Integración con el proxy de aplicación de Microsoft Entra en un servidor del Servicio de inscripción de dispositivos de red (NDES)

  • Artículo

Obtenga información sobre cómo usar el proxy de aplicación de Microsoft Entra para proteger el servicio de inscripción de dispositivos de red (NDES).

Instalación y registro del conector en el servidor NDES

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

  2. En la esquina superior derecha, seleccione su nombre de usuario. Compruebe que ha iniciado sesión en el directorio que usa el proxy de aplicación. Si necesita cambiar de directorio, seleccione Cambiar de directorio y elija un directorio que use el proxy de aplicación.

  3. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Aplicación proxy.

  4. Seleccione Descargar servicio de conector. Descargue el servicio de conector para ver los términos del servicio.

  5. Lea los términos del servicio. Cuando esté listo, seleccione Aceptar las condiciones y descargar.

  6. Copie el archivo de instalación del conector de red privada de Microsoft Entra en el servidor NDES.

    Instale el conector en cualquier servidor de la red corporativa con acceso a NDES. No tiene que instalarlo en el propio servidor NDES.

  7. Ejecute el archivo de instalación, como MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Acepte los términos de licencia del software.

  8. Durante la instalación, se le pedirá que registre el conector en la instancia de proxy de aplicación en el directorio de Microsoft Entra. Proporcione las credenciales de un administrador global o de aplicaciones en el directorio de Microsoft Entra. Las credenciales de administrador global o de aplicación de Microsoft Entra suelen ser diferentes de las credenciales de Azure en el portal.

    Nota:

    La cuenta de administrador global o de aplicaciones que se usa para registrar el conector debe pertenecer al mismo directorio donde haya habilitado el servicio de proxy de aplicación.

    Por ejemplo, si el dominio de Microsoft Entra es contoso.com, el administrador global o de aplicaciones debe ser admin@contoso.com u otro alias válido en ese dominio.

    Si la configuración de seguridad mejorada de Internet Explorer está activada en el servidor en el que instala el conector, la pantalla de registro podría bloquearse. Para permitir el acceso, siga las instrucciones del mensaje de error o desactive la seguridad mejorada de Internet Explorer durante el proceso de instalación.

    Si el registro del conector no funciona, consulte Solución de problemas de proxy de aplicación..

  9. Al final de la instalación, se muestra una nota para los entornos con un proxy de salida. Para configurar el conector de red privada de Microsoft Entra para que funcione a través del proxy de salida, ejecute el script proporcionado, como C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. En la página Proxy de aplicación del Centro de administración de Microsoft Entra, el conector nuevo aparece con estado Activo, tal como se muestra en el ejemplo. El nuevo conector de red privada de Microsoft Entra que se muestra como activo en el centro de administración de Microsoft Entra

    Nota:

    Para proporcionar alta disponibilidad a las aplicaciones que se autentican a través del proxy de aplicación de Microsoft Entra, puede instalar conectores en varias máquinas virtuales. Repita los mismos pasos indicados en la sección anterior para instalar el conector en otros servidores unidos al dominio administrado de Microsoft Entra Domain Services.

  11. Después de una instalación correcta, vuelva al centro de administración de Microsoft Entra.

  12. Seleccione Aplicaciones empresariales. asegúrese de que interactúa con las partes interesadas adecuadas

  13. Seleccione +Nueva aplicación y, después, seleccione Aplicación local.

  14. En la Agregar aplicación local propia, configure los campos.

    Name: Escriba un nombre para la aplicación.

    Dirección URL interna: Escriba la dirección URL interna o el FQDN del servidor NDES en el que instaló el conector.

    Autenticación previa: Seleccione Acceso directo. No es posible usar ningún formulario de autenticación previa. El protocolo usado para las solicitudes de certificado (SCEP) no proporciona esta opción.

    Copie la dirección URL externa proporcionada en el portapapeles.

  15. Seleccione +Agregar para guardar la aplicación.

  16. Para probar si puede acceder al servidor NDES mediante el proxy de aplicación de Microsoft Entra, pegue en un explorador el vínculo que ha copiado en el paso 15. Debería ver la página de bienvenida predeterminada de Internet Information Services (IIS).

  17. Como prueba final, agregue la ruta acceso de mscep.dll a la dirección URL existente que pegó en el paso anterior. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Debería ver una respuesta Error HTTP 403: prohibido.

  19. Cambie la dirección URL de NDES proporcionada (mediante Microsoft Intune) a los dispositivos. Este cambio puede aplicarse en Microsoft Endpoint Configuration Manager o en el centro de administración de Microsoft Intune.

    • En Configuration Manager, acceda al punto de registro de certificados y modifique la dirección URL. Esta es la dirección URL a la que los dispositivos llaman y presentan su desafío.
    • En Intune independiente, edite o cree una nueva directiva de SCEP y añada la nueva dirección URL.

Pasos siguientes