Configurazione dell'integrazione con Azure
Si applica a: Windows Admin Center, Windows Admin Center (anteprima)
Windows Admin Center supporta diverse funzionalità facoltative che si integrano con i servizi di Azure. Informazioni sulle opzioni di integrazione con Azure disponibili con Windows Admin Center.
Per consentire al gateway di Windows Admin Center di comunicare con Azure per sfruttare l'autenticazione di Microsoft Entra per l'accesso al gateway o per creare risorse di Azure per conto dell'utente (ad esempio, per proteggere le VM gestite in Windows Admin Center usando Azure Site Recovery), è necessario prima registrare il gateway di Windows Admin Center con Azure. Questa operazione deve essere eseguita una sola volta per il gateway di Windows Admin Center. L'impostazione viene mantenuta quando si aggiorna il gateway a una versione più recente.
Registrare il gateway in Azure
La prima volta che si tenta di usare una funzionalità di integrazione di Azure in Windows Admin Center, viene richiesto di registrare il gateway in Azure. È anche possibile registrare il gateway passando alla scheda Azure in Impostazioni di Windows Admin Center. Solo gli amministratori del gateway di Windows Admin Center possono registrare il gateway di Windows Admin Center con Azure. Altre informazioni sulle autorizzazioni utente e amministratore di Windows Admin Center.
I passaggi guidati all'interno del prodotto creeranno un'app Microsoft Entra nella directory, che consente a Windows Admin Center di comunicare con Azure. Per visualizzare l'app Microsoft Entra creata automaticamente, passare alla scheda Azure delle impostazioni di Windows Admin Center. Il collegamento ipertestuale Visualizza in Azure consente di visualizzare l'app Microsoft Entra nel portale di Azure.
L'app Microsoft Entra creata viene usata per tutti i punti di integrazione di Azure in Windows Admin Center, inclusa l'autenticazione di Microsoft Entra per il gateway. Windows Admin Center configura automaticamente le autorizzazioni necessarie per creare e gestire le risorse di Azure per conto dell'utente:
- Microsoft Graph
- Application.Read.All
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.Read.All
- Directory.ReadWrite.All
- User.Read
- Gestione servizi di Azure
- user_impersonation
Configurazione manuale dell'app Microsoft Entra
Se si desidera configurare manualmente un'app Microsoft Entra, anziché usare l'app Microsoft Entra creata automaticamente da Windows Admin Center durante il processo di registrazione del gateway, è necessario eseguire le operazioni seguenti.
Concedere all'app Microsoft Entra le autorizzazioni API necessarie elencate in precedenza. A tale scopo, passare all'app Microsoft Entra nel portale di Azure. Andare sul portale di Azure >Microsoft Entra ID>Registrazioni app> selezionare l'app Microsoft Entra da usare. Passare quindi alla scheda Autorizzazioni API e aggiungere le autorizzazioni API elencate in precedenza.
Aggiungere l'URL del gateway di Windows Admin Center agli URL di risposta, noti anche come URI di reindirizzamento. Passare all'app Microsoft Entra, quindi a Manifest. Trovare la chiave "replyUrlsWithType" nel manifesto. All'interno della chiave aggiungere un oggetto contenente due chiavi: "url" e "type". La chiave "url" deve avere un valore dell'URL del gateway di Windows Admin Center, con aggiunta di un carattere jolly alla fine. La chiave "type" deve avere un valore "Web". Ad esempio:
"replyUrlsWithType": [ { "url": "http://localhost:6516/*", "type": "Single-Page Application" } ],
Nota
Se è abilitato Microsoft Defender Application Guard per il browser, non sarà possibile registrare Windows Admin Center in Azure o accedere ad Azure.
Risoluzione dei problemi relativi all'errore dell'applicazione a pagina singola nell'accesso ad Azure
Se l'istanza di Windows Admin Center è stata aggiornata di recente a una versione più recente e il gateway è stato registrato in precedenza con Azure, potrebbe verificarsi un errore che indica che il riscatto del token tra le origini è consentito solo per il tipo di client "Applicazione a pagina singola" al momento dell'accesso ad Azure. Questo avviene perché Windows Admin Center è cambiato il modo in cui viene eseguita l'autenticazione in base alle linee guida generali di Microsoft. Dove in precedenza è stato usato il flusso di concessione implicita, viene ora usato il flusso del codice di autorizzazione.
Se si desidera continuare a usare la registrazione dell'app esistente per l'applicazione Windows Admin Center, usare l'interfaccia di amministrazione di Microsoft Entra per aggiornare gli URI di reindirizzamento della registrazione alla piattaforma applicazione a pagina singola. In questo modo, viene abilitato il flusso del codice di autorizzazione con proof key for Code Exchange (PKCE) e il supporto corS (Cross-Origin Resource Sharing) per le applicazioni che usano tale registrazione.
Seguire questa procedura per le registrazioni app che sono attualmente configurate con gli URI di reindirizzamento della piattaforma Web:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra.
- Passare a Identity > Applications > Registrazioni app, selezionare l'applicazione e quindi Autenticazione.
- Nel riquadro della piattaforma Web sotto gli URI di reindirizzamento selezionare il banner di avviso che indica che è necessario eseguire la migrazione degli URI.
- Selezionare l'URI di reindirizzamento per l'applicazione e quindi selezionare Configura. Questi URI di reindirizzamento verranno ora visualizzati nel riquadro della piattaforma di tipo applicazione a pagina singola, che mostra che il supporto CORS con il flusso del codice di autorizzazione e PKCE sono abilitati per questi URI.
Invece di aggiornare gli URI esistenti, è possibile creare una nuova registrazione dell'applicazione per il gateway. Registrazioni app appena creati per Windows Admin Center tramite il flusso di registrazione del gateway creare URI di reindirizzamento della piattaforma applicazione a pagina singola.
Se non è possibile eseguire la migrazione degli URI di reindirizzamento della registrazione dell'applicazione per usare il flusso del codice di autenticazione, è possibile continuare a usare la registrazione dell'applicazione esistente così come è. A tale scopo, è necessario annullare la registrazione del gateway Windows Admin Center e ripetere la registrazione con lo stesso ID di registrazione dell'applicazione.