Integração com o proxy de aplicativo do Microsoft Entra em um servidor de Serviço de Registro de Dispositivo de Rede (NDES)

  • Artigo

Saiba como usar o proxy de aplicativo Microsoft Entra para proteger seu Serviço de Registro de Dispositivo de Rede (NDES).

Instalar e registrar o conector no servidor NDES

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.

  2. Escolha o nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa o proxy de aplicativo. Se for necessário alterar diretórios, escolha Alterar diretório e escolha um diretório que usa o proxy de aplicativo.

  3. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Proxy de aplicativo.

  4. Escolha Baixar o serviço do conector. Baixe o serviço do conector para ver os Termos de serviço

  5. Leia os Termos de serviço. Quando estiver pronto, escolha Aceitar termos e baixar.

  6. Copie o arquivo de configuração do conector de rede privada do Microsoft Entra para seu servidor NDES.

    Você pode instalar o conector em qualquer servidor em sua rede corporativa com acesso ao NDES. Você não precisa instalar o conector no próprio servidor NDES.

  7. Execute o arquivo de instalação, como o MicrosoftEntraPrivateNetworkConnectorInstaller.exe. Aceite os termos de licença de software.

  8. Durante a instalação, você receberá uma solicitação para registrar o conector com o proxy de aplicativo no seu diretório do Microsoft Entra. Forneça as credenciais para um administrador global ou de aplicativos no diretório do Microsoft Entra. As credenciais de administrador global ou de aplicativos do Microsoft Entra podem ser diferentes das suas credenciais do Azure no portal.

    Observação

    A conta de administrador global ou de aplicativos usada para registrar o conector deve pertencer ao mesmo diretório no qual você habilitou o serviço de proxy de aplicativo.

    Por exemplo, se o domínio do Microsoft Entra for contoso.com, o administrador global/de aplicativos deverá ser admin@contoso.com ou qualquer outro alias válido nesse domínio.

    Se a configuração de segurança reforçada do Internet Explorer estiver ativada para o servidor no qual você instalar o conector, a tela de registro poderá ser bloqueada. Para permitir o acesso, siga as instruções na mensagem de erro ou desative a Segurança Aprimorada do Internet Explorer durante o processo de instalação.

    Se o registro do conector falhar, consulte Solucionar problemas do proxy de aplicativo.

  9. No final da instalação, uma observação é mostrada para ambientes com um proxy de saída. Para configurar o conector de rede privada do Microsoft Entra para funcionar por meio do proxy de saída, execute o script fornecido, como C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1.

  10. Na página do Proxy de aplicativo no centro de administração do Microsoft Entra, o novo conector é listado com o status Ativo, conforme mostrado no exemplo. O novo conector de rede privada do Microsoft Entra mostrado como ativo no centro de administração do Microsoft Entra

    Observação

    Para fornecer alta disponibilidade para aplicativos que se autenticam por meio do proxy de aplicativo do Microsoft Entra, você pode instalar conectores em várias VMs. Repita as mesmas etapas listadas na seção anterior para instalar o conector em outros servidores ingressados no domínio gerenciado do Serviços de Domínio do Microsoft Entra.

  11. Após a instalação bem-sucedida, volte para o centro de administração do Microsoft Entra.

  12. Selecione Aplicativos empresariais. verifique se você está envolvendo os stakeholders certos

  13. Selecione + Novo Aplicativo e, em seguida, Aplicativo local.

  14. Em Adicionar seu aplicativo local, configure os campos.

    Nome: insira um nome para o aplicativo.

    URL interna: insira a URL/FQDN interna do servidor de NDES no qual instalou o conector.

    Pré-autenticação: selecione Passagem. Não é possível usar qualquer forma de autenticação prévia. O protocolo usado para Solicitações de Certificado (SCEP) não fornece essa opção.

    Copie a URL externa fornecida para sua área de transferência.

  15. Selecione +Adicionar para salvar seu aplicativo.

  16. Teste se você pode acessar seu servidor de NDES por meio do proxy de aplicativo do Microsoft Entra, colando o link que você copiou na etapa 15 em um navegador. Você deverá ver uma página padrão de boas-vindas dos Serviços de Informações da Internet (IIS).

  17. Como um teste final, adicione o caminho mscep.dll à URL existente que você colou na etapa anterior. https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll

  18. Você deverá ver uma resposta de Erro HTTP 403 – Proibido.

  19. Altere a URL do NDES fornecida (via Microsoft Intune) para dispositivos. Essa alteração pode estar no Microsoft Configuration Manager ou no Centro de administração do Microsoft Intune.

    • Para o Configuration Manager, vá até o ponto de registro de certificado e ajuste a URL. Essa URL é a que os dispositivos chamam e apresentam seu desafio.
    • Para o Intune autônomo, edite ou crie uma política de SCEP e adicione a nova URL.

Próximas etapas