Konfigurace služeb Azure pro použití s Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Pomocí Průvodce službami Azure zjednodušte proces konfigurace cloudových služeb Azure, které používáte s Configuration Manager. Tento průvodce poskytuje běžné prostředí konfigurace pomocí Microsoft Entra registrací webových aplikací. Tyto aplikace poskytují podrobnosti o předplatném a konfiguraci a ověřují komunikaci pomocí id Microsoft Entra. Aplikace nahradí zadávání stejných informací pokaždé, když v Azure nastavíte novou komponentu nebo službu Configuration Manager.

Dostupné služby

Pomocí tohoto průvodce nakonfigurujte následující služby Azure:

• Správa cloudu: Tato služba umožňuje lokalitě a klientům ověřování pomocí ID Microsoft Entra. Toto ověřování umožňuje další scénáře, například:

  • Instalace a přiřazení klientů Configuration Manager pomocí ID Microsoft Entra pro ověřování

  • Konfigurace zjišťování uživatelů Microsoft Entra

  • Konfigurace Microsoft Entra zjišťování skupin uživatelů

  • Podpora určitých scénářů brány pro správu cloudu

    Tip

    Další informace týkající se správy cloudu najdete v tématu Konfigurace ID Microsoft Entra pro bránu pro správu cloudu.

  • E-mailová oznámení o schválení aplikace

• Konektor Log Analytics: Připojte se k Azure Log Analytics. Synchronizujte data shromažďování do Log Analytics.

  Důležité

  Tento článek se týká konektoru Log Analytics, který se dříve označoval jako konektor OMS. Tato funkce byla vyřazena v listopadu 2020. Ve verzi 2107 se odebere z Configuration Manager. Další informace najdete v tématu Odebrání a zastaralé funkce.

• Microsoft Store pro firmy: Připojte se k Microsoft Store pro firmy. Získejte aplikace pro Store pro vaši organizaci, které můžete nasadit pomocí Configuration Manager.

• Správa služeb pro správu: Při konfiguraci služeb Azure můžete pro lepší zabezpečení vybrat možnost Správa služeb pro správu. Výběrem této možnosti můžou správci rozdělit svá oprávnění správce mezi cloudovou správu a službu správy. Povolením této možnosti je přístup omezen pouze na koncové body služby pro správu. Klienti správy konfigurace se budou ověřovat v lokalitě pomocí ID Microsoft Entra. (verze 2207 nebo novější)

  Poznámka

  Možnost správy služeb pro správu můžou povolit pouze zákazníci VMSS CMG. Tato možnost se nevztahuje na klasické zákazníky CMG.

Podrobnosti o službě

V následující tabulce jsou uvedeny podrobnosti o jednotlivých službách.

• Tenanti: Počet instancí služby, které můžete nakonfigurovat. Každá instance musí být jedinečným tenantem Microsoft Entra.

• Cloudy: Všechny služby podporují globální cloud Azure, ale ne všechny služby podporují privátní cloudy, jako je cloud Azure US Government.

• Webová aplikace: Určuje, jestli služba používá Microsoft Entra aplikaci typu Webová aplikace nebo rozhraní API, která se v Configuration Manager označuje také jako serverová aplikace.

• Nativní aplikace: Určuje, jestli služba používá Microsoft Entra aplikaci typu Native, která se v Configuration Manager označuje také jako klientská aplikace.

• Akce: Určuje, jestli můžete tyto aplikace importovat nebo vytvořit v Průvodci Configuration Manager službami Azure.

Služba	Nájemníky	Mraky	Webová aplikace	Nativní aplikace	Akce
Správa cloudu s využitím zjišťování Microsoft Entra	Více	Veřejné, Soukromé			Import, Vytvoření
Konektor Log Analytics	Jeden	Veřejné, Soukromé			Import
Microsoft Store pro Business	Jeden	Veřejné			Import, Vytvoření

Informace o aplikacích Microsoft Entra

Různé služby Azure vyžadují různé konfigurace, které provedete v Azure Portal. Aplikace pro každou službu navíc můžou vyžadovat samostatná oprávnění k prostředkům Azure.

