Configuración del identificador de Microsoft Entra para CMG

Se aplica a: Configuration Manager (rama actual)

El segundo paso principal para configurar una puerta de enlace de administración en la nube (CMG) es integrar el sitio de Configuration Manager con el inquilino de Microsoft Entra. Esta integración permite que el sitio se autentique con Microsoft Entra identificador, que usa para implementar y supervisar el servicio CMG. Si elige el método de autenticación Microsoft Entra para los clientes en el paso siguiente, esta integración es un requisito previo para ese método de autenticación.

Sugerencia

En este artículo se proporcionan instrucciones prescriptivas para integrar el sitio específicamente para cloud management gateway. Para obtener más información sobre este proceso y otros usos del nodo Servicios de Azure en la consola de Configuration Manager, consulte Configuración de servicios de Azure.

Al integrar el sitio, se crean registros de aplicaciones en Microsoft Entra id. CMG requiere dos registros de aplicaciones:

• Aplicación web (también conocida como aplicación de servidor en Configuration Manager)
• Aplicación nativa (también conocida como aplicación cliente en Configuration Manager)

Hay dos métodos para crear estas aplicaciones, ambas requieren un rol de administrador global en Microsoft Entra identificador:

• Use Configuration Manager para automatizar la creación de las aplicaciones al integrar el sitio.
• Cree manualmente las aplicaciones de antemano e impórtelas al integrar el sitio.

Este artículo sigue principalmente el primer método. Para obtener más información sobre el otro método, consulte Registro manual de aplicaciones Microsoft Entra para CMG.

Antes de empezar, asegúrese de que tiene un administrador global de identificador de Microsoft Entra disponible.

Nota:

Si tiene previsto importar registros de aplicaciones creados previamente, primero debe crearlos en Microsoft Entra identificador. Comience con el artículo Registro manual de aplicaciones Microsoft Entra para CMG. A continuación, vuelva a este artículo para ejecutar el Asistente para servicios de Azure e importar las aplicaciones a Configuration Manager.

Propósito de los registros de aplicaciones

Estos dos registros de aplicaciones Microsoft Entra representan el servidor y el lado cliente de CMG.

• La aplicación cliente representa los clientes administrados y los usuarios que se conectan a CMG. Define a qué recursos tienen acceso dentro de Azure, incluido el propio CMG.

• La aplicación de servidor representa los componentes de CMG hospedados en Azure. Define a qué recursos tienen acceso dentro de Azure. La aplicación de servidor se usa para facilitar la autenticación y autorización de clientes administrados, usuarios y el punto de conexión de CMG a los componentes de CMG basados en Azure. Esta comunicación incluye tráfico a puntos de administración locales y puntos de actualización de software, aprovisionamiento inicial de CMG en Azure y Microsoft Entra detección.

Si los clientes usan certificados de autenticación de cliente emitidos por PKI, las dos aplicaciones cliente no se usan para la actividad centrada en dispositivos. Por ejemplo, la distribución de software destinada a una colección de dispositivos. La actividad centrada en el usuario siempre usa estos dos registros de aplicaciones con fines de autenticación y autorización.

Inicio del Asistente para servicios de Azure

1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione el nodo Servicios de Azure.

2. En la pestaña Inicio de la cinta de opciones, en el grupo Servicios de Azure*, seleccione Configurar servicios de Azure.

3. En la página Servicios de Azure del Asistente para servicios de Azure:

   1. Especifique un nombre para el objeto en Configuration Manager. Este nombre solo sirve para identificar la conexión en Configuration Manager.

   2. Especifique una descripción opcional para identificar aún más esta conexión de servicio.

   3. Seleccione el servicio Cloud Management .

4. En la página Aplicación del Asistente para servicios de Azure, seleccione el entorno de Azure para el inquilino:

   • AzurePublicCloud: el inquilino está en la nube global de Azure.
   • AzureUSGovernmentCloud: el inquilino está en la nube de Azure US Government.

