Konfigurace ID Microsoft Entra pro CMG

  • Článek

Platí pro: Configuration Manager (Current Branch)

Druhým primárním krokem k nastavení brány pro správu cloudu (CMG) je integrace Configuration Manager lokality s tenantem Microsoft Entra. Tato integrace umožňuje, aby se lokalita ověřila pomocí ID Microsoft Entra, které používá k nasazení a monitorování služby CMG. Pokud v dalším kroku zvolíte metodu ověřování Microsoft Entra pro klienty, je tato integrace předpokladem pro tuto metodu ověřování.

Tip

Tento článek obsahuje doporučené pokyny k integraci webu speciálně pro bránu pro správu cloudu. Další informace o tomto procesu a dalších použitích uzlu služeb Azure v konzole Configuration Manager najdete v tématu Konfigurace služeb Azure.

Při integraci webu vytvoříte registrace aplikací ve Microsoft Entra ID. CmG vyžaduje dvě registrace aplikací:

  • Webová aplikace (v Configuration Manager označovaná také jako serverová aplikace)
  • Nativní aplikace (v Configuration Manager označovaná také jako klientská aplikace)

Tyto aplikace můžete vytvořit dvěma způsoby, které vyžadují roli globálního správce v id Microsoft Entra:

  • K automatizaci vytváření aplikací při integraci webu použijte Configuration Manager.
  • Aplikace předem vytvořte ručně a při integraci webu je importujte.

Tento článek se primárně řídí první metodou. Další informace o druhé metodě najdete v tématu Ruční registrace aplikací Microsoft Entra pro CMG.

Než začnete, ujistěte se, že máte k dispozici globálního správce Microsoft Entra ID.

Poznámka

Pokud plánujete importovat předem vytvořené registrace aplikací, musíte je nejprve vytvořit ve Microsoft Entra ID. Začněte článkem Ruční registrace aplikací Microsoft Entra pro CMG. Pak se vraťte k tomuto článku, spusťte průvodce službami Azure a naimportujte aplikace do Configuration Manager.

Účel registrace aplikací

Tyto dvě Microsoft Entra registrace aplikací představují server a klientskou stranu cmg.

  • Klientská aplikace představuje spravované klienty a uživatele, kteří se připojují k CMG. Definuje, k jakým prostředkům mají v Rámci Azure přístup, včetně samotné cmg.

  • Serverová aplikace představuje komponenty CMG hostované v Azure. Definuje, k jakým prostředkům mají v Rámci Azure přístup. Serverová aplikace se používá k usnadnění ověřování a autorizace ze spravovaných klientů, uživatelů a spojovacího bodu CMG k komponentám CMG založeným na Azure. Tato komunikace zahrnuje provoz do místních bodů správy a bodů aktualizace softwaru, počáteční zřizování CMG v Azure a Microsoft Entra zjišťování.

Pokud klienti používají ověřovací certifikáty klienta vystavené infrastrukturou veřejných klíčů, pak se tyto dvě klientské aplikace nepoužívají pro aktivitu zaměřenou na zařízení. Například distribuce softwaru cílená na kolekci zařízení. Aktivity zaměřené na uživatele vždy používají tyto dvě registrace aplikací pro účely ověřování a autorizace.

Spuštění průvodce službami Azure

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte uzel Služby Azure.

  2. Na kartě Domů na pásu karet ve skupině Služby Azure* vyberte Konfigurovat služby Azure.

  3. Na stránce Služby Azure v Průvodci službami Azure:

    1. Zadejte Název objektu v Configuration Manager. Tento název slouží pouze k identifikaci připojení v Configuration Manager.

    2. Zadejte volitelný popis pro další identifikaci tohoto připojení služby.

    3. Vyberte službu cloudová správa .

  4. Na stránce Aplikacev Průvodci službami Azure vyberte prostředí Azure pro vašeho tenanta:

    • AzurePublicCloud: Váš tenant je v globálním cloudu Azure.
    • AzureUSGovernmentCloud: Váš tenant je v cloudu Azure US Government.

