Connecteurs de réseau privé Microsoft Entra

Les connecteurs permettent l'accès privé Microsoft Entra et le proxy d'applications. Cet article explique quels connecteurs sont, comment ils fonctionnent et comment optimiser votre déploiement.

Qu’est-ce qu’un connecteur de réseau privé ?

Les connecteurs de réseau privé sont des agents légers que vous installez sur Windows Server à l’intérieur de votre réseau. Ils créent des connexions sortantes aux services proxy d’accès privé et d’application pour atteindre les ressources principales.

Les utilisateurs se connectent au service cloud, qui route le trafic vers les applications via les connecteurs. Pour obtenir une vue d’ensemble de l’architecture, consultez Utilisation du proxy d’application Microsoft Entra pour publier des applications locales pour les utilisateurs distants.

Pour configurer et inscrire un connecteur auprès du service proxy d’application :

1. Ouvrez les ports sortants 80 et 443 et autorisez l’accès au service requis et aux URL d’ID Microsoft Entra.
2. Connectez-vous au Centre d’administration Microsoft Entra et exécutez le programme d’installation sur un ordinateur Windows Server local.
3. Démarrez le connecteur pour qu’il écoute le service proxy d’application.
4. Ajoutez l’application locale à l’ID Microsoft Entra et définissez les URL orientées utilisateur.

Pour plus d’informations sur la configuration, consultez Comment configurer des connecteurs de réseau privé pour Microsoft Entra Private Access et le proxy d’application.

Les connecteurs et le service gèrent la haute disponibilité. Vous pouvez ajouter ou supprimer des connecteurs à tout moment.

Groupes de connecteurs

Vous pouvez organiser des connecteurs en groupes de connecteurs qui gèrent le trafic pour des ressources spécifiques. Les connecteurs du même groupe agissent en tant qu’unité unique pour la haute disponibilité et l’équilibrage de charge.

Créez des groupes et attribuez des connecteurs dans le Centre d’administration Microsoft Entra, puis mappez des groupes à des applications spécifiques. Utilisez au moins deux connecteurs dans chaque groupe pour la haute disponibilité.

Utilisez des groupes de connecteurs pour :

• Publication d’applications géographiques.
• Segmentation et isolation des applications.
• Publication d’applications web s’exécutant dans le cloud ou localement.

Les groupes de connecteurs simplifient la gestion des déploiements volumineux. Ils peuvent réduire la latence pour les locataires qui ont des ressources et des applications dans différentes régions. Créez des groupes de connecteurs basés sur l’emplacement pour traiter uniquement les applications locales.

En savoir plus dans les groupes de connecteurs de réseau privé Microsoft Entra.

Entretien

Le service achemine les nouvelles requêtes vers un connecteur disponible. Si un connecteur n’est pas disponible temporairement, il ne reçoit pas le trafic.

Les connecteurs sont sans état et ne stockent aucune donnée de configuration sur la machine. Ils stockent uniquement les paramètres de connexion au service et au certificat d’authentification. Lorsqu’ils se connectent au service, ils extrayent les données de configuration requises et l’actualisent toutes les quelques minutes.

État du connecteur

Vous pouvez afficher l’état des connecteurs dans le Centre d’administration Microsoft Entra :

• Pour l’accès privé : accédez à Global Secure Access>Connect>Connecteurs.
• Pour le proxy d’application : Accédez auxapplications d’entreprise>>, puis sélectionnez l’application. Dans la page de l’application, sélectionnez Proxy d’application.

Journaux

Les connecteurs sont installés sur Windows Server. Ils disposent donc de la plupart des mêmes outils de gestion. Vous pouvez utiliser les journaux des événements Windows et les compteurs de performances Windows pour surveiller les connecteurs.

Les connecteurs ont à la fois des journaux d’administration et de session . Le journal d’administration inclut les événements principaux et leurs erreurs. Le journal de session contient toutes les transactions et les détails de leur traitement.

Pour afficher les logs :

1. Ouvrez l’Observateur d’événements et accédez aux Journaux des applications et des services>Microsoft>Microsoft Entra>Connector.

   Le journal d’administration est visible par défaut.

2. Pour rendre le journal de session visible, dans le menu Affichage, sélectionnez Afficher les journaux d’analyse et de débogage.

   Le journal de session est généralement utilisé pour la résolution des problèmes et est désactivé par défaut. Activez-le pour commencer à collecter des événements et le désactiver lorsque vous n’en avez plus besoin.

État du service

Le connecteur se compose de deux services Windows : le connecteur réel et le updater. Tous deux doivent s’exécuter en permanence. Vous pouvez examiner l’état des services dans la fenêtre Services .

