Настройка служб Azure для использования с помощью диспетчера конфигурации

Применяется к: Configuration Manager (текущая ветвь)

Используйте мастер служб Azure, чтобы упростить процесс настройки облачных служб Azure, которые вы используете с помощью Configuration Manager. Этот мастер предоставляет общий опыт настройки с помощью Azure Active Directory регистраций веб-приложений (Azure AD). Эти приложения предоставляют сведения о подписке и конфигурации, а также аутентификацию сообщений с Azure AD. Приложение заменяет ввод этой же информации при каждом настройке нового компонента или службы Configuration Manager в Azure.

Доступные службы

Настройка следующих служб Azure с помощью этого мастера:

Сведения о службе

В следующей таблице перечислены сведения о каждой из служб.

  • Клиенты. Количество экземпляров служб, которые можно настроить. Каждый экземпляр должен быть отдельным клиентом Azure AD.

  • Облака. Все службы поддерживают глобальное облако Azure, но не все службы поддерживают частные облака, такие как облако правительства Azure в США.

  • Веб-приложение: использует ли служба приложение Azure AD типа веб-приложения / API, также именуемого серверным приложением в Configuration Manager.

  • Родное приложение: использует ли служба приложение Azure AD типа Native, также именуемого клиентом приложения в Configuration Manager.

  • Действия: можно ли импортировать или создавать эти приложения в мастере служб Configuration Manager Azure Services.

Служба Клиенты Облака Веб-приложение Приложение Native Действия
Управление облаком с
Обнаружение Azure AD
Несколько Public, Private Поддерживается Поддерживается Импорт, создание
Соединитетор аналитики журналов Один Public, Private Поддерживается Не поддерживается Импорт
Microsoft Store для
Для бизнеса
Один Public Поддерживается Не поддерживается Импорт, создание

О приложениях Azure AD

Различные службы Azure требуют определенных конфигураций, которые вы делаете на портале Azure. Кроме того, приложения для каждой службы могут требовать отдельных разрешений для ресурсов Azure.

Вы можете использовать одно приложение для более чем одной службы. В Диспетчер конфигурации и Azure AD можно управлять только одним объектом. По истечении срока действия ключа безопасности в приложении необходимо обновить только один ключ.

При создании дополнительных служб Azure в мастере диспетчер конфигурации предназначен для повторного использования общих между службами сведений. Это поведение помогает вам не раз вводить те же сведения.

Дополнительные сведения о необходимых разрешениях и конфигурациях приложений для каждой службы см. в соответствующей статье Configuration Manager in Available services.

Дополнительные сведения о приложениях Azure можно получить в следующих статьях:

Прежде чем начать

После решения службы, к которой необходимо подключиться, обратитесь к таблице в подробностях службы. В этой таблице содержится информация, необходимая для завершения мастера служб Azure. Предварительно обгодив с администратором Azure AD. Определите, какие из следующих действий следует принять:

  • Вручную создайте приложения заранее на портале Azure. Затем импорт сведений о приложении в Configuration Manager.

    Совет

    Дополнительные сведения о управлении облаками см. в Azure Active Directory приложениях для шлюза управления облаками.

  • Используйте Диспетчер конфигурации для непосредственного создания приложений в Azure AD. Чтобы собрать необходимые данные из Azure AD, просмотрите сведения в других разделах этой статьи.

Некоторые службы требуют, чтобы приложения Azure AD получили определенные разрешения. Просмотрите сведения для каждой службы, чтобы определить все необходимые разрешения. Например, прежде чем импортировать веб-приложение, администратор Azure должен сначала создать его на портале Azure.

При настройке соединитель журнала Analytics выдайте недавно зарегистрированным участникам веб-приложения разрешение на группу ресурсов, которая содержит соответствующее рабочее пространство. Это разрешение позволяет диспетчеру конфигурации получить доступ к этому рабочему пространству. При назначении разрешения ищите имя регистрации приложения в области Добавить пользователей портала Azure. Этот процесс такой же, как при предоставлении диспетчеру конфигурации разрешений для журнала Analytics. Администратор Azure должен назначить эти разрешения, прежде чем импортировать приложение в Configuration Manager.

Запуск мастера служб Azure

  1. В консоли Configuration Manager перейдите в рабочее пространство Администрирование, расширьте облачные службы и выберите узел Azure Services.

  2. На вкладке Главная лента в группе Azure Services выберите Настройка служб Azure.

  3. На странице Azure Services мастера служб Azure:

    1. Укажите имя объекта в диспетчере конфигурации.

