Dela via

Microsoft Entra-grupper för privata nätverksanslutningar

Använd privata nätverksanslutningsgrupper för att tilldela anslutningar till applikationer. Anslutningsgrupper ger dig mer kontroll och hjälper dig att optimera distributioner.

Varje privat nätverksanslutning finns i en anslutningsgrupp. Anslutningar i samma grupp fungerar som en enhet för hög tillgänglighet och lastutjämning. Om du inte skapar grupper hamnar alla kontakter i standardgruppen. Skapa nya grupper och tilldela kopplingar i Microsoft Entra administrationscenter.

Använd anslutningsgrupper när program körs på olika platser. Skapa grupper efter plats så att varje applikation kan använda närliggande anslutningar.

Tips

Om du har en stor distribution av Microsoft Entra-programproxy ska du inte tilldela program till standardanslutningsgruppen. Nya kontakter tar inte emot direkttrafik förrän du flyttar dem till en aktiv grupp. Du kan också inaktivera kontakter genom att flytta tillbaka dem till standardgruppen så att du kan utföra underhåll utan att påverka användarna.

Förutsättningar

Du behöver flera kontakter för att använda anslutningsgrupper. Tjänsten lägger automatiskt till nya anslutningar i standard-anslutningsgruppen. För att installera anslutningar, se Konfigurera privata nätverksanslutningar för Microsoft Entra Private Access och programproxy.

Tilldelning av program till dina anslutningsgrupper

Tilldela ett program till en anslutningsgrupp när du publicerar det. Ändra anslutningsgruppen när som helst.

Användningsfall för anslutningsgrupper

Använd anslutningsgrupper i följande scenarier.

Platser med flera sammankopplade datacenter

Stora organisationer använder flera datacenter. Behåll så mycket trafik som möjligt i ett datacenter eftersom länkar mellan datacenter är dyra och långsamma.

Distribuera kontakter i varje datacenter för att endast betjäna apparna i det datacentret. Den här metoden minskar trafik mellan datacenter och är transparent för användare.

Program installerade i isolerade nätverk

Appar körs i nätverk som inte ingår i företagets huvudnätverk. Använd anslutningsgrupper för att installera dedikerade anslutningar i isolerade nätverk och håll apparna isolerade där. Det här scenariot är vanligt för leverantörer som underhåller en specifik app.

Program installerade på IaaS

För appar i infrastruktur som en tjänst (IaaS) använder du anslutningsgrupper för att skydda åtkomsten till alla appar utan att lägga till företagsnätverksberoenden eller fragmentera upplevelsen. Installera anslutningar i varje molndatacenter och knyt dem till appar i nätverket. Installera flera kopplingar för hög tillgänglighet.

En organisation har till exempel flera virtuella datorer anslutna till ett eget virtuellt IaaS-värdbaserat nätverk. För att anställda ska kunna använda dessa program är dessa virtuella datorer anslutna till företagsnätverket via ett virtuellt privat nätverk (VPN) från plats till plats. Ett plats-till-plats-VPN ger lokala anställda en bra upplevelse. Det är dock inte idealiskt för distansanställda eftersom det krävs mer lokal infrastruktur för att dirigera åtkomst, som du ser i följande diagram.

Diagram som visar Microsoft Entra IaaS-nätverket.

Med privata Anslutningsgrupper för privata Microsoft Entra-nätverk kan du aktivera en gemensam tjänst för att skydda åtkomsten till alla appar utan att lägga till företagsnätverksberoenden.

Diagram som visar flera molnleverantörer för Microsoft Entra IaaS.

Olika anslutningsgrupper för varje skog i en miljö med flera skogar

Enkel inloggning använder ofta Kerberos-begränsad delegering (KCD). Anslutningsdatorer ansluter till en domän som kan delegera användare till programmet. KCD stöder scenarier mellan skogar, men i distinkta flerskogsmiljöer utan tillitsrelationer kan en enda anslutning inte hantera alla skogar.

Distribuera dedikerade anslutningar per skog och begränsa deras omfång till appar för användare i den skogen. Varje anslutningsgrupp representerar en skog. Klientorganisationen och det mesta av upplevelsen är enhetliga och du tilldelar användare till deras skogsappar med hjälp av Microsoft Entra-grupper.

Haveriberedskapsplatser

Det finns två metoder att överväga för katastrofåterställningsplatser (DR):

  • DR-webbplatsen körs i aktivt/aktivt läge och matchar huvudwebbplatsens nätverk och Active Directory-inställningarna. Skapa kontakterna på DR-platsen i samma anslutningsgrupp som huvudplatsen. Microsoft Entra ID identifierar felövergångar.
  • DR-anläggningen är separat från huvudanläggningen. Skapa en annan anslutningsgrupp där. Använd säkerhetskopieringsappar eller omdirigera befintliga appar manuellt till dr-anslutningsgruppen efter behov.

Betjäna flera företag från en enda hyresgästorganisation

Du kan implementera en modell där en enda tjänstleverantör distribuerar och underhåller Microsoft Entra-relaterade tjänster för flera företag. Anslutningsgrupper hjälper dig att separera anslutningar och appar i olika grupper.

Ett alternativ för små företag är att använda en enda Microsoft Entra-klientorganisation, medan varje företag behåller sitt eget domännamn och nätverk. Samma metod fungerar för fusionsscenarier och situationer där en enda division betjänar flera företag av regel- eller affärsskäl.

Exempelkonfigurationer

Överväg dessa exempelkonfigurationer av anslutningsgrupper.

Standardkonfiguration: Ingen användning för anslutningsgrupper

Om du inte använder anslutningsgrupper ser konfigurationen ut som i följande exempel. Standardgruppen för proxyanslutning hanterar alla publicerade program.

Skärmbild av en konfiguration med endast standardanslutningsgruppen och två anslutningar som hanterar alla publicerade applikationer.

Konfigurationen räcker för små distributioner och tester. Det fungerar också om din organisation har en platt nätverkstopologi.

En anslutningsgrupp för ett isolerat nätverk

Den här konfigurationen utökar standardvärdet. En specifik app körs i ett isolerat nätverk, till exempel ett virtuellt IaaS-nätverk. Företaget skapade en anslutningsgrupp för det här isolerade nätverket.

Skärmbild av programproxy där en app körs i ett isolerat virtuellt IaaS-nätverk med en anslutningsgrupp.

För stora, komplexa organisationer anger du att standardanslutningsgruppen ska innehålla vilande eller nyinstallerade anslutningar. Tilldela inte program till den. Hantera alla program via anpassade anslutningsgrupper.

I det här exemplet har företaget två datacenter (A och B). Två kontakter betjänar varje webbplats. Varje webbplats kör olika program.

Skärmbild av en rekommenderad installation med två datacenter, två anslutningsappar per plats, en standardgrupp för inaktiv anslutning och anpassade grupper som hanterar alla program.

Relaterat innehåll