共用方式為

在網路裝置註冊服務 (NDES) 伺服器上整合使用 Microsoft Entra 應用程式代理

  • 發行項

了解如何使用 Microsoft Entra 應用程式 Proxy 來保護您的網路裝置註冊服務 (NDES)。

在 NDES 伺服器上安裝與註冊連接器

  1. 以至少應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 在右上角選取您的使用者名稱。 請確認您已登入使用應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄],然後選擇使用應用程式 Proxy 的目錄。

  3. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [應用程式 Proxy]

  4. 選取 [下載連接器服務]下載連接器服務以查看服務條款

  5. 閱讀服務條款。 當您準備好時,選取 [接受條款並下載]

  6. 將 Microsoft Entra 私人網路連接器安裝程式檔案複製到您的 NDES 伺服器。

    您可以利用 NDES 的存取權,在公司網路內的任何伺服器上安裝連接器。 您不需要將之安裝在 NDES 伺服器上。

  7. 執行安裝程式檔案,例如 MicrosoftEntraPrivateNetworkConnectorInstaller.exe。 接受軟體授權條款。

  8. 在安裝過程中,系統會提示您將連接器註冊到 Microsoft Entra 目錄中的應用程式代理。 在您的 Microsoft Entra 目錄中提供應用程式管理員的認證。 Microsoft Entra Application Administrator 認證通常與入口網站中的 Azure 認證不同。

    注意

    用來註冊連接器的應用程式系統管理員帳戶必須屬於您啟用應用程式 Proxy 服務的相同目錄。

    例如,如果 Microsoft Entra 網域 contoso.com,則應用程式管理員應該是 admin@contoso.com 或該網域上的另一個有效別名。

    如果在您要安裝連接器的伺服器上開啟 Internet Explorer 增強式安全性組態,則註冊畫面可能會遭到封鎖。 若要允許存取,請依照錯誤訊息中的指示進行,或在安裝程式的期間關閉 Internet Explorer 增強式安全性。

    如果連接器註冊失敗,請參閱針對應用程式 Proxy 進行疑難排解

  9. 安裝完成後,針對有向外連線代理伺服器的環境,會顯示一則附註。 若要設定 Microsoft Entra 私人網路連接器以透過輸出 Proxy 運作,請執行提供的指令碼,例如 C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1

  10. 在 Microsoft Entra 系統管理中心的應用程式 Proxy 頁面上,新連接器會列出,並顯示其狀態為作用中,如範例所示。 新的 Microsoft Entra 私人網路連接器在 Microsoft Entra 系統管理中心顯示為作用中

    注意

    您可以在多個 VM 上安裝連接器,以便透過 Microsoft Entra 應用程式 Proxy 提供具有高可用性的應用程式驗證。 重複上一節所列的相同步驟,將連接器安裝到聯結 Microsoft Entra Domain Services 受控網域的其他伺服器。

  11. 安裝成功之後,請返回 Microsoft Entra 系統管理中心。

  12. 選取 [企業應用程式]。 確定您已讓正確的專案關係人參與其中

  13. 選取 [+新應用程式],然後選取 [內部部署應用程式]

  14. 在 [新增您自己的內部部署應用程式] 中設定這些欄位。

    名稱:輸入應用程式的名稱。

    內部網址:請輸入您安裝了連接器的 NDES 伺服器上的內部 URL/完整網域名稱 (FQDN)。

    預先驗證:選取直通。 不可以使用任何形式的預先驗證。 用於憑證請求的簡單憑證註冊協議 (SCEP) 不提供這樣的選項。

    將系統提供的外部網址複製到您的剪貼簿。

  15. 選取 [+新增] 以儲存您的應用程式。

  16. 將您在步驟 15 中複製的連結貼入瀏覽器,以測試是否可以透過 Microsoft Entra 應用程式 Proxy 存取 NDES 伺服器。 您應該會看到預設的 Internet Information Services (IIS) 歡迎使用頁面。

  17. 作為最後的測試,請將路徑 mscep.dll 附加到您在先前步驟中貼入的現有網址。 https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. 您會看到 HTTP 錯誤 403 - 禁止 的回應。

  19. 變更透過 Microsoft Intune 提供並設置在裝置上的 NDES 網址。 這項變更可以在 Microsoft Configuration Manager 或 Microsoft Intune 系統管理中心進行。

    • 對於 Configuration Manager,請移至憑證登錄點並調整網址。 裝置會呼叫此網址,並向其提出質疑。
    • 針對獨立版 Intune,請編輯或建立新的 SCEP 策略,並新增新的網址。

下一步