Интеграция с прокси приложения Microsoft Entra на сервере NDES (службы регистрации сертификатов для сетевых устройств)

Обзор

Узнайте, как использовать прокси приложения Microsoft Entra для защиты службы регистрации сетевых устройств (NDES).

Установка и регистрация соединителя на сервере NDES

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.

  2. В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в директорию, использующую прокси-сервер приложения. Если необходимо изменить каталоги, выберите "Переключить каталог " и выберите каталог, использующий прокси приложения.

  3. Перейдите к Entra ID>Корпоративным приложениям>Прокси приложения.

  4. Выберите Службу загрузки соединителя. Скачайте службу соединителя, чтобы просмотреть условия использования.

  5. Ознакомьтесь с условиями предоставления услуг. Когда вы будете готовы, выберите "Принять условия" и "Скачать".

  6. Скопируйте файл установки соединителя частной сети Microsoft Entra на сервер NDES.

    Соединитель устанавливается на любом сервере в корпоративной сети с доступом к NDES. Не обязательно устанавливать его на самом сервере NDES.

  7. Запустите файл установки, например MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Примите условия лицензионного соглашения.

  8. Во время установки вам будет предложено зарегистрировать соединитель с помощью прокси приложения в каталоге Microsoft Entra. Укажите учетные данные администратора приложения в каталоге Microsoft Entra. Учетные данные администратора приложений Microsoft Entra часто отличаются от учетных данных Azure на портале.

    Примечание.

    Учетная запись с ролью администратора приложений, используемая для регистрации соединителя, должна принадлежать тому же каталогу, в котором включена служба прокси приложения.

    Например, если домен Microsoft Entra contoso.com, администратор приложения должен быть admin@contoso.com или другим допустимым псевдонимом в этом домене.

    Если на сервере, на который устанавливается соединитель, включена конфигурация усиленной безопасности Internet Explorer, экран регистрации может быть заблокирован. Чтобы разрешить доступ, следуйте инструкциям в сообщении об ошибке или отключите усиленную безопасность Internet Explorer во время установки.

    Если регистрация соединителя завершается ошибкой, см. раздел "Устранение неполадок прокси приложения".

  9. В конце установки для сред с исходящим прокси-сервером отображается примечание. Чтобы настроить соединитель частной сети Microsoft Entra для работы через исходящий прокси-сервер, запустите предоставленный скрипт, например C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. На странице прокси приложения в Центре администрирования Microsoft Entra новый соединитель отображается с состоянием "Активный", как показано в примере. Новый соединитель частной сети Microsoft Entra показан как активный в Центре администрирования Microsoft Entra.

    Примечание.

    Чтобы обеспечить высокий уровень доступности приложений, проверяющих подлинность через прокси приложения Microsoft Entra, можно установить соединители на нескольких виртуальных машинах. Повторите те же действия, перечисленные в предыдущем разделе, чтобы установить соединитель на других серверах, присоединенных к управляемому домену доменных служб Microsoft Entra.

  11. После успешной установки вернитесь в Центр администрирования Microsoft Entra.

  12. Выберите корпоративные приложения. Убедитесь, что вы привлекаете нужных заинтересованных лиц.

  13. Выберите +Создать приложение и выберите локальное приложение.

  14. На странице «Добавление собственного локального приложения» настройте поля.

    Имя: введите имя приложения.

    Внутренний URL-адрес: введите внутренний URL-адрес или полное доменное имя сервера NDES, на котором установлен соединитель.

    Предварительная проверка подлинности: выберите сквозной. Невозможно использовать любую форму предварительной проверки подлинности. Протокол, используемый для запросов сертификатов, протокол простой регистрации сертификатов (SCEP), не предоставляет такой вариант.

    Скопируйте предоставленный внешний URL-адрес в буфер обмена.

  15. Нажмите кнопку +Добавить , чтобы сохранить приложение.

  16. Проверьте, можно ли получить доступ к серверу NDES через прокси приложения Microsoft Entra, вставив ссылку, скопированную на шаге 15 в браузер. Вы увидите страницу приветствия службы Интернетной Информационной Службы (IIS) по умолчанию.

  17. В качестве последнего теста добавьте путь mscep.dll к существующему URL-адресу, вставленном на предыдущем шаге. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Вы увидите сообщение об ошибке HTTP 403 — запрещено .

  19. Измените URL-адрес NDES, предоставляемый (через Microsoft Intune) для устройств. Это изменение может быть в Microsoft Configuration Manager или в Центре администрирования Microsoft Intune.

    • Если вы используете Configuration Manager, перейдите к точке регистрации сертификатов и измените URL-адрес. Этот URL-адрес используется устройствами для отправки запросов и предъявления своих задач.
    • Для автономной службы Intune измените или создайте политику SCEP, а затем добавьте новый URL-адрес.

Следующие шаги

  • Last updated on