Configurer les services Azure à utiliser avec Configuration Manager
S’applique à : Configuration Manager (branche actuelle)
Utilisez l’Assistant Services Azure pour simplifier le processus de configuration des services cloud Azure que vous utilisez avec Configuration Manager. Cet Assistant fournit une expérience de configuration courante en utilisant Microsoft Entra inscriptions d’applications web. Ces applications fournissent les détails de l’abonnement et de la configuration, et authentifient les communications avec l’ID de Microsoft Entra. L’application remplace l’entrée de ces mêmes informations chaque fois que vous configurez un nouveau composant ou service Configuration Manager avec Azure.
Services disponibles
Configurez les services Azure suivants à l’aide de cet Assistant :
Gestion cloud : ce service permet au site et aux clients de s’authentifier à l’aide de l’ID de Microsoft Entra. Cette authentification permet d’autres scénarios, tels que :
Configurer Microsoft Entra découverte de groupes d’utilisateurs
Prendre en charge certains scénarios de passerelle de gestion cloud
Conseil
Pour plus d’informations sur la gestion cloud, consultez Configurer l’ID de Microsoft Entra pour la passerelle de gestion cloud.
Connecteur Log Analytics : connectez-vous à Azure Log Analytics. Synchroniser les données de collecte avec Log Analytics.
Importante
Cet article fait référence au connecteur Log Analytics, anciennement appelé connecteur OMS. Cette fonctionnalité a été déconseillée en novembre 2020. Il est supprimé de Configuration Manager dans la version 2107. Pour plus d’informations, consultez Fonctionnalités supprimées et dépréciées.
Microsoft Store pour Entreprises : connectez-vous au Microsoft Store pour Entreprises. Obtenez des applications du Store pour votre organization que vous pouvez déployer avec Configuration Manager.
Gestion des services d’administration : lors de la configuration des services Azure, pour renforcer la sécurité, vous pouvez sélectionner l’option Gestion des services d’administration. Cette option permet aux administrateurs de segmenter leurs privilèges d’administrateur entre la gestion cloud et le service d’administration. En activant cette option, l’accès est limité uniquement aux points de terminaison de service d’administration. Les clients Gestion de la configuration s’authentifient auprès du site à l’aide de l’ID de Microsoft Entra. (version 2207 ou ultérieure)
Remarque
Seuls les clients VMSS de passerelle de gestion cloud peuvent activer l’option de gestion des services d’administration. Cette option ne s’applique pas aux clients de la passerelle de gestion cloud classique.
Détails du service
Le tableau suivant répertorie des détails sur chacun des services.
Locataires : nombre d’instances de service que vous pouvez configurer. Chaque instance doit être un locataire Microsoft Entra distinct.
Clouds : tous les services prennent en charge le cloud Azure global, mais tous les services ne prennent pas en charge les clouds privés, tels que le cloud Azure US Government.
Application web : indique si le service utilise une application Microsoft Entra de type Application web/API, également appelée application serveur dans Configuration Manager.
Application native : indique si le service utilise une application Microsoft Entra de type Native, également appelée application cliente dans Configuration Manager.
Actions : indique si vous pouvez importer ou créer ces applications dans l’Assistant Services Azure Configuration Manager.
| Service | Clients | Nuages | Application web | Application native | Actions |
|---|---|---|---|---|---|
| Gestion cloud avec découverte Microsoft Entra |
Multiple | Public, Privé |  |
|
Importer, créer |
| Connecteur Log Analytics | Un | Public, Privé | |
 |
Importation |
| Microsoft Store pour Professionnel |
Un | Public | |
|
Importer, créer |
À propos des applications Microsoft Entra
Différents services Azure nécessitent des configurations distinctes, que vous effectuez dans le Portail Azure. En outre, les applications de chaque service peuvent nécessiter des autorisations distinctes sur les ressources Azure.