Gestion des problèmes de serveur de connecteur

Si un ou plusieurs serveurs de connecteurs sont arrêtés en raison d’un serveur, d’un réseau ou d’une panne similaire, procédez comme suit pour maintenir la continuité :

1. Identifiez et supprimez les serveurs affectés du groupe de connecteurs.
2. Ajoutez des serveurs sains ou des serveurs de sauvegarde disponibles dans le groupe de connecteurs pour restaurer la capacité.
3. Redémarrez les serveurs affectés pour vider les connexions préexistantes. Les connexions en cours existantes ne se vident pas immédiatement avec les modifications apportées au groupe de connecteurs.

Utilisez cette séquence pour maintenir le service stable et réduire les interruptions lorsque les serveurs de connecteur rencontrent des problèmes.

Mises à jour du connecteur

Microsoft Entra ID fournit occasionnellement des mises à jour automatiques pour les connecteurs que vous déployez. Les connecteurs interrogent le service de mise à jour pour les mises à jour. Lorsqu’une version plus récente est disponible pour une mise à jour automatique, les connecteurs se mettent à jour eux-mêmes. Tant que le service de mise à jour est en cours d’exécution, vos connecteurs peuvent être mis à jour automatiquement vers la dernière version du connecteur principal. Si vous ne voyez pas le service de mise à jour sur votre serveur, vous devez réinstaller votre connecteur pour obtenir des mises à jour.

Toutes les versions ne sont pas planifiées pour les mises à jour automatiques. Surveillez la page de l’historique des versions pour voir si une mise à jour est déployée automatiquement ou nécessite un déploiement manuel dans le portail Microsoft Entra. Si vous devez effectuer une mise à jour manuelle, sur le serveur qui héberge votre connecteur, accédez à la page de téléchargement du connecteur , puis sélectionnez Télécharger. Cette action démarre une mise à jour pour le connecteur local.

Dans les locataires qui ont plusieurs connecteurs, les mises à jour automatiques ciblent un connecteur à la fois dans chaque groupe pour éviter les temps d’arrêt. Vous pouvez rencontrer un temps d’arrêt pendant une mise à jour si :

• Vous n’avez qu’un seul connecteur. Pour éviter les temps d’arrêt et fournir une disponibilité plus élevée, ajoutez un deuxième connecteur et un groupe de connecteurs.
• La mise à jour démarre lorsqu’un connecteur traite une transaction. La transaction initiale est perdue, mais le navigateur retente automatiquement l’opération, ou vous pouvez actualiser la page. La demande renvoyée est acheminée vers un connecteur de secours.

Pour plus d’informations sur les versions précédentes et leurs modifications, consultez Microsoft Entra Private Network Connector : Historique des versions.

Sécurité et mise en réseau

Les connecteurs peuvent être installés n’importe où sur le réseau qui leur permet d’envoyer des demandes aux services proxy d’accès privé et d’application. L’important est que l’ordinateur qui exécute le connecteur ait également accès à vos applications et ressources.

Vous pouvez installer des connecteurs à l’intérieur de votre réseau d’entreprise ou sur une machine virtuelle qui s’exécute dans le cloud. Les connecteurs peuvent fonctionner dans un réseau de périmètre, mais ce n'est pas obligatoire car tout le trafic sortant assure la sécurité du réseau.

Les connecteurs envoient uniquement des demandes sortantes. Le trafic sortant est envoyé au service et aux applications et ressources publiées. Vous n’êtes pas obligé d’ouvrir des ports entrants, car le trafic circule dans les deux sens après l’établissement d’une session. Il n’est pas non plus nécessaire de configurer l’accès entrant à travers les pare-feu.

Performances et évolutivité

La mise à l’échelle des services proxy d’accès privé et d’application est transparente, mais la mise à l’échelle est un facteur pour les connecteurs. Vous devez disposer de suffisamment de connecteurs pour gérer les pics de trafic.

Les connecteurs sont sans état et le nombre d’utilisateurs ou de sessions ne les affecte pas. Au lieu de cela, ils répondent au nombre de requêtes et à la taille de la charge utile. Avec le trafic web standard, une machine moyenne peut gérer 2 000 requêtes par seconde. La capacité spécifique dépend des caractéristiques exactes de la machine.

L’UC et le réseau définissent les performances du connecteur. Les performances du processeur sont nécessaires pour le chiffrement et le déchiffrement TLS, tandis que la mise en réseau est importante pour obtenir une connectivité rapide aux applications et au service en ligne.

En revanche, la mémoire est moins problématique pour les connecteurs. Le service en ligne s’occupe de la majeure partie du traitement et de tout le trafic non authentifié. Tout ce qui peut être effectué dans le cloud est réalisé dans le cloud.