Vytvoření registrace webové (serverové) aplikace

  1. Na stránce Aplikace v okně Průvodce službami Azure vyberte v části Webová aplikacemožnost Procházet.

  2. V okně Serverová aplikace vyberte Vytvořit a použijte Configuration Manager k automatizaci vytváření aplikace.

  3. V okně Vytvořit aplikaci serveru zadejte následující informace:

    • Název aplikace: Popisný název aplikace.

    • Adresa URL domovské stránky: Tuto hodnotu nepoužívá Configuration Manager, ale vyžaduje Microsoft Entra ID. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota .

    • Identifikátor URI ID aplikace: Tato hodnota musí být ve vašem tenantovi Microsoft Entra jedinečná. Je v přístupovém tokenu, který klient Configuration Manager používá k vyžádání přístupu ke službě. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota . Změňte výchozí formát na jeden z následujících doporučených formátů:

      • api://{tenantId}/{string}, například api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, například https://contoso.onmicrosoft.com/ConfigMgrService

    • Doba platnosti tajného klíče: V rozevíracím seznamu zvolte buď 1 rok , nebo 2 roky . Výchozí hodnota je jeden rok.

    • účet správce Microsoft Entra: Vyberte Přihlásit se a ověřte Microsoft Entra ID jako globální správce. Configuration Manager tyto přihlašovací údaje neuloží. Tato osoba nevyžaduje oprávnění v Configuration Manager a nemusí to být stejný účet, který spouští Průvodce službami Azure. Po úspěšném ověření v Azure se na stránce zobrazí název Microsoft Entra tenanta pro referenci.

  4. Výběrem OK vytvořte webovou aplikaci v id Microsoft Entra a zavřete okno Vytvořit serverovou aplikaci.

  5. V okně Serverová aplikace se ujistěte, že je vybraná nová aplikace, a pak výběrem OK okno uložte a zavřete.

Poznámka

Počínaje Configuration Manager aktuální větev verze 2309 jsme zvýšili zabezpečení webové (serverové) aplikace pro vytváření CMG. Při vytváření nového CMG můžou uživatelé vybrat tenanta a název aplikace pomocí Microsoft Entra názvu tenanta. Po výběru názvu tenanta a aplikace se zobrazí přihlašovací tlačítko, postupujte podle pokynů v cmg nastavení.

Stávající zákazníci CMG musí aktualizovat svou aplikaci webového serveru tak, že přejdou na uzel Microsoft Entra tenanty –> vyberou tenanta ,> vyberou serverovou aplikaci –> kliknou na Aktualizovat nastavení aplikace.

Vytvoření registrace nativní (klientské) aplikace

  1. Na stránce Aplikace v okně Průvodce službami Azure vyberte pro aplikaci Nativní klientmožnost Procházet.

  2. V okně Klientská aplikace vyberte Vytvořit a použijte Configuration Manager k automatizaci vytváření aplikace.

  3. V okně Vytvořit klientskou aplikaci zadejte následující informace:

    • Název aplikace: Popisný název aplikace.

    • účet správce Microsoft Entra: Vyberte Přihlásit se a ověřte Microsoft Entra ID jako globální správce. Configuration Manager tyto přihlašovací údaje neuloží. Tato osoba nevyžaduje oprávnění v Configuration Manager a nemusí to být stejný účet, který spouští Průvodce službami Azure. Po úspěšném ověření v Azure se na stránce zobrazí název Microsoft Entra tenanta pro referenci.

  4. Výběrem OK vytvořte nativní aplikaci ve Microsoft Entra ID a zavřete okno Vytvořit klientskou aplikaci.

  5. V okně Klientská aplikace se ujistěte, že je vybraná nová aplikace, a pak vyberte OK a okno uložte a zavřete.

Dokončení průvodce službami Azure

  1. V Průvodci službami Azure ověřte, že jsou hodnoty Webová aplikace i Nativní klientská aplikace dokončené. Pokračujte výběrem možnosti Další .