Vous pouvez utiliser une seule application pour plusieurs services. Il n’y a qu’un seul objet à gérer dans Configuration Manager et l’ID Microsoft Entra. Lorsque la clé de sécurité de l’application expire, vous n’avez besoin d’actualiser qu’une seule clé.
Lorsque vous créez des services Azure supplémentaires dans l’Assistant, Configuration Manager est conçu pour réutiliser les informations courantes entre les services. Ce comportement vous permet d’avoir besoin d’entrer les mêmes informations plusieurs fois.
Pour plus d’informations sur les autorisations d’application et les configurations requises pour chaque service, consultez l’article Configuration Manager approprié dans Services disponibles.
Pour plus d’informations sur les applications Azure, commencez par les articles suivants :
- Authentification et autorisation dans Azure App Service
- Web Apps vue d’ensemble
- Notions de base de l’inscription d’une application dans Microsoft Entra ID
- Inscrire votre application auprès de votre locataire Microsoft Entra
Avant de commencer
Une fois que vous avez choisi le service auquel vous souhaitez vous connecter, reportez-vous au tableau dans Détails du service. Ce tableau fournit les informations dont vous avez besoin pour terminer l’Assistant Service Azure. Discutez à l’avance avec votre administrateur Microsoft Entra. Choisissez les actions suivantes à effectuer :
Créez manuellement les applications à l’avance dans le Portail Azure. Importez ensuite les détails de l’application dans Configuration Manager.
Conseil
Pour plus d’informations sur la gestion cloud, consultez Inscrire manuellement des applications Microsoft Entra pour la passerelle de gestion cloud.
Utilisez Configuration Manager pour créer directement les applications dans Microsoft Entra ID. Pour collecter les données nécessaires à partir de Microsoft Entra ID, passez en revue les informations contenues dans les autres sections de cet article.
Certains services nécessitent que les applications Microsoft Entra disposent d’autorisations spécifiques. Passez en revue les informations de chaque service pour déterminer les autorisations requises. Par exemple, avant de pouvoir importer une application web, un administrateur Azure doit d’abord la créer dans le Portail Azure.
Lors de la configuration du connecteur Log Analytics, accordez à votre application web nouvellement inscrite contributeur autorisation sur le groupe de ressources qui contient l’espace de travail approprié. Cette autorisation permet aux Configuration Manager d’accéder à cet espace de travail. Lorsque vous attribuez l’autorisation, recherchez le nom de l’inscription de l’application dans la zone Ajouter des utilisateurs du Portail Azure. Ce processus est le même que lorsque Configuration Manager fournit des autorisations à Log Analytics. Un administrateur Azure doit attribuer ces autorisations avant d’importer l’application dans Configuration Manager.
Démarrer l’Assistant Services Azure
Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez le nœud Services Azure.
Sous l’onglet Accueil du ruban, dans le groupe Services Azure , sélectionnez Configurer les services Azure.
Dans la page Services Azure de l’Assistant Services Azure :
Spécifiez un Nom pour l’objet dans Configuration Manager.
Spécifiez une description facultative pour vous aider à identifier le service.
Sélectionnez le service Azure avec lequel vous souhaitez vous connecter Configuration Manager.
Sélectionnez Suivant pour passer à la page des propriétés de l’application Azure de l’Assistant Services Azure.
Propriétés de l’application Azure
Dans la page Application de l’Assistant Services Azure, sélectionnez d’abord l’environnement Azure dans la liste. Reportez-vous au tableau dans Détails du service pour quel environnement est actuellement disponible pour le service.
Le reste de la page Application varie en fonction du service spécifique. Reportez-vous au tableau dans Détails du service pour connaître le type d’application utilisé par le service et l’action que vous pouvez utiliser.
Si l’application prend en charge les actions d’importation et de création, sélectionnez Parcourir. Cette action ouvre la boîte de dialogue Application serveur ou la boîte de dialogue Application cliente.
