Konfigurowanie identyfikatora Microsoft Entra dla usługi CMG

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Drugim podstawowym krokiem konfigurowania bramy zarządzania chmurą (CMG) jest zintegrowanie lokacji Configuration Manager z dzierżawą Microsoft Entra. Ta integracja umożliwia witrynie uwierzytelnianie przy użyciu identyfikatora Microsoft Entra, którego używa do wdrażania i monitorowania usługi CMG. Jeśli w następnym kroku wybierzesz metodę uwierzytelniania Microsoft Entra dla klientów, ta integracja jest warunkiem wstępnym dla tej metody uwierzytelniania.

Porada

Ten artykuł zawiera opisowe wskazówki dotyczące integracji lokacji specjalnie z bramą zarządzania chmurą. Aby uzyskać więcej informacji na temat tego procesu i innych zastosowań węzła usług platformy Azure w konsoli Configuration Manager, zobacz Konfigurowanie usług platformy Azure.

Podczas integracji witryny tworzysz rejestracje aplikacji w Microsoft Entra identyfikatorze. Usługa CMG wymaga dwóch rejestracji aplikacji:

• Aplikacja internetowa (nazywana również aplikacją serwera w Configuration Manager)
• Aplikacja natywna (nazywana również aplikacją kliencką w Configuration Manager)

Istnieją dwie metody tworzenia tych aplikacji, z których obie wymagają roli administratora globalnego w Microsoft Entra identyfikatorze:

• Użyj Configuration Manager, aby zautomatyzować tworzenie aplikacji podczas integracji witryny.
• Ręcznie utwórz aplikacje z wyprzedzeniem, a następnie zaimportuj je podczas integracji witryny.

Ten artykuł jest głównie zgodny z pierwszą metodą. Aby uzyskać więcej informacji na temat innej metody, zobacz Ręczne rejestrowanie aplikacji Microsoft Entra dla usługi CMG.

Przed rozpoczęciem upewnij się, że masz dostępnego administratora globalnego identyfikatora Microsoft Entra.

Uwaga

Jeśli planujesz zaimportować wstępnie utworzone rejestracje aplikacji, najpierw musisz je utworzyć w Microsoft Entra identyfikatorze. Zacznij od artykułu Ręczne rejestrowanie aplikacji Microsoft Entra dla usługi CMG. Następnie wróć do tego artykułu, aby uruchomić kreatora usług platformy Azure i zaimportować aplikacje do Configuration Manager.

Przeznaczenie rejestracji aplikacji

Te dwie Microsoft Entra rejestracje aplikacji reprezentują serwer i stronę klienta cmg.

• Aplikacja kliencka reprezentuje zarządzanych klientów i użytkowników, którzy łączą się z usługą CMG. Definiuje ona zasoby, do których mają dostęp na platformie Azure, w tym samą grupę cmg.

• Aplikacja serwera reprezentuje składniki cmg hostowane na platformie Azure. Definiuje ona zasoby, do których mają dostęp na platformie Azure. Aplikacja serwera służy do ułatwiania uwierzytelniania i autoryzacji od zarządzanych klientów, użytkowników i punktu połączenia cmg do składników cmg opartych na platformie Azure. Ta komunikacja obejmuje ruch do lokalnych punktów zarządzania i punktów aktualizacji oprogramowania, początkową aprowizację cmg na platformie Azure i odnajdywanie Microsoft Entra.

Jeśli klienci używają certyfikatów uwierzytelniania klienta wystawionych przez infrastrukturę PKI, dwie aplikacje klienckie nie są używane do działania zorientowanego na urządzenia. Na przykład dystrybucja oprogramowania przeznaczona dla kolekcji urządzeń. Działanie zorientowane na użytkownika zawsze używa tych dwóch rejestracji aplikacji do celów uwierzytelniania i autoryzacji.

Uruchamianie kreatora usług platformy Azure

1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Cloud Services i wybierz węzeł Usługi platformy Azure.

2. Na karcie Narzędzia główne na wstążce w grupie Usługi platformy Azure* wybierz pozycję Konfiguruj usługi platformy Azure.

3. Na stronie Usługi platformy Azure Kreatora usług platformy Azure:

   1. Określ nazwę obiektu w Configuration Manager. Ta nazwa służy tylko do identyfikowania połączenia w Configuration Manager.

   2. Określ opcjonalny opis , aby dalej identyfikować to połączenie z usługą.

   3. Wybierz usługę Cloud Management .

4. Na stronie AplikacjaKreatora usług platformy Azure wybierz środowisko platformy Azure dla dzierżawy:

   • AzurePublicCloud: Dzierżawa znajduje się w globalnej chmurze platformy Azure.
   • AzureUSGovernmentCloud: Dzierżawa znajduje się w chmurze azure us government.

