Configurar Azure Ative Directory para CMG

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

O segundo passo principal para a criação de um gateway de gestão de nuvem (CMG) é integrar o site do Gestor de Configuração com o seu inquilino Azure Ative Directory (Azure AD). Esta integração permite que o site autente com a Azure AD, que utiliza para implantar e monitorizar o serviço CMG. Se escolher o método de autenticação Azure AD para os clientes no passo seguinte, então esta integração é um pré-requisito para esse método de autenticação.

Dica

Este artigo fornece orientações prescritivas para integrar o site especificamente para o gateway de gestão de nuvens. Para obter mais informações sobre este processo e outras utilizações do nó Azure Services na consola Do Gestor de Configuração, consulte os serviços Configure Azure.

Quando integra o site, cria registos de aplicações em Azure AD. O CMG requer dois registos de aplicações:

  • Aplicativo Web (também referido como uma aplicação de servidor no Gestor de Configuração)
  • Aplicativo nativo (também referido como uma aplicação de cliente em Gestor de Configuração)

Existem dois métodos para criar estas aplicações, ambas requerem um papel de administrador global em Azure AD:

  • Utilize o Gestor de Configuração para automatizar a criação das aplicações quando integrar o site.
  • Crie manualmente as aplicações com antecedência e, em seguida, importe-as quando integrar o site.

Este artigo segue principalmente o primeiro método. Para obter mais informações sobre o outro método, consulte manualmente registar as aplicações AZure AD para CMG.

Antes de começar, certifique-se de ter um administrador global Azure AD disponível.

Nota

Se planeia importar registos de aplicações pré-recriados, primeiro tem de os criar em Azure AD. Comece com o artigo para registar manualmente as aplicações Azure AD para CMG. Em seguida, volte a este artigo para executar o assistente dos Serviços Azure e importe as aplicações para o Gestor de Configuração.

Inicie o assistente dos Serviços Azure

  1. Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração, expanda os Serviços cloud e selecione o nó Azure Services.

  2. No separador Casa da fita, no grupo Azure Services*, selecione Configure Azure Services.

  3. Na página Azure Services do Assistente de Serviços Azure:

    1. Especifique um nome para o objeto no Gestor de Configuração. Este nome destina-se apenas a identificar a ligação no Gestor de Configuração.

    2. Especifique uma Descrição opcional para identificar ainda mais esta ligação de serviço.

    3. Selecione o serviço de Gestão de Nuvens.

  4. Na página da Aplicação do Assistente de Serviços Azure, selecione o ambiente Azure para o seu inquilino:

    • AzurePublicCloud: O seu inquilino está na nuvem global de Azure.
    • AzureUSGovernmentCloud: O seu inquilino está na nuvem do Governo dos EUA.

Criar o registo de aplicações web (servidor)

  1. Na página da Aplicação da janela Azure Services Wizard, para a aplicação Web, selecione Procurar.

  2. Na janela da Aplicação do Servidor, selecione Criar para utilizar o Gestor de Configuração para automatizar a criação da aplicação.

  3. Na janela 'Aplicação do servidor', especifique as seguintes informações:

    • Nome da aplicação: Um nome amigável para a aplicação.

    • URL HomePage: Este valor não é utilizado pelo Gestor de Configuração, mas é exigido pelo Azure AD. Por predefinição, este valor é https://ConfigMgrService.

    • App ID URI: Este valor tem de ser único no seu inquilino AZure AD. Está no token de acesso usado pelo cliente Do Gestor de Configuração para solicitar acesso ao serviço. Por predefinição, este valor é https://ConfigMgrService.

    • Período de validade da chave secreta: escolha 1 ano ou 2 anos da lista de abandono. Um ano é o valor padrão.

    • Conta de administração Azure AD: Selecione Iniciar sação para autenticar a Azure AD como administrador global. O Gestor de Configuração não guarda estas credenciais. Esta persona não requer permissões no Gestor de Configuração, e não precisa de ser a mesma conta que executa o Assistente de Serviços Azure. Depois de autenticar com sucesso a Azure, a página mostra o nome do inquilino AZURE AD para referência.

  4. Selecione OK para criar a aplicação web em AD AZure e feche a janela De aplicação do servidor Create.

  5. Na janela da Aplicação server, certifique-se de que a sua nova aplicação está selecionada e, em seguida, selecione OK para guardar e fechar a janela.

Criar o registo de aplicações nativa (cliente)

  1. Na página da Aplicação da janela Azure Services Wizard, para a aplicação Cliente Nativo, selecione Browse.

  2. Na janela da App cliente, selecione Criar para utilizar o Gestor de Configuração para automatizar a criação da aplicação.

