Enregistrer manuellement Azure AD applications pour CMG

S’applique à : Gestionnaire de Configuration (branche actuelle)

La deuxième étape principale pour configurer une passerelle de gestion cloud (CMG) consiste à intégrer le site Configuration Manager à votre client Azure Active Directory (Azure AD). Cette intégration permet au site de s’authentifier auprès Azure AD, qu’il utilise pour déployer et surveiller le service CMG. Si vous ne pouvez pas utiliser Configuration Manager pour automatiser la création des applications au cours de l’Assistant Service Azure, vous pouvez utiliser l’Assistant pour importer une application créée précédemment. Par exemple, si vos administrateurs Azure exigent qu’ils créent manuellement toutes les Azure AD’application, utilisez ce processus.

Conseil

Cet article fournit des instructions normatives pour intégrer le site spécifiquement pour la passerelle de gestion cloud. Pour plus d’informations sur ce processus et d’autres utilisations du nœud Azure Services dans la console Configuration Manager, voir Configurer les services Azure.

Lorsque vous intégrez le site, vous créez des inscriptions d’application Azure AD. Le CMG nécessite deux inscriptions d’application :

  • Application web (également appelée application serveur dans Configuration Manager)
  • Application native (également appelée application cliente dans Configuration Manager)

Il existe deux méthodes pour créer ces applications, qui nécessitent toutes deux un rôle d’administrateur général dans Azure AD :

  • Utilisez Configuration Manager pour automatiser la création des applications lorsque vous intégrez le site.
  • Créez manuellement les applications à l’avance, puis importez-les lorsque vous intégrez le site.

Cet article fournit les détails spécifiques de la deuxième méthode. Associez ces instructions aux procédures de l’article Azure AD pour CMG pour terminer le processus.

Obtenir les détails du client

Conseil

Au cours de ce processus, vous devrez noter plusieurs valeurs à utiliser ultérieurement. Ouvrez une application comme Windows Bloc-notes coller dans les valeurs que vous allez copier à partir du portail Azure.

Tout d’abord, vous devez prendre note du nom Azure AD client et de l’ID de client. Ces valeurs sont les deux premières informations dont vous avez besoin pour importer les inscriptions d’application dans Configuration Manager.

  1. Dans le portail Azure, sélectionnez Azure Active Directory.

  2. Dans le menu Azure AD, sélectionnez Noms de domaine personnalisés.

  3. Notez le nom du client. Par exemple : contoso.onmicrosoft.com.

  4. Dans le menu Azure AD, sélectionnez Propriétés.

  5. Copiez la valeur GUID de l’ID de client.

Inscrire l’application web (serveur)

  1. Dans le menu Azure AD, sélectionnez Inscriptions d’applications. Sélectionnez Nouvelle inscription pour créer une application.

  2. Dans le volet Enregistrer une application , spécifiez les informations suivantes :

    • Nom : nom convivial de l’application. Par exemple : CMG-ServerApp.
    • Types de comptes pris en charge : laissez ce paramètre comme option par défaut, Comptes dans cet annuaire d’organisation uniquement.
    • URI de redirection : laissez cette valeur facultative vide.
  3. Sélectionnez Enregistrer pour créer l’application.

  4. Dans les propriétés de la nouvelle application, copiez les valeurs suivantes :

    • Nom d’affichage : cette valeur est le nom convivial de cette inscription d’application que vous utiliserez ultérieurement comme nom d’application.
    • ID d’application (client) : vous utiliserez cette valeur GUID ultérieurement en tant qu’ID client.
  5. Dans le menu des propriétés de l’application, sélectionnez Certificats & secrets, puis sélectionnez Nouvelle secret client.

    • Description : vous pouvez utiliser n’importe quel nom pour la secret ou laisser ce nom vide.
    • Expire : sélectionnez 12 ou 24 mois.