Si l’application prend uniquement en charge l’action d’importation, sélectionnez Importer. Cette action ouvre la boîte de dialogue Importer des applications (serveur) ou la boîte de dialogue Importer des applications (client) .
Après avoir spécifié les applications sur cette page, sélectionnez Suivant pour passer à la page Configuration ou Découverte de l’Assistant Services Azure.
Application web
Cette application est le type d’ID Microsoft Entra Application/API web, également appelée application serveur dans Configuration Manager.
Boîte de dialogue Application serveur
Lorsque vous sélectionnez Parcourirl’application web dans la page Application de l’Assistant Services Azure, la boîte de dialogue Application serveur s’ouvre. Il affiche une liste qui affiche les propriétés suivantes de toutes les applications web existantes :
- Nom convivial du locataire
- Nom convivial de l’application
- Type de service
Vous pouvez effectuer trois actions à partir de la boîte de dialogue Application serveur :
- Pour réutiliser une application web existante, sélectionnez-la dans la liste.
- Sélectionnez Importer pour ouvrir la boîte de dialogue Importer des applications.
- Sélectionnez Créer pour ouvrir la boîte de dialogue Créer une application serveur.
Après avoir sélectionné, importé ou créé une application web, sélectionnez OK pour fermer la boîte de dialogue Application serveur. Cette action retourne à la page Application de l’Assistant Services Azure.
Boîte de dialogue Importer des applications (serveur)
Lorsque vous sélectionnez Importer dans la boîte de dialogue Application serveur ou la page Application de l’Assistant Services Azure, la boîte de dialogue Importer des applications s’ouvre. Cette page vous permet d’entrer des informations sur une application web Microsoft Entra déjà créée dans le Portail Azure. Il importe les métadonnées relatives à cette application web dans Configuration Manager. Spécifiez les informations suivantes :
- nom du locataire Microsoft Entra : nom de votre locataire Microsoft Entra.
- ID de locataire Microsoft Entra : GUID de votre locataire Microsoft Entra.
- Nom de l’application : nom convivial de l’application, nom d’affichage dans l’inscription de l’application.
- ID client : valeur d’ID d’application (client) de l’inscription de l’application. Le format est un GUID standard.
- Clé secrète : vous devez copier la clé secrète lorsque vous inscrivez l’application dans Microsoft Entra ID.
- Expiration de la clé secrète : sélectionnez une date future dans le calendrier.
- URI d’ID d’application : cette valeur doit être unique dans votre locataire Microsoft Entra. Il se trouve dans le jeton d’accès utilisé par le client Configuration Manager pour demander l’accès au service. La valeur est l’URI d’ID d’application de l’entrée d’inscription d’application dans le centre d’administration Microsoft Entra.
Après avoir entré les informations, sélectionnez Vérifier. Sélectionnez ensuite OK pour fermer la boîte de dialogue Importer des applications. Cette action retourne à la page Application de l’Assistant Services Azure ou à la boîte de dialogue Application serveur.
Importante
Lorsque vous utilisez une application Microsoft Entra importée, vous n’êtes pas informé d’une date d’expiration à venir à partir des notifications de la console.
Boîte de dialogue Créer une application serveur
Lorsque vous sélectionnez Créer dans la boîte de dialogue Application serveur, la boîte de dialogue Créer une application serveur s’ouvre. Cette page automatise la création d’une application web dans Microsoft Entra ID. Spécifiez les informations suivantes :
Nom de l’application : nom convivial de l’application.
URL de page d’accueil : cette valeur n’est pas utilisée par Configuration Manager, mais requise par Microsoft Entra ID. Par défaut, cette valeur est
https://ConfigMgrService.URI d’ID d’application : cette valeur doit être unique dans votre locataire Microsoft Entra. Il se trouve dans le jeton d’accès utilisé par le client Configuration Manager pour demander l’accès au service. Par défaut, cette valeur est
https://ConfigMgrService. Remplacez la valeur par défaut par l’un des formats recommandés suivants :api://{tenantId}/{string}, par exemple,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrServicehttps://{verifiedCustomerDomain}/{string}, par exemple,https://contoso.onmicrosoft.com/ConfigMgrService
Période de validité de clé secrète : choisissez 1 an ou 2 ans dans la liste déroulante. Une année est la valeur par défaut.
