Konfigurace Azure Active Directory pro CMG

Platí pro: Configuration Manager (Current Branch)

Druhým primárním krokem nastavení brány pro správu cloudu (CMG) je integrace Configuration Manager lokality s tenantem Azure Active Directory (Azure AD). Tato integrace umožňuje webu ověřit se službou Azure AD, kterou používá k nasazení a monitorování služby CMG. Pokud v dalším kroku zvolíte metodu ověřování Azure AD pro klienty, je tato integrace předpokladem pro danou metodu ověřování.

Tip

Tento článek obsahuje preskriptivní pokyny pro integraci lokality speciálně pro bránu pro správu cloudu. Další informace o tomto procesu a dalších použitích uzlu služby Azure v konzole Configuration Manager najdete v tématu Konfigurace služeb Azure.

Při integraci webu vytvoříte registrace aplikací v Azure AD. Skupina CMG vyžaduje dvě registrace aplikací:

  • Webová aplikace (označované také jako serverová aplikace v Configuration Manager)
  • Nativní aplikace (v Configuration Manager se také označuje jako klientská aplikace)

K vytvoření těchto aplikací existují dvě metody, z nichž obě vyžadují roli globálního správce v Azure AD:

  • Pomocí Configuration Manager můžete automatizovat vytváření aplikací při integraci webu.
  • Předem ručně vytvořte aplikace a pak je importujte při integraci webu.

Tento článek se primárně řídí první metodou. Další informace o druhé metodě najdete v tématu Ruční registrace aplikací Azure AD pro CMG.

Než začnete, ujistěte se, že máte k dispozici globálního správce Azure AD.

Poznámka

Pokud plánujete importovat předem vytvořené registrace aplikací, musíte je nejprve vytvořit v Azure AD. Začněte článkem ruční registrace aplikací Azure AD pro CMG. Pak se vraťte k tomuto článku, spusťte průvodce službami Azure a naimportujte aplikace do Configuration Manager.

Účel registrací aplikací

Tyto dvě registrace aplikací Azure AD představují serverovou a klientskou stranu skupiny cmg.

  • Klientská aplikace představuje spravované klienty a uživatele, kteří se připojují k cmg. Definuje, ke kterým prostředkům mají přístup v Rámci Azure, včetně samotné skupiny cmg.

  • Serverová aplikace představuje komponenty CMG hostované v Azure. Definuje, ke kterým prostředkům mají přístup v Rámci Azure. Serverová aplikace se používá k usnadnění ověřování a autorizace ze spravovaných klientů, uživatelů a spojovacího bodu CMG k komponentě CMG založené na Azure. Tato komunikace zahrnuje provoz do místních bodů správy a bodů aktualizace softwaru, počáteční zřizování CMG v Azure a zjišťování Azure AD.

Pokud klienti používají certifikáty ověřování klientů vydané infrastrukturou veřejných klíčů, pak se obě klientské aplikace nepoužívají pro aktivitu zaměřenou na zařízení. Například distribuce softwaru cílená na kolekci zařízení. Aktivita zaměřená na uživatele vždy používá tyto dvě registrace aplikací pro účely ověřování a autorizace.

Spuštění průvodce službami Azure

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte uzel Služby Azure.

  2. Na kartě Domů na pásu karet ve skupině Služby Azure* vyberte Konfigurovat služby Azure.

  3. Na stránce Služby Azure v Průvodci službami Azure:

    1. Zadejte název objektu v Configuration Manager. Tento název slouží pouze k identifikaci připojení v Configuration Manager.

    2. Zadejte volitelný popis pro další identifikaci tohoto připojení služby.

    3. Vyberte službu Cloud Management .

  4. Na stránce Aplikace v Průvodci službami Azure vyberte prostředí Azure pro vašeho tenanta:

    • AzurePublicCloud: Váš tenant je v globálním cloudu Azure.
    • AzureUSGovernmentCloud: Váš tenant je v cloudu Azure US Government.

Vytvoření registrace webové aplikace (serveru)

  1. Na stránce Aplikace v okně Průvodce službami Azure vyberte pro webovou aplikaci možnost Procházet.

  2. V okně Serverová aplikace vyberte Vytvořit a použijte Configuration Manager k automatizaci vytváření aplikace.

  3. V okně Vytvořit serverovou aplikaci zadejte následující informace:

    • Název aplikace: Popisný název aplikace.

    • Adresa URL domovské stránky: Tuto hodnotu nepoužívá Configuration Manager, ale vyžaduje ho Azure AD. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota .

    • Identifikátor URI ID aplikace: Tato hodnota musí být ve vašem tenantovi Azure AD jedinečná. Nachází se v přístupového tokenu používaném klientem Configuration Manager k vyžádání přístupu ke službě. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota . Změňte výchozí nastavení na jeden z následujících doporučených formátů:

      • api://{tenantId}/{string}, například api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, například https://contoso.onmicrosoft.com/ConfigMgrService
    • Doba platnosti tajného klíče: V rozevíracím seznamu zvolte buď 1 rok , nebo 2 roky . Výchozí hodnotou je jeden rok.

    • Účet správce Azure AD: Vyberte Přihlásit se a ověřte se ve službě Azure AD jako globální správce. Configuration Manager tyto přihlašovací údaje neuloží. Tato osoba nevyžaduje oprávnění v Configuration Manager a nemusí se jednat o stejný účet, který spouští Průvodce službami Azure. Po úspěšném ověření v Azure se na stránce zobrazí název tenanta Azure AD pro referenci.