Tworzenie rejestracji aplikacji internetowej (serwera)

1. Na stronie Aplikacja okna Kreator usług platformy Azure dla aplikacji internetowej wybierz pozycję Przeglądaj.

2. W oknie Aplikacja serwera wybierz pozycję Utwórz, aby użyć Configuration Manager w celu zautomatyzowania tworzenia aplikacji.

3. W oknie Tworzenie aplikacji serwera określ następujące informacje:

   • Nazwa aplikacji: przyjazna nazwa aplikacji.

   • Adres URL strony głównej: ta wartość nie jest używana przez Configuration Manager, ale jest wymagana przez identyfikator Microsoft Entra. Domyślnie ta wartość to https://ConfigMgrService.

   • Identyfikator URI identyfikatora aplikacji: ta wartość musi być unikatowa w dzierżawie Microsoft Entra. Jest on w tokenie dostępu używanym przez klienta Configuration Manager w celu żądania dostępu do usługi. Domyślnie ta wartość to https://ConfigMgrService. Zmień wartość domyślną na jeden z następujących zalecanych formatów:

     • api://{tenantId}/{string}, na przykład api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}, na przykład https://contoso.onmicrosoft.com/ConfigMgrService

   • Okres ważności klucza tajnego: wybierz z listy rozwijanej 1 rok lub 2 lata . Jeden rok jest wartością domyślną.

   • Microsoft Entra konto administratora: wybierz pozycję Zaloguj się, aby uwierzytelnić się w celu Microsoft Entra identyfikatora jako administrator globalny. Configuration Manager nie zapisuje tych poświadczeń. Ta osoba nie wymaga uprawnień w Configuration Manager i nie musi być tym samym kontem, na które jest uruchomiony Kreator usług platformy Azure. Po pomyślnym uwierzytelnieniu na platformie Azure na stronie jest wyświetlana nazwa dzierżawy Microsoft Entra do odwołania.

4. Wybierz przycisk OK, aby utworzyć aplikację internetową w Microsoft Entra identyfikatorze, a następnie zamknij okno Tworzenie aplikacji serwera.

5. W oknie Aplikacja serwera upewnij się, że wybrano nową aplikację, a następnie wybierz przycisk OK , aby zapisać i zamknąć okno.

Uwaga

Począwszy od Configuration Manager bieżącej gałęzi w wersji 2309, zwiększyliśmy bezpieczeństwo aplikacji internetowej (serwera) na potrzeby tworzenia programu CMG. W przypadku tworzenia nowej usługi CMG użytkownicy mogą wybrać dzierżawę i nazwę aplikacji przy użyciu Microsoft Entra nazwy dzierżawy. Po wybraniu nazwy dzierżawy i aplikacji zostanie wyświetlony przycisk logowania, postępuj zgodnie z instrukcjami cmg konfiguracji.

Istniejący klienci programu CMG muszą zaktualizować swoją aplikację serwera internetowego, przechodząc do węzła Microsoft Entra dzierżawy —> wybierz dzierżawę —> wybierz aplikację serwera —> kliknij pozycję "Zaktualizuj ustawienia aplikacji".

Tworzenie rejestracji aplikacji natywnej (klienta)

1. Na stronie Aplikacja w oknie Kreator usług platformy Azure dla aplikacji Klient natywny wybierz pozycję Przeglądaj.

2. W oknie Aplikacja kliencka wybierz pozycję Utwórz, aby użyć Configuration Manager w celu zautomatyzowania tworzenia aplikacji.

3. W oknie Tworzenie aplikacji klienckiej określ następujące informacje:

   • Nazwa aplikacji: przyjazna nazwa aplikacji.

   • Microsoft Entra konto administratora: wybierz pozycję Zaloguj się, aby uwierzytelnić się w celu Microsoft Entra identyfikatora jako administrator globalny. Configuration Manager nie zapisuje tych poświadczeń. Ta osoba nie wymaga uprawnień w Configuration Manager i nie musi być tym samym kontem, na które jest uruchomiony Kreator usług platformy Azure. Po pomyślnym uwierzytelnieniu na platformie Azure na stronie jest wyświetlana nazwa dzierżawy Microsoft Entra do odwołania.

4. Wybierz przycisk OK, aby utworzyć aplikację natywną w Microsoft Entra identyfikatorze, a następnie zamknij okno Tworzenie aplikacji klienckiej.

5. W oknie Aplikacja kliencka upewnij się, że wybrano nową aplikację, a następnie wybierz przycisk OK , aby zapisać i zamknąć okno.

Ukończ pracę kreatora usług platformy Azure

1. W Kreatorze usług platformy Azure upewnij się, że zarówno wartość aplikacji internetowej , jak i natywnej aplikacji klienckiej są kompletne. Wybierz przycisk Dalej, aby kontynuować.

