Registro manual de aplicaciones Microsoft Entra para CMG

  • Artículo

Se aplica a: Configuration Manager (rama actual)

El segundo paso principal para configurar una puerta de enlace de administración en la nube (CMG) es integrar el sitio de Configuration Manager con el inquilino de Microsoft Entra. Esta integración permite que el sitio se autentique con Microsoft Entra ID, que usa para implementar y supervisar el servicio CMG. Si no puede usar Configuration Manager para automatizar la creación de las aplicaciones durante el Asistente para servicios de Azure, puede usar el asistente para importar una aplicación creada anteriormente. Por ejemplo, si los administradores de Azure requieren que creen manualmente todos los registros de aplicaciones Microsoft Entra, use este proceso.

Sugerencia

En este artículo se proporcionan instrucciones prescriptivas para integrar el sitio específicamente para cloud management gateway. Para obtener más información sobre este proceso y otros usos del nodo Servicios de Azure en la consola de Configuration Manager, consulte Configuración de servicios de Azure.

Al integrar el sitio, se crean registros de aplicaciones en Microsoft Entra ID. CMG requiere dos registros de aplicaciones:

  • Aplicación web (también conocida como aplicación de servidor en Configuration Manager)
  • Aplicación nativa (también conocida como aplicación cliente en Configuration Manager)

Hay dos métodos para crear estas aplicaciones, que requieren un rol de administrador global en Microsoft Entra ID:

  • Use Configuration Manager para automatizar la creación de las aplicaciones al integrar el sitio.
  • Cree manualmente las aplicaciones de antemano e impórtelas al integrar el sitio.

En este artículo se proporcionan los detalles específicos del segundo método. Empareje estas instrucciones con los procedimientos del artículo Configurar Microsoft Entra ID para CMG para completar el proceso.

Obtener detalles del inquilino

Sugerencia

Durante este proceso, deberá anotar varios valores para usarlos más adelante. Abra una aplicación como el Bloc de notas de Windows para pegar los valores que va a copiar desde Azure Portal.

En primer lugar, debe tener en cuenta el nombre del inquilino Microsoft Entra y el identificador de inquilino. Estos valores son los dos primeros fragmentos de información que necesita para importar los registros de aplicaciones en Configuration Manager.

  1. En el Azure Portal, seleccione Microsoft Entra ID.

  2. En el menú Microsoft Entra ID, seleccione Nombres de dominio personalizados.

  3. Anote el nombre del inquilino. Por ejemplo, contoso.onmicrosoft.com.

  4. En el menú Microsoft Entra ID, seleccione Propiedades.

  5. Copie el valor guid del identificador de inquilino .

Registro de la aplicación web (servidor)

  1. En el menú Microsoft Entra ID, seleccione Registros de aplicaciones. Seleccione Nuevo registro para crear una nueva aplicación.

  2. En el panel Registrar una aplicación , especifique la siguiente información:

    • Nombre: nombre descriptivo de la aplicación. Por ejemplo, CMG-ServerApp.
    • Tipos de cuenta admitidos: deje esta configuración como la opción predeterminada, Solo cuentas en este directorio organizativo.
    • URI de redireccionamiento: seleccione: Cliente público o nativo (escritorio de &móvil) y escriba http://localhost como URI.

  3. Seleccione Registrar para crear la aplicación.

  4. En las propiedades de la nueva aplicación, copie los valores siguientes:

    • Nombre para mostrar: este valor es el nombre descriptivo de este registro de aplicación que usará más adelante como nombre de la aplicación.
    • Identificador de aplicación (cliente): usará este valor GUID más adelante como identificador de cliente.

  5. En el menú de las propiedades de la aplicación, seleccione Certificados & secretos y, a continuación, seleccione Nuevo secreto de cliente.

    • Descripción: puede usar cualquier nombre para el secreto o dejarlo en blanco.
    • Expira: seleccione 12 meses o 24 meses.