Remarque
Vous pouvez voir une option pour Jamais, mais Microsoft Entra ne la prend plus en charge. Si vous avez précédemment sélectionné cette option, la date d’expiration est désormais définie pour 99 ans à compter de la date de création.
Sélectionnez Se connecter pour vous authentifier auprès d’Azure en tant qu’utilisateur administratif. Ces informations d’identification ne sont pas enregistrées par Configuration Manager. Ce personnage ne nécessite pas d’autorisations dans Configuration Manager et n’a pas besoin d’être le même compte que celui qui exécute l’Assistant Services Azure. Une fois l’authentification réussie auprès d’Azure, la page affiche le nom du locataire Microsoft Entra pour référence.
Sélectionnez OK pour créer l’application web dans Microsoft Entra ID et fermer la boîte de dialogue Créer une application serveur. Cette action retourne à la boîte de dialogue Application serveur.
Remarque
Si vous disposez d’une stratégie d’accès conditionnel Microsoft Entra définie et s’applique à toutes les applications cloud, vous devez exclure l’application serveur créée de cette stratégie. Pour plus d’informations sur la façon d’exclure des applications spécifiques, consultez Microsoft Entra documentation sur l’accès conditionnel.
Application native cliente
Cette application est le type d’ID Microsoft Entra Natif, également appelé application cliente dans Configuration Manager.
Boîte de dialogue Application cliente
Lorsque vous sélectionnez Rechercherl’application Native Client dans la page Application de l’Assistant Services Azure, la boîte de dialogue Application cliente s’ouvre. Il affiche une liste qui affiche les propriétés suivantes de toutes les applications natives existantes :
- Nom convivial du locataire
- Nom convivial de l’application
- Type de service
Vous pouvez effectuer trois actions à partir de la boîte de dialogue Application cliente :
- Pour réutiliser une application native existante, sélectionnez-la dans la liste.
- Sélectionnez Importer pour ouvrir la boîte de dialogue Importer des applications.
- Sélectionnez Créer pour ouvrir la boîte de dialogue Créer une application cliente.
Après avoir sélectionné, importé ou créé une application native, choisissez OK pour fermer la boîte de dialogue Application cliente. Cette action retourne à la page Application de l’Assistant Services Azure.
Boîte de dialogue Importer des applications (client)
Lorsque vous sélectionnez Importer dans la boîte de dialogue Application cliente, la boîte de dialogue Importer des applications s’ouvre. Cette page vous permet d’entrer des informations sur une application native Microsoft Entra déjà créée dans le Portail Azure. Il importe les métadonnées relatives à cette application native dans Configuration Manager. Spécifiez les informations suivantes :
- Nom de l’application : nom convivial de l’application.
- ID client : valeur d’ID d’application (client) de l’inscription de l’application. Le format est un GUID standard.
Après avoir entré les informations, sélectionnez Vérifier. Sélectionnez ensuite OK pour fermer la boîte de dialogue Importer des applications. Cette action retourne à la boîte de dialogue Application cliente.
Conseil
Lorsque vous inscrivez l’application dans Microsoft Entra ID, vous devrez peut-être spécifier manuellement l’URI de redirection suivant : ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Spécifiez le GUID de l’ID client de l’application, par exemple : ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.
Boîte de dialogue Créer une application cliente
Lorsque vous sélectionnez Créer dans la boîte de dialogue Application cliente, la boîte de dialogue Créer une application cliente s’ouvre. Cette page automatise la création d’une application native dans Microsoft Entra ID. Spécifiez les informations suivantes :
- Nom de l’application : nom convivial de l’application.