Jednu aplikaci můžete použít pro více než jednu službu. V Configuration Manager a ID Microsoft Entra je ke správě jenom jeden objekt. Když vyprší platnost klíče zabezpečení v aplikaci, stačí aktualizovat jenom jeden klíč.

Když v průvodci vytvoříte další služby Azure, je Configuration Manager navržená tak, aby opakovaně používala informace, které jsou mezi službami společné. Toto chování vám pomůže, abyste nemuseli zadávat stejné informace více než jednou.

Další informace o požadovaných oprávněních a konfiguracích aplikací pro jednotlivé služby najdete v příslušném Configuration Manager článku dostupné služby.

Další informace o aplikacích Azure najdete v následujících článcích:

• Ověřování a autorizace v Azure App Service
• přehled Web Apps
• Základy registrace aplikace v ID Microsoft Entra
• Registrace aplikace v tenantovi Microsoft Entra

Než začnete

Jakmile se rozhodnete, ke které službě se chcete připojit, přečtěte si tabulku v části Podrobnosti o službě. Tato tabulka obsahuje informace, které potřebujete k dokončení Průvodce službou Azure. Předem prodiskutujte se správcem Microsoft Entra. Rozhodněte se, která z následujících akcí se má provést:

• Aplikace vytvořte předem ručně v Azure Portal. Potom naimportujte podrobnosti o aplikaci do Configuration Manager.

  Tip

  Další informace týkající se správy cloudu najdete v tématu Ruční registrace Microsoft Entra aplikací pro bránu pro správu cloudu.

• Pomocí Configuration Manager přímo vytvořte aplikace ve Microsoft Entra ID. Pokud chcete shromáždit potřebná data z id Microsoft Entra, projděte si informace v dalších částech tohoto článku.

Některé služby vyžadují, aby aplikace Microsoft Entra měly specifická oprávnění. Zkontrolujte informace o jednotlivých službách a určete všechna požadovaná oprávnění. Například než budete moct importovat webovou aplikaci, musí ji správce Azure nejprve vytvořit v Azure Portal.

Při konfiguraci konektoru Log Analytics udělte nově registrovanému přispěvateli webové aplikace oprávnění ke skupině prostředků, která obsahuje příslušný pracovní prostor. Toto oprávnění umožňuje Configuration Manager přístup k tomuto pracovnímu prostoru. Při přiřazování oprávnění vyhledejte název registrace aplikace v oblasti Přidat uživatele Azure Portal. Tento proces je stejný jako při poskytování Configuration Manager s oprávněními ke službě Log Analytics. Správce Azure musí tato oprávnění přiřadit před importem aplikace do Configuration Manager.

Spuštění průvodce službami Azure

1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte uzel Služby Azure.

2. Na kartě Domů na pásu karet ve skupině Služby Azure vyberte Konfigurovat služby Azure.

3. Na stránce Služby Azure v Průvodci službami Azure:

   1. Zadejte Název objektu v Configuration Manager.

   2. Zadejte volitelný popis , který vám pomůže službu identifikovat.

   3. Vyberte službu Azure, ke které se chcete připojit, Configuration Manager.

4. Vyberte Další a pokračujte na stránku vlastností aplikace Azure v Průvodci službami Azure.

Vlastnosti aplikace Azure

Na stránce Aplikace v Průvodci službami Azure nejprve v seznamu vyberte prostředí Azure . Informace o prostředí, které je aktuálně k dispozici pro službu, najdete v tabulce v podrobnostech o službě.

Zbytek stránky aplikace se liší v závislosti na konkrétní službě. Projděte si tabulku v části Podrobnosti o službě , pro který typ aplikace služba používá a jakou akci můžete použít.

• Pokud aplikace podporuje import i vytváření akcí, vyberte Procházet. Tato akce otevře dialogové okno Serverová aplikace nebo Klientská aplikace.