    Sélectionnez Ajouter. Copiez immédiatement la valeur de la chaîne secrète client et expire. Si vous laissez ce volet, vous ne pouvez pas récupérer la même question secrète. Vous utiliserez ces valeurs ultérieurement comme valeurs d’expiration de clé secrète et de clé secrète.

  6. Si vous comptez utiliser Azure AD découverte d’utilisateurs dans Configuration Manager, vous devez ajuster les autorisations sur cette application. Dans le menu des propriétés de l’application, sélectionnez les autorisations d’API. Par défaut, il doit avoir l’autorisation User.Read pour l’API microsoft Graph, qui doit être changée.

    1. Sélectionnez Microsoft Graph pour énumérer la liste des autorisations d’API disponibles, puis sélectionnez Autorisations d’application.

    2. Développez Directory, puis sélectionnez Directory.Read.All.

    3. Passez aux autorisations déléguées.

    4. Développez User et supprimez l’autorisation User.Read.

    5. Sélectionnez Mettre à jour les autorisations.

    6. Dans le volet d’autorisations de l’API, sélectionnez Accorder le consentement de l’administrateur pour..., puis sélectionnez Oui.

  7. Dans le menu des propriétés de l’application, sélectionnez Exposer une API.

    1. Pour l’URI de l’ID d’application, sélectionnez Définir. Spécifiez un URI unique pour le client. Vous utiliserez cette valeur ultérieurement comme URI d’ID d’application. Utilisez l’un des formats recommandés suivants :

      • api://{tenantId}/{string}, par exemple, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, par exemple, https://contoso.onmicrosoft.com/ConfigMgrService

      Sélectionnez Enregistrer.

    2. Sélectionnez Ajouter une étendue et spécifiez les informations requises suivantes :

      • Nom de l’étendue : user_impersonation
      • Qui consentement : sélectionner les administrateurs et les utilisateurs
      • Nom complet du consentement de l’administrateur : spécifiez un nom significatif. Par exemple, Access CMG-ServerApp
      • Description du consentement de l’administrateur : spécifiez une description significative. Par exemple, Allow the application to access CMG-ServerApp on behalf of the signed-in user.
    3. Sélectionnez Ajouter une étendue à enregistrer.

  8. Dans le menu des propriétés de l’application, sélectionnez Manifeste. Définissez l’entrée oauth2AllowIdTokenImplicitFlow sur true. Par exemple :

    "oauth2AllowIdTokenImplicitFlow": true,
    

    Sélectionnez Enregistrer.

L’application web (serveur) pour CMG est désormais inscrite dans Azure AD.

Inscrire l’application native (client)

  1. Dans le menu Azure AD, sélectionnez Inscriptions d’applications. Sélectionnez Nouvelle inscription pour créer une application.

  2. Dans le volet Enregistrer une application , spécifiez les informations suivantes :

    • Nom : nom convivial de l’application. Par exemple : CMG-ClientApp.
    • Types de comptes pris en charge : laissez ce paramètre comme option par défaut, Comptes dans cet annuaire d’organisation uniquement.
    • URI de redirection : laissez cette valeur facultative vide.
  3. Sélectionnez Enregistrer pour créer l’application.

  4. Dans les propriétés de la nouvelle application, copiez les valeurs suivantes :

    • Nom d’affichage : cette valeur est le nom convivial de cette inscription d’application que vous utiliserez ultérieurement comme nom d’application.
    • ID d’application (client) : vous utiliserez cette valeur GUID ultérieurement en tant qu’ID client.
  5. Dans le menu des propriétés de l’application, sélectionnez Authentification.

