Share via

Integrazione con proxy dell'applicazione Microsoft Entra in un server NDES (Network Device Enrollment Service)

  • Articolo

Informazioni su come usare il proxy dell'applicazione Microsoft Entra per proteggere il servizio Registrazione dispositivi di rete.Learn how to use Microsoft Entra application proxy to protect your Network Device Enrollment Service (NDES).

Installare e registrare il connettore nel server NDES

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.

  2. Selezionare il nome utente nell'angolo superiore destro. Verificare di aver eseguito l'accesso a una directory che usa il proxy dell'applicazione. Se è necessario modificare le directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.

  3. Passare a Identity>Applications Enterprise Applications>Application Proxy (Proxy applicazione applicazioni>aziendali).

  4. Selezionare Scarica servizio connettore. Scaricare il servizio connettore per visualizzare le condizioni d'uso

  5. Leggere le condizioni d'uso. Al termine, selezionare Accetta le condizioni e scarica.

  6. Copiare il file di installazione del connettore di rete privata Microsoft Entra nel server NDES.

    Il connettore viene installato in qualsiasi server all'interno della rete aziendale con accesso a NDES. Non è necessario installarlo nel server NDES stesso.

  7. Eseguire il file di installazione, ad esempio MicrosoftEntraPrivateNetwork Connessione orInstaller.exe. Accettare le condizioni di licenza software.

  8. Durante l'installazione, viene richiesto di registrare il connettore con il proxy dell'applicazione nella directory Microsoft Entra. Specificare le credenziali per un amministratore globale o dell'applicazione nella directory Microsoft Entra. Le credenziali di amministratore globale o dell'applicazione di Microsoft Entra sono spesso diverse dalle credenziali di Azure nel portale.

    Nota

    L'account amministratore globale o dell'applicazione usato per registrare il connettore deve appartenere alla stessa directory in cui si abilita il servizio proxy dell'applicazione.

    Ad esempio, se il dominio Microsoft Entra è contoso.com, l'amministratore globale/applicazione deve essere admin@contoso.com o un altro alias valido in tale dominio.

    Se Internet Explorer Enhanced Security Configuration è attivato per il server in cui si installa il connettore, la schermata di registrazione potrebbe essere bloccata. Per consentire l'accesso, seguire le istruzioni nel messaggio di errore o disattivare La sicurezza avanzata di Internet Explorer durante il processo di installazione.

    Se la registrazione del connettore non riesce, vedere Risolvere i problemi relativi al proxy dell'applicazione.

  9. Alla fine della configurazione viene visualizzata una nota per gli ambienti con un proxy in uscita. Per configurare il connettore di rete privata Microsoft Entra per il funzionamento tramite il proxy in uscita, eseguire lo script fornito, ad esempio C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. Nella pagina Proxy dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra il nuovo connettore è elencato con lo stato Attivo, come illustrato nell'esempio. Il nuovo connettore di rete privata Microsoft Entra visualizzato come attivo nell'interfaccia di amministrazione di Microsoft Entra

    Nota

    Per garantire la disponibilità elevata per le applicazioni che eseguono l'autenticazione tramite il proxy dell'applicazione Microsoft Entra, è possibile installare connettori in più macchine virtuali. Ripetere gli stessi passaggi elencati nella sezione precedente per installare il connettore in altri server aggiunti al dominio gestito di Microsoft Entra Domain Services.

  11. Dopo aver completato l'installazione, tornare all'interfaccia di amministrazione di Microsoft Entra.

  12. Selezionare Applicazioni aziendali. assicurarsi di coinvolgere gli stakeholder appropriati

  13. Selezionare +Nuova applicazione e quindi selezionare Applicazione locale.

  14. In Aggiungere un'applicazione locale configurare i campi.

    Nome: immettere un nome per l'applicazione.

    URL interno: immettere l'URL/FQDN interno del server NDES in cui è stato installato il connettore.

    PreAutenticazione: selezionare Pass-through. Non è possibile usare alcuna forma di preautenticazione. Il protocollo usato per le richieste di certificati (SCEP) non fornisce tale opzione.

    Copiare l'URL esterno fornito negli Appunti.

  15. Selezionare +Aggiungi per salvare l'applicazione.

  16. Verificare se è possibile accedere al server NDES tramite il proxy dell'applicazione Microsoft Entra incollando il collegamento copiato nel passaggio 15 in un browser. Verrà visualizzata una pagina iniziale predefinita di Internet Information Services (IIS).

  17. Come test finale, aggiungere il percorso mscep.dll all'URL esistente incollato nel passaggio precedente. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Verrà visualizzato un errore HTTP 403 - Risposta non consentita .

  19. Modificare l'URL NDES fornito (tramite Microsoft Intune) nei dispositivi. Questa modifica potrebbe trovarsi in Microsoft Configuration Manager o nell'interfaccia di amministrazione di Microsoft Intune.

    • Per Configuration Manager passare al punto di registrazione certificati e modificare l'URL. Questo URL è ciò che i dispositivi chiamano e presentano la loro sfida.
    • Per Intune autonomo, modificare o creare un nuovo criterio SCEP e aggiungere il nuovo URL.

Passaggi successivi