• Pokud aplikace podporuje jenom akci importu, vyberte Importovat. Tato akce otevře dialogové okno Importovat aplikace (server) nebo Importovat aplikace (klient).

Po zadání aplikací na této stránce pokračujte výběrem možnosti Další na stránku Konfigurace nebo zjišťování v Průvodci službami Azure.

Webová aplikace

Tato aplikace je typ id Microsoft Entra Webová aplikace nebo rozhraní API, který se v Configuration Manager označuje také jako serverová aplikace.

Dialogové okno serverové aplikace

Když na stránce Aplikace v Průvodci službami Azure vyberete Procházetwebovou aplikaci , otevře se dialogové okno Serverová aplikace. Zobrazí seznam, který zobrazuje následující vlastnosti všech existujících webových aplikací:

• Popisný název tenanta
• Popisný název aplikace
• Typ služby

V dialogovém okně Serverová aplikace můžete provést tři akce:

• Pokud chcete znovu použít existující webovou aplikaci, vyberte ji ze seznamu.
• Vyberte Importovat a otevřete dialogové okno Importovat aplikace.
• Výběrem možnosti Vytvořit otevřete dialogové okno Vytvořit serverové aplikace.

Po výběru, importu nebo vytvoření webové aplikace vyberte OK a zavřete dialogové okno Serverová aplikace. Tato akce se vrátí na stránku Aplikace v Průvodci službami Azure.

Dialogové okno Importovat aplikace (server)

Když v dialogovém okně Serverová aplikace nebo na stránce Aplikace v Průvodci službami Azure vyberete Importovat , otevře se dialogové okno Importovat aplikace. Na této stránce můžete zadat informace o Microsoft Entra webové aplikaci, která je už v Azure Portal vytvořená. Importuje metadata o této webové aplikaci do Configuration Manager. Zadejte následující informace:

• Microsoft Entra název tenanta: Název vašeho tenanta Microsoft Entra.
• Microsoft Entra ID tenanta: IDENTIFIKÁTOR GUID vašeho tenanta Microsoft Entra.
• Název aplikace: Popisný název aplikace, zobrazovaný název v registraci aplikace.
• ID klienta: Hodnota ID aplikace (klienta) registrace aplikace. Formát je standardní identifikátor GUID.
• Tajný klíč: Při registraci aplikace ve Microsoft Entra ID musíte zkopírovat tajný klíč.
• Vypršení platnosti tajného klíče: Vyberte v kalendáři budoucí datum.
• Identifikátor URI ID aplikace: Tato hodnota musí být ve vašem tenantovi Microsoft Entra jedinečná. Je v přístupovém tokenu, který klient Configuration Manager používá k vyžádání přístupu ke službě. Hodnota je identifikátor URI ID aplikace položky registrace aplikace v centru pro správu Microsoft Entra.

Po zadání informací vyberte Ověřit. Pak vyberte OK a zavřete dialogové okno Importovat aplikace. Tato akce se vrátí buď na stránku Aplikace v Průvodci službami Azure, nebo do dialogového okna Serverová aplikace.

Důležité

Když použijete importovanou aplikaci Microsoft Entra, nebudete upozorněni na nadcházející datum vypršení platnosti z oznámení konzoly.

Dialogové okno Vytvořit serverové aplikace

Když v dialogovém okně Serverová aplikace vyberete Vytvořit , otevře se dialogové okno Vytvořit serverové aplikace. Tato stránka automatizuje vytvoření webové aplikace v Microsoft Entra ID. Zadejte následující informace:

• Název aplikace: Popisný název aplikace.

• Adresa URL domovské stránky: Tuto hodnotu nepoužívá Configuration Manager, ale vyžaduje Microsoft Entra ID. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota .

