在網路裝置註冊服務 (NDES) 伺服器上與 Microsoft Entra 應用程式 Proxy 整合
瞭解如何使用 Microsoft Entra 應用程式 Proxy 保護您的網路裝置註冊服務 (NDES)。
在 NDES 伺服器上安裝和註冊連接器
以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
選取右上角的用戶名稱。 確認您已登入使用應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄 ],然後選擇使用應用程式 Proxy 的目錄。
流覽至 [身分>識別應用程式>企業應用程式>] 應用程式 Proxy。
選取 [ 下載連接器服務]。
閱讀服務條款。 當您準備好時,請選取 [ 接受條款及下載]。
將 Microsoft Entra 專用網連接器安裝程式檔案複製到您的 NDES 伺服器。
您可以在公司網路內具有 NDES 存取權的任何伺服器上安裝連接器。 您不需要在 NDES 伺服器上安裝它。
執行安裝程式檔案,例如 MicrosoftEntraPrivateNetwork 連線 orInstaller.exe。 接受軟體授權條款。
在安裝期間,系統會提示您在 Microsoft Entra 目錄中向應用程式 Proxy 註冊連接器。 提供 Microsoft Entra 目錄中全域或應用程式管理員的認證。 Microsoft Entra 全域或應用程式管理員認證通常與入口網站中的 Azure 認證不同。
注意
用來註冊連接器的全域或應用程式系統管理員帳戶必須屬於您啟用應用程式 Proxy 服務的相同目錄。
例如,如果 Microsoft Entra 網域是 contoso.com,則全域/應用程式管理員應該
admin@contoso.com或該網域上的另一個有效別名。如果您為安裝連接器的伺服器開啟 Internet Explorer 增強式安全性設定,可能會封鎖註冊畫面。 若要允許存取,請遵循錯誤訊息中的指示,或在安裝程式期間關閉 Internet Explorer 增強式安全性。
如果連接器註冊失敗,請參閱 針對應用程式 Proxy 進行疑難解答。
在設定結束時,會針對具有輸出 Proxy 的環境顯示附注。 若要設定 Microsoft Entra 專用網連接器以透過輸出 Proxy 運作,請執行提供的文稿,例如
C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1。在 Microsoft Entra 系統管理中心的 [應用程式 Proxy] 頁面上,新的連接器會以 [使用中] 狀態列出,如範例所示。
注意
若要為透過 Microsoft Entra 應用程式 Proxy 驗證的應用程式提供高可用性,您可以在多個 VM 上安裝連接器。 重複上一節所列的相同步驟,在加入 Microsoft Entra Domain Services 受控網域的其他伺服器上安裝連接器。
安裝成功之後,請返回 Microsoft Entra 系統管理中心。
選取 [企業應用程式]。
選取 [+新增應用程式],然後選取 [內部部署應用程式]。
在 [ 新增您自己的內部部署應用程式] 上,設定欄位。
名稱:輸入應用程式的名稱。
內部 URL:輸入您安裝連接器之 NDES 伺服器的內部 URL/FQDN。
預先驗證:選取 [傳遞]。 您無法使用任何形式的預先驗證。 用於憑證要求 (SCEP) 的通訊協定不提供這類選項。
將提供的 [外部 URL ] 複製到剪貼簿。
選取 [+新增 ] 以儲存您的應用程式。
藉由將步驟 15 中複製的連結貼到瀏覽器中,測試您是否可透過 Microsoft Entra 應用程式 Proxy 存取您的 NDES 伺服器。 您應該會看到預設 網際網路資訊服務 (IIS) 歡迎頁面。
作為最後一個測試,請將 mscep.dll 路徑新增至您在上一個步驟中貼上的現有URL。
https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll您應該會看到 HTTP 錯誤 403 – 禁止 回應。
將提供的 NDES URL(透過 Microsoft Intune) 變更為裝置。 這項變更可能位於 Microsoft Configuration Manager 或 Microsoft Intune 系統管理中心。
- 針對 Configuration Manager,請移至憑證登錄點並調整 URL。 此 URL 是裝置所呼叫並呈現其挑戰的內容。
- 針對 Intune 獨立版,請編輯或建立新的 SCEP 原則並新增 URL。