Share via

Intégration au proxy d’application Microsoft Entra sur un serveur NDES (Network Device Enrollment service)

  • Article

Découvrez comment utiliser le proxy d’application Microsoft Entra pour protéger votre NDES (Network Device Enrollment Service).

Installer et inscrire le connecteur sur le serveur NDES

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’applications au moins.

  2. Sélectionnez votre nom d’utilisateur en haut à droite. Vérifiez que vous êtes connecté à un répertoire qui utilise le service Proxy d’application. Si vous devez changer de répertoire, sélectionnez Changer de répertoire et choisissez un répertoire qui utilise le service Proxy d’application.

  3. Accédez à Identité>Applications>Applications d’entreprise>Proxy d’application.

  4. Sélectionnez Télécharger le service de connecteur. Télécharger le service de connecteur pour voir les conditions d’utilisation du service

  5. Lisez les conditions d'utilisation du service. Quand vous êtes prêt, sélectionnez Accepter les conditions d’utilisation et télécharger.

  6. Copiez le fichier d’installation du connecteur de réseau privé Microsoft Entra sur votre serveur NDES.

    Vous installez le connecteur sur n’importe quel serveur au sein de votre réseau d’entreprise ayant accès à NDES. Vous n’avez pas besoin de l’installer sur le serveur NDES lui-même.

  7. Exécutez le fichier d’installation, par exemple, MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Acceptez les termes du contrat de licence logicielle.

  8. Au cours de l’installation, vous êtes invité à inscrire le connecteur auprès du proxy d’application dans votre annuaire Microsoft Entra. Indiquez les informations d’identification d’un administrateur général ou d’application dans votre répertoire Microsoft Entra. Les informations d’identification d’un administrateur général ou d’application Microsoft Entra sont souvent différentes de vos informations d’identification Azure dans le portail.

    Remarque

    Le compte d’administrateur général ou d’application utilisé pour inscrire le connecteur doit appartenir au même annuaire que celui dans lequel vous avez activé le service de proxy d’application.

    Par exemple, si le domaine Microsoft Entra est contoso.com, l’administrateur général ou d’application doit être admin@contoso.com ou tout autre alias valide sur ce domaine.

    Si l’option Configuration de sécurité renforcée d’Internet Explorer est activée sur le serveur sur lequel vous installez le connecteur, l’écran d’inscription risque d’être bloqué. Pour autoriser l’accès, suivez les instructions du message d’erreur ou désactivez la sécurité renforcée d’Internet Explorer au cours du processus d’installation.

    Si l’inscription du connecteur échoue, consultezDétecter un problème du proxy d’application.

  9. À la fin de l’installation, une remarque s’affiche pour les environnements avec un proxy sortant. Pour configurer le connecteur de réseau privé Microsoft Entra et qu’il fonctionne par le biais du proxy sortant, exécutez le script fourni, tel que C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. Dans la page du proxy d’application du centre d’administration Microsoft Entra, le nouveau connecteur est répertorié avec l’état Actif, comme indiqué dans l’exemple. Le nouveau connecteur de réseau privé Microsoft Entra affiché comme actif dans le centre d’administration Microsoft Entra

    Remarque

    Pour fournir une haute disponibilité pour l’authentification des applications par le biais du proxy d’application Microsoft Entra, vous pouvez installer des connecteurs sur plusieurs machines virtuelles. Répétez les étapes répertoriées dans la section précédente pour installer le connecteur sur d’autres serveurs joints au domaine managé Microsoft Entra Domain Service.

  11. Une fois l’installation réussie, revenez au centre d’administration Microsoft Entra.

  12. Sélectionnez Applications d’entreprise. Veillez à faire appel aux bonnes personnes.

  13. Sélectionnez +Nouvelle application, puis Application locale.

  14. Dans Ajouter votre propre application locale, configurez les champs.

    Name : Entrez un nom pour l’application.

    URL interne : entrez l’URL ou le nom de domaine complet interne de votre serveur NDES sur lequel vous avez installé le connecteur.

    Pré-authentification : sélectionnez Passthrough. Vous ne pouvez pas utiliser un quelconque formulaire de pré-authentification. Le protocole utilisé pour les demandes de certificat (SCEP) n’offre pas cette option.

    Copiez l’URL externe fournie dans votre Presse-papiers.

  15. Sélectionnez +Ajouter pour enregistrer votre application.

  16. Faites un test pour déterminer si vous pouvez accéder à votre serveur NDES par le biais du proxy d’application Microsoft Entra en collant le lien que vous avez copié à l’étape 15 dans un navigateur. Vous devriez voir une page d’accueil par défaut d’Internet Information Services (IIS) :

  17. Comme test final, ajoutez le chemin mscep.dll à l’URL existante que vous avez collée à l’étape précédente. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Vous devez obtenir une réponse Erreur HTTP 403 – Interdit.

  19. Remplacez l’URL NDES fournie (via Microsoft Intune) par des appareils. Cette modification peut s’effectuer dans Microsoft Configuration Manager ou dans le centre d’administration Microsoft Intune.

    • Pour Configuration Manager, accédez au point d’enregistrement de certificat et ajustez l’URL. C’est cette URL qu’appellent les appareils pour présenter leur demande.
    • Pour Intune autonome, modifiez ou créez une stratégie SCEP et ajoutez la nouvelle URL.

Étapes suivantes