Konfigurowanie usług platformy Azure do używania z Menedżer konfiguracji

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Użyj Kreatora usług Azure, aby uprościć proces konfigurowania usług azure w chmurze, których używasz z usługami Menedżer konfiguracji. Ten kreator udostępnia typowe środowisko konfiguracji za pomocą rejestracji aplikacji Azure Active Directory sieci Web (Azure AD). Te aplikacje zawierają szczegóły subskrypcji i konfiguracji oraz uwierzytelniają komunikację w usłudze Azure AD. Aplikacja zastępuje wprowadzanie tych samych informacji za każdym razem, gdy skonfigurujemy nową usługę lub składnik usługi Menedżer konfiguracji Azure.

Dostępne usługi

Skonfiguruj następujące usługi platformy Azure za pomocą tego kreatora:

Szczegóły usługi

W poniższej tabeli wymieniono szczegółowe informacje dotyczące poszczególnych usług.

  • Dzierżawcy: liczba wystąpień usługi, które można skonfigurować. Każde wystąpienie musi być odrębną dzierżawą usługi Azure AD.

  • Chmury: Wszystkie usługi obsługują globalną chmurę platformy Azure, ale nie wszystkie usługi obsługują prywatne chmury, takie jak chmura azure dla instytucji rządowych Stanów Zjednoczonych.

  • Aplikacja sieci Web: czy usługa używa aplikacji sieci Web /interfejsu API typu Azure AD, nazywanej również aplikacją serwera w usłudze Menedżer konfiguracji.

  • Natywne aplikacje: czy usługa używa aplikacji usługi Azure AD o typie Natywnej, określanej również jako aplikacja klienwna w Menedżer konfiguracji.

  • Akcje: Czy możesz zaimportować lub utworzyć te aplikacje w Kreatorze usług Menedżer konfiguracji Azure Services.

Usługa Dzierżawcy Chmury Aplikacja internetowa Natywne aplikacje Akcje
Zarządzanie chmurą za pomocą
Odnajdowanie w usłudze Azure AD
Wiele Publiczna, Prywatna Obsługiwane Obsługiwane Importowanie, tworzenie
Łącznik analizy dziennika Jeden Publiczna, Prywatna Obsługiwane Nieobsługiwane Importowanie
Microsoft Store dla
Business
Jeden Publiczne Obsługiwane Nieobsługiwane Importowanie, tworzenie

Informacje o aplikacjach usługi Azure AD

Różne usługi platformy Azure wymagają odrębnych konfiguracji, które można wykonać w portalu Azure Portal. Ponadto aplikacje dla poszczególnych usług mogą wymagać osobnych uprawnień do zasobów platformy Azure.

Jednej aplikacji można używać w więcej niż jednej usłudze. W usłudze Azure AD i usłudze Menedżer konfiguracji można zarządzać tylko jednym obiektem. Po wygaśnięciu klucza zabezpieczeń aplikacji wystarczy odświeżyć tylko jeden klucz.

Jeśli tworzysz dodatkowe usługi platformy Azure w kreatorze, Menedżer konfiguracji są przeznaczone do ponownego użycia informacji wspólnych dla różnych usług. Takie działanie pozwala uniknąć konieczności wprowadzania tych samych informacji więcej niż raz.

Aby uzyskać więcej informacji o wymaganych uprawnieniach i konfiguracjach aplikacji dla poszczególnych usług, zobacz odpowiedni Menedżer konfiguracji w artykule Dostępne usługi.

Aby uzyskać więcej informacji na temat aplikacji platformy Azure, rozpocznij od następujących artykułów:

Przed rozpoczęciem

Po podjęciu decyzji o usłudze, z którą chcesz nawiązać połączenie, zapoznaj się z tabelą w te sposób: Szczegóły usługi. Ta tabela zawiera informacje potrzebne do ukończenia pracy z Kreatorem usług Azure. Z wyprzedzeniem przejmij dyskusję z administratorem usługi Azure AD. Zdecyduj, które z następujących działań należy podjąć:

  • Ręcznie utwórz aplikacje z wyprzedzeniem w portalu Azure Portal. Następnie zaimportuj szczegóły aplikacji do Menedżer konfiguracji.

