Ręczne rejestrowanie aplikacji Microsoft Entra dla cmg

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Drugim podstawowym krokiem konfigurowania bramy zarządzania chmurą (CMG) jest zintegrowanie lokacji Configuration Manager z dzierżawą Microsoft Entra. Ta integracja umożliwia lokacji uwierzytelnianie przy użyciu Tożsamość Microsoft Entra, która służy do wdrażania i monitorowania usługi CMG. Jeśli nie możesz użyć Configuration Manager do zautomatyzowania tworzenia aplikacji podczas pracy Kreatora usługi platformy Azure, możesz użyć kreatora do zaimportowania wcześniej utworzonej aplikacji. Jeśli na przykład administratorzy platformy Azure wymagają ręcznego utworzenia wszystkich Microsoft Entra rejestracji aplikacji, użyj tego procesu.

Porada

Ten artykuł zawiera opisowe wskazówki dotyczące integracji lokacji specjalnie z bramą zarządzania chmurą. Aby uzyskać więcej informacji na temat tego procesu i innych zastosowań węzła usług platformy Azure w konsoli Configuration Manager, zobacz Konfigurowanie usług platformy Azure.

Podczas integrowania witryny tworzysz rejestracje aplikacji w Tożsamość Microsoft Entra. Usługa CMG wymaga dwóch rejestracji aplikacji:

• Aplikacja internetowa (nazywana również aplikacją serwera w Configuration Manager)
• Aplikacja natywna (nazywana również aplikacją kliencką w Configuration Manager)

Istnieją dwie metody tworzenia tych aplikacji, z których obie wymagają roli administratora globalnego w Tożsamość Microsoft Entra:

• Użyj Configuration Manager, aby zautomatyzować tworzenie aplikacji podczas integracji witryny.
• Ręcznie utwórz aplikacje z wyprzedzeniem, a następnie zaimportuj je podczas integracji witryny.

Ten artykuł zawiera szczegółowe informacje dotyczące drugiej metody. Sparuj te instrukcje z procedurami opisanymi w artykule Konfigurowanie Tożsamość Microsoft Entra dla usługi CMG, aby ukończyć proces.

Uzyskiwanie szczegółów dzierżawy

Porada

Podczas tego procesu należy zanotować kilka wartości, które będą używane później. Otwórz aplikację, taką jak Notatnik systemu Windows, aby wkleić wartości skopiowane z witryny Azure Portal.

Najpierw należy zanotować nazwę Microsoft Entra dzierżawy i identyfikator dzierżawy. Te wartości to dwie pierwsze informacje potrzebne do zaimportowania rejestracji aplikacji w Configuration Manager.

1. W Azure Portal wybierz pozycję Tożsamość Microsoft Entra.

2. W menu Tożsamość Microsoft Entra wybierz pozycję Niestandardowe nazwy domen.

3. Zanotuj nazwę dzierżawy. Na przykład contoso.onmicrosoft.com.

4. W menu Tożsamość Microsoft Entra wybierz pozycję Właściwości.

5. Skopiuj wartość identyfikatora GUID dzierżawy .

Rejestrowanie aplikacji internetowej (serwera)

1. W menu Tożsamość Microsoft Entra wybierz pozycję Rejestracje aplikacji. Wybierz pozycję Nowa rejestracja , aby utworzyć nową aplikację.

2. W okienku Rejestrowanie aplikacji określ następujące informacje:

   • Nazwa: przyjazna nazwa aplikacji. Na przykład CMG-ServerApp.
   • Obsługiwane typy kont: pozostaw to ustawienie jako domyślną opcję Konta tylko w tym katalogu organizacyjnym.
   • Identyfikator URI przekierowania: wybierz pozycję Klient publiczny/natywny (mobile &desktop) i wpisz http://localhost jako identyfikator URI

3. Wybierz pozycję Zarejestruj , aby utworzyć aplikację.

4. We właściwościach nowej aplikacji skopiuj następujące wartości:

   • Nazwa wyświetlana: ta wartość jest przyjazną nazwą rejestracji aplikacji, która będzie używana później jako nazwa aplikacji.
   • Identyfikator aplikacji (klienta): użyjesz tej wartości identyfikatora GUID później jako identyfikatora klienta.

5. W menu właściwości aplikacji wybierz pozycję Certyfikaty & wpisów tajnych, a następnie wybierz pozycję Nowy klucz tajny klienta.

   • Opis: możesz użyć dowolnej nazwy wpisu tajnego lub pozostawić ją pustą.
   • Wygasa: wybierz 12 miesięcy lub 24 miesiące.

