# Private Endpunkte
Bei der Installation von SCEPman 2.8 oder neuer werden das Storage Account und das Key Vault über Private Endpoints mit einem VNET verbunden. Der Zugriff auf die Daten dieser beiden Azure-Ressourcen ist nur über dieses VNET möglich, sofern Sie keine Ausnahmen definieren.
Dieses VNET befindet sich in derselben Resource Group wie die anderen SCEPman-Komponenten. Die SCEPman- und SCEPman Certificate Master App Services sind mit dem VNET verbunden und haben auf Netzwerkebene Zugriff auf das Storage Account und das Key Vault.
Nach der Installation sind keine Ausnahmen konfiguriert, sodass keine andere Entität auf die Key-Vault-Zertifikate und -Schlüssel oder den Table Storage des Storage Account zugreifen kann. Falls erforderlich, zum Beispiel beim [Erstellen einer Subordinate CA](https://docs.scepman.com/de/scepman-bereitstellung/intermediate-certificate) oder beim[ Abfragen des Storage Account](https://docs.scepman.com/de/sonstiges/faqs/general#how-can-i-programmatically-query-the-storage-account-table), müssen Sie unter dem Bereich „Networking“ der jeweiligen Azure-Ressource Ausnahmen hinzufügen.
Der Zugriff auf die Verwaltungsoberfläche des Key Vault und des Storage Account bleibt davon unberührt, d. h. Sie müssen Ihre Admin-Rechner nicht zur Ausnahmeliste hinzufügen, um Funktionen wie das Ändern der SKU Ihres Storage Account oder das Überprüfen der Zugriffsprotokolle Ihres Key Vault auszuführen.
Die SCEPman- und SCEPman Certificate Master App Services verfügen nicht über Private Endpoints, selbst wenn Sie SCEPman 2.8 oder neuer installieren. Sie können weiterhin ohne Netzwerkbeschränkungen aus dem Internet aufgerufen werden. Wir empfehlen, den Zugriff auf SCEPman auf Netzwerkebene nicht einzuschränken, da SCEPman in der Regel Teil der Infrastruktur ist, die zum Aufbau von Netzwerkverbindungen verwendet wird, und daher auch dann verfügbar sein sollte, wenn Sie noch nicht verbunden sind.
Falls erforderlich, kann Conditional Access verwendet werden, um den Zugriff auf SCEPman Certificate Master mit verschiedenen Einschränkungen zu begrenzen, einschließlich Netzwerkbedingungen. SCEPman verwendet Conditional Access normalerweise nicht, da die beiden Endpunkte SCEP und OCSP keine Entra-Authentifizierung verwenden. Sie könnten Conditional Access jedoch verwenden, um den Zugriff auf [SCEPmans REST-API](https://docs.scepman.com/de/zertifikatsverwaltung/api-certificates).
## Für Private Endpoints verwendete Azure-Ressourcen
## Hinzufügen von Private Endpoints zu bestehenden SCEPman-Installationen
Wenn Sie SCEPman 2.7 oder älter installiert haben, verfügen Ihr Key Vault und Ihr Storage Account nicht automatisch über Private Endpoints, selbst wenn Sie auf SCEPman 2.8 oder neuer aktualisieren. Sie müssen sie nach einer bewussten Entscheidung manuell hinzufügen. Bitte folgen Sie dazu dieser Anleitung:
{% stepper %}
{% step %}
### Virtuelles Netzwerk erstellen
* Erstellen Sie in der SCEPman-Resource Group ein neues virtuelles Netzwerk mit den Standardeinstellungen oder entsprechend den Anforderungen Ihrer Organisation. Dies sollte ein **Standard-Subnetz**.
* Erstellen Sie ein zusätzliches Subnetz im neuen **virtuellen Netzwerk** mit den Standardeinstellungen und setzen Sie **„Subnet Delegation“** auf **Microsoft.Web/serverFarms**
{% endstep %}
{% step %}
### KeyVault-Private-Endpoint erstellen
1. Navigieren Sie zu der Resource Group Ihres SCEPman > **KeyVault** > Einstellungen > Networking > Private endpoint connections und erstellen Sie einen Private Endpoint
2. Ressourcentyp auswählen: **Microsoft.KeyVault/vaults**
3. Wählen Sie Ihren **KeyVault** nach Resource und **vault** für die Ziel-Subressource
4. Wählen Sie das virtuelle Netzwerk und das Standard-Subnetz aus (nicht das im ersten Schritt erstellte Subnetz)
5. Aktivieren **Mit privater DNS-Zone integrieren** um die Private DNS-Zone automatisch zu erstellen und zu verbinden
{% endstep %}
{% step %}
### Storage Account-Private-Endpoint erstellen
1. Navigieren Sie zu der Resource Group Ihres SCEPman > **Storage Account** > Sicherheit + Networking > Networking > Private endpoints und einen Private Endpoint erstellen
2. Setzen Sie unter „By resource“ die Ziel-Subressource auf **table**
3. Wählen Sie Ihr virtuelles Netzwerk und das Standard-Subnetz aus
4. Aktivieren **Mit privater DNS-Zone integrieren** um die Private DNS-Zone automatisch zu erstellen und zu verbinden
{% endstep %}
{% step %}
### SCEPman App Service integrieren
1. Navigieren Sie zu **SCEPman App service** > Networking > Virtuelle Netzwerkintegration zum **Konfiguration des ausgehenden Datenverkehrs** durch Klicken auf „Nicht konfiguriert“
2. Wählen Sie das virtuelle Netzwerk und das im ersten Schritt erstellte Subnetz aus.
3. Deaktivieren Sie die Option „Ausgehender Internetverkehr“ und übernehmen Sie die Änderungen
{% endstep %}
{% step %}
### Certificate Master App Service integrieren
* Durch das Hinzufügen der virtuellen Netzwerkintegration zum zweiten App Service können Sie die vorherige Verbindung aus der Liste auswählen; Sie müssen keine neue Verbindung erstellen.
* Falls aktiviert, deaktivieren Sie die Option „Ausgehender Internetverkehr“ und übernehmen Sie die Änderungen
{% endstep %}
{% step %}
### Genehmigung des Private Endpoints überprüfen
Überprüfen Sie, ob sich sowohl die Private Endpoints von KeyVault als auch von Storage Account im Status „Approved“ befinden
{% endstep %}
{% step %}
### Tests und Ergebnisse
Sobald dies bestätigt ist, können Sie den öffentlichen Zugriff für sowohl Key Vault als auch das Storage Account deaktivieren.
Wenn alles korrekt verbunden ist, sollte die SCEPman-Startseite alle ihre Verbindungen als „Connected“ anzeigen\
Testen Sie, ob Ihre Implementierung von Private Endpoints erfolgreich ist, indem Sie Zertifikate mit Ihrem MDM oder bereitstellen [Certificate Master.](https://docs.scepman.com/de/zertifikatsverwaltung/certificate-master)
{% endstep %}
{% endstepper %}