  3. Na janela 'Aplicação ao Cliente' Criar, especifique as seguintes informações:

    • Nome da aplicação: Um nome amigável para a aplicação.

    • Conta de administração Azure AD: Selecione Iniciar sação para autenticar a Azure AD como administrador global. O Gestor de Configuração não guarda estas credenciais. Esta persona não requer permissões no Gestor de Configuração, e não precisa de ser a mesma conta que executa o Assistente de Serviços Azure. Depois de autenticar com sucesso a Azure, a página mostra o nome do inquilino AZURE AD para referência.

  4. Selecione OK para criar a aplicação nativa em AD AZure e feche a janela De Aplicação do Cliente Criar.

  5. Na janela da App Cliente, certifique-se de que a sua nova aplicação está selecionada e, em seguida, selecione OK para guardar e fechar a janela.

Complete o assistente dos Serviços Azure

  1. No Assistente de Serviços Azure, confirme que tanto a aplicação Web como os valores da aplicação do Cliente Nativo estão completos. Selecione Seguinte para continuar.

  2. A página Discovery do assistente só é necessária em alguns cenários. É opcional quando você está a bordo do site para Azure AD, e não é necessário para criar o CMG. Se precisar para suportar funcionalidades específicas no seu ambiente, pode ative-la mais tarde.

    Para obter mais informações sobre os cenários cmg que possam requerer a descoberta do utilizador Azure AD, consulte a autenticação do cliente Configure: Azure AD e Instale clientes utilizando Azure AD.

    Para obter mais informações sobre este método de descoberta, consulte a descoberta do utilizador Configure Azure AD.

  3. Reveja as definições e conclua o assistente.

Quando o assistente fechar, verá a nova ligação no nó dos Serviços Azure. Você também pode ver os registos de inquilinos e aplicativos no nó Azure Ative Directory Inquilinos da consola Gestor de Configuração.

Desativar a autenticação AD AD para inquilinos não dispositivos ou utilizadores

Se os seus dispositivos estiverem num inquilino Azure AD que esteja separado do inquilino com uma subscrição para os recursos de computação CMG, a partir da versão 2010 pode desativar a autenticação para inquilinos não associados a utilizadores e dispositivos.

  1. Abra as propriedades do serviço cloud Management.

  2. Mude para o separador Aplicações.

  3. Selecione a opção para desativar Azure Ative Directory autenticação para este inquilino.

Para mais informações, consulte os serviços Configure Azure.

Configures fornecedores de recursos Azure

O serviço CMG requer que registe fornecedores de recursos específicos na sua assinatura Azure. Os fornecedores variam consoante a forma como implementa o CMG:

A partir da versão 2010, se colocar o CMG num conjunto de escala de máquina virtual, registe os seguintes fornecedores de recursos:

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

Se implementar o CMG utilizando um serviço de nuvem clássica, a sua subscrição Azure requer os seguintes dois fornecedores de recursos:

  • Microsoft.ClassicCompute
  • Microsoft.Storage

A sua conta Azure AD necessita de permissão para fazer a /register/action operação para o fornecedor de recursos. Por predefinição, as funções de Colaborador e Proprietário incluem esta permissão.

Os passos seguintes resumem o processo de registo de um fornecedor de recursos. Para obter mais informações, consulte os fornecedores e tipos de recursos Azure.

  1. Inicie sessão no portal do Azure.

  2. No menu do portal Azure, procure por Assinaturas. Selecione-o nas opções disponíveis.

  3. Selecione a subscrição que pretende visualizar.

  4. No menu esquerdo, em Definições, selecione Fornecedores de Recursos.

  5. Encontre o fornecedor de recursos que pretende registar-se e selecione Registar-se. Para manter os privilégios mínimos na sua subscrição, registe apenas os fornecedores de recursos que está pronto a utilizar.

Automatizar com o PowerShell

A partir da versão 2010, pode automatizar opcionalmente aspetos destas configurações utilizando o PowerShell.

  1. Utilize o cmdlet Import-CMAADServerApplication para definir a aplicação web/servidor AZure AD no Gestor de Configuração.

  2. Utilize o cmdlet De Import-CMAADClientApplication para definir a aplicação Azure AD nativa/cliente no Gestor de Configuração.

  3. Utilize o cmdlet Get-CMAADApplication para obter os objetos de aplicação importados.

  4. Em seguida, passe os objetos da aplicação para o cmdlet New-CMCloudManagementAzureService para criar o serviço Azure para Gestão de Nuvem em Gestor de Configuração.

Passos seguintes

Continue a sua configuração CMG decidindo que tipo de autenticação do cliente utilizar:

Configurar a autenticação de cliente