• Identifikátor URI ID aplikace: Tato hodnota musí být ve vašem tenantovi Microsoft Entra jedinečná. Je v přístupovém tokenu, který klient Configuration Manager používá k vyžádání přístupu ke službě. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota . Změňte výchozí formát na jeden z následujících doporučených formátů:

  • api://{tenantId}/{string}, například api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}, například https://contoso.onmicrosoft.com/ConfigMgrService

• Doba platnosti tajného klíče: V rozevíracím seznamu vyberte buď 1 rok , nebo 2 roky . Výchozí hodnota je jeden rok.

  Poznámka

  Může se zobrazit možnost Nikdy, ale Microsoft Entra už ji nepodporuje. Pokud jste dříve vybrali tuto možnost, datum vypršení platnosti je nyní nastaveno na 99 let od data, kdy jste ji vytvořili.

Vyberte Přihlásit se a ověřte se v Azure jako administrativní uživatel. Tyto přihlašovací údaje neuloží Configuration Manager. Tato osoba nevyžaduje oprávnění v Configuration Manager a nemusí to být stejný účet, který spouští Průvodce službami Azure. Po úspěšném ověření v Azure se na stránce zobrazí název tenanta Microsoft Entra pro referenci.

Výběrem OK vytvořte webovou aplikaci v id Microsoft Entra a zavřete dialogové okno Vytvořit serverovou aplikaci. Tato akce se vrátí do dialogového okna Serverová aplikace.

Poznámka

Pokud máte definované zásady podmíněného přístupu Microsoft Entra, které platí pro všechny cloudové aplikace, musíte z této zásady vyloučit vytvořenou serverovou aplikaci. Další informace o tom, jak vyloučit konkrétní aplikace, najdete v dokumentaci Microsoft Entra podmíněného přístupu.

Nativní klientská aplikace

Tato aplikace je typ ID Microsoft Entra Native, který se v Configuration Manager označuje také jako klientská aplikace.

Dialogové okno klientská aplikace

Když na stránce Aplikace v Průvodci službami Azure vyberete Procházetnativní klientskou aplikaci , otevře se dialogové okno Klientská aplikace. Zobrazí seznam s následujícími vlastnostmi všech existujících nativních aplikací:

• Popisný název tenanta
• Popisný název aplikace
• Typ služby

V dialogovém okně Klientská aplikace můžete provést tři akce:

• Pokud chcete znovu použít existující nativní aplikaci, vyberte ji ze seznamu.
• Vyberte Importovat a otevřete dialogové okno Importovat aplikace.
• Výběrem možnosti Vytvořit otevřete dialogové okno Vytvořit klientskou aplikaci.

Po výběru, importu nebo vytvoření nativní aplikace kliknutím na OK zavřete dialogové okno Klientská aplikace. Tato akce se vrátí na stránku Aplikace v Průvodci službami Azure.

Dialogové okno Importovat aplikace (klient)

Když v dialogovém okně Klientská aplikace vyberete Importovat , otevře se dialogové okno Importovat aplikace. Na této stránce můžete zadat informace o Microsoft Entra nativní aplikaci, která je už v Azure Portal vytvořená. Importuje metadata o této nativní aplikaci do Configuration Manager. Zadejte následující informace:

• Název aplikace: Popisný název aplikace.
• ID klienta: Hodnota ID aplikace (klienta) registrace aplikace. Formát je standardní identifikátor GUID.

Po zadání informací vyberte Ověřit. Pak vyberte OK a zavřete dialogové okno Importovat aplikace. Tato akce se vrátí do dialogového okna Klientská aplikace.

Tip

Když aplikaci zaregistrujete v Microsoft Entra ID, možná budete muset ručně zadat následující identifikátor URI přesměrování: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Zadejte IDENTIFIKÁTOR GUID ID klienta aplikace, například: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Dialogové okno Vytvořit klientskou aplikaci

Když v dialogovém okně Klientská aplikace vyberete Vytvořit , otevře se dialogové okno Vytvořit klientskou aplikaci. Tato stránka automatizuje vytvoření nativní aplikace v id Microsoft Entra. Zadejte následující informace:

• Název aplikace: Popisný název aplikace.
• Adresa URL odpovědi: Tuto hodnotu nepoužívá Configuration Manager, ale vyžaduje Microsoft Entra ID. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota .

