Вручную зарегистрировать приложения Azure AD для CMG

Относится к Configuration Manager (Current Branch)

Второй основной шаг для настройки шлюза управления облаком (CMG) — интеграция сайта Configuration Manager с клиентом Azure Active Directory Azure AD. Эта интеграция позволяет сайту проверить подлинность с помощью Azure AD, который он использует для развертывания и мониторинга службы CMG. Если вы не можете использовать Диспетчер конфигурации для автоматизации создания приложений во время мастера службы Azure, вы можете использовать мастера для импорта ранее созданного приложения. Например, если администраторы Azure требуют вручную создать все регистрации приложений Azure AD, используйте этот процесс.

Совет

В этой статье содержится предописательное руководство по интеграции сайта специально для шлюза управления облаками. Дополнительные сведения об этом процессе и других целях использования узла Azure Services в консоли Configuration Manager см. в рублях Configure Azure services.

При интеграции сайта создается регистрация приложений в Azure AD. CmG требует двух регистраций приложений:

  • Веб-приложение (также именуемая серверным приложением в Configuration Manager)
  • Родное приложение (также именуемого клиентом приложения в Configuration Manager)

Существует два метода создания этих приложений, оба из которых требуют роли глобального администратора в Azure AD:

  • Используйте диспетчер конфигурации для автоматизации создания приложений при интеграции сайта.
  • Вручную создайте приложения заранее, а затем импортируете их при интеграции сайта.

В этой статье данная статья содержит конкретные сведения для второго метода. Соедините эти инструкции с процедурами в статье Configure Azure AD для CMG для завершения процесса.

Сведения об клиентах

Совет

В ходе этого процесса вам потребуется отметить несколько значений, которые следует использовать позже. Откройте приложение, Windows Блокнот, чтобы вклеить значения, которые вы скопируете с портала Azure.

Сначала необходимо учтите имя клиента Azure AD и ID клиента. Эти значения являются первыми двумя частями информации, необходимой для импорта регистраций приложений в Configuration Manager.

  1. На портале Azure выберите Azure Active Directory.

  2. В меню Azure AD выберите настраиваемые доменные имена.

  3. Обратите внимание на имя клиента. Например, contoso.onmicrosoft.com.

  4. В меню Azure AD выберите Свойства.

  5. Скопируйте значение GUID для клиента.

Регистрация веб-приложения (сервера)

  1. В меню Azure AD выберите регистрации приложений. Выберите новую регистрацию для создания нового приложения.

  2. В области Регистрация приложений укажите следующие сведения:

    • Имя. Удобное имя для приложения. Например, CMG-ServerApp.
    • Поддерживаемые типы учетных записей. Оставьте этот параметр в качестве параметра по умолчанию, учетные записи только в этом организационном каталоге.
    • Перенаправление URI. Оставьте это необязательное значение пустым.
  3. Выберите Регистрация для создания приложения.

  4. В свойствах нового приложения скопируйте следующие значения:

    • Имя отображения. Это значение является дружественным именем для регистрации приложения, которое вы будете использовать позже в качестве имени приложения.
    • ID приложения ( клиента). Вы будете использовать это значение GUID позже в качестве ИД клиента.
  5. В меню свойств приложения выберите сертификаты & секреты, а затем выберите новый секрет клиента.

    • Описание. Вы можете использовать любое имя для секрета или оставить его пустым.
    • Срок действия: выберите 12 месяцев или 24 месяца.

    Нажмите Добавить. Немедленно скопируйте секретную строку клиента Значение и Истекает. Если вы оставите эту области, вы не можете получить тот же секрет снова. Вы будете использовать эти значения позже в качестве секретных значений срока действия ключа и секретного ключа.

  6. Если вы собираетесь использовать обнаружение пользователей Azure AD в диспетчере конфигурации, необходимо настроить разрешения в этом приложении. В меню свойств приложения выберите разрешения API. По умолчанию он должен иметь разрешение User.Read для API microsoft Graph, который необходимо изменить.

    1. Выберите microsoft Graph список доступных разрешений API, а затем выберите разрешения приложения.

    2. Расширйте каталог, а затем выберите Directory.Read.All.

    3. Переключение на делегирование разрешений.

    4. Расширение пользователя и удаление разрешения User.Read .

    5. Выберите разрешения на обновление.

    6. На области разрешений API выберите согласие администратора гранта для..., а затем выберите Да.

  7. В меню свойств приложения выберите Expose API.

    1. Для URI ID приложения выберите Set. Укажите уникальный для клиента URI. Вы будете использовать это значение позже в качестве URI ID Приложения. Используйте один из следующих рекомендуемых форматов:

      • api://{tenantId}/{string}, например api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, например https://contoso.onmicrosoft.com/ConfigMgrService

      Нажмите кнопку Сохранить.

    2. Выберите Добавить область и указать следующие необходимые сведения:

      • Имя области: user_impersonation
      • Кто может дать согласие: выберите администраторов и пользователей
      • Имя отображения согласия администратора. Укажите содержательное имя. Пример: Access CMG-ServerApp
      • Описание согласия администратора. Укажите содержательное описание. Пример: Allow the application to access CMG-ServerApp on behalf of the signed-in user.
    3. Выберите Добавить область для сохранения.

