Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez des groupes de connecteurs de réseau privé pour affecter des connecteurs aux applications. Les groupes de connecteurs vous donnent davantage de contrôle et vous aident à optimiser les déploiements.
Chaque connecteur de réseau privé se trouve dans un groupe de connecteurs. Les connecteurs du même groupe agissent en tant qu’unité pour la haute disponibilité et l’équilibrage de charge. Si vous ne créez pas de groupes, tous les connecteurs se trouvent dans le groupe par défaut. Créez de nouveaux groupes et attribuez des connecteurs dans le Centre d’administration Microsoft Entra.
Utilisez des groupes de connecteurs lorsque les applications s’exécutent à différents emplacements. Créez des groupes par emplacement afin que chaque application utilise des connecteurs proches.
Conseil
Si vous avez un déploiement important de proxy d’application Microsoft Entra, n’affectez pas d’applications au groupe de connecteurs par défaut. Les nouveaux connecteurs ne reçoivent pas de trafic actif tant que vous ne les déplacez pas vers un groupe actif. Vous pouvez également réactiver les connecteurs en les déplaçant vers le groupe par défaut afin de pouvoir effectuer une maintenance sans affecter les utilisateurs.
Prérequis
Vous avez besoin de plusieurs connecteurs pour utiliser des groupes de connecteurs. Le service ajoute automatiquement de nouveaux connecteurs au groupe de connecteurs par défaut. Pour installer des connecteurs, consultez Configurer des connecteurs de réseau privé pour microsoft Entra Private Access et le proxy d’application.
Affectation d’applications à vos groupes de connecteurs
Affectez une application à un groupe de connecteurs lorsque vous la publiez. Modifiez le groupe de connecteurs à tout moment.
Cas d’utilisation des groupes de connecteurs
Utilisez des groupes de connecteurs dans les scénarios suivants.
Sites contenant plusieurs centres de données interconnectés
Les grandes organisations utilisent plusieurs centres de données. Conservez autant de trafic dans un centre de données que possible, car les liens entre centres de données sont coûteux et lents.
Déployez des connecteurs dans chaque centre de données pour servir uniquement les applications de ce centre de données. Cette approche réduit le trafic inter-centres de données et est transparente pour les utilisateurs.
Applications installées sur des réseaux isolés
Les applications s’exécutent dans des réseaux qui ne font pas partie du réseau d’entreprise principal. Utilisez des groupes de connecteurs pour installer des connecteurs dédiés sur des réseaux isolés et conserver ces applications. Ce scénario est courant pour les fournisseurs qui gèrent une application spécifique.
Applications installées sur IaaS
Pour les applications sur l’infrastructure en tant que service (IaaS), utilisez des groupes de connecteurs pour sécuriser l’accès à toutes les applications sans ajouter de dépendances réseau d’entreprise ou fragmenter l’expérience. Installez des connecteurs dans chaque centre de données cloud et étendez-les aux applications de ce réseau. Installez plusieurs connecteurs pour la haute disponibilité.
Par exemple, une organisation dispose de plusieurs machines virtuelles connectées à son propre réseau virtuel hébergé par IaaS. Pour permettre aux employés d’utiliser ces applications, ces machines virtuelles sont connectées au réseau d’entreprise via un réseau privé virtuel de site à site (VPN). Un VPN de site à site offre aux employés locaux une bonne expérience. Toutefois, il n’est pas idéal pour les employés distants, car il nécessite une infrastructure locale supplémentaire pour acheminer l’accès, comme illustré dans le diagramme suivant.
Avec les groupes de connecteurs de réseau privé Microsoft Entra, vous pouvez activer un service commun pour sécuriser l’accès à toutes les applications sans ajouter de dépendances réseau d’entreprise.
Différents groupes de connecteurs pour chaque forêt dans un environnement à plusieurs forêts
L’authentification unique utilise souvent la délégation contrainte de Kerberos (KCD). Les machines de connecteur rejoignent un domaine qui peut déléguer des utilisateurs à l’application. KCD prend en charge les scénarios inter-forêts, mais dans des environnements distincts à plusieurs forêts sans confiance, un seul connecteur ne peut pas servir toutes les forêts.
Déployez des connecteurs dédiés par forêt et étendez-les aux applications pour les utilisateurs de cette forêt. Chaque groupe de connecteurs représente une forêt. Le client et la majorité de l'expérience sont unifiés, et vous attribuez des utilisateurs à leurs applications de la forêt à l'aide de groupes Microsoft Entra.
Sites de récupération d’urgence
Il existe deux approches à prendre en compte pour les sites de récupération d’urgence :
- Votre site de récupération d’urgence s’exécute en mode actif/actif et correspond aux paramètres de mise en réseau du site principal et d’Active Directory. Créez les connecteurs sur le site DR dans le même groupe de connecteurs que le site principal. Microsoft Entra ID détecte les basculements.
- Votre site de récupération d’urgence est distinct du site principal. Créez un autre groupe de connecteurs. Utilisez des applications de sauvegarde ou redirigez manuellement les applications existantes vers le groupe de connecteurs de récupération d’urgence en fonction des besoins.
Service de plusieurs entreprises à partir d’un seul locataire
Vous pouvez implémenter un modèle dans lequel un seul fournisseur de services déploie et gère les services liés à Microsoft Entra pour plusieurs entreprises. Les groupes de connecteurs vous aident à séparer les connecteurs et les applications en groupes.
Une option pour les petites entreprises consiste à utiliser un seul locataire Microsoft Entra, tandis que chaque entreprise conserve son propre nom de domaine et ses propres réseaux. La même approche s’applique aux scénarios de fusion et aux situations dans lesquelles une seule division sert plusieurs entreprises pour des raisons réglementaires ou commerciales.
Exemples de configurations
Tenez compte de ces exemples de configurations de groupes de connecteurs.
Configuration par défaut : aucune utilisation pour les groupes de connecteurs
Si vous n’utilisez pas de groupes de connecteurs, votre configuration ressemble à l’exemple suivant. Le groupe de connecteurs proxy par défaut gère toutes les applications publiées.
La configuration est suffisante pour les tests et les petits déploiements. Elle est également adaptée si votre organisation dispose d’une topologie de réseau à plat.
Un groupe de connecteurs pour un réseau isolé
Cette configuration étend la valeur par défaut. Une application spécifique s’exécute dans un réseau isolé, tel qu’un réseau virtuel IaaS. L’entreprise a créé un groupe de connecteurs pour ce réseau isolé.
Configuration recommandée : groupes spécifiques et groupe inactif par défaut
Pour les organisations volumineuses et complexes, définissez le groupe de connecteurs par défaut pour contenir les connecteurs inactifs ou nouvellement installés. Évitez de lui attribuer des applications. Servez toutes les applications via des groupes de connecteurs personnalisés.
Dans cet exemple, l’entreprise a deux centres de données (A et B). Deux connecteurs servent chaque site. Chaque site exécute différentes applications.
