Configurer les services Azure pour une utilisation avec Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Utilisez l’Assistant Services Azure pour simplifier le processus de configuration des services cloud Azure que vous utilisez avec Configuration Manager. Cet Assistant offre une expérience de configuration courante à l’aide Azure Active Directory (Azure AD) d’application web. Ces applications fournissent des détails sur l’abonnement et la configuration, et authentifier les communications avec Azure AD. L’application remplace la saisie de ces mêmes informations chaque fois que vous définissez un nouveau composant ou service Configuration Manager avec Azure.

Services disponibles

Configurez les services Azure suivants à l’aide de cet Assistant :

Détails du service

Le tableau suivant répertorie les détails sur chacun des services.

  • Clients : nombre d’instances de service que vous pouvez configurer. Chaque instance doit être un client Azure AD distinct.

  • Clouds : tous les services supportent le cloud Azure global, mais tous les services ne le sont pas, comme le cloud Azure US Government.

  • Application web : si le service utilise une application Azure AD de type Application Web/API, également appelée application serveur dans Configuration Manager.

  • Application native : si le service utilise une application Azure AD de type natif, également appelée application cliente dans Configuration Manager.

  • Actions : si vous pouvez importer ou créer ces applications dans l’Assistant Configuration Manager Azure Services.

Service Clients Clouds Application web Application native Actions
Gestion du cloud avec
Azure AD découverte
Multiple Public, Privé Pris en charge Pris en charge Importer, Créer
Connecteur Log Analytics Un Public, Privé Pris en charge Non pris en charge Importation
Microsoft Store for
Professionnel
Un Public Pris en charge Non pris en charge Importer, Créer

À propos Azure AD applications

Différents services Azure nécessitent des configurations distinctes, que vous pouvez effectuer dans le portail Azure. En outre, les applications pour chaque service peuvent nécessiter des autorisations distinctes pour les ressources Azure.

Vous pouvez utiliser une application unique pour plusieurs services. Il n’existe qu’un seul objet à gérer dans Configuration Manager et Azure AD. Lorsque la clé de sécurité de l’application expire, vous ne devez actualiser qu’une seule clé.

Lorsque vous créez des services Azure supplémentaires dans l’Assistant, Configuration Manager est conçu pour réutiliser les informations communes entre les services. Ce comportement vous aide à ne pas avoir besoin d’entrer les mêmes informations plusieurs fois.

Pour plus d’informations sur les autorisations et configurations d’application requises pour chaque service, consultez l’article Configuration Manager pertinent dans Les services disponibles.

Pour plus d’informations sur les applications Azure, commencez par les articles suivants :

Avant de commencer

Une fois que vous avez choisi le service auquel vous souhaitez vous connecter, reportez-vous au tableau dans Détails du service. Ce tableau fournit les informations dont vous avez besoin pour terminer l’Assistant Service Azure. Discutez à l’avance avec votre Azure AD administrateur. Déterminez l’une des actions suivantes à prendre :

  • Créez manuellement les applications à l’avance dans le portail Azure. Importez ensuite les détails de l’application dans Configuration Manager.

    Conseil

    Pour plus d’informations spécifiques à la gestion cloud, voir Enregistrer manuellement Azure Active Directory applications pour la passerelle de gestion cloud.

  • Utilisez Configuration Manager pour créer directement les applications dans Azure AD. Pour collecter les données nécessaires à partir Azure AD, examinez les informations des autres sections de cet article.

Certains services nécessitent que les Azure AD doivent avoir des autorisations spécifiques. Examinez les informations de chaque service pour déterminer les autorisations requises. Par exemple, avant de pouvoir importer une application web, un administrateur Azure doit d’abord la créer dans le portail Azure.