Vyberte Přihlásit se a ověřte se v Azure jako administrativní uživatel. Tyto přihlašovací údaje neuloží Configuration Manager. Tato osoba nevyžaduje oprávnění v Configuration Manager a nemusí to být stejný účet, který spouští Průvodce službami Azure. Po úspěšném ověření v Azure se na stránce zobrazí název tenanta Microsoft Entra pro referenci.

Výběrem OK vytvořte nativní aplikaci v id Microsoft Entra a zavřete dialogové okno Vytvořit klientskou aplikaci. Tato akce se vrátí do dialogového okna Klientská aplikace.

Konfigurace nebo zjišťování

Po zadání webových a nativních aplikací na stránce Aplikace průvodce službami Azure přejde na stránku Konfigurace nebo Zjišťování v závislosti na službě, ke které se připojujete. Podrobnosti této stránky se u jednotlivých služeb liší. Další informace najdete v jednom z následujících článků:

• Služba správy cloudu, stránka Zjišťování: Konfigurace zjišťování uživatelů Microsoft Entra

• Služba konektoru Log Analytics, stránka Konfigurace: Konfigurace připojení ke službě Log Analytics

• Microsoft Store pro firmy služba, stránka Konfigurace: Konfigurace synchronizace Microsoft Store pro firmy

Nakonec dokončete Průvodce službami Azure prostřednictvím stránek Souhrn, Průběh a Dokončení. Dokončili jste konfiguraci služby Azure v Configuration Manager. Tento postup opakujte, pokud chcete nakonfigurovat další služby Azure.

Aktualizace nastavení aplikace

Pokud chcete klientům Configuration Manager umožnit, aby si vyžádali token zařízení Microsoft Entra a povolili oprávnění číst data adresáře, musíte aktualizovat nastavení aplikace webového serveru.

1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte uzel Microsoft Entra tenanti.
2. Vyberte tenanta Microsoft Entra pro aplikaci, kterou chcete aktualizovat.
3. V části Aplikace vyberte aplikaci Microsoft Entra webového serveru a pak na pásu karet vyberte Aktualizovat nastavení aplikace.
4. Po zobrazení výzvy k potvrzení vyberte Ano a potvrďte, že chcete aplikaci aktualizovat nejnovějším nastavením.

Prodloužení platnosti tajného klíče

Tajný klíč aplikace Microsoft Entra je potřeba obnovit před koncem jeho platnosti. Pokud necháte platnost klíče vypršet, Configuration Manager se nemůžou ověřit pomocí id Microsoft Entra, což způsobí, že připojené služby Azure přestanou fungovat.

Od verze 2006 se v konzole Configuration Manager zobrazí oznámení pro následující okolnosti:

• Platnost jednoho nebo více tajných klíčů aplikace Microsoft Entra brzy vyprší
• Platnost jednoho nebo více tajných klíčů aplikace Microsoft Entra vypršela

Pokud chcete zmírnit oba případy, obnovte tajný klíč.

Další informace o tom, jak s těmito oznámeními pracovat, najdete v tématu Configuration Manager oznámení konzoly.

Poznámka

Abyste mohli klíč prodloužit, musíte mít přiřazenou alespoň Microsoft Entra roli Správce cloudových aplikací.

Obnovení klíče pro vytvořenou aplikaci

1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte uzel Microsoft Entra tenanti.

2. V podokně Podrobnosti vyberte Microsoft Entra tenanta aplikace.

3. Na pásu karet vyberte Obnovit tajný klíč. Zadejte přihlašovací údaje vlastníka aplikace nebo správce Microsoft Entra.

Obnovení klíče pro importovanou aplikaci

Pokud jste aplikaci Azure naimportovali v Configuration Manager, použijte k obnovení Azure Portal. Poznamenejte si nový tajný klíč a datum vypršení platnosti. Přidejte tyto informace v průvodci Obnovením tajného klíče .

