Поделиться через

Интеграция с прокси приложения Microsoft Entra на сервере NDES (службы регистрации сертификатов для сетевых устройств)

  • Статья

Узнайте, как использовать прокси приложения Microsoft Entra для защиты службы регистрации сетевых устройств (NDES).

Установка и регистрация соединителя на сервере NDES

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.

  2. В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в каталог, использующий прокси приложения. Если необходимо изменить каталоги, выберите "Переключить каталог " и выберите каталог, использующий прокси приложения.

  3. Перейдите к> прокси приложениям Identity Application>Enterprise.>

  4. Выберите Скачать службу соединителя. Скачайте службу соединителя, чтобы просмотреть условия предоставления услуг.

  5. Ознакомьтесь с условиями предоставления услуг. Когда вы будете готовы, выберите Accept terms & Download (Принять условия и скачать).

  6. Скопируйте файл установки соединителя частной сети Microsoft Entra на сервер NDES.

    Соединитель устанавливается на любом сервере в корпоративной сети с доступом к NDES. Не обязательно устанавливать его на самом сервере NDES.

  7. Запустите файл установки, например MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Примите условия лицензионного соглашения.

  8. Во время установки вам будет предложено зарегистрировать соединитель с прокси приложения в каталоге Microsoft Entra. Укажите учетные данные для глобального администратора или администратора приложений в каталоге Microsoft Entra. Учетные данные глобального администратора Microsoft Entra или администратора приложений часто отличаются от учетных данных Azure на портале.

    Примечание.

    Учетная запись глобального администратора или администратора приложений, используемая для регистрации соединителя, должна принадлежать тому же каталогу, в котором включена служба прокси приложения.

    Например, если домен Microsoft Entra contoso.com, глобальный администратор или администратор приложений должен быть admin@contoso.com или другой допустимый псевдоним на этом домене.

    Если на сервере, на который устанавливается соединитель, включена конфигурация усиленной безопасности Internet Explorer, экран регистрации может быть заблокирован. Чтобы разрешить доступ, следуйте инструкциям в сообщении об ошибке или отключите усиленную безопасность Internet Explorer во время установки.

    Если регистрация соединителя завершается ошибкой, см. раздел "Устранение неполадок прокси приложения".

  9. В конце установки для сред с исходящим прокси-сервером отображается примечание. Чтобы настроить соединитель частной сети Microsoft Entra для работы через исходящий прокси-сервер, запустите предоставленный скрипт, например C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. На странице прокси приложения в Центре администрирования Microsoft Entra новый соединитель отображается с состоянием "Активный", как показано в примере. Новый соединитель частной сети Microsoft Entra, показанный как активный в Центре администрирования Microsoft Entra

    Примечание.

    Чтобы обеспечить высокий уровень доступности приложений, проверяющих подлинность через прокси приложения Microsoft Entra, можно установить соединители на нескольких виртуальных машинах. Повторите те же действия, перечисленные в предыдущем разделе, чтобы установить соединитель на других серверах, присоединенных к управляемому домену доменных служб Microsoft Entra.

  11. После успешной установки вернитесь в Центр администрирования Microsoft Entra.

  12. Выберите Корпоративные приложения. Убедитесь, что вы обращаетесь к нужным заинтересованным лицам

  13. Щелкните +Создать приложение и выберите Локальное приложение.

  14. На сайте Add your own on-premises application(Добавление собственного локального приложения) настройте поля.

    Имя — введите имя приложения.

    Внутренний URL-адрес — введите внутренний URL-адрес или полное доменное имя сервера NDES, на котором установлен соединитель.

    Предварительная аутентификация — выберите Сквозной режим. Невозможно использовать любую форму предварительной проверки подлинности. Протокол, используемый для запросов сертификатов (SCEP), не поддерживает такую возможность.

    Скопируйте в буфер обмена предоставленный внешний URL-адрес.

  15. Щелкните + Добавить, чтобы сохранить приложение.

  16. Проверьте, можно ли получить доступ к серверу NDES через прокси приложения Microsoft Entra, вставив ссылку, скопированную на шаге 15 в браузер. Вы увидите страницу приветствия службы IIS (IIS) по умолчанию.

  17. В качестве последнего теста добавьте путь mscep.dll к существующему URL-адресу, вставленном на предыдущем шаге. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Теперь вы получите ответ HTTP Error 403 (Запрещено).

  19. Измените URL-адрес NDES, предоставляемый (через Microsoft Intune) для устройств. Это изменение может быть в Microsoft Configuration Manager или в Центре администрирования Microsoft Intune.

    • Если вы используете Configuration Manager, перейдите к точке регистрации сертификатов и измените URL-адрес. На этот URL-адрес устройства будут направлять вызовы и запросы.
    • Для автономной службы Intune измените или создайте политику SCEP, а затем добавьте новый URL-адрес.

Следующие шаги