    2. Укажите необязательный Описание, чтобы помочь определить службу.

    3. Выберите службу Azure, которую необходимо подключить к диспетчеру конфигурации.

  4. Выберите Далее, чтобы продолжить страницу свойств приложений Azure мастера служб Azure.

Свойства приложений Azure

Сначала выберите среду Azure из списка на странице App мастера служб Azure. Обратитесь к таблице в сведениях службы, для которой среда в настоящее время доступна для службы.

Остальная часть страницы Приложения зависит от конкретной службы. Обратитесь к таблице в службе, сведения о том, для каких приложений используется служба, и какие действия можно использовать.

После указания приложений на этой странице выберите Далее, чтобы продолжить страницу Конфигурация или Обнаружение мастера служб Azure.

Веб-приложение

Это приложение — веб-приложение типа Azure AD / API, также именуемая серверным приложением в Configuration Manager.

Диалоговое окно приложения сервера

Когда вы выберите Просмотр веб-приложения на странице Приложения мастера служб Azure, откроется диалоговое окно приложения Server. Он отображает список, в который отображаются следующие свойства любых существующих веб-приложений:

  • Удобное имя клиента
  • Имя, удобное для приложения
  • Тип службы

В диалоговом окте Server можно принять три действия:

После выбора импорт или создание веб-приложения выберите ОК, чтобы закрыть диалоговое окно приложения Server. Это действие возвращается на страницу Приложения мастера служб Azure.

Диалоговое окно импортных приложений (сервер)

Когда вы выбираете Импорт из диалоговом октагов Server или страницы Приложения мастера служб Azure, откроется диалоговое окно импортных приложений. На этой странице можно ввести сведения о веб-приложении Azure AD, которое уже создано на портале Azure. Он импортирует метаданные об этом веб-приложении в Configuration Manager. Укажите следующие сведения:

  • Имя клиента Azure AD. Имя клиента Azure AD.
  • Azure AD Tenant ID: GUID клиента Azure AD.
  • Имя приложения: удобное имя приложения, имя отображения в регистрации приложения.
  • ID клиента: Значение ID приложения (клиента) регистрации приложения. Формат — это стандартный GUID.
  • Секретный ключ. При регистрации приложения в Azure AD необходимо скопировать секретный ключ.
  • Срок действия секретного ключа: выберите будущую дату из календаря.
  • URI приложения: это значение должно быть уникальным в клиенте Azure AD. Он в маркере доступа, используемом клиентом Configuration Manager для запроса доступа к службе. Значение — URI ID приложения для записи о регистрации приложения на портале Azure AD.

После ввода сведений выберите Проверка. Затем выберите ОК, чтобы закрыть диалоговое окно импортных приложений. Это действие возвращается либо на страницу Приложения мастера служб Azure, либо на диалоговое окно приложения Server.

Важно!

При использовании импортируемого приложения Azure AD вы не будете уведомлены о предстоящей дате истечения срока действия из уведомлений консоли.

Создание диалогового сервера приложения

Когда вы выбираете диалоговое окно Create из приложения Server, откроется диалоговое окно Create Server Application. Эта страница автоматизирует создание веб-приложения в Azure AD. Укажите следующие сведения:

  • Имя приложения: удобное имя для приложения.

  • URL-адрес homePage. Это значение не используется диспетчером конфигурации, а требуется Azure AD. По умолчанию это значение https://ConfigMgrService .

  • URI приложения: это значение должно быть уникальным в клиенте Azure AD. Он в маркере доступа, используемом клиентом Configuration Manager для запроса доступа к службе. По умолчанию это значение https://ConfigMgrService . Измените по умолчанию один из следующих рекомендуемых форматов:

    • api://{tenantId}/{string}Например api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}Например https://contoso.onmicrosoft.com/ConfigMgrService
  • Период действия секретного ключа: выберите 1 год или 2 года из выпадаемого списка. Один год — это значение по умолчанию.

    Примечание

    Вы можете увидеть параметр Never, но Azure AD больше не поддерживает его. Если вы ранее выбрали этот параметр, срок действия теперь установлен в течение 99 лет с даты его создания.

Выберите вход для проверки подлинности в Azure в качестве административного пользователя. Эти учетные данные не сохраняются диспетчером конфигурации. Этот человек не требует разрешений в диспетчере конфигурации и не должен быть той же учетной записью, которая выполняет мастер служб Azure. После успешной проверки подлинности в Azure страница отображает для справки имя клиента Azure AD.

