了解如何使用 Microsoft Entra 应用程序代理来保护网络设备注册服务(NDES)。
在 NDES 服务器上安装和注册连接器
至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
请在右上角选择用户名。 验证是否已登录到使用应用程序代理的目录。 如果需要更改目录,请选择“切换目录”,然后选择使用应用程序代理的目录。
浏览到 Entra ID>企业应用>应用程序代理。
选择“下载连接器服务”。
阅读“服务条款”。 准备就绪后,选择“接受条款并下载”。
将 Microsoft Entra 专用网络连接器安装文件复制到 NDES 服务器。
可以在有权访问 NDES 的企业网络中的任何服务器上安装连接器。 无需将其安装在 NDES 服务器本身上。
运行安装程序文件,例如 MicrosoftEntraPrivateNetworkConnectorInstaller.exe。 接受软件许可条款。
在安装过程中,系统会提示在 Microsoft Entra 目录中将连接器注册到应用程序代理。 在 Microsoft Entra 目录中为应用程序管理员提供凭据。 Microsoft Entra 应用程序管理员凭据通常不同于门户中的 Azure 凭据。
注释
具有用于注册连接器的应用程序管理员角色的帐户必须属于启用应用程序代理服务的同一目录。
例如,如果 Microsoft Entra 域是 contoso.com,则应用程序管理员应为
admin@contoso.com或该域上的其他有效别名。如果为安装连接器的服务器启用了 Internet Explorer 增强的安全配置,注册界面可能会被阻止。 若要允许访问,请按照错误消息中的说明进行操作,或在安装过程中关闭“Internet Explorer 增强的安全性”。
如果连接器注册失败,请参阅 应用程序代理故障排除。
安装结束时,会显示包含出站代理的环境说明。 若要将 Microsoft Entra 专用网络连接器配置为通过出站代理进行工作,请运行提供的脚本,例如
C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1。在 Microsoft Entra 管理中心的应用程序代理页上,新连接器以 活动状态列出,如示例中所示。
注释
若要提高通过 Microsoft Entra 应用程序代理进行身份验证的应用程序的可用性,可在多个 VM 上安装连接器。 重复上一部分中列出的相同步骤,将连接器安装在已加入 Microsoft Entra 域服务托管域的其他服务器上。
安装成功后,返回到 Microsoft Entra 管理中心。
选择 “企业应用程序”。
选择“ +新建应用程序”,然后选择“ 本地应用程序”。
在 “添加自己的本地应用程序”上,配置字段。
名称:输入应用程序的名称。
内部 URL:输入安装连接器的 NDES 服务器的内部 URL/FQDN。
预身份验证:选择 旁路。 无法使用任何形式的预身份验证。 用于证书请求的协议简单证书注册协议(SCEP)不提供此类选项。
请将提供的外部 URL复制到剪贴板。
选择 “+添加” 以保存应用程序。
通过将步骤 15 中复制的链接粘贴到浏览器中,测试是否可以通过 Microsoft Entra 应用程序代理访问 NDES 服务器。 应会看到默认的 Internet 信息服务(IIS)欢迎页。
作为最终测试,将 mscep.dll 路径添加到上一步中粘贴的现有 URL。
https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll应会看到 HTTP 错误 403 - 禁止响应 。
将提供的 NDES URL(通过 Microsoft Intune)更改为用于设备。 此更改可能位于 Microsoft Configuration Manager 或 Microsoft Intune 管理中心。
- 对于 Configuration Manager,请转到证书注册点并调整 URL。 该URL是设备用于调用和展示其挑战的地址。
- 对于 Intune 独立版,请编辑或创建新的 SCEP 策略并添加新 URL。