Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie private Netzwerk-Connector-Gruppen, um Connectors Anwendungen zuzuweisen. Connectorgruppen bieten Ihnen mehr Kontrolle und helfen Ihnen bei der Optimierung von Bereitstellungen.
Jeder private Netzwerkconnector befindet sich in einer Verbindergruppe. Verbinder in derselben Gruppe dienen als Einheit für hohe Verfügbarkeit und Lastenausgleich. Wenn Sie keine Gruppen erstellen, befinden sich alle Connectors in der Standardgruppe. Erstellen Sie neue Gruppen, und weisen Sie Connectors im Microsoft Entra Admin Center zu.
Verwenden Sie Connectorgruppen, wenn Anwendungen an verschiedenen Stellen ausgeführt werden. Erstellen Sie Gruppen nach Standort, damit jede Anwendung nahe gelegene Connectoren verwendet.
Tipp
Wenn Sie über eine große Bereitstellung des Microsoft Entra-Anwendungsproxys verfügen, weisen Sie der Standardconnectorgruppe keine Anwendungen zu. Neue Connectors empfangen Live-Datenverkehr erst, wenn Sie sie zu einer aktiven Gruppe verschieben. Sie können Connectors auch in einen Leerlaufzustand versetzen, indem Sie sie zurück zur Standardgruppe verschieben, sodass Sie Wartungen durchführen können, ohne die Benutzer zu beeinträchtigen.
Voraussetzungen
Sie benötigen mehrere Verbinder, um Gruppen von Verbindern zu verwenden. Der Dienst fügt der Standard-Connectorgruppe automatisch neue Connectoren hinzu. Informationen zum Installieren von Connectors finden Sie unter Konfigurieren privater Netzwerkconnectors für Microsoft Entra Private Access und Anwendungsproxy.
Zuweisung von Anwendungen zu Ihren Connectorgruppen
Weisen Sie eine Anwendung einer Connectorgruppe zu, wenn Sie sie veröffentlichen. Ändern Sie die Verbindergruppe jederzeit.
Anwendungsfälle für Connectorgruppen
Verwenden Sie Connectorgruppen in den folgenden Szenarien.
Standorte mit mehreren verbundenen Rechenzentren
Große Organisationen nutzen mehrere Rechenzentren. Bewahren Sie so viel Datenverkehr in einem Rechenzentrum wie möglich auf, da datenübergreifende Verbindungen teuer und langsam sind.
Stellen Sie Connectors in jedem Rechenzentrum bereit, um nur die Apps in diesem Rechenzentrum zu bedienen. Dieser Ansatz reduziert den rechenzentrumsübergreifenden Datenverkehr und ist für Benutzer transparent.
In isolierten Netzwerken installierte Anwendungen
Apps werden in Netzwerken ausgeführt, die nicht Teil des Hauptnetzwerks des Unternehmens sind. Verwenden Sie Connectorgruppen, um dedizierte Connectors in isolierten Netzwerken zu installieren und diese Apps dort zu speichern. Dieses Szenario ist für Anbieter üblich, die eine bestimmte App verwalten.
Auf IaaS installierte Anwendungen
Verwenden Sie für Apps in Infrastruktur als Service (IaaS), Connectorgruppen, um den Zugriff auf alle Apps zu sichern, ohne Unternehmensnetzwerkabhängigkeiten hinzuzufügen oder das Erlebnis zu fragmentieren. Installieren Sie Connectors in jedem Cloud-Rechenzentrum und ordnen Sie sie den Apps in diesem Netzwerk zu. Installieren Sie mehrere Connectors für hohe Verfügbarkeit.
Beispielsweise verfügt eine Organisation über mehrere virtuelle Computer, die mit einem eigenen vom IaaS gehosteten virtuellen Netzwerk verbunden sind. Damit Mitarbeiter diese Anwendungen verwenden können, sind diese virtuellen Computer über vpn (Site-to-Site Virtual Private Network) mit dem Unternehmensnetzwerk verbunden. Ein Standort-zu-Standort-VPN bietet lokalen Mitarbeitern eine gute Erfahrung. Es ist jedoch nicht ideal für Remotemitarbeiter, da es mehr lokale Infrastruktur erfordert, um den Zugriff weiterzuleiten, wie im folgenden Diagramm gezeigt.