    Porada

    Aby uzyskać więcej informacji specyficznych dla zarządzania chmurą, zobacz Ręczne rejestrowanie Azure Active Directory dla bramy zarządzania chmurą.

  • Użyj Menedżer konfiguracji, aby bezpośrednio tworzyć aplikacje w usłudze Azure AD. Aby zebrać niezbędne dane z usługi Azure AD, zapoznaj się z informacjami w innych sekcjach tego artykułu.

Niektóre usługi wymagają, aby aplikacje usługi Azure AD mają określone uprawnienia. Przejrzyj informacje dotyczące poszczególnych usług, aby ustalić wymagane uprawnienia. Na przykład zanim będzie można zaimportować aplikację sieci Web, administrator platformy Azure musi ją najpierw utworzyć w Portalu Azure.

Konfigurując łącznik analizy dziennika, nadaj nowo zarejestrowanej aplikacji sieci Web uprawnienie współautora do grupy zasobów zawierającej odpowiedni obszar roboczy. To uprawnienie umożliwia Menedżer konfiguracji tego obszaru roboczego. Przypisując uprawnienia, wyszukaj nazwę rejestracji aplikacji w obszarze Dodaj użytkowników portalu Azure Portal. Ten proces jest taki sam, jak w przypadku Menedżer konfiguracji z uprawnieniami do analizy dziennika. Administrator platformy Azure musi przypisać te uprawnienia przed zaimportowaniem aplikacji do usługi Menedżer konfiguracji.

Uruchamianie kreatora usług Azure Services

  1. W konsoli Menedżer konfiguracji przejdź do obszaru roboczego Administracja, rozwiń węzeł Usługi w chmurze i wybierz węzeł Usługi Azure.

  2. Na karcie Narzędzia główne na wstążce w grupie Usługi Azure wybierz pozycję Konfiguruj usługi Azure.

  3. Na stronie Usługi Azure Kreatora usług Azure:

    1. Określ wartość Name (Nazwa) dla obiektu w Menedżer konfiguracji.

    2. Określ opcjonalny Opis ułatwiający identyfikację usługi.

    3. Wybierz usługę Azure, z którą chcesz nawiązać Menedżer konfiguracji.

  4. Wybierz pozycję Dalej , aby kontynuować stronę Właściwości aplikacji platformy Azure w Kreatorze usług Azure.

Właściwości aplikacji platformy Azure

Na stronie Aplikacji Kreatora usług Azure wybierz najpierw środowisko platformy Azure z listy. Informacje o środowisku dostępnym dla usługi można znaleźć w tabeli w tece Szczegóły usługi.

Pozostała część strony aplikacji różni się w zależności od konkretnej usługi. Informacje o tym, jakiego typu aplikacji używa usługa i której akcji można użyć, można znaleźć w tabeli w tesłudze.

Po określeniu aplikacji na tej stronie wybierz pozycję Dalej, aby kontynuować do strony Konfiguracja lub odnajdowanie Kreatora usług Azure.

Aplikacja internetowa

Ta aplikacja to aplikacja sieci Web /interfejs API typu Azure AD, nazywana również aplikacją serwera w usłudze Menedżer konfiguracji.

Okno dialogowe aplikacji serwera

Po wybraniu przycisku Przeglądaj w celu wybrania aplikacji sieci Web na stronie Aplikacja Kreatora usług Azure zostanie otwarte okno dialogowe aplikacji serwera. Zostanie wyświetlona lista z następującymi właściwościami wszystkich istniejących aplikacji sieci Web:

  • Przyjazna nazwa dzierżawy
  • Przyjazna nazwa aplikacji
  • Typ usługi

Istnieją trzy akcje, które można podjąć w oknie dialogowym aplikacji serwera:

Po wybraniu, zaimportowaniu lub utworzeniu aplikacji sieci Web wybierz przycisk OK , aby zamknąć okno dialogowe aplikacji serwera. Ta akcja wróci do strony aplikacji Kreatora usług Azure.