    Seleccione Agregar. Copie inmediatamente la cadena de secreto de cliente Value y Expires. Si deja este panel, no podrá recuperar el mismo secreto de nuevo. Estos valores se usarán más adelante como valores de expiración de clave secreta y clave secreta .

  6. Si va a usar Microsoft Entra detección de usuarios en Configuration Manager, debe ajustar los permisos de esta aplicación. En el menú de las propiedades de la aplicación, seleccione Permisos de API. De forma predeterminada, debe tener el permiso User.Read para Microsoft Graph API, que debe cambiar.

    1. Seleccione Microsoft Graph para enumerar la lista de permisos de API disponibles y, a continuación, seleccione Permisos de aplicación.

    2. Expanda Directorio y, a continuación, seleccione Directory.Read.All.

    3. Cambie a Permisos delegados.

    4. Expanda Usuario y quite el permiso User.Read .

    5. Seleccione Actualizar permisos.

    6. En el panel Permisos de API, seleccione Conceder consentimiento de administrador para...y, a continuación, seleccione .

  7. En el menú de las propiedades de la aplicación, seleccione Exponer una API.

    1. Para el URI del identificador de aplicación, seleccione Agregar. Especifique un URI único para el inquilino. Usará este valor más adelante como uri de identificador de aplicación. Use uno de los siguientes formatos recomendados:

      • api://{tenantId}/{string}, por ejemplo, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, por ejemplo, https://contoso.onmicrosoft.com/ConfigMgrService

      Seleccione Guardar.

    2. Seleccione Agregar un ámbito y especifique la siguiente información necesaria:

      • Nombre del ámbito: user_impersonation
      • Quién puede dar su consentimiento: Seleccionar administradores y usuarios
      • Administración nombre para mostrar del consentimiento: especifique un nombre significativo. Por ejemplo: Access CMG-ServerApp
      • Administración descripción del consentimiento: especifique una descripción significativa. Por ejemplo: Allow the application to access CMG-ServerApp on behalf of the signed-in user.

    3. Seleccione Agregar ámbito para guardar.

  8. En el menú de las propiedades de la aplicación, seleccione Manifiesto. Establezca la entrada oauth2AllowIdTokenImplicitFlow en true. Por ejemplo:

    "oauth2AllowIdTokenImplicitFlow": true,

    Seleccione Guardar.

La aplicación web (servidor) para CMG ahora está registrada en Microsoft Entra ID.

Registro de la aplicación nativa (cliente)

  1. En el menú Microsoft Entra ID, seleccione Registros de aplicaciones. Seleccione Nuevo registro para crear una nueva aplicación.

  2. En el panel Registrar una aplicación , especifique la siguiente información:

    • Nombre: nombre descriptivo de la aplicación. Por ejemplo, CMG-ClientApp.
    • Tipos de cuenta admitidos: deje esta configuración como la opción predeterminada, Solo cuentas en este directorio organizativo.
    • URI de redireccionamiento: deje este valor opcional en blanco.

  3. Seleccione Registrar para crear la aplicación.

  4. En las propiedades de la nueva aplicación, copie los valores siguientes:

    • Nombre para mostrar: este valor es el nombre descriptivo de este registro de aplicación que usará más adelante como nombre de la aplicación.
    • Identificador de aplicación (cliente): usará este valor GUID más adelante como identificador de cliente.

  5. En el menú de las propiedades de la aplicación, seleccione Autenticación.

    1. En Configuraciones de plataforma, seleccione Agregar una plataforma.

      1. En el panel Configurar plataformas, seleccione Aplicaciones móviles y de escritorio.

      2. En el panel Configurar escritorio y dispositivos , en URI de redireccionamiento personalizados, especifique ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Use el GUID del identificador de cliente de la aplicación, por ejemplo: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Seleccione Configurar.