Lors de la configuration du connecteur Log Analytics, accordez à votre collaborateur d’application web nouvellement inscrit l’autorisation sur le groupe de ressources qui contient l’espace de travail approprié. Cette autorisation permet à Configuration Manager d’accéder à cet espace de travail. Lorsque vous attribuez l’autorisation, recherchez le nom de l’inscription de l’application dans la zone Ajouter des utilisateurs du portail Azure. Ce processus est le même que lors de la fourniture à Configuration Manager d’autorisations pour Log Analytics. Un administrateur Azure doit attribuer ces autorisations avant d’importer l’application dans Configuration Manager.

Démarrer l’Assistant Azure Services

  1. Dans la console Configuration Manager, allez dans l’espace de travail Administration , développez Services Cloud et sélectionnez le nœud Azure Services .

  2. Sous l’onglet Accueil du ruban, dans le groupe Services Azure , sélectionnez Configurer Azure Services.

  3. Dans la page Services Azure de l’Assistant Services Azure :

    1. Spécifiez un nom pour l’objet dans Configuration Manager.

    2. Spécifiez une description facultative pour vous aider à identifier le service.

    3. Sélectionnez le service Azure à connecter avec Configuration Manager.

  4. Sélectionnez Suivant pour continuer à la page des propriétés de l’application Azure de l’Assistant Services Azure.

Propriétés de l’application Azure

Dans la page Application de l’Assistant Services Azure, sélectionnez d’abord l’environnement Azure dans la liste. Reportez-vous au tableau dans Détails du service pour lequel l’environnement est actuellement disponible pour le service.

Le reste de la page Application varie en fonction du service spécifique. Reportez-vous au tableau dans Détails du service pour quel type d’application le service utilise et quelle action vous pouvez utiliser.

Après avoir spécifié les applications sur cette page, sélectionnez Suivant pour continuer à la page Configuration ou découverte de l’Assistant Services Azure.

Application web

Cette application est le type Azure AD application Web/API, également appelée application serveur dans Configuration Manager.

Boîte de dialogue d’application serveur

Lorsque vous sélectionnez Parcourir l’application Web sur la page Application de l’Assistant Services Azure, la boîte de dialogue d’application Serveur s’ouvre. Il affiche une liste qui affiche les propriétés suivantes de toutes les applications web existantes :

  • Nom convivial du client
  • Nom convivial de l’application
  • Type de service

Il existe trois actions que vous pouvez prendre à partir de la boîte de dialogue d’application serveur :

Après avoir sélectionné, importé ou créé une application web, sélectionnez OK pour fermer la boîte de dialogue d’application serveur. Cette action revient à la page Application de l’Assistant Azure Services.

Boîte de dialogue Importer des applications (serveur)

Lorsque vous sélectionnez Importer à partir de la boîte de dialogue Application serveur ou de la page Application de l’Assistant Azure Services, la boîte de dialogue Importer des applications s’ouvre. Cette page vous permet d’entrer des informations sur une application web Azure AD qui est déjà créée dans le portail Azure. Il importe les métadonnées de cette application web dans Configuration Manager. Spécifiez les informations suivantes :

  • Azure AD client : nom de votre client Azure AD client.
  • Azure AD ID de client : GUID de votre Azure AD client.
  • Nom de l’application : nom convivial de l’application, nom complet dans l’inscription de l’application.
  • ID client : valeur de l’ID d’application (client) de l’inscription de l’application. Le format est un GUID standard.
  • Clé secrète : vous devez copier la clé secrète lorsque vous inscrivez l’application dans Azure AD.
  • Expiration de la clé secrète : sélectionnez une date future dans le calendrier.
  • URI de l’ID d’application : cette valeur doit être unique dans votre Azure AD client. Il se place dans le jeton d’accès utilisé par le client Configuration Manager pour demander l’accès au service. La valeur est l’URI d’ID d’application de l’entrée d’inscription de l’application dans Azure AD portail.

Après avoir entré les informations, sélectionnez Vérifier. Ensuite, sélectionnez OK pour fermer la boîte de dialogue Importer des applications. Cette action renvoie à la page Application de l’Assistant Azure Services ou à la boîte de dialogue d’application Serveur.

Important

Quand vous utilisez une application de Azure AD importée, vous n’êtes pas informé, par des notifications de la console, de la date d’expiration à venir.