Okno dialogowe Importowanie aplikacji (serwer)

Jeśli wybierzesz pozycję Importuj z okna dialogowego aplikacji serwera lub strony Aplikacja Kreatora usług Azure, zostanie otwarte okno dialogowe Importowanie aplikacji. Ta strona umożliwia wprowadzenie informacji o aplikacji sieci Web Azure AD, która została już utworzona w Portalu Azure. Zaimplikuje ono metadane dotyczące tej aplikacji sieci Web do Menedżer konfiguracji. Określ następujące informacje:

  • Nazwa dzierżawy usługi Azure AD: nazwa dzierżawy usługi Azure AD.
  • Identyfikator dzierżawy usługi Azure AD: identyfikator GUID dzierżawy usługi Azure AD.
  • Nazwa aplikacji: przyjazna nazwa aplikacji, nazwa wyświetlana w rejestracji aplikacji.
  • Identyfikator klienta: Wartość identyfikatora aplikacji (klienta) rejestracji aplikacji. Format jest standardowym identyfikatorem GUID.
  • Klucz tajny: Klucz tajny należy skopiować podczas rejestrowania aplikacji w usłudze Azure AD.
  • Wygaśnięcie klucza tajnego: wybierz przyszłą datę z kalendarza.
  • Identyfikator URI aplikacji: Ta wartość musi być unikatowa w dzierżawie usługi Azure AD. W tokenie dostępu używanym przez klienta Menedżer konfiguracji żądanie dostępu do usługi. Wartość jest identyfikatorem URI aplikacji wpisu rejestracji aplikacji w portalu usługi Azure AD.

Po wprowadzeniu informacji wybierz pozycję Weryfikuj. Następnie wybierz przycisk OK, aby zamknąć okno dialogowe Importowanie aplikacji. Ta akcja wróci do strony aplikacji Kreatora usług Azure lub okna dialogowego aplikacji serwera.

Ważne

Gdy korzystasz z zaimportowanych aplikacji Azure AD, nie będziesz otrzymywać powiadomień o zbliżających się datach wygaśnięcia z powiadomień konsoli.

Okno dialogowe Tworzenie aplikacji serwera

Wybranie przycisku Utwórz z okna dialogowego aplikacji serwera powoduje otwarcie okna dialogowego Tworzenie aplikacji serwera. Ta strona umożliwia automatyczne tworzenie aplikacji sieci Web w usłudze Azure AD. Określ następujące informacje:

  • Nazwa aplikacji: przyjazna nazwa aplikacji.

  • Adres URL strony głównej: ta wartość nie jest używana przez usługę Menedżer konfiguracji, ale jest wymagana przez usługę Azure AD. Domyślnie ta wartość to https://ConfigMgrService.

  • Identyfikator URI aplikacji: Ta wartość musi być unikatowa w dzierżawie usługi Azure AD. W tokenie dostępu używanym przez klienta Menedżer konfiguracji żądanie dostępu do usługi. Domyślnie ta wartość to https://ConfigMgrService. Zmień format domyślny na jeden z następujących zalecanych formatów:

    • api://{tenantId}/{string}, na przykład api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}, na przykład https://contoso.onmicrosoft.com/ConfigMgrService
  • Okres ważności klucza tajnego: wybierz z listy rozwijanej 1 rok lub 2 lata. Wartość domyślna to rok.

    Uwaga

    Może pojawić się opcja Nigdy, ale usługa Azure AD już jej nie obsługuje. Jeśli wcześniej wybrano tę opcję, data wygaśnięcia będzie teraz ustawiona na 99 lat od daty jej utworzenia.

Wybierz pozycję Zaloguj się, aby uwierzytelnić się na platformie Azure jako użytkownik administracyjny. Te poświadczenia nie są zapisywane przez użytkownika Menedżer konfiguracji. Ta osoba nie wymaga uprawnień w usłudze Menedżer konfiguracji i nie musi być tym samym kontem, na które jest uruchomiony Kreator usług Azure. Po pomyślnym uwierzytelnieniu w usłudze Azure strona zawiera wymierną nazwę dzierżawy usługi Azure AD .

