Partilhar via

Grupos de conectores de rede privada Microsoft Entra

Use grupos de conectores de rede privada para atribuir conectores a aplicativos. Os grupos de conectores oferecem mais controle e ajudam a otimizar as implantações.

Cada conector de rede privada está em um grupo de conectores. Os conectores do mesmo grupo funcionam como uma unidade para alta disponibilidade e balanceamento de carga. Se você não criar grupos, todos os conectores estarão no grupo padrão. Crie novos grupos e atribua conectores no centro de administração do Microsoft Entra.

Use grupos de conectores quando os aplicativos forem executados em locais diferentes. Crie grupos por local para que cada aplicativo use conectores próximos.

Gorjeta

Se você tiver uma grande implantação do proxy de aplicativo Microsoft Entra, não atribua aplicativos ao grupo de conectores padrão. Os novos conectores não recebem tráfego em tempo real até que você os mova para um grupo ativo. Você também pode desativar conectores movendo-os de volta para o grupo padrão para que você possa fazer manutenção sem afetar os usuários.

Pré-requisitos

Você precisa de vários conectores para usar grupos de conectores. O serviço adiciona automaticamente novos conectores ao grupo de conectores padrão. Para instalar conectores, consulte Configurar conectores de rede privada para o Microsoft Entra Private Access e proxy de aplicativo.

Atribuição de aplicativos aos seus grupos de conectores

Atribua um aplicativo a um grupo de conectores ao publicá-lo. Altere o grupo de conectores a qualquer momento.

Casos de uso para grupos de conectores

Use grupos de conectores nos seguintes cenários.

Sites com vários datacenters interconectados

Grandes organizações usam vários datacenters. Mantenha o máximo de tráfego possível em um datacenter, porque os links entre datacenters são caros e lentos.

Implante conectores em cada datacenter para servir apenas os aplicativos nesse datacenter. Essa abordagem reduz o tráfego entre datacenters e é transparente para os usuários.

Aplicações instaladas em redes isoladas

Os aplicativos são executados em redes que não fazem parte da rede corporativa principal. Use grupos de conectores para instalar conectores dedicados em redes isoladas e mantenha esses aplicativos contidos lá. Esse cenário é comum para fornecedores que mantêm um aplicativo específico.

Aplicativos instalados em IaaS

Para aplicativos em infraestrutura como serviço (IaaS), use grupos de conectores para ajudar a proteger o acesso a todos os aplicativos sem adicionar dependências de rede corporativa ou fragmentar a experiência. Instale conectores em cada datacenter na nuvem e associe-os a aplicativos na respetiva rede. Instale vários conectores para alta disponibilidade.

Por exemplo, uma organização tem várias máquinas virtuais conectadas à sua própria rede virtual hospedada em IaaS. Para permitir que os funcionários usem esses aplicativos, essas máquinas virtuais são conectadas à rede corporativa por meio de VPN (rede virtual privada) site a site. Uma VPN site a site proporciona aos funcionários nas instalações uma boa experiência. No entanto, não é ideal para funcionários remotos porque requer mais infraestrutura local para rotear o acesso, conforme mostrado no diagrama a seguir.

Diagrama que mostra a rede IaaS do Microsoft Entra.

Com os grupos de conectores de rede privada do Microsoft Entra, você pode habilitar um serviço comum para ajudar a proteger o acesso a todos os aplicativos sem adicionar dependências de rede corporativa.

Diagrama que mostra vários fornecedores de nuvem para IaaS do Microsoft Entra.

Diferentes grupos de conectores para cada floresta em um ambiente de várias florestas

O single sign-on geralmente utiliza a delegação restrita de Kerberos (KCD). As máquinas conectoras ingressam em um domínio que pode delegar usuários ao aplicativo. O KCD suporta cenários de várias florestas, mas em ambientes de várias florestas distintas sem relações de confiança, um único conector não consegue gerir todas as florestas.

Implante conectores dedicados por floresta e atribua-os a aplicativos para usuários nessa floresta. Cada grupo de conectores representa uma floresta. O tenant e grande parte da experiência estão unificados, permitindo-lhe atribuir utilizadores às suas aplicações de floresta através de grupos do Microsoft Entra.

Locais de recuperação de desastres

Há duas abordagens a serem consideradas para sites de recuperação de desastres (DR):

  • Seu site de DR é executado no modo ativo/ativo e corresponde à rede do site principal e às configurações do Active Directory. Crie os conectores no site de DR no mesmo grupo de conectores que o site principal. O Microsoft Entra ID deteta failovers.
  • Seu site de DR é separado do site principal. Crie um grupo de conectores diferente lá. Use aplicativos de backup ou desvie manualmente aplicativos existentes para o grupo de conectores DR, conforme necessário.

Servir várias empresas a partir de um único inquilino

Você pode implementar um modelo no qual um único provedor de serviços implanta e mantém serviços relacionados ao Microsoft Entra, para várias empresas. Os grupos de conectores ajudam a separar os conectores e as aplicações em diferentes grupos.

Uma opção para pequenas empresas é usar um único locatário do Microsoft Entra, enquanto cada empresa mantém seu próprio nome de domínio e redes. A mesma abordagem funciona para cenários de fusão e situações em que uma única divisão serve várias empresas por razões regulamentares ou comerciais.

Configurações de exemplo

Considere estas configurações de exemplo de grupos de conectores.

Configuração padrão: Não há uso para grupos de conectores

Se você não usa grupos de conectores, sua configuração se parece com o exemplo a seguir. O grupo de conectores de proxy padrão lida com todos os aplicativos publicados.

Captura de tela de uma configuração com apenas o grupo de conectores padrão e dois conectores que manipulam todos os aplicativos publicados.

A configuração é suficiente para pequenas implantações e testes. Também funciona se a sua organização tiver uma topologia de rede plana.

Um grupo de conectores para uma rede isolada

Essa configuração estende o padrão. Um aplicativo específico é executado em uma rede isolada, como uma rede virtual IaaS. A empresa criou um grupo de conectores para esta rede isolada.

Captura de tela do proxy de aplicativo em que um aplicativo é executado em uma rede virtual IaaS isolada com um grupo de conectores.

Para organizações grandes e complexas, defina o grupo de conectores padrão para manter conectores ociosos ou recém-instalados. Não atribua aplicativos a ele. Sirva todas as aplicações através de grupos de conectores personalizados.

Neste exemplo, a empresa tem dois datacenters (A e B). Dois conectores servem cada site. Cada site executa aplicativos diferentes.

Captura de tela de uma configuração recomendada com dois datacenters, dois conectores por site, um grupo de conectores ociosos padrão e grupos personalizados que atendem todos os aplicativos.

Conteúdo relacionado

  • Last updated on