   Wybierz opcję Dodaj. Natychmiast skopiuj ciąg klucza tajnego klienta Value i Expires. Jeśli opuścisz to okienko, nie będzie można ponownie pobrać tego samego wpisu tajnego. Te wartości będą używane później jako wartości wygaśnięcia klucza tajnego i klucza tajnego .

6. Jeśli zamierzasz używać funkcji odnajdywania użytkowników Microsoft Entra w Configuration Manager, musisz dostosować uprawnienia tej aplikacji. W menu właściwości aplikacji wybierz pozycję Uprawnienia interfejsu API. Domyślnie powinien mieć uprawnienie User.Read dla interfejsu API programu Microsoft Graph , które należy zmienić.

   1. Wybierz pozycję Microsoft Graph , aby wyliczyć listę dostępnych uprawnień interfejsu API, a następnie wybierz pozycję Uprawnienia aplikacji.

   2. Rozwiń węzeł Katalog, a następnie wybierz pozycję Directory.Read.All.

   3. Przełącz się na uprawnienia delegowane.

   4. Rozwiń węzeł Użytkownik i usuń uprawnienie User.Read .

   5. Wybierz pozycję Aktualizuj uprawnienia.

   6. W okienku Uprawnienia interfejsu API wybierz pozycję Udziel zgody administratora na..., a następnie wybierz pozycję Tak.

7. W menu właściwości aplikacji wybierz pozycję Uwidaczniaj interfejs API.

   1. W polu Identyfikator URI identyfikatora aplikacji wybierz pozycję Dodaj. Określ identyfikator URI unikatowy dla dzierżawy. Użyjesz tej wartości później jako identyfikatora URI identyfikatora aplikacji. Użyj jednego z następujących zalecanych formatów:

      • api://{tenantId}/{string}, na przykład api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, na przykład https://contoso.onmicrosoft.com/ConfigMgrService

      Wybierz Zapisz.

   2. Wybierz pozycję Dodaj zakres i określ następujące wymagane informacje:

      • Nazwa zakresu: user_impersonation
      • Kto może wyrazić zgodę: wybierz pozycję Administratorzy i użytkownicy
      • Administracja nazwa wyświetlana zgody: określ znaczącą nazwę. Na przykład Access CMG-ServerApp
      • Administracja opis zgody: określ zrozumiały opis. Na przykład Allow the application to access CMG-ServerApp on behalf of the signed-in user.

   3. Wybierz pozycję Dodaj zakres , aby zapisać.

8. W menu właściwości aplikacji wybierz pozycję Manifest. Ustaw wartość oauth2AllowIdTokenImplicitFlow na wartość true. Przykład:

   "oauth2AllowIdTokenImplicitFlow": true,
   

   Wybierz Zapisz.

Aplikacja internetowa (serwer) dla usługi CMG jest teraz zarejestrowana w Tożsamość Microsoft Entra.

Rejestrowanie aplikacji natywnej (klienckiej)

1. W menu Tożsamość Microsoft Entra wybierz pozycję Rejestracje aplikacji. Wybierz pozycję Nowa rejestracja , aby utworzyć nową aplikację.

2. W okienku Rejestrowanie aplikacji określ następujące informacje:

   • Nazwa: przyjazna nazwa aplikacji. Na przykład CMG-ClientApp.
   • Obsługiwane typy kont: pozostaw to ustawienie jako domyślną opcję Konta tylko w tym katalogu organizacyjnym.
   • Identyfikator URI przekierowania: pozostaw tę opcjonalną wartość pustą.

3. Wybierz pozycję Zarejestruj , aby utworzyć aplikację.

4. We właściwościach nowej aplikacji skopiuj następujące wartości:

   • Nazwa wyświetlana: ta wartość jest przyjazną nazwą rejestracji aplikacji, która będzie używana później jako nazwa aplikacji.
   • Identyfikator aplikacji (klienta): użyjesz tej wartości identyfikatora GUID później jako identyfikatora klienta.

5. W menu właściwości aplikacji wybierz pozycję Uwierzytelnianie.

   1. W obszarze Konfiguracje platformy wybierz pozycję Dodaj platformę.

      1. W okienku Konfigurowanie platform wybierz pozycję Aplikacje mobilne i klasyczne.

      2. W okienku Konfigurowanie pulpitu i urządzeń w obszarze Niestandardowe identyfikatory URI przekierowania określ wartość ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Użyj identyfikatora GUID klienta aplikacji, na przykład: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Wybierz pozycję Konfiguruj.

   2. W obszarze Ustawienia zaawansowane ustaw opcję Zezwalaj na przepływy klienta publicznego na wartość Tak. Wybierz Zapisz.