    1. Sous Configurations de plateforme, sélectionnez Ajouter une plateforme.

      1. Dans le volet Configurer les plateformes, sélectionnez Applications mobiles et de bureau.

      2. Dans le volet Configurer le Bureau + appareils , sous UR de redirection personnalisé, spécifiez ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Utilisez le GUID de l’ID client de l’application, par exemple : ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255

      3. Sélectionnez Configurer.

    2. Sous Paramètres avancés, définissez Autoriser les flux clients publics sur Oui. Sélectionnez Enregistrer.

  6. Ajustez les autorisations sur cette application. Dans le menu des propriétés de l’application, sélectionnez les autorisations d’API. Par défaut, il doit avoir l’autorisation déléguée User.Read pour l’API Microsoft Graph.

    1. Dans le volet d’autorisations de l’API, sélectionnez Ajouter une autorisation.

    2. Basculez vers l’onglet Mes API, puis sélectionnez votre application web (serveur). Par exemple, CMG-ServerApp. Sélectionnez l user_impersonation,puis sélectionnez Ajouter des autorisations à enregistrer.

    3. Dans le volet d’autorisations de l’API, sélectionnez Accorder le consentement de l’administrateur pour..., puis sélectionnez Oui.

  7. Dans le menu des propriétés de l’application, sélectionnez Manifeste. Définissez l’entrée oauth2AllowIdTokenImplicitFlow sur true. Par exemple :

    "oauth2AllowIdTokenImplicitFlow": true,
    

    Sélectionnez Enregistrer.

L’application native (client) pour CMG est désormais inscrite dans Azure AD. Cette étape termine également le processus dans le portail Azure. Le rôle de l’administrateur général Azure est effectué.

Importer les applications dans Configuration Manager

Après avoir enregistré manuellement les deux applications dans le portail Azure, utilisez le processus de l’article pour configurer Azure AD pour CMG, mais sélectionnez l’option d’importation de chacune des applications.

Ces processus importent les métadonnées sur Azure AD applications dans Configuration Manager. Vous n’avez pas besoin d’autorisations Azure AD pour importer ces applications.

Importer une application web (serveur)

Lorsque vous sélectionnez Importer à partir de la fenêtre d’application Serveur, la fenêtre Importer des applications s’ouvre. Entrez les informations suivantes sur l’Azure AD web qui est déjà inscrite dans le portail Azure :

  • Azure AD client : nom de votre client Azure AD client.
  • Azure AD ID de client : GUID de votre Azure AD client.
  • Nom de l’application : nom convivial de l’application, nom complet dans l’inscription de l’application.
  • ID client : valeur de l’ID d’application (client) de l’inscription de l’application. Le format est un GUID standard.
  • Clé secrète : copiez la clé secrète lorsque vous inscrivez l’application dans Azure AD et créez la clé secrète.
  • Expiration de la clé secrète : spécifiez la même date que dans le portail Azure.
  • URI de l’ID d’application : la valeur est l’URI d’ID d’application de l’entrée d’inscription de l’application dans Azure AD portail. Le format est similaire à https://ConfigMgrService.

Après avoir entré les informations, sélectionnez Vérifier. Ensuite, sélectionnez OK pour fermer la fenêtre Importer des applications .

Important

Quand vous utilisez une application de Azure AD importée, vous n’êtes pas informé, par des notifications de la console, de la date d’expiration à venir.

Importer une application native (client)

Lorsque vous sélectionnez Importer à partir de la fenêtre de l’application cliente , la fenêtre Importer des applications s’ouvre. Entrez les informations suivantes sur Azure AD’application native qui est déjà inscrite dans le portail Azure :

  • L’Assistant indique automatiquement le nom Azure AD client et l’ID de client en fonction de l’application web (serveur) que vous avez déjà spécifiée.
  • Nom de l’application : nom convivial de l’application.
  • ID client : valeur de l’ID d’application (client) de l’inscription de l’application. Le format est un GUID standard.

Après avoir entré les informations, sélectionnez Vérifier. Ensuite, sélectionnez OK pour fermer la fenêtre Importer des applications .

Prochaines étapes

Après avoir enregistré manuellement les deux applications dans le portail Azure, utilisez le processus décrit dans l’article suivant pour importer les applications :