Poznámka

Před zavřením stránky s klíči vlastností aplikace Azure uložte tajný klíč. Tyto informace se odeberou, když stránku zavřete.

Zakázání ověřování

Od verze 2010 můžete zakázat ověřování Microsoft Entra pro tenanty, kteří nejsou přidruženi k uživatelům a zařízením. Když nasadíte Configuration Manager k Microsoft Entra ID, umožní to lokalitě a klientům používat moderní ověřování. V současné době je Microsoft Entra ověřování zařízení povolené pro všechny nasazené tenanty bez ohledu na to, jestli zařízení mají. Máte například samostatného tenanta s předplatným, které používáte pro výpočetní prostředky pro podporu brány pro správu cloudu. Pokud k tenantovi nejsou přidruženi uživatelé nebo zařízení, zakažte Microsoft Entra ověřování.

1. V konzole Configuration Manager přejděte do pracovního prostoru Správa.

2. Rozbalte Cloud Services a vyberte uzel Služby Azure.

3. Vyberte cílové připojení typu Cloud Management. Na pásu karet vyberte Vlastnosti.

4. Přepněte na kartu Aplikace .

5. Vyberte možnost Zakázat Microsoft Entra ověřování pro tohoto tenanta.

6. Vyberte OK a uložte a zavřete vlastnosti připojení.

Tip

Může trvat až 25 hodin, než se tato změna projeví na klientech. Pro účely testování pro urychlení této změny chování použijte následující kroky:

1. Restartujte službu sms_executive na serveru lokality.
2. Restartujte službu ccmexec v klientovi.
3. Aktivujte plán klienta, aby se aktualizoval výchozí bod správy. Použijte například nástroj pro plán odeslání: SendSchedule {00000000-0000-0000-0000-000000000023}

Zobrazení konfigurace služby Azure

Prohlédněte si vlastnosti služby Azure, kterou jste nakonfigurovali pro použití. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte Služby Azure. Vyberte službu, kterou chcete zobrazit nebo upravit, a pak vyberte Vlastnosti.

Pokud vyberete službu a pak na pásu karet zvolíte Odstranit, tato akce odstraní připojení v Configuration Manager. Aplikace se neodebere v id Microsoft Entra. Požádejte správce Azure, aby aplikaci odstranil, když už ji nepotřebujete. Nebo spusťte Průvodce službou Azure a aplikaci naimportujte.

Tok dat správy cloudu

Následující diagram představuje koncepční tok dat pro interakci mezi Configuration Manager, ID Microsoft Entra a připojenými cloudovými službami. V tomto konkrétním příkladu se používá služba Správa cloudu, která zahrnuje Windows 10 klienta a serverové i klientské aplikace. Toky pro ostatní služby jsou podobné.

1. Správce Configuration Manager naimportuje nebo vytvoří klientské a serverové aplikace v id Microsoft Entra.

2. Configuration Manager Microsoft Entra se spustí metoda zjišťování uživatelů. Web používá token aplikace Microsoft Entra serveru k dotazování Microsoft Graphu na objekty uživatelů.

3. Web ukládá data o objektech uživatele. Další informace najdete v tématu zjišťování uživatelů Microsoft Entra.

4. Klient Configuration Manager požádá o token uživatele Microsoft Entra. Klient vytvoří deklaraci identity pomocí ID aplikace Microsoft Entra klientské aplikace a serverové aplikace jako cílové skupiny. Další informace najdete v tématu Deklarace identity v tokenech zabezpečení Microsoft Entra.

5. Klient se ověří v lokalitě tak, že předloží token Microsoft Entra bráně pro správu cloudu a místnímu bodu správy s povoleným protokolem HTTPS.

Podrobnější informace najdete v tématu pracovní postup ověřování Microsoft Entra.