6. Dostosuj uprawnienia do tej aplikacji. W menu właściwości aplikacji wybierz pozycję Uprawnienia interfejsu API. Domyślnie powinien mieć delegowane uprawnienie User.Read dla interfejsu API programu Microsoft Graph .

   1. W okienku Uprawnienia interfejsu API wybierz pozycję Dodaj uprawnienie.

   2. Przejdź do karty Moje interfejsy API i wybierz aplikację internetową (serwer). Na przykład CMG-ServerApp. Wybierz uprawnienie user_impersonation , a następnie wybierz pozycję Dodaj uprawnienia do zapisania.

   3. W okienku Uprawnienia interfejsu API wybierz pozycję Udziel zgody administratora dla..., a następnie wybierz pozycję Tak.

7. W menu właściwości aplikacji wybierz pozycję Manifest. Ustaw wartość oauth2AllowIdTokenImplicitFlow na wartość true. Przykład:

   "oauth2AllowIdTokenImplicitFlow": true,
   

   Wybierz Zapisz.

Aplikacja natywna (kliencka) dla usługi CMG jest teraz zarejestrowana w Tożsamość Microsoft Entra. Ten krok kończy również proces w Azure Portal. Rola administratora globalnego platformy Azure jest wykonywana.

Importowanie aplikacji do Configuration Manager

Po ręcznym zarejestrowaniu dwóch aplikacji w Azure Portal użyj procesu w artykule Configure Tożsamość Microsoft Entra for CMG (Konfigurowanie Tożsamość Microsoft Entra dla usługi CMG), ale wybierz opcję Importuj każdą z aplikacji.

Te procesy importują metadane dotyczące aplikacji Microsoft Entra do Configuration Manager. Nie potrzebujesz żadnych uprawnień Microsoft Entra do importowania tych aplikacji.

Importowanie aplikacji internetowej (serwera)

Po wybraniu pozycji Importuj w oknie Aplikacji serwera zostanie otwarte okno Importowanie aplikacji . Wprowadź następujące informacje dotyczące aplikacji internetowej Microsoft Entra, która jest już zarejestrowana w Azure Portal:

• Microsoft Entra nazwa dzierżawy: nazwa dzierżawy Microsoft Entra.
• Microsoft Entra identyfikator dzierżawy: identyfikator GUID dzierżawy Microsoft Entra.
• Nazwa aplikacji: przyjazna nazwa aplikacji, nazwa wyświetlana w rejestracji aplikacji.
• Identyfikator klienta: wartość identyfikatora aplikacji (klienta) rejestracji aplikacji. Format jest standardowym identyfikatorem GUID.
• Klucz tajny: skopiuj klucz tajny podczas rejestrowania aplikacji w Tożsamość Microsoft Entra i tworzenia klucza tajnego.
• Wygaśnięcie klucza tajnego: określ tę samą datę co w Azure Portal.
• Identyfikator URI identyfikatora aplikacji: wartość to identyfikator URI identyfikatora aplikacji wpisu rejestracji aplikacji w centrum administracyjne Microsoft Entra. Format jest podobny do formatu https://ConfigMgrService.

Po wprowadzeniu informacji wybierz pozycję Weryfikuj. Następnie wybierz przycisk OK , aby zamknąć okno Importowanie aplikacji .

Ważna

Jeśli używasz zaimportowanej aplikacji Microsoft Entra, nie otrzymasz powiadomienia o nadchodzącej dacie wygaśnięcia z powiadomień konsoli.

Importowanie aplikacji natywnej (klienckiej)

Po wybraniu pozycji Importuj w oknie Aplikacja kliencka zostanie otwarte okno Importuj aplikacje . Wprowadź następujące informacje o aplikacji natywnej Microsoft Entra, która jest już zarejestrowana w Azure Portal:

• Kreator automatycznie wypełnia nazwę dzierżawy Microsoft Entra i identyfikator dzierżawy na podstawie już określonej aplikacji internetowej (serwera).
• Nazwa aplikacji: przyjazna nazwa aplikacji.
• Identyfikator klienta: wartość identyfikatora aplikacji (klienta) rejestracji aplikacji. Format jest standardowym identyfikatorem GUID.

Po wprowadzeniu informacji wybierz pozycję Weryfikuj. Następnie wybierz przycisk OK , aby zamknąć okno Importowanie aplikacji .

Następne kroki

Po ręcznym zarejestrowaniu dwóch aplikacji w Azure Portal użyj procesu w poniższym artykule, aby zaimportować aplikacje:

Konfigurowanie Tożsamość Microsoft Entra dla cmg