Boîte de dialogue Créer une application serveur

Lorsque vous sélectionnez Créer à partir de la boîte de dialogue Application serveur, la boîte de dialogue Créer une application serveur s’ouvre. Cette page automatise la création d’une application web dans Azure AD. Spécifiez les informations suivantes :

  • Nom de l’application : nom convivial de l’application.

  • URL de la page d’accueil : cette valeur n’est pas utilisée par Configuration Manager, mais requise par Azure AD. Par défaut, cette valeur est https://ConfigMgrService.

  • URI de l’ID d’application : cette valeur doit être unique dans votre Azure AD client. Il se place dans le jeton d’accès utilisé par le client Configuration Manager pour demander l’accès au service. Par défaut, cette valeur est https://ConfigMgrService. Modifiez la valeur par défaut en l’un des formats recommandés suivants :

    • api://{tenantId}/{string}, par exemple, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}, par exemple, https://contoso.onmicrosoft.com/ConfigMgrService
  • Période de validité de la clé secrète : choisissez 1 an ou 2 ans dans la liste liste. Un an est la valeur par défaut.

    Notes

    Vous pouvez voir une option jamais, mais Azure AD ne la prend plus en charge. Si vous avez précédemment sélectionné cette option, la date d’expiration est désormais définie pour 99 ans à partir de la date à laquelle vous l’avez créée.

Sélectionnez Se connectez pour vous authentifier à Azure en tant qu’utilisateur administratif. Ces informations d’identification ne sont pas enregistrées par Configuration Manager. Ce personnage ne nécessite pas d’autorisations dans Configuration Manager et ne doit pas nécessairement être le même compte que celui qui exécute l’Assistant Services Azure. Après l’authentification réussie à Azure, la page affiche le nom Azure AD client à référencer.

Sélectionnez OK pour créer l’application web dans Azure AD et fermez la boîte de dialogue Créer une application serveur. Cette action renvoie à la boîte de dialogue d’application Serveur.

Notes

Si une stratégie d Azure AD conditionnel est définie et s’applique à toutes les applications cloud, vous devez exclure l’application serveur créée de cette stratégie. Pour plus d’informations sur l’exclusion d’applications spécifiques, voir Azure AD documentation sur l’accès conditionnel.

Application Client natif

Cette application est le type Azure AD natif, également appelé application cliente dans Configuration Manager.

Boîte de dialogue Application cliente

Lorsque vous sélectionnez Parcourir l’application Client natif sur la page Application de l’Assistant Services Azure, la boîte de dialogue Application cliente s’ouvre. Il affiche une liste qui affiche les propriétés suivantes de toutes les applications natives existantes :

  • Nom convivial du client
  • Nom convivial de l’application
  • Type de service

Il existe trois actions que vous pouvez prendre à partir de la boîte de dialogue Application cliente :

Après avoir sélectionné, importé ou créé une application native, choisissez OK pour fermer la boîte de dialogue Application cliente. Cette action revient à la page Application de l’Assistant Azure Services.

Boîte de dialogue Importer des applications (client)

Lorsque vous sélectionnez Importer à partir de la boîte de dialogue Application cliente, la boîte de dialogue Importer des applications s’ouvre. Cette page vous permet d’entrer des informations sur Azure AD application native qui est déjà créée dans le portail Azure. Il importe les métadonnées sur cette application native dans Configuration Manager. Spécifiez les informations suivantes :

  • Nom de l’application : nom convivial de l’application.
  • ID client : valeur de l’ID d’application (client) de l’inscription de l’application. Le format est un GUID standard.

Après avoir entré les informations, sélectionnez Vérifier. Ensuite, sélectionnez OK pour fermer la boîte de dialogue Importer des applications. Cette action renvoie à la boîte de dialogue Application cliente.