Creación del registro de aplicaciones web (servidor)

1. En la página Aplicación de la ventana Asistente para servicios de Azure , en la aplicación web, seleccione Examinar.

2. En la ventana Aplicación de servidor, seleccione Crear para usar Configuration Manager para automatizar la creación de la aplicación.

3. En la ventana Crear aplicación de servidor , especifique la siguiente información:

   • Nombre de la aplicación: nombre descriptivo de la aplicación.

   • Dirección URL de HomePage: este valor no se usa en Configuration Manager, pero es necesario para Microsoft Entra identificador. De forma predeterminada, este valor es https://ConfigMgrService.

   • URI del identificador de aplicación: este valor debe ser único en el inquilino de Microsoft Entra. Está en el token de acceso que usa el cliente de Configuration Manager para solicitar acceso al servicio. De forma predeterminada, este valor es https://ConfigMgrService. Cambie el valor predeterminado a uno de los siguientes formatos recomendados:

     • api://{tenantId}/{string}, por ejemplo, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}, por ejemplo, https://contoso.onmicrosoft.com/ConfigMgrService

   • Período de validez de clave secreta: elija 1 año o 2 años en la lista desplegable. Un año es el valor predeterminado.

   • Microsoft Entra cuenta de administrador: seleccione Iniciar sesión para autenticarse en Microsoft Entra id. como administrador global. Configuration Manager no guarda estas credenciales. Este rol no requiere permisos en Configuration Manager y no es necesario que sea la misma cuenta que ejecuta el Asistente para servicios de Azure. Después de autenticarse correctamente en Azure, la página muestra el nombre del inquilino de Microsoft Entra como referencia.

4. Seleccione Aceptar para crear la aplicación web en Microsoft Entra id. y cierre la ventana Crear aplicación de servidor.

5. En la ventana Aplicación de servidor, asegúrese de que la nueva aplicación está seleccionada y, a continuación, seleccione Aceptar para guardar y cerrar la ventana.

Nota:

A partir de Configuration Manager versión de rama actual 2309, hemos mejorado la seguridad de la aplicación web (servidor) para la creación de CMG. Para la nueva creación de CMG, los usuarios pueden seleccionar el inquilino y el nombre de la aplicación mediante el nombre Microsoft Entra inquilino. Después de seleccionar el nombre de inquilino y aplicación, aparece el botón de inicio de sesión, siga el resto del proceso según la configuración de CMG.

Los clientes de CMG preexistentes deben actualizar su aplicación de servidor web; para ello, vaya a Microsoft Entra nodo de inquilinos;> seleccione el inquilino,> seleccione la aplicación de servidor y> haga clic en "actualizar la configuración de la aplicación".

Creación del registro de aplicaciones nativas (cliente)

1. En la página Aplicación de la ventana Asistente para servicios de Azure , en la aplicación Native Client, seleccione Examinar.

2. En la ventana Aplicación cliente, seleccione Crear para usar Configuration Manager para automatizar la creación de la aplicación.

3. En la ventana Crear aplicación cliente , especifique la siguiente información:

   • Nombre de la aplicación: nombre descriptivo de la aplicación.

   • Microsoft Entra cuenta de administrador: seleccione Iniciar sesión para autenticarse en Microsoft Entra id. como administrador global. Configuration Manager no guarda estas credenciales. Este rol no requiere permisos en Configuration Manager y no es necesario que sea la misma cuenta que ejecuta el Asistente para servicios de Azure. Después de autenticarse correctamente en Azure, la página muestra el nombre del inquilino de Microsoft Entra como referencia.

4. Seleccione Aceptar para crear la aplicación nativa en Microsoft Entra id. y cierre la ventana Crear aplicación cliente.

5. En la ventana Aplicación cliente , asegúrese de que la nueva aplicación está seleccionada y, a continuación, seleccione Aceptar para guardar y cerrar la ventana.

Completar el Asistente para servicios de Azure

1. En el Asistente para servicios de Azure, confirme que los valores de aplicación web y aplicación de Native Client están completos. Seleccione Siguiente para continuar.