Wybierz przycisk OK , aby utworzyć aplikację sieci Web w usłudze Azure AD i zamknąć okno dialogowe Tworzenie aplikacji serwera. Ta akcja zostanie powrót do okna dialogowego aplikacji serwera.

Uwaga

Jeśli masz zdefiniowane zasady dostępu warunkowego usługi Azure AD i masz zastosowanie do wszystkich aplikacji w chmurze — musisz wykluczyć utworzoną aplikację serwera z tych zasad. Aby uzyskać więcej informacji na temat wykluczania określonych aplikacji, zobacz Dokumentacja dostępu warunkowego usługi Azure AD.

Natywne aplikacje klienckie

Ta aplikacja to natywny typ usługi Azure AD, nazywany również aplikacją kliencyjną w Menedżer konfiguracji.

Okno dialogowe aplikacji klienckiej

Po wybraniu przycisku Przeglądaj w celu wybrania natywnej aplikacji klienckiej na stronie Aplikacja Kreatora usług Azure zostanie otwarte okno dialogowe Aplikacja klienwna. Zostanie wyświetlona lista z następującymi właściwościami wszystkich istniejących aplikacji natywnych:

  • Przyjazna nazwa dzierżawy
  • Przyjazna nazwa aplikacji
  • Typ usługi

W oknie dialogowym Aplikacji klienckiej można podjąć trzy akcje:

Po wybraniu, zaimportowaniu lub utworzeniu natywnej aplikacji wybierz przycisk OK , aby zamknąć okno dialogowe Aplikacja klienwna. Ta akcja wróci do strony aplikacji Kreatora usług Azure.

Okno dialogowe Importowanie aplikacji (klient)

Po wybraniu przycisku Importuj z okna dialogowego Aplikacja klienckia zostanie otwarte okno dialogowe Importowanie aplikacji. Ta strona umożliwia wprowadzenie informacji o natywnej aplikacji Azure AD, która została już utworzona w Portalu Azure. Zaimplikuje ono metadane dotyczące tej natywnej aplikacji do Menedżer konfiguracji. Określ następujące informacje:

  • Nazwa aplikacji: przyjazna nazwa aplikacji.
  • Identyfikator klienta: Wartość identyfikatora aplikacji (klienta) rejestracji aplikacji. Format jest standardowym identyfikatorem GUID.

Po wprowadzeniu informacji wybierz pozycję Weryfikuj. Następnie wybierz przycisk OK, aby zamknąć okno dialogowe Importowanie aplikacji. Ta akcja wróci do okna dialogowego Aplikacja klienckia.

Porada

Podczas rejestrowania aplikacji w usłudze Azure AD może być konieczne ręczne określenie następującego przekierowania URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Określ identyfikator GUID klienta aplikacji, na przykład: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Okno dialogowe Tworzenie aplikacji klienckiej

Po wybraniu przycisku Utwórz w oknie dialogowym Aplikacja klienckia zostanie otwarte okno dialogowe Tworzenie aplikacji klienckiej. Ta strona umożliwia automatyczne tworzenie natywnej aplikacji w usłudze Azure AD. Określ następujące informacje:

  • Nazwa aplikacji: przyjazna nazwa aplikacji.
  • Adres URL odpowiedzi: Ta wartość nie jest używana przez usługę Menedżer konfiguracji, ale jest wymagana przez usługę Azure AD. Domyślnie ta wartość to https://ConfigMgrService.

Wybierz pozycję Zaloguj się, aby uwierzytelnić się na platformie Azure jako użytkownik administracyjny. Te poświadczenia nie są zapisywane przez użytkownika Menedżer konfiguracji. Ta osoba nie wymaga uprawnień w usłudze Menedżer konfiguracji i nie musi być tym samym kontem, na które jest uruchomiony Kreator usług Azure. Po pomyślnym uwierzytelnieniu w usłudze Azure strona zawiera wymierną nazwę dzierżawy usługi Azure AD .

Wybierz przycisk OK , aby utworzyć natywną aplikację w usłudze Azure AD i zamknąć okno dialogowe Tworzenie aplikacji klienckiej. Ta akcja wróci do okna dialogowego Aplikacja klienckia.