  4. Výběrem ok vytvořte webovou aplikaci v Azure AD a zavřete okno Vytvořit serverovou aplikaci .

  5. V okně Serverová aplikace se ujistěte, že je vybraná nová aplikace, a pak výběrem ok okno uložte a zavřete.

Vytvoření registrace nativní (klientské) aplikace

  1. Na stránce Aplikace v okně Průvodce službami Azure vyberte pro nativní klientskou aplikaci možnost Procházet.

  2. V okně Klientská aplikace vyberte Vytvořit a použijte Configuration Manager k automatizaci vytváření aplikace.

  3. V okně Vytvořit klientskou aplikaci zadejte následující informace:

    • Název aplikace: Popisný název aplikace.

    • Účet správce Azure AD: Vyberte Přihlásit se a ověřte se ve službě Azure AD jako globální správce. Configuration Manager tyto přihlašovací údaje neuloží. Tato osoba nevyžaduje oprávnění v Configuration Manager a nemusí se jednat o stejný účet, který spouští Průvodce službami Azure. Po úspěšném ověření v Azure se na stránce zobrazí název tenanta Azure AD pro referenci.

  4. Výběrem ok vytvořte nativní aplikaci v Azure AD a zavřete okno Vytvořit klientskou aplikaci .

  5. V okně Klientská aplikace se ujistěte, že je vybraná nová aplikace, a pak výběrem ok okno uložte a zavřete.

Dokončení průvodce službami Azure

  1. V Průvodci službami Azure ověřte, že jsou dokončené hodnoty webové aplikace i nativní klientské aplikace . Pokračujte výběrem možnosti Další .

  2. Stránka zjišťování průvodce je nezbytná pouze v některých scénářích. Při připojování webu do Azure AD je volitelná a nevyžaduje se k vytvoření skupiny cmg. Pokud ho potřebujete k podpoře konkrétních funkcí ve vašem prostředí, můžete ji povolit později.

    Další informace o scénářích CMG, které můžou vyžadovat zjišťování uživatelů Azure AD, najdete v tématu Konfigurace ověřování klientů: Azure AD a Instalace klientů pomocí Azure AD.

    Další informace o této metodě zjišťování najdete v tématu Konfigurace zjišťování uživatelů Azure AD.

  3. Zkontrolujte nastavení a dokončete průvodce.

Po zavření průvodce se nové připojení zobrazí v uzlu Služby Azure . Registrace tenanta a aplikace můžete zobrazit také v uzlu Azure Active Directory Tenants konzoly Configuration Manager.

Zakázání ověřování Azure AD pro tenanty mimo zařízení nebo uživatele

Pokud jsou vaše zařízení v tenantovi Azure AD, který je oddělený od tenanta s předplatným pro výpočetní prostředky CMG, můžete zakázat ověřování pro tenanty, které nejsou přidružené k uživatelům a zařízením.

  1. Otevřete vlastnosti služby Cloud Management .

  2. Přepněte na kartu Aplikace .

  3. Vyberte možnost zakázat ověřování Azure Active Directory pro tohoto tenanta.

Další informace najdete v tématu Konfigurace služeb Azure.

Konfigurace poskytovatelů prostředků Azure

Služba CMG vyžaduje, abyste ve svém předplatném Azure registrovali konkrétní poskytovatele prostředků. Když nasadíte skupinu CMG do škálovací sady virtuálních počítačů, zaregistrujte následující poskytovatele prostředků:

  • Microsoft.KeyVault
  • Microsoft. Storage
  • Microsoft.Network
  • Microsoft.Compute

Poznámka

Pokud jste dříve nasadili skupinu CMG pomocí klasické cloudové služby, vaše předplatné Azure vyžaduje následující dva poskytovatele prostředků:

  • Microsoft.ClassicCompute
  • Microsoft. Storage

Od verze 2203 se odebere možnost nasazení CMG jako cloudové služby (Classic ). Všechna nasazení CMG by měla používat škálovací sadu virtuálních počítačů. Další informace najdete v tématu Odebrané a zastaralé funkce.

Váš účet Azure AD potřebuje oprávnění k provedení /register/action operace pro poskytovatele prostředků. Ve výchozím nastavení toto oprávnění zahrnují role Přispěvatel a Vlastník .

Následující kroky shrnují proces registrace poskytovatele prostředků. Další informace najdete v tématu Poskytovatelé prostředků Azure a typy.

  1. Přihlaste se na portál Microsoft Azure.

  2. V nabídce Azure Portal vyhledejte předplatná. Vyberte ji z dostupných možností.

  3. Vyberte předplatné, které chcete zobrazit.

  4. V nabídce vlevo v části Nastavení vyberte Poskytovatelé prostředků.

  5. Najděte poskytovatele prostředků, kterého chcete zaregistrovat, a vyberte Zaregistrovat. Pokud chcete ve svém předplatném zachovat nejnižší oprávnění, zaregistrujte pouze ty poskytovatele prostředků, které jste připraveni použít.

Automatizace pomocí PowerShellu

Volitelně můžete automatizovat aspekty těchto konfigurací pomocí PowerShellu.

  1. Pomocí rutiny Import-CMAADServerApplication definujte webovou/serverovou aplikaci Azure AD v Configuration Manager.

  2. Pomocí rutiny Import-CMAADClientApplication definujte nativní nebo klientskou aplikaci Azure AD v Configuration Manager.

  3. K získání importovaných objektů aplikace použijte rutinu Get-CMAADApplication .

  4. Potom předejte objekty aplikace rutině New-CMCloudManagementAzureService a vytvořte službu Azure pro správu cloudu v Configuration Manager.

Další kroky

Pokračujte v nastavení CMG tím, že se rozhodnete, jaký typ ověřování klienta použít: