Integrar com o Proxy de Aplicações do Azure Active Directory num servidor do Serviço de Inscrição de Dispositivos de Rede (NDES)

  • Artigo
  • 4 minutos para ler

Azure Ative Directory (AD) Proxy de Aplicações permite-lhe publicar aplicações dentro da sua rede. Estas aplicações são como sites SharePoint, Microsoft Outlook Web App e outras aplicações web. Também fornece acesso seguro aos utilizadores fora da sua rede via Azure.

Se você é novo no Azure AD Proxy de Aplicações e quer saber mais, consulte acesso remoto a aplicações no local através de Azure AD Proxy de Aplicações.

A Azure AD Proxy de Aplicações é construída em Azure. Ele dá-lhe uma enorme quantidade de largura de banda de rede e infraestrutura de servidor para uma melhor proteção contra ataques de negação de serviço distribuídos (DDOS) e disponibilidade soberba. Além disso, não há necessidade de abrir portas de firewall externas para a sua rede no local e não é necessário nenhum servidor DMZ. Todo o tráfego é originado para chegar. Para obter uma lista completa de portas de saída, consulte Tutorial: Adicione uma aplicação no local para acesso remoto através de Proxy de Aplicações em Azure Ative Directory.

Azure AD Proxy de Aplicações é uma funcionalidade que só está disponível se estiver a utilizar as edições Premium ou Basic de Azure Ative Directory. Para obter mais informações, veja Preços do Azure Active Directory. Se tiver licenças do Enterprise Mobility Suite (EMS), pode utilizar esta solução. O conector AD AD Proxy de Aplicações AZure só instala Windows Server 2012 R2 ou posteriormente. Este é também um requisito do servidor NDES.

Instale e registe o conector no servidor NDES

  1. Inscreva-se no portal do Azure como administrador de candidatura do diretório que utiliza Proxy de Aplicações. Por exemplo, se o domínio do inquilino for contoso.com, o administrador deve ser admin@contoso.com ou qualquer outro pseudónimo de administração nesse domínio.

  2. Selecione o seu nome de utilizador no canto superior direito. Verifique se assinou contrato com um diretório que usa Proxy de Aplicações. Se precisar de alterar os diretórios, selecione o diretório da Switch e escolha um diretório que utilize Proxy de Aplicações.

  3. No painel de navegação esquerdo, selecione Azure Ative Directory.

  4. Em Gestão, selecione Application proxy.

  5. Selecione Baixar o serviço de conector.

    Download connector service to see the Terms of Service

  6. Leia os Termos de Serviço. Quando estiver pronto, selecione Aceitar termos & Descarregue.

  7. Copie o ficheiro de configuração do conector Azure AD Proxy de Aplicações para o servidor NDES.

    Pode instalar o conector em qualquer servidor dentro da sua rede corporativa com acesso a NDES. Não é necessário instalá-lo no próprio servidor NDES.

  8. Executar o ficheiro de configuração, tal como AADApplicationProxyConnectorInstaller.exe. Aceite os termos da licença de software.

  9. Durante a instalação, é solicitado que registe o conector com o Proxy de Aplicações no seu diretório AD Azure.

    • Forneça as credenciais para um administrador global ou de aplicação no seu diretório AZure AD. As credenciais globais ou de administrador de aplicação da Azure podem ser diferentes das credenciais do Azure no portal.

      Nota

      A conta global ou administradora de aplicação utilizada para registar o conector deve pertencer ao mesmo diretório onde ativa o serviço de Proxy de Aplicações.

      Por exemplo, se o domínio AD Azure for contoso.com, o administrador global/de aplicação deve ser admin@contoso.com ou outro pseudónimo válido nesse domínio.

    • Se a configuração de segurança melhorada do Internet Explorer for ligada para o servidor onde instala o conector, o ecrã de registo poderá estar bloqueado. Para permitir o acesso, siga as instruções na mensagem de erro ou desligue a Segurança Reforçada do Internet Explorer durante o processo de instalação.

    • Se o registo do conector falhar, consulte a resolução de problemas Proxy de Aplicações.

  10. No final da configuração, é mostrada uma nota para ambientes com um representante de saída. Para configurar o Azure AD Proxy de Aplicações conector para trabalhar através do representante de saída, executar o script fornecido, como C:\Program Files\Microsoft AAD App Proxy connector\ConfigureOutBoundProxy.ps1.

  11. Na página de procuração de aplicação na portal do Azure, o novo conector está listado com um estado de Ativo, como mostra o seguinte exemplo:

    The new Azure AD Application Proxy connector shown as active in the Azure portal

    Nota

    Para fornecer alta disponibilidade para aplicações autenticadas através do Azure AD Proxy de Aplicações, pode instalar conectores em vários VMs. Repita os mesmos passos listados na secção anterior para instalar o conector em outros servidores unidos ao domínio gerido Azure AD DS.

  12. Após uma instalação bem sucedida, volte ao portal do Azure.

  13. Selecione Aplicações empresariais.

    ensure that you're engaging the right stakeholders

  14. Selecione +Nova Aplicação e, em seguida, selecione a aplicação no local.

  15. Na aplicação Adicionar a sua própria aplicação no local, configuure os seguintes campos:

    • Nome: Introduza um nome para a aplicação.
    • Url interno: Introduza o URL/FQDN interno do seu servidor NDES no qual instalou o conector.
    • Pré Autenticação: Selecione Passthrough. Não é possível usar qualquer forma de pré-autenticação. O protocolo utilizado para pedidos de certificados (SCEP) não fornece tal opção.
    • Copie o URL externo fornecido para a sua área de transferência.

  16. Selecione +Adicionar para guardar a sua aplicação.

  17. Teste se pode aceder ao seu servidor NDES através do proxy Azure AD Application, colando o link que copiou no passo 15 para um browser. Você deve ver uma página de boas-vindas IIS padrão.

  18. Como teste final, adicione o caminhomscep.dll ao URL existente que colou no passo anterior:

    https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  19. Deverá ver uma resposta HTTP Error 403 – Proibida .

  20. Altere o URL NDES fornecido (via Microsoft Intune) para dispositivos. Esta mudança pode estar no Microsoft Endpoint Configuration Manager ou no centro de administração Microsoft Endpoint Manager.

    • Para Configuration Manager, vá ao ponto de registo do certificado e ajuste o URL. Este URL é o que os dispositivos chamam e apresentam o seu desafio.
    • Para Intune autónomo, edite ou crie uma nova política SCEP e adicione o novo URL.

Passos seguintes

Com o AZure AD Proxy de Aplicações integrado com o NDES, publique aplicações para os utilizadores acederem. Para mais informações, consulte as aplicações de publicação utilizando o Proxy de Aplicações Azure AD.