Integrazione con proxy dell'applicazione Microsoft Entra in un server NDES (Network Device Enrollment Service)
Informazioni su come usare il proxy dell'applicazione Microsoft Entra per proteggere il servizio Registrazione dispositivi di rete.
Installare e registrare il connettore sul server NDES
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa il proxy di applicazione. Se è necessario cambiare directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.
Passare a Identità>Applicazioni>Applicazioni enterprise>Proxy dell’applicazione.
Selezionare Scarica servizio connettore.
Leggere le condizioni d'uso. Al termine, selezionare Accetta le condizioni e scarica.
Copiare il file di installazione del connettore di rete privata Microsoft Entra nel server NDES.
Il connettore viene installato in qualsiasi server all'interno della rete aziendale con accesso a NDES. Non è necessario installarlo nel server NDES stesso.
Eseguire il file di installazione, ad esempio MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Accettare le condizioni di licenza software.
Durante l'installazione, viene richiesto di registrare il connettore con il proxy dell'applicazione nella directory Microsoft Entra. Specificare le credenziali per un amministratore globale o dell'applicazione nella directory Microsoft Entra. Le credenziali di amministratore globale o dell'applicazione di Microsoft Entra sono spesso diverse dalle credenziali di Azure nel portale.
Nota
L'account amministratore globale o dell’applicazione usato per registrare il connettore deve trovarsi nella stessa directory in cui è stato abilitato il servizio proxy dell'applicazione.
Ad esempio, se il dominio Microsoft Entra è contoso.com, l'amministratore globale/applicazione deve essere
admin@contoso.com
o un altro alias valido in tale dominio.Se la Sicurezza avanzata di Internet Explorer è abilitata per il server in cui si vuole installare il connettore, la schermata di registrazione potrebbe essere bloccata. Per consentire l'accesso, seguire le istruzioni nel messaggio di errore o disattivare la Sicurezza avanzata di Internet Explorer durante il processo di installazione.
Se la registrazione del connettore non riesce, vedere Risolvere i problemi del proxy applicazione.
Alla fine della configurazione viene visualizzata una nota per gli ambienti con un proxy per traffico in uscita. Per configurare il connettore di rete privata Microsoft Entra per il funzionamento tramite il proxy per traffico in uscita, eseguire lo script fornito, ad esempio
C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1
.Nella pagina Proxy applicazione nell'interfaccia di amministrazione di Microsoft Entra, il nuovo connettore è elencato con lo stato Attivo, come illustrato nell'esempio.
Nota
Per garantire la disponibilità elevata per le applicazioni che eseguono l'autenticazione tramite il proxy dell'applicazione Microsoft Entra, è possibile installare connettori in più macchine virtuali. Ripetere gli stessi passaggi elencati nella sezione precedente per installare il connettore in altri server aggiunti al dominio gestito di Microsoft Entra Domain Services.
Dopo aver completato l'installazione, tornare all'interfaccia di amministrazione di Microsoft Entra.
Selezionare Applicazioni aziendali.
Selezionare +Nuova applicazione e quindi selezionare Applicazione locale.
Configurare i campi in Aggiungi la tua applicazione locale.
Nome: immettere un nome per l'applicazione.
URL interno: immettere l'URL/FQDN interno del server NDES in cui è stato installato il connettore.
Autenticazione preliminare: selezionare Passthrough. Non è possibile usare alcuna forma di preautenticazione. Il protocollo usato per le richieste di certificati (SCEP) non fornisce tale opzione.
Copiare l’URL esterno fornito negli Appunti.
Selezionare Aggiungi per salvare l’applicazione.
Verificare se è possibile accedere al server NDES tramite il proxy dell'applicazione Microsoft Entra incollando il collegamento copiato nel passaggio 15 in un browser. Dovrebbe venire visualizzata la pagina iniziale predefinita di Internet Information Services (IIS).
Come test finale, aggiungere il percorso mscep.dll all'URL esistente incollato nel passaggio precedente.
https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll
Verrà visualizzata una risposta di errore HTTP 403 – Accesso negato.
Modificare l'URL NDES fornito (tramite Microsoft Intune) nei dispositivi. Questa modifica potrebbe trovarsi in Microsoft Configuration Manager o nell'interfaccia di amministrazione di Microsoft Intune.
- Per Configuration Manager, passare al punto di registrazione del certificato e modificare l'URL. Questo URL è ciò che i dispositivi chiamano e presentano la loro sfida.
- Per Intune autonomo, modificare o creare un nuovo criterio SCEP e aggiungere il nuovo URL.