Konfiguracja lub odnajdowanie

Po określeniu sieci Web i aplikacji natywnych na stronie Aplikacje Kreator usług Azure przechodzi do strony Konfiguracja lub Odnajdowanie, w zależności od usługi, z którą się łączysz. Szczegóły tej strony różnią się w zależności od usługi. Aby uzyskać więcej informacji, zobacz jeden z następujących artykułów:

Na koniec wykonaj zadania Kreatora usług Azure na stronach Podsumowanie, Postęp i Ukończenie. Konfiguracja usługi Azure została ukończona w Menedżer konfiguracji. Powtórz ten proces, aby skonfigurować inne usługi platformy Azure.

Aktualizowanie ustawień aplikacji

Aby umożliwić twoim Menedżer konfiguracji żądanie tokenu urządzenia usługi Azure AD i włączyć uprawnienia do danych katalogu do czytania, musisz zaktualizować ustawienia aplikacji serwera sieci Web.

  1. W konsoli Menedżer konfiguracji przejdź do obszaru roboczego Administracja, rozwiń węzeł Usługi w chmurze, a następnie wybierz węzeł Azure Active Directory Dzierżawy.
  2. Wybierz dzierżawę usługi Azure AD dla aplikacji, którą chcesz zaktualizować.
  3. W sekcji Aplikacje wybierz aplikację serwera sieci Web usługi Azure AD, a następnie wybierz pozycję Aktualizuj aplikację Ustawienia na wstążce.
  4. Po wyświetleniu monitu o potwierdzenie wybierz pozycję Tak , aby potwierdzić, że chcesz zaktualizować aplikację o najnowsze ustawienia.

Odnów klucz tajny

Przed końcem okresu ważności należy odnowić klucz tajny aplikacji usługi Azure AD. Jeśli klucz wygaśnie, nie Menedżer konfiguracji w usłudze Azure AD, co spowoduje, że połączone usługi Azure przestaną działać.

Począwszy od wersji 2006, w konsoli Menedżer konfiguracji będą wyświetlane powiadomienia dla następujących okoliczności:

  • Co najmniej jeden klucz tajny aplikacji Azure AD wkrótce wygaśnie
  • Co najmniej jeden klucz tajny aplikacji Azure AD wygasł

Aby zminimalizować oba te przypadki, odnów klucz tajny.

Aby uzyskać więcej informacji na temat interakcji z tymi powiadomieniami, zobacz powiadomienia Menedżer konfiguracji konsoli.

Uwaga

Aby móc odnowić klucz, musisz mieć przypisaną co najmniej rolę "Administrator aplikacji w chmurze" w usłudze Azure AD.

Klucz odnowienia utworzonej aplikacji

  1. W konsoli Menedżer konfiguracji przejdź do obszaru roboczego Administracja, rozwiń węzeł Usługi w chmurze, a następnie wybierz węzeł Azure Active Directory Dzierżawy.

  2. W okienku Szczegóły wybierz dzierżawę usługi Azure AD dla aplikacji.

  3. Na wstążce wybierz pozycję Odnów klucz tajny. Wprowadź poświadczenia właściciela aplikacji lub administratora usługi Azure AD.

Klucz odnowienia zaimportowanych aplikacji

Jeśli aplikacja Azure została zaimportowana w usłudze Menedżer konfiguracji, użyj portalu Azure Portal, aby odnowić subskrypcję. Zanotuj nowy klucz tajny i datę wygaśnięcia. Dodaj te informacje do kreatora Odnawianie klucza tajnego .

Uwaga

Zapisz klucz tajny przed zamknięciem strony klucza aplikacji platformy Azure. Te informacje zostaną usunięte po zamknięciu strony.

Wyłączanie uwierzytelniania

Począwszy od wersji 2010, możesz wyłączyć uwierzytelnianie usługi Azure AD dla dzierżaw, które nie są skojarzone z użytkownikami i urządzeniami. Gdy dołączasz usługę Menedżer konfiguracji Azure AD, witryna i klienci mogą korzystać z nowoczesnego uwierzytelniania. Obecnie uwierzytelnianie urządzeń usługi Azure AD jest włączone dla wszystkich dzierżaw dołączanych, niezależnie od tego, czy ma urządzenia. Na przykład masz osobną dzierżawę z subskrypcją, która jest pomocna przy obliczaniu zasobów do obsługi bramy zarządzania chmurą. Jeśli z dzierżawą nie są skojarzone użytkownicy lub urządzenia, wyłącz uwierzytelnianie usługi Azure AD.