Lorsque des connecteurs ou des machines ne sont pas disponibles, le trafic est dirigé vers un autre connecteur du groupe. Le fait de disposer de plusieurs connecteurs dans un groupe de connecteurs offre une résilience.

Un autre facteur affectant les performances est la qualité de la connexion réseau entre les connecteurs, y compris :

• Service en ligne : les connexions lentes ou à latence élevée au service Microsoft Entra influencent les performances du connecteur. Pour optimiser les performances, connectez votre organisation à Microsoft via Azure ExpressRoute. Sinon, demandez à l’équipe réseau de garantir que les connexions à Microsoft sont gérées le plus efficacement possible.
• Applications principales : dans certains cas, il existe des proxys supplémentaires entre le connecteur et les ressources principales et les applications qui peuvent ralentir ou empêcher les connexions. Pour résoudre les problèmes de ce scénario, ouvrez un navigateur à partir du serveur du connecteur et essayez d’accéder à l’application ou ressource. Si vous exécutez les connecteurs dans le cloud alors que les applications sont locales, l’expérience peut ne pas être celle attendue par vos utilisateurs.
• Contrôleurs de domaine : si les connecteurs effectuent l’authentification unique (SSO) à l’aide de la délégation Kerberos contrainte (KCD), ils contactent les contrôleurs de domaine avant d’envoyer la requête au serveur principal. Les connecteurs ont un cache de tickets Kerberos, mais la réactivité des contrôleurs de domaine peut affecter les performances dans un environnement occupé. Ce problème est plus courant pour les connecteurs qui s’exécutent dans Azure mais qui communiques avec les contrôleurs de domaine locaux.

Pour obtenir des conseils sur l’emplacement d’installation des connecteurs et sur la façon d’optimiser votre réseau, consultez Optimiser le flux de trafic avec le proxy d’application Microsoft Entra.

Extension de la plage de ports éphémères

Les connecteurs de réseau privé initient des connexions TCP et UDP aux points de terminaison de destination désignés. Ces connexions nécessitent des ports sources disponibles sur l’ordinateur hôte du connecteur. Le développement de la plage de ports éphémère peut améliorer la disponibilité des ports sources, en particulier lorsque vous gérez un volume élevé de connexions simultanées.

Pour afficher la plage de ports dynamique actuelle sur un système, utilisez les commandes suivantes netsh :

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 show dynamicport udp
• netsh int ipv6 show dynamicport tcp
• netsh int ipv6 show dynamicport udp

Voici des exemples netsh de commandes pour augmenter les ports :

• netsh int ipv4 set dynamicport tcp start=1025 num=64511
• netsh int ipv4 set dynamicport udp start=1025 num=64511
• netsh int ipv6 set dynamicport tcp start=1025 num=64511
• netsh int ipv6 set dynamicport udp start=1025 num=64511

Ces commandes définissent la plage de ports dynamiques comprise entre 1025 et le maximum de 65535. Le port de démarrage minimal est 1025.

Spécifications et exigences de dimensionnement

Nous vous recommandons les spécifications suivantes pour chaque connecteur de réseau privé Microsoft Entra :

• Mémoire : 8 Gio ou plus.
• CPU : quatre cœurs de CPU ou plus.

Conservez les pics d’utilisation du processeur et de la mémoire par connecteur sous 70%. Si l’utilisation soutenue dépasse 70%, ajoutez des connecteurs au groupe ou augmentez la capacité d’hôte pour distribuer la charge. Surveillez avec des compteurs de performances Windows pour vérifier que l’utilisation revient à une plage acceptable.

Vous pouvez vous attendre à un débit TCP agrégé de 1,5 Gbit/s (combiné entrant et sortant) par connecteur sur une machine virtuelle Azure dimensionnée à quatre processeurs virtuels et 8 Gio de RAM avec mise en réseau standard. Vous pouvez obtenir un débit plus élevé en utilisant des tailles de machine virtuelle plus grandes (plus de processeurs virtuels, plus de mémoire et des cartes réseau à bande passante élevée ou accélérée), ou en ajoutant davantage de connecteurs dans le même groupe pour effectuer un scale-out.

Nous avons dérivé ces conseils de performances à partir de tests de laboratoire contrôlés qui utilisaient des flux de données TCP iPerf3 dans un locataire de test dédié. Le débit réel peut varier en fonction des points suivants :

• Génération du processeur.
• Fonctionnalités de carte réseau (mise en réseau accélérée, déchargements).
• Suites de chiffrement TLS.
• Latence du réseau et gigue.
• Perte de paquets.
• Combinaison de protocoles simultanés (HTTPS, SMB, RDP).
• Appareils intermédiaires (pare-feu, IDS/IPS, inspection SSL).
• Réactivité de l’application back-end.