  2. Stránka Zjišťování průvodce je nutná pouze v některých scénářích. Pokud nasadíte web do Microsoft Entra ID, není to povinné a nevyžaduje se k vytvoření CMG. Pokud ho potřebujete pro podporu konkrétních funkcí ve vašem prostředí, můžete ho povolit později.

    Další informace o scénářích cmg, které můžou vyžadovat Microsoft Entra zjišťování uživatelů, najdete v tématech Konfigurace ověřování klientů: ID Microsoft Entra a Instalace klientů pomocí ID Microsoft Entra.

    Další informace o této metodě zjišťování najdete v tématu Konfigurace Microsoft Entra zjišťování uživatelů.

  3. Zkontrolujte nastavení a dokončete průvodce.

Po zavření průvodce uvidíte nové připojení v uzlu Služby Azure . Registrace tenanta a aplikací můžete zobrazit také v uzlu Microsoft Entra tenants konzoly Configuration Manager.

Zákaz ověřování Microsoft Entra pro tenanty jiného zařízení nebo uživatele

Pokud jsou vaše zařízení ve Microsoft Entra tenantovi, který je oddělený od tenanta s předplatným pro výpočetní prostředky CMG, můžete zakázat ověřování pro tenanty, kteří nejsou přidruženi k uživatelům a zařízením.

  1. Otevřete vlastnosti služby Správa cloudu .

  2. Přepněte na kartu Aplikace .

  3. Vyberte možnost Zakázat Microsoft Entra ověřování pro tohoto tenanta.

Další informace najdete v tématu Konfigurace služeb Azure.

Konfigurace poskytovatelů prostředků Azure

Služba CMG vyžaduje, abyste ve svém předplatném Azure zaregistrovali konkrétní poskytovatele prostředků. Když nasadíte CMG do škálovací sady virtuálních počítačů, zaregistrujte následující poskytovatele prostředků:

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

Poznámka

Pokud jste dříve nasadili CMG pomocí klasické cloudové služby, vaše předplatné Azure vyžaduje následující dva poskytovatele prostředků:

  • Microsoft.ClassicCompute
  • Microsoft.Storage

Od verze 2203 se odebere možnost nasadit cmg jako cloudovou službu (classic). Všechna nasazení CMG by měla používat škálovací sadu virtuálních počítačů. Další informace najdete v tématu Odebrání a zastaralé funkce.

Váš Microsoft Entra účet potřebuje oprávnění k provedení /register/action operace pro poskytovatele prostředků. Ve výchozím nastavení role Přispěvatel a Vlastník toto oprávnění zahrnují.

Následující kroky shrnují proces registrace poskytovatele prostředků. Další informace najdete v tématu Poskytovatelé a typy prostředků Azure.

  1. Přihlaste se na portál Microsoft Azure.

  2. V nabídce Azure Portal vyhledejte Předplatná. Vyberte ji z dostupných možností.

  3. Vyberte předplatné, které chcete zobrazit.

  4. V nabídce vlevo v části Nastavení vyberte Poskytovatelé prostředků.

  5. Vyhledejte poskytovatele prostředků, kterého chcete zaregistrovat, a vyberte Zaregistrovat. Pokud chcete zachovat nejnižší oprávnění v předplatném, zaregistrujte jenom ty poskytovatele prostředků, které jste připraveni používat.

Automatizace pomocí PowerShellu

Volitelně můžete automatizovat aspekty těchto konfigurací pomocí PowerShellu.

  1. Pomocí rutiny Import-CMAADServerApplication definujte Microsoft Entra web/serverovou aplikaci v Configuration Manager.

  2. Pomocí rutiny Import-CMAADClientApplication definujte nativní/klientskou aplikaci Microsoft Entra v Configuration Manager.

  3. K získání importovaných objektů aplikace použijte rutinu Get-CMAADApplication .

  4. Pak předejte objekty aplikace rutině New-CMCloudManagementAzureService a vytvořte službu Azure pro správu cloudu v Configuration Manager.

Další kroky

Pokračujte v nastavení CMG tím, že se rozhodnete, jaký typ ověřování klienta se má použít:

Konfigurace ověřování klientů