Conseil

Lorsque vous inscrivez l’application dans Azure AD, vous devrez peut-être spécifier manuellement l’URI de redirection suivant : ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID> Spécifiez le GUID de l’ID client de l’application, par exemple : ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49

Boîte de dialogue Créer une application cliente

Lorsque vous sélectionnez Créer à partir de la boîte de dialogue Application cliente, la boîte de dialogue Créer une application cliente s’ouvre. Cette page automatise la création d’une application native dans Azure AD. Spécifiez les informations suivantes :

  • Nom de l’application : nom convivial de l’application.
  • URL de réponse : cette valeur n’est pas utilisée par Configuration Manager, mais requise par Azure AD. Par défaut, cette valeur est https://ConfigMgrService.

Sélectionnez Se connectez pour vous authentifier à Azure en tant qu’utilisateur administratif. Ces informations d’identification ne sont pas enregistrées par Configuration Manager. Ce personnage ne nécessite pas d’autorisations dans Configuration Manager et ne doit pas nécessairement être le même compte que celui qui exécute l’Assistant Services Azure. Après l’authentification réussie à Azure, la page affiche le nom Azure AD client à référencer.

Sélectionnez OK pour créer l’application native dans Azure AD et fermez la boîte de dialogue Créer une application cliente. Cette action renvoie à la boîte de dialogue Application cliente.

Configuration ou découverte

Après avoir spécifié les applications web et natives sur la page Applications, l’Assistant Azure Services passe à une page de configuration ou de découverte, en fonction du service auquel vous vous connectez. Les détails de cette page varient d’un service à l’autre. Pour plus d’informations, consultez l’un des articles suivants :

Enfin, terminez l’Assistant Azure Services via les pages Résumé, Progression et Achèvement. Vous avez terminé la configuration d’un service Azure dans Configuration Manager. Répétez ce processus pour configurer d’autres services Azure.

Mettre à jour les paramètres de l’application

Pour permettre à vos clients Configuration Manager de demander un jeton d’appareil Azure AD et d’activer les autorisations de données du répertoire de lecture, vous devez mettre à jour les paramètres de l’application serveur web.

  1. Dans la console Configuration Manager, allez dans l’espace de travail Administration, développez Services Cloud et sélectionnez le nœud Azure Active Directory client.
  2. Sélectionnez le Azure AD client de l’application que vous souhaitez mettre à jour.
  3. Dans la section Applications, sélectionnez votre application Azure AD serveur web, puis sélectionnez Mettre à Paramètres application dans le ruban.
  4. Lorsque vous êtes invité à confirmer, sélectionnez Oui pour confirmer que vous souhaitez mettre à jour l’application avec les derniers paramètres.

Renouveler la clé secrète

Vous devez renouveler la clé Azure AD clé secrète de l’application avant la fin de sa période de validité. Si vous laissez la clé expirer, Configuration Manager ne peut pas s’authentifier auprès de Azure AD, ce qui entraîne l’arrêt du fonctionnement de vos services Azure connectés.

À compter de la version 2006, la console Configuration Manager affiche les notifications pour les circonstances suivantes :

  • Une ou plusieurs clés secrètes Azure AD’application vont bientôt expirer
  • Une ou plusieurs clés secrètes Azure AD’application ont expiré

Pour atténuer les deux cas, renouvelez la clé secrète.

Pour plus d’informations sur l’interaction avec ces notifications, voir notifications de la console Configuration Manager.

Notes

Vous devez au moins avoir le rôle « Administrateur d’application cloud » Azure AD pour être en mesure de renouveler la clé.

Clé de renouvellement pour l’application créée

  1. Dans la console Configuration Manager, allez dans l’espace de travail Administration, développez Services Cloud et sélectionnez le nœud Azure Active Directory client.

  2. Dans le volet Détails, sélectionnez le Azure AD client de l’application.

  3. Dans le ruban, sélectionnez Renouveler la clé secrète. Entrez les informations d’identification du propriétaire de l’application ou d’Azure AD administrateur.

Clé de renouvellement pour l’application importée

Si vous avez importé l’application Azure dans Configuration Manager, utilisez le portail Azure pour le renouveler. Notez la nouvelle clé secrète et la date d’expiration. Ajoutez ces informations dans l’Assistant Renouveler la clé secrète.