Les données de benchmark basées sur des scénarios (charges de travail mixtes, accès concurrentiel à connexion élevée, applications sensibles à la latence) seront ajoutées à cette documentation au fur et à mesure qu’elles seront disponibles.

Une fois qu’un connecteur est inscrit, il établit des tunnels TLS sortants vers l’infrastructure cloud d’accès privé. Ces tunnels gèrent tout le trafic de chemin d’accès aux données. En outre, le canal du plan de contrôle utilise une bande passante minimale pour gérer les pulsations, les rapports d’intégrité, les mises à jour du connecteur et d’autres fonctions.

Vous pouvez déployer davantage de connecteurs dans le même groupe de connecteurs pour augmenter le débit global, si une connectivité réseau et Internet adéquate est disponible. Nous vous recommandons de maintenir un minimum de deux connecteurs sains pour garantir la résilience et la disponibilité cohérente.

Pour en savoir plus, consultez les meilleures pratiques pour la haute disponibilité des connecteurs.

Jonction de domaine

Les connecteurs peuvent s’exécuter sur un ordinateur qui n’est pas joint à un domaine. Toutefois, si vous souhaitez une authentification unique pour les applications qui utilisent l'authentification Windows intégrée, vous avez besoin d'une machine jointe à un domaine. Dans ce cas, les machines de connecteur doivent être jointes à un domaine qui peut effectuer le KCD pour le compte des utilisateurs pour les applications publiées.

Vous pouvez également joindre des connecteurs à :

• Domaines dans les forêts qui ont une confiance partielle.
• Contrôleurs de domaine en lecture seule.

Déploiements de connecteurs dans des environnements renforcés

Généralement, le déploiement de connecteurs est simple et ne nécessite aucune configuration spéciale. Mais tenez compte de ces conditions uniques :

• Le trafic sortant nécessite l’ouverture de ports spécifiques (80 et 443).
• Des machines conformes aux normes FIPS peuvent nécessiter une modification de configuration afin d’autoriser les processus du connecteur à générer et à stocker un certificat.
• Les proxys de transfert sortants peuvent arrêter l’authentification de certificat bidirectionnelle et entraîner un échec de la communication.

Authentification du connecteur

Afin de fournir un service sécurisé, les connecteurs doivent s’authentifier sur le service, et le service doit s’authentifier sur les connecteurs. Cette authentification utilise des certificats client et serveur lorsque les connecteurs lancent la connexion. Ainsi, le nom d’utilisateur et le mot de passe de l’administrateur ne sont pas stockés sur l’ordinateur du connecteur.

Les certificats sont spécifiques au service. Ils sont créés lors de l’inscription initiale, et sont renouvelés automatiquement tous les deux mois environ.

Une fois le premier renouvellement de certificat réussi, le service connecteur n’a pas l’autorisation de supprimer l’ancien certificat du magasin d’ordinateurs local. Si le certificat expire ou si le service ne l’utilise pas, vous pouvez le supprimer en toute sécurité.

Pour éviter les problèmes de renouvellement de certificat, assurez-vous que la communication réseau du connecteur vers les destinations documentées est activée.

Si un connecteur n’est pas connecté au service pendant plusieurs mois, ses certificats peuvent être obsolètes. Dans ce cas, désinstallez et réinstallez le connecteur pour déclencher l’inscription. Vous pouvez exécuter les commandes PowerShell suivantes :

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Pour Azure Government, utilisez -EnvironmentName "AzureUSGovernment". Pour plus d’informations, consultez Installer l’agent pour le cloud Azure Government.

Pour savoir comment vérifier le certificat et résoudre les problèmes, consultez Résoudre les problèmes d’installation du connecteur de réseau privé.

Connecteurs inactifs

Vous n’avez pas besoin de supprimer manuellement les connecteurs inutilisés. Le service étiquette les connecteurs inactifs en tant que _inactive_ et les supprime après 10 jours.

Pour désinstaller un connecteur, désinstallez à la fois le service de connecteur et le service de mise à jour. Ensuite, redémarrez l’ordinateur.

Si les connecteurs que vous prévoyez d’être actifs apparaissent comme inactifs dans un groupe de connecteurs, un pare-feu peut bloquer les ports requis. Pour plus d’informations sur la configuration des règles sortantes de pare-feu, consultez Travailler avec des serveurs proxy locaux existants.

Contenu connexe

• Groupes de connecteurs de réseau privé Microsoft Entra
• Résoudre les erreurs liées au proxy d’application et au connecteur
• Créer un script d’installation sans assistance pour le connecteur de réseau privé Microsoft Entra