- URL de réponse : cette valeur n’est pas utilisée par Configuration Manager, mais requise par Microsoft Entra ID. Par défaut, cette valeur est
https://ConfigMgrService.
Sélectionnez Se connecter pour vous authentifier auprès d’Azure en tant qu’utilisateur administratif. Ces informations d’identification ne sont pas enregistrées par Configuration Manager. Ce personnage ne nécessite pas d’autorisations dans Configuration Manager et n’a pas besoin d’être le même compte que celui qui exécute l’Assistant Services Azure. Une fois l’authentification réussie auprès d’Azure, la page affiche le nom du locataire Microsoft Entra pour référence.
Sélectionnez OK pour créer l’application native dans Microsoft Entra ID et fermez la boîte de dialogue Créer une application cliente. Cette action retourne à la boîte de dialogue Application cliente.
Configuration ou découverte
Après avoir spécifié les applications web et natives dans la page Applications , l’Assistant Services Azure passe à une page Configuration ou Découverte , en fonction du service auquel vous vous connectez. Les détails de cette page varient d’un service à l’autre. Pour plus d’informations, consultez l’un des articles suivants :
Service de gestion cloud, page Découverte : Configurer Microsoft Entra découverte d’utilisateurs
Service Connecteur Log Analytics, page Configuration : Configurer la connexion à Log Analytics
Microsoft Store pour Entreprises service, page Configurations : Configurer la synchronisation Microsoft Store pour Entreprises
Enfin, complétez l’Assistant Services Azure via les pages Résumé, Progression et Achèvement. Vous avez terminé la configuration d’un service Azure dans Configuration Manager. Répétez ce processus pour configurer d’autres services Azure.
Mettre à jour les paramètres de l’application
Pour permettre à vos clients Configuration Manager de demander un jeton d’appareil Microsoft Entra et d’activer les autorisations de lecture des données d’annuaire, vous devez mettre à jour les paramètres d’application du serveur web.
- Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez le nœud Microsoft Entra locataires.
- Sélectionnez le locataire Microsoft Entra pour l’application que vous souhaitez mettre à jour.
- Dans la section Applications, sélectionnez votre Microsoft Entra application serveur web, puis sélectionnez Mettre à jour les paramètres de l’application dans le ruban.
- Lorsque vous êtes invité à confirmer la confirmation, sélectionnez Oui pour confirmer que vous souhaitez mettre à jour l’application avec les derniers paramètres.
Renouveler la clé secrète
Vous devez renouveler la clé secrète de l’application Microsoft Entra avant la fin de sa période de validité. Si vous laissez la clé expirer, Configuration Manager ne pouvez pas vous authentifier avec Microsoft Entra’ID, ce qui entraîne l’arrêt du fonctionnement de vos services Azure connectés.
À compter de la version 2006, la console Configuration Manager affiche des notifications pour les circonstances suivantes :
- Une ou plusieurs clés secrètes d’application Microsoft Entra expireront bientôt
- Une ou plusieurs clés secrètes d’application Microsoft Entra ont expiré
Pour atténuer les deux cas, renouvelez la clé secrète.
Pour plus d’informations sur la façon d’interagir avec ces notifications, consultez Configuration Manager notifications de console.
Remarque
Vous devez avoir au moins le rôle « Administrateur d’application cloud » Microsoft Entra attribué pour pouvoir renouveler la clé.
Renouveler la clé pour l’application créée
Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez le nœud Microsoft Entra locataires.
Dans le volet Détails, sélectionnez le locataire Microsoft Entra de l’application.
Dans le ruban, sélectionnez Renouveler la clé secrète. Entrez les informations d’identification du propriétaire de l’application ou d’un administrateur Microsoft Entra.
Renouveler la clé pour l’application importée
Si vous avez importé l’application Azure dans Configuration Manager, utilisez le Portail Azure pour renouveler. Notez la nouvelle clé secrète et la date d’expiration. Ajoutez ces informations à l’Assistant Renouveler la clé secrète .
