ネットワーク デバイス登録サービス (NDES) サーバー上の Microsoft Entra アプリケーション プロキシとの統合

  • [アーティクル]

Microsoft Entra アプリケーション プロキシを使用してネットワーク デバイス登録サービス (NDES) を保護する方法について説明します。

NDES サーバーへのコネクタのインストールおよび登録

  1. アプリケーション管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. 右上隅で自分のユーザー名を選択します。 アプリケーション プロキシを使うディレクトリにサインインしていることを確認します。 ディレクトリを変更する必要がある場合は、[ディレクトリの切り替え] を選び、アプリケーション プロキシを使うディレクトリを選びます。

  3. ID>アプリケーション>エンタープライズ アプリケーション>アプリケーション プロキシ を参照します。

  4. [コネクタ サービスのダウンロード] を選択します。 コネクタ サービスをダウンロードしてサービス使用条件を表示

  5. サービス利用規約を読みます。 準備ができたら、[規約に同意してダウンロード] を選択します。

  6. Microsoft Entra プライベート ネットワーク コネクタのセットアップ ファイルを NDES サーバーにコピーします。

    企業ネットワーク内の、NDES にアクセスできる任意のサーバーにコネクタをインストールします。 NDES サーバー自体にインストールする必要はありません。

  7. MicrosoftEntraPrivateNetworkConnectorInstaller.exe などのセットアップ ファイルを実行します。 ソフトウェア ライセンス条項に同意します。

  8. インストール時に、Microsoft Entra ディレクトリのアプリケーション プロキシにコネクタを登録するように求められます。 Microsoft Entra ディレクトリの全体またはアプリケーション管理者の資格情報を指定します。 多くの場合、Microsoft Entra の全体またはアプリケーション管理者の資格情報は、ポータルの Azure 資格情報とは異なります。

    Note

    コネクタの登録に使用する全体またはアプリケーション管理者アカウントは、アプリケーション プロキシ サービスを有効にしたのと同じディレクトリに属している必要があります。

    たとえば、Microsoft Entra ドメインが contoso.com の場合、全体/アプリケーション管理者は admin@contoso.com か、そのドメインの別の有効なエイリアスである必要があります。

    コネクタをインストールするサーバーで [Internet Explorer セキュリティ強化の構成] がオンになっていると、登録画面がブロックされることがあります。 アクセスを許可するには、エラー メッセージの指示に従うか、インストールプロセス中に Internet Explorer のセキュリティ強化をオフにします。

    コネクタの登録が失敗する場合は、アプリケーション プロキシのトラブルシューティングに関する記事をご覧ください。

  9. セットアップの最後に、送信プロキシを使用している環境に対してメモが表示されます。 送信プロキシ経由で動作するように Microsoft Entra プライベート ネットワーク コネクタを構成するには、提供されたスクリプト (C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1 など) を実行します。

  10. Microsoft Entra 管理センターのアプリケーション プロキシ ページで、この例に示すように、新しいコネクタが "アクティブ" の状態で一覧の中に表示されます。 Microsoft Entra 管理センターでアクティブと表示されている新しい Microsoft Entra プライベート ネットワーク コネクタ

    Note

    Microsoft Entra アプリケーション プロキシを介して認証を行うアプリケーションの高可用性を実現するために、複数の VM にコネクタをインストールできます。 前のセクションと同じ手順を繰り返して、Microsoft Entra Domain Services マネージド ドメインに参加している他のサーバーにコネクタをインストールします。

  11. 正常にインストールされたら、Microsoft Entra 管理センターに戻ります。

  12. [エンタープライズ アプリケーション] を選択します。 適切な利害関係者が担当していることを確認します

  13. [+ 新しいアプリケーション] を選択し、 [オンプレミスのアプリケーション] を選択します。

  14. [独自のオンプレミスのアプリケーションの追加] で、このフィールドを構成します。

    Name:アプリケーションの名前を入力します。

    内部 URL:コネクタをインストールした NDES サーバーの内部 URL または FQDN を入力します。

    事前認証: [パススルー] を選択します。 いかなる形式の事前認証も使用できません。 証明書要求 (SCEP) に使用されるプロトコルでは、このオプションは提供されません。

    提供された外部 URL をクリップボードにコピーします。

  15. [+追加] をクリックして、アプリケーションを保存します。

  16. ステップ 15 でコピーしたリンクをブラウザーに貼り付けて、Microsoft Entra アプリケーション プロキシを介して NDES サーバーにアクセスできるかどうかをテストします。 インターネット インフォメーション サービス (IIS) の既定のウェルカム ページが表示されます。

  17. 最後のテストとして、前のステップで貼り付けた既存の URL に mscep.dll パスを追加します。 https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. HTTP エラー 403 - アクセス不可の応答が表示されるはずです。

  19. デバイスに (Microsoft Intune 経由で) 提供された NDES URL を変更します。 この変更は、Microsoft Configuration Manager または Microsoft Intune 管理センターのいずれかで行うことができます。

    • Configuration Manager の場合は、証明書登録ポイントに移動して、URL を調整します。 この URL は、デバイスが呼び出して、資格情報の要求を行う URL です。
    • Intune スタンドアロンの場合は、SCEP ポリシーを編集するか新規に作成し、新しい URL を追加します。

次のステップ