  1. W konsoli Menedżer konfiguracji przejdź do obszaru roboczego Administracja .

  2. Rozwiń węzeł Usługi w chmurze i wybierz węzeł Usługi Azure.

  3. Wybierz połączenie docelowe typu Zarządzanie chmurą. Na wstążce wybierz pozycję Właściwości.

  4. Przejdź na kartę Aplikacje.

  5. Wybierz opcję Wyłącz uwierzytelnianie Azure Active Directory dla tej dzierżawy.

  6. Wybierz przycisk OK , aby zapisać i zamknąć właściwości połączenia.

Porada

Wpływ tej zmiany na klientów może potrwać do 25 godzin. Na potrzeby testów w celu przyspieszenia działania tej zmiany należy wykonać następujące czynności:

  1. Uruchom ponownie sms_executive usługi na serwerze witryny.
  2. Uruchom ponownie usługę ccmexec na kliencie.
  3. Wyzwalanie harmonogramu klienta w celu odświeżenia domyślnego punktu zarządzania. Na przykład użyj narzędzia harmonogram wysyłania: SendSchedule {00000000-0000-0000-0000-000000000023}

Wyświetlanie konfiguracji usługi Azure

Wyświetl właściwości usługi Azure, która jest skonfigurowana do użycia. W konsoli Menedżer konfiguracji przejdź do obszaru roboczego Administracja , rozwiń pozycję Usługi w chmurze i wybierz pozycję Usługi Azure. Wybierz usługę, którą chcesz wyświetlić lub edytować, a następnie wybierz pozycję Właściwości.

Jeśli wybierzesz usługę, a następnie wybierzesz pozycję Usuń na wstążce, ta akcja spowoduje usunięcie połączenia w Menedżer konfiguracji. Nie usuwa aplikacji w usłudze Azure AD. Poproś administratora platformy Azure o usunięcie aplikacji, gdy nie jest już potrzebna. Możesz też uruchomić Kreatora usług Azure, aby zaimportować aplikację.

Przepływ danych zarządzania chmurą

Poniższy diagram przedstawia pojęciowy przepływ danych dla interakcji między usługami Menedżer konfiguracji, Azure AD i połączonymi usługami w chmurze. W tym konkretnym przykładzie użyto usługi zarządzania chmurą, która zawiera Windows 10 klienta oraz aplikacje serwera i klienta. Przepływy dla innych usług są podobne.

Diagram przepływu danych dla użytkowników Menedżer konfiguracji za pomocą usługi Azure AD i zarządzania chmurą

  1. Administrator Menedżer konfiguracji importuje lub tworzy aplikacje klienta i serwera w usłudze Azure AD.

  2. Menedżer konfiguracji metody odnajdowania użytkowników w usłudze Azure AD. Witryna używa tokenu aplikacji serwera Azure AD do wykonywania zapytań na Graph Microsoft dla obiektów użytkowników.

  3. Witryna przechowuje dane o obiektach użytkowników. Aby uzyskać więcej informacji, zobacz Odnajdowanie użytkowników w usłudze Azure AD.

  4. Klient Menedżer konfiguracji żąda tokenu użytkownika usługi Azure AD. Klient składa żądanie, używając identyfikatora aplikacji klienckiej usługi Azure AD i aplikacji serwera jako odbiorców. Aby uzyskać więcej informacji, zobacz Roszczenia w tokenach zabezpieczeń usługi Azure AD.

  5. Klient uwierzytelnia się w witrynie, prezentując token usługi Azure AD bramie zarządzania w chmurze i lokalnym punktem zarządzania obsługą protokołu HTTPS.

Aby uzyskać bardziej szczegółowe informacje, zobacz Przepływ pracy uwierzytelniania usługi Azure AD.