2. La página Detección del asistente solo es necesaria en algunos escenarios. Es opcional cuando se incorpora el sitio a Microsoft Entra identificador y no es necesario crear el CMG. Si lo necesita para admitir una funcionalidad específica en su entorno, puede habilitarla más adelante.

   Para obtener más información sobre los escenarios de CMG que pueden requerir Microsoft Entra detección de usuarios, consulte Configuración de la autenticación de cliente: identificador de Microsoft Entra e Instalación de clientes mediante Microsoft Entra ID.

   Para obtener más información sobre este método de detección, vea Configurar Microsoft Entra detección de usuarios.

3. Revise la configuración y complete el asistente.

Cuando se cierre el asistente, verá la nueva conexión en el nodo Servicios de Azure . También puede ver los registros de inquilinos y aplicaciones en el nodo de inquilinos Microsoft Entra de la consola de Configuration Manager.

Deshabilitación de la autenticación Microsoft Entra para inquilinos que no son de dispositivo o usuario

Si los dispositivos están en un inquilino de Microsoft Entra que es independiente del inquilino con una suscripción para los recursos de proceso de CMG, puede deshabilitar la autenticación para inquilinos no asociados a usuarios y dispositivos.

1. Abra las propiedades del servicio Cloud Management .

2. Cambie a la pestaña Aplicaciones .

3. Seleccione la opción Deshabilitar Microsoft Entra autenticación para este inquilino.

Para más información, consulte Configuración de servicios de Azure.

Configuración de proveedores de recursos de Azure

El servicio CMG requiere que registre proveedores de recursos específicos en la suscripción de Azure. Al implementar cmg en un conjunto de escalado de máquinas virtuales, registre los siguientes proveedores de recursos:

• Microsoft.KeyVault
• Microsoft.Storage
• Microsoft.Network
• Microsoft.Compute

Nota:

Si anteriormente implementó cmg mediante un servicio en la nube clásica, la suscripción de Azure requiere los dos proveedores de recursos siguientes:

• Microsoft.ClassicCompute
• Microsoft.Storage

A partir de la versión 2203, se quita la opción de implementar un CMG como servicio en la nube (clásico). Todas las implementaciones de CMG deben usar un conjunto de escalado de máquinas virtuales. Para obtener más información, consulte Características eliminadas y en desuso.

La cuenta de Microsoft Entra necesita permiso para realizar la /register/action operación para el proveedor de recursos. De forma predeterminada, los roles Colaborador y Propietario incluyen este permiso.

En los pasos siguientes se resume el proceso para registrar un proveedor de recursos. Para obtener más información, consulte Tipos y proveedores de recursos de Azure.

1. Inicie sesión en el portal de Azure.

2. En el menú Azure Portal, busque Suscripciones. Selecciónelo de las opciones disponibles.

3. Seleccione la suscripción que desea ver.

4. En el menú de la izquierda, en Configuración, seleccione Proveedores de recursos.

5. Busque el proveedor de recursos que desea registrar y seleccione Registrar. Para mantener los privilegios mínimos en la suscripción, registre solo los proveedores de recursos que esté listo para usar.

Automatización con PowerShell

Opcionalmente, puede automatizar aspectos de estas configuraciones mediante PowerShell.

1. Use el cmdlet Import-CMAADServerApplication para definir la aplicación web o servidor de Microsoft Entra en Configuration Manager.

2. Use el cmdlet Import-CMAADClientApplication para definir la Microsoft Entra aplicación nativa o cliente en Configuration Manager.

3. Use el cmdlet Get-CMAADApplication para obtener los objetos de aplicación importados.

4. A continuación, pase los objetos de aplicación al cmdlet New-CMCloudManagementAzureService para crear el servicio de Azure para Cloud Management en Configuration Manager.

Siguientes pasos

Para continuar con la configuración de CMG, decida qué tipo de autenticación de cliente usar:

Configuración de la autenticación de cliente