在網路裝置註冊服務 (NDES) 伺服器上與 Microsoft Entra 應用程式 Proxy 整合
了解如何使用 Microsoft Entra 應用程式 Proxy 來保護您的網路裝置註冊服務 (NDES)。
在 NDES 伺服器上安裝與註冊連接器
以至少 應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
在右上角選取您的使用者名稱。 請確認您已登入使用應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄],然後選擇使用應用程式 Proxy 的目錄。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [應用程式 Proxy]。
選取 [下載連接器服務]。
閱讀服務條款。 當您準備好時,選取 [接受條款並下載]。
將 Microsoft Entra 私人網路連接器安裝程式檔案複製到您的 NDES 伺服器。
您可以利用 NDES 的存取權,在公司網路內的任何伺服器上安裝連接器。 您不需要將之安裝在 NDES 伺服器上。
執行安裝程式檔案,例如 MicrosoftEntraPrivateNetworkConnectorInstaller.exe。 接受軟體授權條款。
系統會在安裝期間提示您在 Microsoft Entra 目錄中的應用程式 Proxy 註冊連接器。 在 Microsoft Entra 目錄中提供全域或應用程式系統管理員的認證。 Microsoft Entra 全域或應用程式系統管理員的認證,通常會和入口網站的 Azure 認證不同。
注意
用於註冊連接器的全域或應用程式系統管理員的帳戶,以及您啟用應用程式 Proxy 服務的位置,這兩者必須隸屬於相同的目錄。
舉例來說,如果 Microsoft Entra 網域是 contoso.com,則全域/應用程式系統管理員應為
admin@contoso.com
或該網域上的另一個有效別名。如果在您要安裝連接器的伺服器上開啟 Internet Explorer 增強式安全性組態,則註冊畫面可能會遭到封鎖。 若要允許存取,請依照錯誤訊息中的指示進行,或在安裝程式的期間關閉 Internet Explorer 增強式安全性。
如果連接器註冊失敗,請參閱針對應用程式 Proxy 進行疑難排解。
安裝結束時會出現一則附註,顯示輸出 proxy 的環境。 若要設定 Microsoft Entra 私人網路連接器以透過輸出 Proxy 運作,請執行提供的指令碼,例如
C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1
。在 Microsoft Entra 系統管理中心的應用程式 Proxy 頁面上,新連接器會列出,並顯示其狀態為作用中,如範例所示。
注意
您可以在多個 VM 上安裝連接器,以便透過 Microsoft Entra 應用程式 Proxy 提供具有高可用性的應用程式驗證。 重複上一節所列的相同步驟,將連接器安裝到聯結 Microsoft Entra Domain Services 受控網域的其他伺服器。
安裝成功之後,請返回 Microsoft Entra 系統管理中心。
選取 [企業應用程式]。
選取 [+新應用程式],然後選取 [內部部署應用程式]。
在 [新增自己的內部部署應用程式] 上設定欄位。
名稱:輸入應用程式的名稱。
內部網址:在您安裝連接器的 NDES 伺服器輸入內部網址/完整網域名稱。
預先驗證:選取 [通過]。 不可以使用任何形式的預先驗證。 用於憑證要求 (簡單憑證註冊通訊協定) 的通訊協定不會提供這種選項。
將系統提供的外部網址複製到您的剪貼簿。
選取 [+新增] 以儲存您的應用程式。
將您在步驟 15 中複製的連結貼入瀏覽器,以測試是否可以透過 Microsoft Entra 應用程式 Proxy 存取 NDES 伺服器。 您應該會看到預設的 Internet Information Services (IIS) 歡迎使用頁面。
作為最後一個測試,請將 mscep.dll 路徑新增至現有的網址中 (其為您在先前步驟中貼入的 URL)。
https://scep-test93635307549127448334.msappproxy.net/certsrv/mscep/mscep.dll
您會看到 HTTP 錯誤 403 - 禁止 的回應。
變更裝置使用的 NDES 網址 (透過 Microsoft Intune)。 這項變更可以在 Microsoft Configuration Manager 或 Microsoft Intune 系統管理中心進行。
- 對於 Configuration Manager,請移至憑證登錄點並調整網址。 裝置會呼叫此網址,並向其提出質疑。
- 針對獨立式 Intune,請編輯或建立新的 SCEP 原則,並新增新的網址。