概述
了解如何使用Microsoft Entra应用程序代理来保护网络设备注册服务(NDES)。
在 NDES 服务器上安装和注册连接器
以至少
应用管理员 身份登录到Microsoft Entra 管理中心 。请在右上角选择用户名。 验证是否已登录到使用应用程序代理的目录。 如果需要更改目录,请选择“切换目录”,然后选择使用应用程序代理的目录。
浏览到 Entra ID>企业应用>应用程序代理。
选择“下载连接器服务”。
阅读“服务条款”。 准备就绪后,选择“接受条款并下载”。
将Microsoft Entra专用网络连接器安装文件复制到 NDES 服务器。
可以在有权访问 NDES 的企业网络中的任何服务器上安装连接器。 无需将其安装在 NDES 服务器本身上。
运行安装程序文件,例如 MicrosoftEntraPrivateNetworkConnectorInstaller.exe。 接受软件许可条款。
在安装过程中,系统会提示在 Microsoft Entra 目录中将连接器注册到应用程序代理。 为Microsoft Entra目录中的应用程序管理员提供凭据。 Microsoft Entra 应用程序管理员凭据通常与门户中的 Azure 凭据不同。
注释
具有用于注册连接器的应用程序管理员角色的帐户必须属于启用应用程序代理服务的同一目录。
例如,如果Microsoft Entra域是contoso.com,则应用程序管理员应为
admin@contoso.com或该域中的其他有效别名。如果为安装连接器的服务器启用了Internet Explorer增强的安全配置,可能会阻止注册屏幕。 若要允许访问,请按照错误消息中的说明操作,或在安装过程中关闭Internet Explorer增强的安全性。
如果连接器注册失败,请参阅 应用程序代理故障排除。
安装完成后,会显示一条关于出站代理环境的说明。 若要将Microsoft Entra专用网络连接器配置为通过出站代理工作,请运行提供的脚本,例如
C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1。在Microsoft Entra 管理中心的应用程序代理页上,新连接器的状态为 Active,如示例中所示。
注释
若要为通过Microsoft Entra应用程序代理进行身份验证的应用程序提供高可用性,可以在多个 VM 上安装连接器。 重复上一部分中列出的相同步骤,在加入 Microsoft Entra 域服务 托管域的其他服务器上安装连接器。
安装成功后,返回到Microsoft Entra 管理中心。
选择 “企业应用程序”。
选择“ +新建应用程序”,然后选择“ 本地应用程序”。
在 “添加自己的本地应用程序”上,配置字段。
名称:输入应用程序的名称。
内部 URL:输入安装连接器的 NDES 服务器的内部 URL/FQDN。
预身份验证:选择 旁路。 无法使用任何形式的预身份验证。 用于证书请求的协议简单证书注册协议(SCEP)不提供此类选项。
请将提供的外部 URL复制到剪贴板。
选择 “+添加” 以保存应用程序。
通过将步骤 15 中复制的链接粘贴到浏览器中,测试是否可以通过 Microsoft Entra 应用程序代理访问 NDES 服务器。 应会看到默认Internet Information Services(IIS)欢迎页。
作为最终测试,将 mscep.dll 路径添加到上一步中粘贴的现有 URL。
https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll应会看到 HTTP 错误 403 - 禁止响应 。
将通过 Microsoft Intune 提供的 NDES URL 更改为供设备使用。 此更改可能位于Microsoft Configuration Manager或Microsoft Intune管理中心。
- 对于Configuration Manager,请转到证书注册点并调整 URL。 该URL是设备用于调用和展示其挑战的地址。
- 对于 Intune 独立版,请编辑或创建新的 SCEP 策略并添加新 URL。
后续步骤
教程:在 Microsoft Entra ID 中通过应用程序代理添加用于远程访问的本地应用程序