Выберите ОК, чтобы создать веб-приложение в Azure AD и закрыть диалоговое окно Create Server Application. Это действие возвращается в диалоговое окно приложения Server.

Примечание

Если политика условного доступа Azure AD определена и применяется ко всем облачным приложениям, необходимо исключить созданное серверное приложение из этой политики. Дополнительные сведения об исключении определенных приложений см. в документации по условному доступу Azure AD.

Приложение Native Client

Это приложение — тип Azure AD Native, также именуемый клиентом приложения в Configuration Manager.

Диалоговое окно клиентского приложения

При выборе приложения "Обзор для родного клиента" на странице Приложения мастера служб Azure откроется диалоговое окно клиентского приложения. Он отображает список, в который отображаются следующие свойства любых существующих родных приложений:

  • Удобное имя клиента
  • Имя, удобное для приложения
  • Тип службы

В диалоговом окте клиентского приложения можно принять три действия:

После выбора, импорта или создания родного приложения выберите ОК, чтобы закрыть диалоговое окно клиентского приложения. Это действие возвращается на страницу Приложения мастера служб Azure.

Диалоговое окно импортных приложений (клиент)

Когда вы выбираете Импорт из диалогового октага клиентского приложения, он открывает диалоговое окно импортных приложений. На этой странице можно ввести сведения о родном приложении Azure AD, которое уже создано на портале Azure. Он импортирует метаданные об этом родном приложении в Configuration Manager. Укажите следующие сведения:

  • Имя приложения: удобное имя для приложения.
  • ID клиента: Значение ID приложения (клиента) регистрации приложения. Формат — это стандартный GUID.

После ввода сведений выберите Проверка. Затем выберите ОК, чтобы закрыть диалоговое окно импортных приложений. Это действие возвращается в диалоговое окно клиентского приложения.

Совет

При регистрации приложения в Azure AD может потребоваться вручную указать следующие URI перенаправления: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID> . Укажите GUID клиента приложения, например: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49 .

Создание диалоговое окно клиентского приложения

При выборе Диалоговое окно Create из клиентского приложения откроется диалоговое окно Create Client Application. Эта страница автоматизирует создание родного приложения в Azure AD. Укажите следующие сведения:

  • Имя приложения: удобное имя для приложения.
  • URL-адрес ответа. Это значение не используется диспетчером конфигурации, а требуется Azure AD. По умолчанию это значение https://ConfigMgrService .

Выберите вход для проверки подлинности в Azure в качестве административного пользователя. Эти учетные данные не сохраняются диспетчером конфигурации. Этот человек не требует разрешений в диспетчере конфигурации и не должен быть той же учетной записью, которая выполняет мастер служб Azure. После успешной проверки подлинности в Azure страница отображает для справки имя клиента Azure AD.

Выберите ОК для создания родного приложения в Azure AD и закройте диалоговое окно Create Client Application. Это действие возвращается в диалоговое окно клиентского приложения.

Конфигурация или обнаружение

После указания веб-приложений и родных приложений на странице Приложения мастер служб Azure переходит на страницу Конфигурация или Обнаружение в зависимости от службы, к которой вы подключались. Сведения об этой странице отличаются от службы к службе. Дополнительные сведения см. в одной из следующих статей:

Наконец, выполните мастер служб Azure через страницы Сводка, Прогресс и Завершение. Вы завершили настройку службы Azure в диспетчере конфигурации. Повторите этот процесс, чтобы настроить другие службы Azure.

Обновление параметров приложений

Чтобы клиенты Configuration Manager могли запрашивать маркер устройства Azure AD и включить разрешения на данные каталога чтения, необходимо обновить параметры приложений веб-сервера.

  1. В консоли Configuration Manager перейдите в рабочее пространство Администрирование, расширьте облачные службы и выберите узел Azure Active Directory клиентов.
  2. Выберите клиента Azure AD для приложения, которое необходимо обновить.
  3. В разделе Приложения выберите приложение веб-сервера Azure AD, а затем выберите Параметры приложения обновления из ленты.
  4. При запросе на подтверждение выберите Да, чтобы подтвердить, что вы хотите обновить приложение с помощью последних параметров.

Обновление секретного ключа

Необходимо обновить секретный ключ приложения Azure AD до окончания срока действия. Если срок действия ключа истек, диспетчер конфигурации не сможет проверить подлинность с помощью Azure AD, из-за чего подключенные службы Azure перестанут работать.