  8. В меню свойств приложения выберите Манифест. Установите запись oauth2AllowIdTokenImplicitFlow до true. Например:

    "oauth2AllowIdTokenImplicitFlow": true,
    

    Нажмите кнопку Сохранить.

Веб-приложение (сервер) для CMG теперь зарегистрировано в Azure AD.

Регистрация родного (клиентского) приложения

  1. В меню Azure AD выберите регистрации приложений. Выберите новую регистрацию для создания нового приложения.

  2. В области Регистрация приложений укажите следующие сведения:

    • Имя. Удобное имя для приложения. Например, CMG-ClientApp.
    • Поддерживаемые типы учетных записей. Оставьте этот параметр в качестве параметра по умолчанию, учетные записи только в этом организационном каталоге.
    • Перенаправление URI. Оставьте это необязательное значение пустым.
  3. Выберите Регистрация для создания приложения.

  4. В свойствах нового приложения скопируйте следующие значения:

    • Имя отображения. Это значение является дружественным именем для регистрации приложения, которое вы будете использовать позже в качестве имени приложения.
    • ID приложения ( клиента). Вы будете использовать это значение GUID позже в качестве ИД клиента.
  5. В меню свойств приложения выберите проверку подлинности.

    1. В конфигурациях Платформы выберите Добавить платформу.

      1. В области Настройка платформ выберите мобильные и настольные приложения.

      2. В области Настройка настольных устройств + в пользовательских URL-адресов перенаправления укажите ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Используйте GUID клиента приложения, например: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Нажмите Настроить.

    2. В расширенных параметрах установите Разрешить потоки общедоступных клиентов на да. Нажмите кнопку Сохранить.

  6. Настройка разрешений в этом приложении. В меню свойств приложения выберите разрешения API. По умолчанию он должен иметь делегированную разрешение User.Read для API Graph Microsoft.

    1. На области разрешений API выберите Добавить разрешение.

    2. Переключение на вкладку Мои API и выберите веб-приложение (сервер). Например, CMG-ServerApp. Выберите разрешение user_impersonation , а затем добавьте разрешения для сохранения.

    3. На области разрешений API выберите согласие администратора гранта для..., а затем выберите Да.

  7. В меню свойств приложения выберите Манифест. Установите запись oauth2AllowIdTokenImplicitFlow до true. Например:

    "oauth2AllowIdTokenImplicitFlow": true,
    

    Нажмите кнопку Сохранить.

Родной (клиентский) приложение для CMG теперь зарегистрировано в Azure AD. Этот шаг также завершает процесс на портале Azure. Роль глобального администратора Azure сделана.

Импорт приложений в Диспетчер конфигурации

После вручную регистрации двух приложений на портале Azure используйте этот процесс в статье, чтобы настроить Azure AD для CMG, но выберите вариант импорта каждого из приложений.

Эти процессы импортируют метаданные о приложениях Azure AD в Configuration Manager. Для импорта этих приложений не требуется никаких разрешений Azure AD.

Импорт веб-приложения (сервера)

Когда вы выбираете импорт из окна приложения Server , оно открывает окно импортных приложений . Введите следующую информацию о веб-приложении Azure AD, которое уже зарегистрировано на портале Azure:

  • Имя клиента Azure AD: имя клиента Azure AD.
  • Azure AD Tenant ID: GUID клиента Azure AD.
  • Имя приложения: удобное имя приложения, имя отображения в регистрации приложения.
  • ID клиента. Значение ID приложения (клиента) для регистрации приложения. Формат — это стандартный GUID.
  • Секретный ключ. Скопируйте секретный ключ при регистрации приложения в Azure AD и создайте секретный ключ.
  • Срок действия секретного ключа: укажите ту же дату, что и на портале Azure.
  • URI приложения: значение — URI ID приложения для записи о регистрации приложения на портале Azure AD. Формат похож на https://ConfigMgrService.

После ввода сведений выберите Verify. Затем выберите ОК , чтобы закрыть окно импортных приложений .

Важно!

При использовании импортированного приложения Azure AD вы не получаете уведомления о предстоящем истечении срока действия из консоли.

Импорт родного (клиентского) приложения

Когда вы выбираете импорт из окна клиентского приложения , оно открывает окно импортных приложений . Введите следующую информацию о родном приложении Azure AD, которое уже зарегистрировано на портале Azure:

  • Мастер автопопулирует имя клиента Azure AD и ID клиента на основе указанного вами веб-приложения (сервера).
  • Имя приложения. Удобное имя для приложения.
  • ID клиента. Значение ID приложения (клиента) для регистрации приложения. Формат — это стандартный GUID.

После ввода сведений выберите Verify. Затем выберите ОК , чтобы закрыть окно импортных приложений .

Дальнейшие действия

После вручную регистрации двух приложений на портале Azure используйте этот процесс в следующей статье для импорта приложений: