.

Se os conectores que você espera ativar aparecerem como inativos em um grupo de conectores, um firewall poderá estar bloqueando as portas necessárias. Para saber mais sobre como configurar regras de firewall de saída, confira Trabalhar com servidores proxy locais existentes.

Conteúdo relacionado

  • Last updated on