Начиная с версии 2006 года консоль Configuration Manager отображает уведомления о следующих обстоятельствах:

  • В ближайшее время истекает срок действия одного или более секретных ключей приложения Azure AD
  • Истек срок действия одного или более секретных ключей приложения Azure AD

Чтобы смягчить оба случая, обнови секретный ключ.

Дополнительные сведения о взаимодействии с этими уведомлениями см. в консоли Configuration Manager.

Обновление ключа для созданного приложения

  1. В консоли Configuration Manager перейдите в рабочее пространство Администрирование, расширьте облачные службы и выберите узел Azure Active Directory клиентов.

  2. На области Сведения выберите клиент Azure AD для приложения.

  3. В ленте выберите обновить секретный ключ. Введите учетные данные владельца приложения или администратора Azure AD.

Обновление ключа для импортируемого приложения

Если вы импортировали приложение Azure в диспетчере конфигурации, используйте портал Azure для обновления. Обратите внимание на новый секретный ключ и дату истечения срока действия. Добавьте эту информацию в мастер обновления секретного ключа.

Примечание

Сохраните секретный ключ перед закрытием страницы Ключ свойств приложений Azure. Эти сведения удаляются при закрытии страницы.

Отключение проверки подлинности

Начиная с версии 2010 года можно отключить проверку подлинности Azure AD для клиентов, не связанных с пользователями и устройствами. При использовании диспетчера конфигурации в Azure AD сайт и клиенты могут использовать современную проверку подлинности. В настоящее время проверка подлинности устройств Azure AD включена для всех клиентов на борту, независимо от того, есть ли у него устройства. Например, у вас есть отдельный клиент с подпиской, которую вы используете для вычислительных ресурсов для поддержки шлюза управления облаками. Если нет пользователей или устройств, связанных с клиентом, отключать проверку подлинности Azure AD.

  1. В консоли Configuration Manager перейдите в рабочее пространство Администрирование.

  2. Расширь облачные службы и выберите узел Azure Services.

  3. Выберите целевое подключение типа Cloud Management. В ленте выберите Свойства.

  4. Переключение на вкладку Applications.

  5. Выберите параметр Отключение Azure Active Directory проверки подлинности для этого клиента.

  6. Выберите ОК для сохранения и закрытия свойств подключения.

Совет

Чтобы это изменение вступает в силу для клиентов, может занять до 25 часов. Чтобы ускорить это изменение в поведении, используйте следующие действия:

  1. Перезапустите sms_executive службу на сервере сайта.
  2. Перезапустите службу ccmexec на клиенте.
  3. Запуск клиентского расписания для обновления точки управления по умолчанию. Например, используйте средство расписания отправки:SendSchedule {00000000-0000-0000-0000-000000000023}

Просмотр конфигурации службы Azure

Просмотр свойств службы Azure, настроенной для использования. В консоли Configuration Manager перейдите в рабочее пространство Администрирование, расширьте облачные службы и выберите Службы Azure. Выберите службу, которая необходимо просмотреть или изменить, а затем выберите Свойства.

Если вы выберите службу, а затем выберите Удалить в ленте, это действие удаляет подключение в Диспетчер конфигурации. Приложение не удаляется в Azure AD. Попросите администратора Azure удалить приложение, если оно больше не требуется. Или запустите мастер служб Azure для импорта приложения.

Поток данных управления облаками

Следующая схема — это концептуальный поток данных для взаимодействия между Configuration Manager, Azure AD и подключенными облачными службами. В этом конкретном примере используется служба облачного управления, которая включает Windows 10 клиента, а также серверные и клиентские приложения. Потоки для других служб схожи.

Схема потока данных для configuration Manager с Azure AD и облачным управлением

  1. Администратор Configuration Manager импортирует или создает клиентские и серверные приложения в Azure AD.

  2. Метод обнаружения пользователя Configuration Manager Azure AD запускается. Сайт использует маркер приложения-сервера Azure AD для запроса microsoft Graph объектов пользователя.

  3. На сайте хранится информация об объектах пользователя. Дополнительные сведения см. в видеоролике Azure AD User Discovery.

  4. Клиент Configuration Manager запрашивает маркер пользователя Azure AD. Клиент делает заявление с помощью ID приложения клиентского приложения Azure AD и серверного приложения в качестве аудитории. Дополнительные сведения см. в видеоролике Claims in Azure AD Security Tokens.

  5. Клиент проверки подлинности на сайте представляет маркер Azure AD шлюзу управления облаком и локальной точке управления с поддержкой HTTPS.

Дополнительные сведения см. в описании рабочего процесса проверки подлинности Azure AD.