Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik connectorgroepen voor privénetwerken om connectors toe te wijzen aan toepassingen. Connectorgroepen bieden u meer controle en helpen u bij het optimaliseren van implementaties.
Elke privénetwerkconnector bevindt zich in een connectorgroep. Connectors in dezelfde groep fungeren als een eenheid voor hoge beschikbaarheid en taakverdeling. Als u geen groepen maakt, bevinden alle connectors zich in de standaardgroep. Maak nieuwe groepen en wijs connectors toe in het Microsoft Entra-beheercentrum.
Gebruik connectorgroepen wanneer toepassingen op verschillende locaties worden uitgevoerd. Maak groepen op locatie zodat elke toepassing connectors in de buurt gebruikt.
Aanbeveling
Als u een grote implementatie van de Microsoft Entra-toepassingsproxy hebt, wijst u geen toepassingen toe aan de standaardconnectorgroep. Nieuwe connectors ontvangen geen liveverkeer totdat u ze naar een actieve groep verplaatst. U kunt connectors ook inactief maken door ze terug te verplaatsen naar de standaardgroep, zodat u onderhoud kunt uitvoeren zonder dat dit van invloed is op gebruikers.
Vereisten
U hebt meerdere connectors nodig om connectorgroepen te gebruiken. De service voegt automatisch nieuwe connectors toe aan de standaardconnectorgroep. Om connectors te installeren, zie Configureer privénetwerkconnectors voor Microsoft Entra Private Access en toepassingsproxy.
Toewijzing van toepassingen aan uw connectorgroepen
Wijs een toepassing toe aan een connectorgroep wanneer u deze publiceert. Wijzig de connectorgroep op elk gewenst moment.
Gebruiksvoorbeelden voor connectorgroepen
Gebruik connectorgroepen in de volgende scenario's.
Sites met meerdere onderling verbonden datacenters
Grote organisaties gebruiken meerdere datacenters. Houd zoveel mogelijk verkeer in een datacenter, omdat koppelingen tussen datacenters duur en traag zijn.
Implementeer connectors in elk datacenter om alleen de apps in dat datacenter te gebruiken. Deze aanpak vermindert verkeer tussen datacenters en is transparant voor gebruikers.
Toepassingen die zijn geïnstalleerd op geïsoleerde netwerken
Apps worden uitgevoerd in netwerken die geen deel uitmaken van het hoofdnetwerk van het bedrijf. Gebruik connectorgroepen om toegewezen connectors op geïsoleerde netwerken te installeren en deze apps daar te bewaren. Dit scenario is gebruikelijk voor leveranciers die een specifieke app onderhouden.
Toepassingen die zijn geïnstalleerd op IaaS
Gebruik connectorgroepen voor apps op Infrastructure as a Service (IaaS) om de toegang tot alle apps te beveiligen zonder afhankelijkheden van het bedrijfsnetwerk toe te voegen of de ervaring te fragmenteren. Installeer connectors in elk clouddatacentrum en beperk ze tot apps in dat netwerk. Installeer meerdere connectors voor hoge beschikbaarheid.
Een organisatie heeft bijvoorbeeld verschillende virtuele machines die zijn verbonden met een eigen virtueel IaaS-netwerk. Om werknemers in staat te stellen deze toepassingen te gebruiken, zijn deze virtuele machines verbonden met het bedrijfsnetwerk via een site-naar-site virtueel particulier netwerk (VPN). Een site-naar-site-VPN biedt on-premises werknemers een goede ervaring. Het is echter niet ideaal voor externe werknemers omdat er meer on-premises infrastructuur nodig is om toegang te routeren, zoals wordt weergegeven in het volgende diagram.
Met Microsoft Entra-groepen voor privénetwerkconnectors kunt u een algemene service inschakelen om de toegang tot alle apps te beveiligen zonder afhankelijkheden van het bedrijfsnetwerk toe te voegen.
Verschillende connectorgroepen voor elk forest in een omgeving met meerdere forests
Single sign-on maakt vaak gebruik van Kerberos constrained delegation (KCD). Connectorcomputers voegen zich toe aan een domein waarmee gebruikers aan de toepassing kunnen worden gedelegeerd. KCD ondersteunt cross-forest scenario's, maar in onderscheidende omgevingen met meerdere forests zonder trust-relaties kan een enkele connector niet alle forests ondersteunen.
Implementeer dedicated connectors per forest en richt ze op apps voor gebruikers in dat forest. Elke connectorgroep vertegenwoordigt een forest. De tenant en de meeste ervaring zijn geïntegreerd en u wijst gebruikers toe aan hun forest-apps met behulp van Microsoft Entra-groepen.
Sites voor herstel na noodgevallen
Er zijn twee benaderingen om te overwegen voor DR-sites (disaster recovery):
- Uw DR-site wordt uitgevoerd in de actieve/actieve modus en komt overeen met de hoofdsitenetwerken en Active Directory-instellingen. Maak de connectors op de DR-site in dezelfde connectorgroep als de hoofdsite. Microsoft Entra ID detecteert failovers.
- Uw DR-site staat los van de hoofdsite. Maak daar een andere connectorgroep. Gebruik back-upapps of leid bestaande apps indien nodig handmatig om naar de DR-connectorgroep.
Meerdere bedrijven bedienen vanuit één tenant
U kunt een model implementeren waarin één serviceprovider Microsoft Entra-gerelateerde services implementeert en onderhoudt voor meerdere bedrijven. Met connectorgroepen kunt u connectors en apps indelen in groepen.
Een optie voor kleine bedrijven is het gebruik van één Microsoft Entra-tenant, terwijl elk bedrijf zijn eigen domeinnaam en netwerken behoudt. Dezelfde aanpak werkt voor fusiescenario's en situaties waarin één divisie meerdere bedrijven bedient om wettelijke of zakelijke redenen.
Voorbeeldconfiguraties
Bekijk deze voorbeeldconfiguraties van connectorgroepen.
Standaardconfiguratie: geen gebruik voor connectorgroepen
Als u geen connectorgroepen gebruikt, ziet uw configuratie eruit zoals in het volgende voorbeeld. De standaardproxyconnectorgroep verwerkt alle gepubliceerde toepassingen.
De configuratie is voldoende voor kleine implementaties en tests. Het werkt ook als uw organisatie een platte netwerktopologie heeft.
Eén connectorgroep voor een geïsoleerd netwerk
Deze configuratie breidt de standaardwaarde uit. Een specifieke app wordt uitgevoerd in een geïsoleerd netwerk, zoals een virtueel IaaS-netwerk. Het bedrijf heeft een connectorgroep gemaakt voor dit geïsoleerde netwerk.
Aanbevolen configuratie: Specifieke groepen en een standaard niet-actieve groep
Voor grote, complexe organisaties, stel de standaardconnectorgroep in om niet-actieve of nieuw geïnstalleerde connectors te bevatten. Wijs er geen toepassingen aan toe. Alle toepassingen bedienen via aangepaste connectorgroepen.
In dit voorbeeld heeft het bedrijf twee datacenters (A en B). Elke locatie heeft twee connectoren. Op elke site worden verschillende toepassingen uitgevoerd.