Mit Microsoft Entra Private Network Connector-Gruppen können Sie einen gemeinsamen Dienst aktivieren, um den Zugriff auf alle Apps zu sichern, ohne Unternehmensnetzwerkabhängigkeiten hinzuzufügen.
Unterschiedliche Connectorgruppen für jedes Forest in einer Multi-Forest-Umgebung
Single Sign-On verwendet häufig eingeschränkte Kerberos-Delegierung (KCD). Connector-Maschinen treten einer Domäne bei, die Benutzer an die Anwendung delegieren kann. KCD unterstützt Gesamtstrukturübergreifende Szenarien, aber in unterschiedlichen Umgebungen mit mehreren Gesamtstrukturen ohne Vertrauensstellung kann ein einzelner Connector nicht alle Gesamtstrukturen bedienen.
Stellen Sie dedizierte Connectors pro Gesamtstruktur bereit, und legen Sie den Anwendungsbereich für Apps von Benutzern in dieser Gesamtstruktur fest. Jede Verbindergruppe stellt einen Wald dar. Der Mandant und die meisten Erlebnisse sind vereinheitlicht, und Sie ordnen Benutzern ihre Wald-Apps mit Microsoft Entra-Gruppen zu.
Notfallwiederherstellungswebsites
Zwei Ansätze sollten für Notfallwiederherstellungsstandorte (DR-Standorte) berücksichtigt werden:
- Ihr Disaster Recovery-Standort läuft im aktiven/aktiven Modus und entspricht den Netzwerkeinstellungen des Hauptstandorts sowie den Active Directory-Einstellungen. Erstellen Sie die Connectors am DR-Standort innerhalb der gleichen Verbindergruppe wie am Hauptstandort. Microsoft Entra-ID erkennt Failovers.
- Ihr DR-Standort ist vom Hauptstandort getrennt. Erstellen Sie dort eine andere Verbindergruppe. Verwenden Sie Sicherungs-Apps, oder leiten Sie vorhandene Apps nach Bedarf manuell in die DR-Connectorgruppe um.
Bedienen mehrerer Unternehmen aus einem einzigen Mandanten
Sie können ein Modell implementieren, in dem ein einzelner Dienstanbieter Microsoft Entra-bezogene Dienste für mehrere Unternehmen bereitstellt und verwaltet. Connectorgruppen helfen Ihnen, Konnektoren und Apps in Gruppen einzuteilen.
Eine Möglichkeit für kleine Unternehmen besteht darin, einen einzelnen Microsoft Entra-Mandanten zu verwenden, während jedes Unternehmen seinen eigenen Domänennamen und Netzwerke behält. Der gleiche Ansatz funktioniert für Fusionsszenarien und Situationen, in denen ein einzelner Geschäftsbereich aus regulatorischen oder geschäftlichen Gründen mehrere Unternehmen bedient.
Beispielkonfigurationen
Betrachten Sie diese Beispielkonfigurationen von Connectorgruppen.
Standardkonfiguration: Keine Verwendung für Connectorgruppen
Wenn Sie keine Connectorgruppen verwenden, sieht Ihre Konfiguration wie im folgenden Beispiel aus. Die Standard-Proxy-Connector-Gruppe handhabt alle veröffentlichten Anwendungen.
Die Konfiguration ist für kleine Bereitstellungen und Tests ausreichend. Sie funktioniert auch dann, wenn Ihre Organisation über eine flache Netzwerktopologie verfügt.
Eine Connectorgruppe für ein isoliertes Netzwerk
Diese Konfiguration erweitert den Standardwert. Eine bestimmte App wird in einem isolierten Netzwerk ausgeführt, z. B. in einem virtuellen IaaS-Netzwerk. Das Unternehmen hat eine Connectorgruppe für dieses isolierte Netzwerk erstellt.
Empfohlene Konfiguration: Spezifische Gruppen und eine Standard-Idle-Gruppe
Legen Sie für große, komplexe Organisationen die Standardconnectorgruppe so fest, dass leerlaufende oder neu installierte Konnektoren enthalten sind. Weisen Sie ihr keine Anwendungen zu. Bedienen Sie alle Anwendungen über benutzerdefinierte Connectorgruppen.
In diesem Beispiel verfügt das Unternehmen über zwei Rechenzentren (A und B). Zwei Anschlüsse versorgen jeden Standort. Jede Website führt unterschiedliche Anwendungen aus.