Remarque
Enregistrez la clé secrète avant de fermer la page Des propriétés de l’application Azure. Ces informations sont supprimées lorsque vous fermez la page.
Désactiver l’authentification
À compter de la version 2010, vous pouvez désactiver l’authentification Microsoft Entra pour les locataires non associés aux utilisateurs et aux appareils. Lorsque vous intégrez Configuration Manager à Microsoft Entra ID, cela permet au site et aux clients d’utiliser l’authentification moderne. Actuellement, Microsoft Entra’authentification de l’appareil est activée pour tous les locataires intégrés, qu’il dispose ou non d’appareils. Par exemple, vous disposez d’un locataire distinct avec un abonnement que vous utilisez pour les ressources de calcul afin de prendre en charge une passerelle de gestion cloud. S’il n’y a pas d’utilisateurs ou d’appareils associés au locataire, désactivez Microsoft Entra’authentification.
Dans la console Configuration Manager, accédez à l’espace de travail Administration.
Développez Services cloud et sélectionnez le nœud Services Azure.
Sélectionnez la connexion cible de type Gestion cloud. Dans le ruban, sélectionnez Propriétés.
Basculez vers l’onglet Applications .
Sélectionnez l’option Désactiver l’authentification Microsoft Entra pour ce locataire.
Sélectionnez OK pour enregistrer et fermer les propriétés de connexion.
Conseil
Jusqu’à 25 heures peuvent être nécessaires pour que cette modification prenne effet sur les clients. Pour effectuer des tests afin d’accélérer ce changement de comportement, procédez comme suit :
- Redémarrez le service sms_executive sur le serveur de site.
- Redémarrez le service ccmexec sur le client.
- Déclenchez la planification du client pour actualiser le point de gestion par défaut. Par exemple, utilisez l’outil de planification d’envoi :
SendSchedule {00000000-0000-0000-0000-000000000023}
Afficher la configuration d’un service Azure
Affichez les propriétés d’un service Azure que vous avez configuré pour l’utiliser. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez Services Azure. Sélectionnez le service que vous souhaitez afficher ou modifier, puis sélectionnez Propriétés.
Si vous sélectionnez un service, puis choisissez Supprimer dans le ruban, cette action supprime la connexion dans Configuration Manager. Il ne supprime pas l’application dans Microsoft Entra’ID. Demandez à votre administrateur Azure de supprimer l’application lorsqu’elle n’est plus nécessaire. Ou exécutez l’Assistant Service Azure pour importer l’application.
Flux de données de gestion cloud
Le diagramme suivant est un flux de données conceptuel pour l’interaction entre les Configuration Manager, l’ID Microsoft Entra et les services cloud connectés. Cet exemple spécifique utilise le service de gestion cloud, qui inclut un client Windows 10, ainsi que des applications serveur et clientes. Les flux pour les autres services sont similaires.
L’administrateur Configuration Manager importe ou crée les applications client et serveur dans Microsoft Entra ID.
Configuration Manager Microsoft Entra méthode de découverte d’utilisateurs s’exécute. Le site utilise le jeton d’application serveur Microsoft Entra pour interroger Microsoft Graph pour les objets utilisateur.
Le site stocke des données sur les objets utilisateur. Pour plus d’informations, consultez découverte d’utilisateurs Microsoft Entra.
Le client Configuration Manager demande le jeton utilisateur Microsoft Entra. Le client effectue la revendication à l’aide de l’ID d’application de l’application cliente Microsoft Entra et de l’application serveur en tant qu’audience. Pour plus d’informations, consultez Revendications dans Microsoft Entra jetons de sécurité.
Le client s’authentifie auprès du site en présentant le jeton Microsoft Entra à la passerelle de gestion cloud et au point de gestion https local.
Pour plus d’informations, consultez flux de travail d’authentification Microsoft Entra.
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour