Udostępnij za pośrednictwem

Integracja z serwerem proxy aplikacji usługi Microsoft Entra na serwerze usługi Network Device Enrollment Service (NDES)

  • Artykuł

Dowiedz się, jak chronić usługę rejestracji urządzeń sieciowych (NDES) przy użyciu serwera proxy aplikacji Firmy Microsoft.

Instalowanie i rejestrowanie łącznika na serwerze usługi NDES

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.

  2. Wybierz swoją nazwę użytkownika w prawym górnym rogu. Sprawdź, czy zalogowaliśmy się do katalogu korzystającego z serwera proxy aplikacji. Jeśli chcesz zmienić katalogi, wybierz pozycję Przełącz katalog i wybierz katalog korzystający z serwera proxy aplikacji.

  3. Przejdź do strony Identity>Applications Enterprise Applications>Application Proxy( Serwer proxy aplikacji dla>przedsiębiorstw).

  4. Wybierz pozycję Pobierz usługę łącznika. Pobierz usługę łącznika, aby wyświetlić warunki użytkowania usługi

  5. Zapoznaj się z warunkami użytkowania usługi. Gdy wszystko będzie gotowe, wybierz pozycję Akceptuj warunki i pobierz.

  6. Skopiuj plik instalacyjny łącznika sieci prywatnej firmy Microsoft do serwera usługi NDES.

    Łącznik jest instalowany na dowolnym serwerze w sieci firmowej z dostępem do usługi NDES. Nie trzeba go instalować na samym serwerze usługi NDES.

  7. Uruchom plik instalacyjny, taki jak MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Zaakceptuj postanowienia licencyjne dotyczące oprogramowania.

  8. Podczas instalacji zostanie wyświetlony monit o zarejestrowanie łącznika za pomocą serwera proxy aplikacji w katalogu Microsoft Entra. Podaj poświadczenia administratora globalnego lub administratora aplikacji w katalogu Microsoft Entra. Poświadczenia globalne lub poświadczenia administratora aplikacji firmy Microsoft często różnią się od poświadczeń platformy Azure w portalu.

    Uwaga

    Konto administratora globalnego lub administratora aplikacji używane do rejestrowania łącznika musi należeć do tego samego katalogu, w którym włączono usługę serwera proxy aplikacji.

    Jeśli na przykład domena Microsoft Entra jest contoso.com, administrator globalny/administrator aplikacji powinien mieć admin@contoso.com lub inny prawidłowy alias w tej domenie.

    Jeśli konfiguracja zwiększonych zabezpieczeń programu Internet Explorer jest włączona dla serwera, na którym jest instalowany łącznik, ekran rejestracji może zostać zablokowany. Aby zezwolić na dostęp, postępuj zgodnie z instrukcjami w komunikacie o błędzie lub wyłącz rozszerzone zabezpieczenia programu Internet Explorer podczas procesu instalacji.

    Jeśli rejestracja łącznika nie powiedzie się, zobacz Rozwiązywanie problemów z serwerem proxy aplikacji.

  9. Na końcu konfiguracji jest wyświetlana uwaga dla środowisk z wychodzącym serwerem proxy. Aby skonfigurować łącznik sieci prywatnej firmy Microsoft do pracy za pośrednictwem serwera proxy ruchu wychodzącego, uruchom podany skrypt, taki jak C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. Na stronie Serwer proxy aplikacji w centrum administracyjnym firmy Microsoft Entra nowy łącznik jest wyświetlany ze stanem Aktywny, jak pokazano w przykładzie. Nowy łącznik sieci prywatnej firmy Microsoft Entra widoczny jako aktywny w centrum administracyjnym firmy Microsoft Entra

    Uwaga

    Aby zapewnić wysoką dostępność aplikacji uwierzytelniających się za pośrednictwem serwera proxy aplikacji Firmy Microsoft Entra, można zainstalować łączniki na wielu maszynach wirtualnych. Powtórz te same kroki wymienione w poprzedniej sekcji, aby zainstalować łącznik na innych serwerach dołączonych do domeny zarządzanej usług Microsoft Entra Domain Services.

  11. Po pomyślnej instalacji wróć do centrum administracyjnego firmy Microsoft Entra.

  12. Wybierz pozycję Aplikacje dla przedsiębiorstw. upewnij się, że angażujesz odpowiednie osoby biorące udział w projekcie

  13. Wybierz pozycję +Nowa aplikacja, a następnie wybierz pozycję Aplikacja lokalna.

  14. W obszarze Dodawanie własnej aplikacji lokalnej skonfiguruj pola.

    Nazwa: wprowadź nazwę aplikacji.

    Wewnętrzny adres URL: wprowadź wewnętrzny adres URL/nazwę FQDN serwera usługi NDES, na którym zainstalowano łącznik.

    Wstępne uwierzytelnianie: wybierz pozycję Przekazywanie. Nie można użyć żadnej formy uwierzytelniania wstępnego. Protokół używany w przypadku żądań certyfikatów (SCEP) nie zapewnia takiej opcji.

    Skopiuj podany zewnętrzny adres URL do schowka.

  15. Wybierz pozycję +Dodaj , aby zapisać aplikację.

  16. Sprawdź, czy możesz uzyskać dostęp do serwera usługi NDES za pośrednictwem serwera proxy aplikacji Microsoft Entra, wklejając link skopiowany w kroku 15 do przeglądarki. Powinna zostać wyświetlona domyślna strona powitalna usług Internet Information Services (IIS).

  17. W ramach ostatniego testu dodaj ścieżkę mscep.dll do istniejącego adresu URL wklejonego w poprzednim kroku. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Powinna zostać wyświetlona odpowiedź HTTP 403 — Zabronione .

  19. Zmień podany adres URL usługi NDES (za pośrednictwem usługi Microsoft Intune) na urządzenia. Ta zmiana może znajdować się w programie Microsoft Configuration Manager lub w centrum administracyjnym usługi Microsoft Intune.

    • W przypadku programu Configuration Manager przejdź do punktu rejestracji certyfikatu i dostosuj adres URL. Ten adres URL jest tym, co urządzenia nazywają i przedstawiają swoje wyzwanie.
    • W przypadku autonomicznej usługi Intune zmodyfikuj lub utwórz nowe zasady protokołu SCEP i dodaj nowy adres URL.

Następne kroki