与网络设备注册服务 (NDES) 服务器上的 Microsoft Entra 应用程序代理集成
了解如何使用 Microsoft Entra 应用程序代理保护你的网络设备注册服务 (NDES)。
在 NDES 服务器上安装并注册连接器
至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
请在右上角选择用户名。 验证是否已登录到使用应用程序代理的目录。 如果需要更改目录,请选择“切换目录”,然后选择使用应用程序代理的目录。
浏览到“标识”>“应用程序”>“企业应用程序”>“应用程序代理”。
选择“下载连接器服务” 。
阅读“服务条款”。 准备就绪后,选择“接受条款并下载”。
将 Microsoft Entra 专用网络连接器安装文件复制到 NDES 服务器。
可将连接器安装在企业网络中任何可以访问 NDES 的服务器上。 不需要在 NDES 服务器上安装连接器。
运行安装程序文件,例如 MicrosoftEntraPrivateNetworkConnectorInstaller.exe。 接受软件许可条款。
在安装期间,系统会提示将连接器注册到 Microsoft Entra 目录中的应用程序代理。 在 Microsoft Entra 目录中为全局管理员或应用程序管理员提供凭据。 Microsoft Entra 全局或应用程序管理员凭证通常与门户中的 Azure 凭证不同。
注意
用于注册连接器的全局或应用管理员帐户必须属于启用应用代理服务的同一目录。
例如,如果 Microsoft Entra 域为 contoso.com,则全局/应用管理员应为
admin@contoso.com
或该域上的另一个有效别名。如果为安装连接器的服务器启用“Internet Explorer 增强的安全配置”,则可能无法显示注册屏幕。 要显示该屏幕,请按照错误消息中的说明进行操作,或在安装过程中关闭“Internet Explorer 增强的安全性”设置。
如果连接器注册失败,请参阅排查应用程序代理的问题。
安装结束时,会显示包含出站代理的环境说明。 要将 Microsoft Entra 专用网络连接器配置为通过出站代理进行工作,请运行提供的脚本,例如
C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1
。在 Microsoft Entra 管理中心中的“应用程序代理”页上,将会列出状态为“活动”的新连接器,如示例所示。
注意
若要提高通过 Microsoft Entra 应用程序代理进行身份验证的应用程序的可用性,可在多个 VM 上安装连接器。 重复上一部分中列出的相同步骤,以在加入到 Microsoft Entra 域服务托管域的其他服务器上安装连接器。
成功安装后,返回到 Microsoft Entra 管理中心。
选择“企业应用程序”。
选择“+ 新建应用程序”,然后选择“本地应用程序” 。
在“添加自己的本地应用程序”中,配置字段。
名称:输入应用程序的名称。
内部 URL:输入 NDES 服务器的内部 URL/FQDN,在该服务器上安装连接器。
预身份验证:选择“传递”。 不能使用任何形式的预身份验证。 用于证书请求 (SCEP) 的协议不提供此类选项。
复制提供的“外部 URL”。
选择“+ 添加”,保存应用程序。
将步骤 15 中复制的链接粘贴到浏览器中,测试是否可以通过 Microsoft Entra 应用程序代理访问 NDES 服务器。 则会看到默认的 Internet Information Services (IIS) 欢迎页。
作为最终测试,请将“mscep.dll”路径添加到在上一步中粘贴的现有 URL。
https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll
应会看到“HTTP 错误 403 - 禁止访问”响应。
将提供的 NDES URL(通过 Microsoft Intune)更改为设备。 可在 Microsoft Configuration Manager 或 Microsoft Intune 管理中心进行此更改。
- 对于 Configuration Manager,请前往证书注册点并调整 URL。 此 URL 是设备发出的内容,提示设备遇到的难题。
- 对于 Intune 独立版,可以编辑或创建新的 SCEP 策略并添加新的 URL。