Integrieren in den Microsoft Entra-Anwendungsproxy auf einem NDES-Server (Network Device Enrollment Service, Registrierungsdienst für Netzwerke)

  • Artikel

Erfahren Sie, wie Sie Microsoft Entra-Anwendungsproxy verwenden, um Ihren Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) zu schützen.

Installieren und Registrieren des Connectors auf dem NDES-Server

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

  2. Wählen Sie rechts oben Ihren Benutzernamen aus. Stellen Sie sicher, dass Sie an einem Verzeichnis angemeldet sind, für das der Anwendungsproxy verwendet wird. Wenn Sie das Verzeichnis wechseln möchten, wählen Sie Verzeichnis wechseln und anschließend ein Verzeichnis aus, für das der Anwendungsproxy verwendet wird.

  3. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Anwendungsproxy.

  4. Wählen Sie Connectordienst herunterladen. Herunterladen des Connectordiensts zum Anzeigen der Nutzungsbedingungen

  5. Lesen Sie die Vertragsbedingungen. Wählen Sie die Option Bedingungen akzeptieren und herunterladen, wenn Sie mit dem Lesen fertig sind.

  6. Kopieren Sie die Setupdatei des privaten Microsoft Entra-Netzwerkconnectors auf Ihren NDES-Server.

    Sie installieren den Connector auf einem beliebigen Server innerhalb Ihres Unternehmensnetzwerks mit Zugriff auf NDES. Sie müssen ihn nicht auf dem NDES-Server installieren.

  7. Führen Sie die Setupdatei aus, z. B. MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Akzeptieren Sie die Softwarelizenzbedingungen.

  8. Während der Installation werden Sie aufgefordert, den Connector beim Anwendungsproxy in Ihrem Microsoft Entra-Verzeichnis zu registrieren. Geben Sie die Anmeldeinformationen eines globalen oder Anwendungsadministrators für Ihr Microsoft Entra-Verzeichnis an. Die Anmeldeinformationen für den globalen Microsoft Entra-Administrator oder Anwendungsadministrator unterscheiden sich häufig von den Azure-Anmeldeinformationen im Portal.

    Hinweis

    Das zum Registrieren des Connectors verwendete Konto eines globalen oder Anwendungsadministrators muss demselben Verzeichnis angehören, in dem Sie den Anwendungsproxydienst aktivieren.

    Wenn die Microsoft Entra-Domäne beispielsweise contoso.com lautet, muss sich der globale Administrator als admin@contoso.com oder mit einem anderen gültigen Aliasnamen in dieser Domäne anmelden.

    Falls auf dem Server, auf dem Sie den Connector installieren, die Option „Verstärkte Sicherheitskonfiguration für Internet Explorer“ aktiviert ist, ist der Registrierungsbildschirm möglicherweise blockiert. Zum Zulassen des Zugriffs befolgen Sie die Anweisungen in der Fehlermeldung, um „Verstärkte Sicherheitskonfiguration für Internet Explorer“ während des Installationsvorgangs zu deaktivieren.

    Falls bei der Connectorregistrierung ein Fehler auftritt, helfen Ihnen die Informationen unter Problembehandlung von Anwendungsproxys weiter.

  9. Am Ende des Setupprozesses wird ein Hinweis zu Umgebungen mit einem ausgehenden Proxy angezeigt. Um den Microsoft Entra privaten Netzwerkconnector so zu konfigurieren, dass er mit dem ausgehenden Proxy funktioniert, führen Sie das bereitgestellte Skript aus, z. B. C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. Auf der Seite für Anwendungsproxys im Microsoft Entra Admin Center wird der neue Connector mit dem Status Aktiv aufgeführt, wie im Beispiel gezeigt. Der neue Microsoft Entra private Netzwerkconnector mit dem Status „Aktiv“ im Microsoft Entra Admin Center

    Hinweis

    Um Hochverfügbarkeit für Anwendungen bereitzustellen, die sich über den Microsoft Entra-Anwendungsproxy authentifizieren, können Sie Connectors auf mehreren VMs installieren. Wiederholen Sie die im vorherigen Abschnitt aufgeführten Schritte, um den Connector auf weiteren Servern zu installieren, die in die über Microsoft Entra Domain Services verwaltete Domäne eingebunden sind.

  11. Wechseln Sie nach der erfolgreichen Installation zurück zum Microsoft Entra Admin Center.

  12. Wählen Sie Unternehmensanwendungen. Hinzuziehen der richtigen Beteiligten

  13. Klicken Sie zunächst auf Neue Anwendung und dann auf Lokale Anwendung.

  14. Konfigurieren Sie unter Fügen Sie Ihre eigene lokale Anwendung hinzu die Felder.

    Name: Geben Sie einen Namen für die Anwendung ein.

    Interne URL: Geben Sie die interne URL bzw. den vollqualifizierten Domänennamen Ihres NDES-Servers ein, auf dem Sie den Connector installiert haben.

    Vor der Authentifizierung: Klicken Sie auf Passthrough. Vorauthentifizierung kann in keiner Form verwendet werden. Das Protokoll, das für Zertifikatanforderungen (SCEP) verwendet wird, bietet keine solche Option.

    Kopieren Sie die angegebene externe URL in die Zwischenablage.

  15. Klicken Sie auf Hinzufügen, um die Anwendung zu speichern.

  16. Testen Sie, ob Sie über den Microsoft Entra-Anwendungsproxy auf Ihren NDES-Server zugreifen können, indem Sie den in Schritt 15 kopierten Link in einen Browser einfügen. Sie sollten eine Standardbegrüßungsseite für IIS (Internet Information Services, Internetinformationsdienste) sehen.

  17. Fügen Sie der vorhandenen URL, die Sie im vorherigen Schritt eingefügt haben, als letzten Test den Pfad mscep.dll hinzu. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Es sollte die Antwort HTTP Error 403 – Forbidden (HTTP-Fehler 403: Unzulässig) angezeigt werden.

  19. Ändern Sie die (über Microsoft Intune) für die Geräte angegebene NDES-URL. Sie können diese Änderung im Microsoft Configuration Manager oder im Admin Center von Microsoft Intune vornehmen.

    • Wenn Sie den Configuration Manager verwenden, wechseln Sie zum Zertifikatregistrierungspunkt, und passen Sie die URL an. Diese URL wird von den Geräten abgerufen, woraufhin das Problem benannt wird.
    • Wenn Sie eigenständiges Intune verwenden, erstellen oder bearbeiten Sie eine SCEP-Richtlinie, und fügen Sie die neue URL hinzu.

Nächste Schritte