circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Private Endpunkte

Bei der Installation von SCEPman 2.8 oder neuer werden das Storage-Konto und der Key Vault über Private Endpoints mit einem VNET verbunden. Der Zugriff auf die Daten dieser beiden Azure-Ressourcen ist nur über dieses VNET möglich, sofern Sie nicht Ausnahmen definieren.

Dieses VNET befindet sich in derselben Ressourcengruppe wie die anderen SCEPman-Komponenten. Die App Services SCEPman und SCEPman Certificate Master sind mit dem VNET verbunden und haben auf Netzwerkebene Zugriff auf das Storage-Konto und den Key Vault.

Nach der Installation sind keine Ausnahmen konfiguriert, sodass keine andere Entität auf die Zertifikate und Schlüssel des Key Vaults oder auf die Table Storage des Storage-Kontos zugreifen kann. Falls erforderlich, zum Beispiel wenn eine Subordinate CA erzeugt wird oder wenn auf das Storage-Konto zugegriffen wird, müssen Sie Ausnahmen unter dem Bereich Networking der jeweiligen Azure-Ressource hinzufügen.

Der Zugriff auf die Verwaltungsoberfläche des Key Vaults und des Storage-Kontos ist davon unberührt, d. h. Sie müssen Ihre Administrationsrechner nicht in die Ausnahmeliste aufnehmen, um Funktionen wie das Ändern des SKU Ihres Storage-Kontos oder das Einsehen der Zugriffsprotokolle Ihres Key Vaults auszuführen.

Die App Services SCEPman und SCEPman Certificate Master haben keine Private Endpoints, selbst wenn Sie SCEPman 2.8 oder neuer installieren. Sie sind weiterhin ohne Netzwerkeinschränkungen aus dem Internet erreichbar. Wir empfehlen, den Zugriff auf SCEPman nicht auf Netzwerkebene zu beschränken, da SCEPman in der Regel Teil der Infrastruktur ist, die zum Aufbau von Netzwerkverbindungen verwendet wird, und daher verfügbar sein sollte, selbst wenn Sie noch nicht verbunden sind.

Falls erforderlich, kann Conditional Access eingesetzt werden, um den Zugriff auf SCEPman Certificate Master mit verschiedenen Einschränkungen, einschließlich Netzwerkbedingungen, zu begrenzen. SCEPman verwendet in der Regel kein Conditional Access, da die beiden Endpunkte SCEP und OCSP keine Entra-Authentifizierung nutzen. Sie könnten Conditional Access jedoch verwenden, um den Zugriff auf SCEPmans REST-API.

hashtag
Für Private Endpoints verwendete Azure-Ressourcen

hashtag
Hinzufügen von Private Endpoints zu bestehenden SCEPman-Installationen

Wenn Sie SCEPman 2.7 oder älter installiert haben, verfügen Ihr Key Vault und Ihr Storage-Konto nicht automatisch über Private Endpoints, selbst wenn Sie auf SCEPman 2.8 oder neuer aktualisieren. Sie müssen diese nach einer bewussten Entscheidung manuell hinzufügen. Bitte folgen Sie dieser Anleitung, um dies zu tun:

1

hashtag
Virtuelles Netzwerk erstellen

  • Erstellen Sie in der SCEPman-Ressourcengruppe ein neues virtuelles Netzwerk mit den Standardeinstellungen oder entsprechend den Anforderungen Ihrer Organisation. Dies sollte ein Standard-Subnetz.

  • Erstellen Sie ein zusätzliches Subnetz im neuen virtuellen Netzwerk mit Standardeinstellungen und setzen Sie "Subnet Delegation" als Microsoft.Web/serverFarms

2

hashtag
KeyVault-Private-Endpoint erstellen

  1. Navigieren Sie zu Ihrer SCEPman-Ressourcengruppe > KeyVault > Einstellungen > Networking > Private endpoint connections und erstellen Sie einen Private Endpoint

  2. Ressourcentyp auswählen: Microsoft.KeyVault/vaults

  3. Wählen Sie Ihr KeyVault nach Ressource und Vault als Ziel-Subressource

  4. Wählen Sie das virtuelle Netzwerk und das Standard-Subnetz (nicht das im ersten Schritt erstellte Subnetz)

  5. Aktivieren In Private DNS-Zone integrieren um die Private DNS-Zone automatisch zu erstellen und zu verbinden

3

hashtag
Storage Account Private Endpoint erstellen

  1. Navigieren Sie zu Ihrer SCEPman-Ressourcengruppe > Speicherkonto > Sicherheit + Networking > Networking > Private endpoints und erstellen Sie einen Private Endpoint

  2. Bei "By resource" setzen Sie die Ziel-Subressource auf table

  3. Wählen Sie Ihr virtuelles Netzwerk und das Standard-Subnetz

  4. Aktivieren In Private DNS-Zone integrieren um die Private DNS-Zone automatisch zu erstellen und zu verbinden

4

hashtag
SCEPman App Service integrieren

  1. Navigieren zu SCEPman App Service > Networking > Fügen Sie die Integration des virtuellen Netzwerks zur Ausgehenden Traffic-Konfiguration hinzu, indem Sie auf "Not configured" klicken

  2. Wählen Sie das virtuelle Netzwerk und das im ersten Schritt erstellte Subnetz aus.

  3. Deaktivieren Sie die Option "Outbound internet traffic" und übernehmen Sie die Einstellung

5

hashtag
Certificate Master App Service integrieren

  • Durch das Hinzufügen der virtuellen Netzwerkintegration zum zweiten App Service können Sie die vorherige Verbindung aus der Liste auswählen; Sie müssen keine neue Verbindung erstellen.

  • Falls aktiviert, deaktivieren Sie die Option "Outbound internet traffic" und übernehmen Sie die Einstellung

6

hashtag
Privaten Endpoint-Status prüfen

Prüfen Sie, ob sowohl der KeyVault- als auch der Storage-Account-Private-Endpoint den Status "Approved" haben

7

hashtag
Tests und Ergebnisse

Sobald bestätigt, können Sie den öffentlichen Zugriff sowohl für den Key Vault als auch für das Storage-Konto deaktivieren.

Bei korrekter Verbindung sollte die SCEPman-Startseite alle ihre Verbindungen als "Connected" anzeigen

Testen Sie, ob Ihre Implementierung der Private Endpoints erfolgreich ist, indem Sie Zertifikate mit Ihrem MDM bereitstellen oder Certificate Master.

Zuletzt aktualisiert

War das hilfreich?