Notes

Enregistrez la clé secrète avant de fermer la page Clé des propriétés de l’application Azure. Ces informations sont supprimées lorsque vous fermez la page.

Désactiver l’authentification

À partir de la version 2010, vous pouvez désactiver l’authentification Azure AD pour les clients non associés aux utilisateurs et appareils. Lorsque vous intégrerez Configuration Manager Azure AD, il permet au site et aux clients d’utiliser l’authentification moderne. Actuellement, Azure AD’authentification de l’appareil est activée pour tous les locataires intégrés, qu’ils disposent ou non d’appareils. Par exemple, vous disposez d’un client distinct avec un abonnement que vous utilisez pour calculer des ressources afin de prendre en charge une passerelle de gestion cloud. Si aucun utilisateur ou périphérique n’est associé au client, désactivez l’authentification Azure AD client.

  1. Dans la console Configuration Manager, allez dans l’espace de travail Administration .

  2. Développez Services Cloud et sélectionnez le nœud Azure Services.

  3. Sélectionnez la connexion cible de type Gestion du cloud. Dans le ruban, sélectionnez Propriétés.

  4. Basculez vers l’onglet Applications .

  5. Sélectionnez l’option Désactiver l’authentification Azure Active Directory pour ce client.

  6. Sélectionnez OK pour enregistrer et fermer les propriétés de connexion.

Conseil

L’application de cette modification sur les clients peut prendre jusqu’à 25 heures. Pour des raisons de test afin d’accélérer ce changement de comportement, utilisez les étapes suivantes :

  1. Redémarrez le service sms_executive sur le serveur de site.
  2. Redémarrez le service ccmexec sur le client.
  3. Déclenchez la planification du client pour actualiser le point de gestion par défaut. Par exemple, utilisez l’outil de planification d’envoi : SendSchedule {00000000-0000-0000-0000-000000000023}

Afficher la configuration d’un service Azure

Affichez les propriétés d’un service Azure que vous avez configuré pour une utilisation. Dans la console Configuration Manager, allez dans l’espace de travail Administration , développez Services Cloud et sélectionnez Azure Services. Sélectionnez le service que vous souhaitez afficher ou modifier, puis sélectionnez Propriétés.

Si vous sélectionnez un service, puis choisissez Supprimer dans le ruban, cette action supprime la connexion dans Configuration Manager. Elle ne supprime pas l’application dans Azure AD. Demandez à votre administrateur Azure de supprimer l’application lorsqu’elle n’est plus nécessaire. Ou exécutez l’Assistant Service Azure pour importer l’application.

Flux de données de gestion cloud

Le diagramme suivant est un flux de données conceptuel pour l’interaction entre Configuration Manager, Azure AD et les services cloud connectés. Cet exemple spécifique utilise le service de gestion cloud, qui inclut un client Windows 10, ainsi que des applications serveur et client. Les flux pour d’autres services sont similaires.

Diagramme de flux de données pour Configuration Manager avec Azure AD et gestion cloud

  1. L’administrateur Configuration Manager importe ou crée les applications client et serveur dans Azure AD.

  2. Configuration Manager Azure AD de découverte d’utilisateurs s’exécute. Le site utilise le jeton Azure AD’application serveur pour interroger Microsoft Graph des objets utilisateur.

  3. Le site stocke les données relatives aux objets utilisateur. Pour plus d’informations, voir Azure AD la découverte d’utilisateurs.

  4. Le client Configuration Manager demande le jeton Azure AD’utilisateur. Le client effectue la revendication à l’aide de l’ID d’application Azure AD l’application cliente et de l’application serveur en tant qu’audience. Pour plus d’informations, voir Claims in Azure AD Security Tokens.

  5. Le client s’authentifier auprès du site en présentant le jeton Azure AD à la passerelle de gestion cloud et au point de gestion HTTPS local.

Pour plus d’informations, voir Azure AD d’authentification.