    2. En Configuración avanzada, establezca Permitir flujos de cliente público en . Seleccione Guardar.

  6. Ajuste los permisos en esta aplicación. En el menú de las propiedades de la aplicación, seleccione Permisos de API. De forma predeterminada, debe tener el permiso delegado User.Read para Microsoft Graph API.

    1. En el panel Permisos de API, seleccione Agregar un permiso.

    2. Cambie a la pestaña Mis API y seleccione la aplicación web (servidor). Por ejemplo, CMG-ServerApp. Seleccione el permiso user_impersonation y, a continuación, seleccione Agregar permisos para guardar.

    3. En el panel Permisos de API, seleccione Conceder consentimiento de administrador para... y, a continuación, seleccione .

  7. En el menú de las propiedades de la aplicación, seleccione Manifiesto. Establezca la entrada oauth2AllowIdTokenImplicitFlow en true. Por ejemplo:

    "oauth2AllowIdTokenImplicitFlow": true,

    Seleccione Guardar.

La aplicación nativa (cliente) para CMG ahora está registrada en Microsoft Entra ID. Este paso también concluye el proceso en el Azure Portal. Se realiza el rol de administrador global de Azure.

Importar las aplicaciones a Configuration Manager

Después de registrar manualmente las dos aplicaciones en el Azure Portal, use el proceso del artículo Configuración de Microsoft Entra ID para CMG, pero seleccione la opción Importar cada una de las aplicaciones.

Estos procesos importan metadatos sobre las aplicaciones de Microsoft Entra en Configuration Manager. No necesita permisos de Microsoft Entra para importar estas aplicaciones.

Importar aplicación web (servidor)

Al seleccionar Importar desde la ventana Aplicación de servidor , se abre la ventana Importar aplicaciones . Escriba la siguiente información sobre la aplicación web de Microsoft Entra que ya está registrada en el Azure Portal:

  • Microsoft Entra nombre del inquilino: nombre del inquilino de Microsoft Entra.
  • Microsoft Entra identificador de inquilino: el GUID del inquilino de Microsoft Entra.
  • Nombre de la aplicación: un nombre descriptivo para la aplicación, el nombre para mostrar en el registro de la aplicación.
  • Id. de cliente: valor del identificador de aplicación (cliente) del registro de la aplicación. El formato es un GUID estándar.
  • Clave secreta: copie la clave secreta cuando registre la aplicación en Microsoft Entra ID y cree la clave secreta.
  • Expiración de clave secreta: especifique la misma fecha que desde el Azure Portal.
  • URI del identificador de aplicación: el valor es el URI del identificador de aplicación de la entrada de registro de la aplicación en el Centro de administración Microsoft Entra. El formato es similar a https://ConfigMgrService.

Después de escribir la información, seleccione Comprobar. A continuación, seleccione Aceptar para cerrar la ventana Importar aplicaciones .

Importante

Cuando se usa una aplicación de Microsoft Entra importada, no se le notifica una fecha de expiración próxima de las notificaciones de consola.

Importación de una aplicación nativa (cliente)

Al seleccionar Importar desde la ventana Aplicación cliente , se abre la ventana Importar aplicaciones . Escriba la siguiente información sobre la aplicación nativa de Microsoft Entra que ya está registrada en el Azure Portal:

  • El asistente rellena automáticamente el nombre de inquilino Microsoft Entra y el identificador de inquilino en función de la aplicación web (servidor) que ya ha especificado.
  • Nombre de la aplicación: un nombre descriptivo para la aplicación.
  • Id. de cliente: valor del identificador de aplicación (cliente) del registro de la aplicación. El formato es un GUID estándar.

Después de escribir la información, seleccione Comprobar. A continuación, seleccione Aceptar para cerrar la ventana Importar aplicaciones .

Pasos siguientes

Después de registrar manualmente las dos aplicaciones en el Azure Portal, use el proceso del siguiente artículo para importar las aplicaciones:

Configuración de Microsoft Entra ID para CMG