Поделиться через


Интеграция с прокси приложения Microsoft Entra на сервере NDES (службы регистрации сертификатов для сетевых устройств)

Узнайте, как использовать прокси приложения Microsoft Entra для защиты службы регистрации сетевых устройств (NDES).

Установка и регистрация соединителя на сервере NDES

  1. Войдите в Центр администрирования Microsoft Entra, имея роль как минимум администратора приложений.

  2. В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в директорию, использующую прокси-сервер приложения. Если необходимо изменить каталоги, выберите "Переключить каталог " и выберите каталог, использующий прокси приложения.

  3. Перейдите к Идентификация>Приложения>Корпоративные приложения>Прокси-сервер приложения.

  4. Выберите Скачать службу соединителя. Скачайте служебную программу соединения, чтобы ознакомиться с условиями предоставления услуг.

  5. Ознакомьтесь с условиями предоставления услуг. Когда вы будете готовы, выберите Accept terms & Download (Принять условия и скачать).

  6. Скопируйте файл установки соединителя частной сети Microsoft Entra на сервер NDES.

    Соединитель устанавливается на любом сервере в корпоративной сети с доступом к NDES. Не обязательно устанавливать его на самом сервере NDES.

  7. Запустите файл установки, например MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Примите условия лицензионного соглашения.

  8. Во время установки вам будет предложено зарегистрировать соединитель с помощью прокси приложения в каталоге Microsoft Entra. Укажите учетные данные администратора приложения в каталоге Microsoft Entra. Учетные данные администратора приложений Microsoft Entra часто отличаются от учетных данных Azure на портале.

    Примечание.

    Учетная запись администратора приложения, используемая для регистрации соединителя, должна принадлежать тому же каталогу, в котором включена служба прокси приложения.

    Например, если домен Microsoft Entra contoso.com, администратор приложения должен быть admin@contoso.com или другим допустимым псевдонимом в данном домене.

    Если на сервере, на который устанавливается соединитель, включена конфигурация усиленной безопасности Internet Explorer, экран регистрации может быть заблокирован. Чтобы разрешить доступ, следуйте инструкциям в сообщении об ошибке или отключите усиленную безопасность Internet Explorer во время установки.

    Если регистрация соединителя завершается ошибкой, см. раздел Устранение неполадок прокси приложения.

  9. В конце установки для сред с исходящим прокси-сервером отображается примечание. Чтобы настроить соединитель частной сети Microsoft Entra для работы через исходящий прокси-сервер, запустите предоставленный скрипт, например C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. На странице прокси приложения в Центре администрирования Microsoft Entra новый соединитель отображается с состоянием "Активный", как показано в примере. Новый соединитель частной сети Microsoft Entra, показанный как активный в Центре администрирования Microsoft Entra

    Примечание.

    Чтобы обеспечить высокий уровень доступности приложений, проверяющих подлинность через прокси приложения Microsoft Entra, можно установить соединители на нескольких виртуальных машинах. Повторите те же действия, перечисленные в предыдущем разделе, чтобы установить соединитель на других серверах, присоединенных к управляемому домену доменных служб Microsoft Entra.

  11. После успешной установки вернитесь в Центр администрирования Microsoft Entra.

  12. Выберите Корпоративные приложения. Убедитесь, что вы обращаетесь к нужным заинтересованным лицам

  13. Щелкните +Создать приложение и выберите Локальное приложение.

  14. На странице «Добавление собственного локального приложения» настройте поля.

    Имя — введите имя приложения.

    Внутренний URL-адрес — введите внутренний URL-адрес или полное доменное имя сервера NDES, на котором установлен соединитель.

    Предварительная аутентификация — выберите Сквозной режим. Невозможно использовать любую форму предварительной проверки подлинности. Протокол, используемый для запросов сертификатов (SCEP), не поддерживает такую возможность.

    Скопируйте в буфер обмена предоставленный внешний URL-адрес.

  15. Щелкните + Добавить, чтобы сохранить приложение.

  16. Проверьте, можно ли получить доступ к серверу NDES через прокси приложения Microsoft Entra, вставив ссылку, скопированную на шаге 15 в браузер. Вы увидите страницу приветствия службы Интернетной Информационной Службы (IIS) по умолчанию.

  17. В качестве последнего теста добавьте путь mscep.dll к существующему URL-адресу, вставленном на предыдущем шаге. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Теперь вы получите ответ HTTP Error 403 (Запрещено).

  19. Измените URL-адрес NDES, предоставляемый (через Microsoft Intune) для устройств. Это изменение может быть в Microsoft Configuration Manager или в Центре администрирования Microsoft Intune.

    • Если вы используете Configuration Manager, перейдите к точке регистрации сертификатов и измените URL-адрес. Этот URL-адрес используется устройствами для отправки запросов и предъявления своих задач.
    • Для автономной службы Intune измените или создайте политику SCEP, а затем добавьте новый URL-адрес.

Следующие шаги