2. Strona Odnajdywanie kreatora jest konieczna tylko w niektórych scenariuszach. Jest to opcjonalne podczas dołączania witryny do Microsoft Entra identyfikatora i nie jest wymagane do utworzenia cmg. Jeśli potrzebujesz go do obsługi określonych funkcji w środowisku, możesz włączyć ją później.

   Aby uzyskać więcej informacji na temat scenariuszy cmg, które mogą wymagać Microsoft Entra odnajdywania użytkowników, zobacz Konfigurowanie uwierzytelniania klienta: Microsoft Entra identyfikator i instalowanie klientów przy użyciu identyfikatora Microsoft Entra.

   Aby uzyskać więcej informacji na temat tej metody odnajdywania, zobacz Konfigurowanie Microsoft Entra odnajdywania użytkowników.

3. Przejrzyj ustawienia i ukończ pracę kreatora.

Po zamknięciu kreatora zobaczysz nowe połączenie w węźle Usługi platformy Azure . Możesz również wyświetlić rejestracje dzierżawy i aplikacji w węźle dzierżaw Microsoft Entra konsoli Configuration Manager.

Wyłączanie uwierzytelniania Microsoft Entra dla dzierżaw innych niż urządzenia lub użytkowników

Jeśli urządzenia znajdują się w dzierżawie Microsoft Entra, która jest oddzielona od dzierżawy z subskrypcją zasobów obliczeniowych cmg, możesz wyłączyć uwierzytelnianie dla dzierżaw, które nie są skojarzone z użytkownikami i urządzeniami.

1. Otwórz właściwości usługi Cloud Management .

2. Przejdź do karty Aplikacje .

3. Wybierz opcję Wyłącz uwierzytelnianie Microsoft Entra dla tej dzierżawy.

Aby uzyskać więcej informacji, zobacz Konfigurowanie usług platformy Azure.

Konfigurowanie dostawców zasobów platformy Azure

Usługa CMG wymaga zarejestrowania określonych dostawców zasobów w subskrypcji platformy Azure. Podczas wdrażania usługi CMG w zestawie skalowania maszyn wirtualnych zarejestruj następujących dostawców zasobów:

• Microsoft.KeyVault
• Microsoft.Storage
• Microsoft.Network
• Microsoft.Compute

Uwaga

Jeśli wcześniej wdrożono grupę cmg przy użyciu klasycznej usługi w chmurze, subskrypcja platformy Azure wymaga następujących dwóch dostawców zasobów:

• Microsoft.ClassicCompute
• Microsoft.Storage

Począwszy od wersji 2203, opcja wdrożenia cmg jako usługi w chmurze (klasycznej) jest usuwana. Wszystkie wdrożenia cmg powinny używać zestawu skalowania maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Funkcje usunięte i przestarzałe.

Konto Microsoft Entra musi mieć uprawnienia do wykonywania /register/action operacji dla dostawcy zasobów. Domyślnie role Współautor i Właściciel obejmują to uprawnienie.

Poniższe kroki podsumowują proces rejestrowania dostawcy zasobów. Aby uzyskać więcej informacji, zobacz Dostawcy i typy zasobów platformy Azure.

1. Zaloguj się do witryny Azure Portal.

2. W menu Azure Portal wyszukaj pozycję Subskrypcje. Wybierz go z dostępnych opcji.

3. Wybierz subskrypcję, którą chcesz wyświetlić.

4. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Dostawcy zasobów.

5. Znajdź dostawcę zasobów, który chcesz zarejestrować, i wybierz pozycję Zarejestruj. Aby zachować najmniejsze uprawnienia w subskrypcji, zarejestruj tylko tych dostawców zasobów, których możesz użyć.

Automatyzowanie przy użyciu programu PowerShell

Opcjonalnie możesz zautomatyzować aspekty tych konfiguracji przy użyciu programu PowerShell.

1. Użyj polecenia cmdlet Import-CMAADServerApplication, aby zdefiniować aplikację internetową/serwer Microsoft Entra w Configuration Manager.

2. Użyj polecenia cmdlet Import-CMAADClientApplication, aby zdefiniować aplikację Microsoft Entra natywną/kliencką w Configuration Manager.

3. Użyj polecenia cmdlet Get-CMAADApplication , aby uzyskać zaimportowane obiekty aplikacji.

4. Następnie przekaż obiekty aplikacji do polecenia cmdlet New-CMCloudManagementAzureService, aby utworzyć usługę platformy Azure do zarządzania chmurą w Configuration Manager.

Następne kroki

Kontynuuj konfigurację cmg, decydując, jakiego typu uwierzytelniania klienta użyć:

Konfigurowanie uwierzytelniania klienta