Настройка интеграции Azure
Область применения: Windows Администратор Center, Windows Администратор Center Preview
Центр windows Администратор поддерживает несколько дополнительных функций, которые интегрируются со службами Azure. Узнайте о вариантах интеграции Azure, доступных в Центре Администратор Windows.
Чтобы разрешить шлюзу Центра Windows Администратор Центр взаимодействовать с Azure, чтобы использовать проверку подлинности Microsoft Entra для доступа к шлюзу или создать ресурсы Azure от вашего имени (например, для защиты виртуальных машин, управляемых в Windows Администратор Center с помощью Azure Site Recovery), необходимо сначала зарегистрировать шлюз Windows Администратор Center в Azure. Это необходимо сделать только один раз для шлюза Центра Windows Администратор. Этот параметр сохраняется при обновлении шлюза до более новой версии.
Регистрация шлюза в Azure
При первом попытке использовать функцию интеграции Azure в Центре Администратор Windows вам будет предложено зарегистрировать шлюз в Azure. Вы также можете зарегистрировать шлюз, перейдя на вкладку Azure в Центре Администратор Windows Параметры. Только администраторы шлюза Центра Администратор Windows могут зарегистрировать шлюз Центра Администратор Windows в Azure. Дополнительные сведения о разрешениях пользователя и администратора Центра Windows Администратор Center.
Инструкции, описанные в продукте, создадут приложение Microsoft Entra в каталоге, которое позволяет Центру windows Администратор взаимодействовать с Azure. Чтобы просмотреть приложение Microsoft Entra, созданное автоматически, перейдите на вкладку Azure параметров Центра Администратор Windows. Представление в гиперссылке Azure позволяет просматривать приложение Microsoft Entra в портал Azure.
Созданное приложение Microsoft Entra используется для всех точек интеграции Azure в Центре Администратор Windows, включая проверку подлинности Microsoft Entra в шлюзе. Центр windows Администратор автоматически настраивает разрешения, необходимые для создания ресурсов Azure и управления ими от вашего имени:
- Microsoft Graph
- Application.Read.All
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.Read.All
- Directory.ReadWrite.All
- User.Read
- Управление службами Azure
- user_impersonation
Настройка приложения Microsoft Entra вручную
Если вы хотите вручную настроить приложение Microsoft Entra, а не использовать приложение Microsoft Entra, созданное автоматически Центром Администратор Windows во время процесса регистрации шлюза, необходимо выполнить следующее.
Предоставьте приложению Microsoft Entra необходимые разрешения API, перечисленные выше. Это можно сделать, перейдя к приложению Microsoft Entra в портал Azure. Перейдите к портал Azure >идентификатору> Microsoft Entra Регистрация приложений> выберите приложение Microsoft Entra, которое вы хотите использовать. Затем перейдите на вкладку разрешений API и добавьте указанные выше разрешения API.
Добавьте URL-адрес шлюза Центра Windows Администратор в URL-адреса ответа (также известные как URI перенаправления). Перейдите к приложению Microsoft Entra, а затем перейдите к манифесту. Найдите ключ "replyUrlsWithType" в манифесте. В ключ добавьте объект, содержащий два ключа: URL-адрес и тип. Ключ "URL-адрес" должен иметь значение URL-адреса шлюза Центра Windows Администратор, добавляя дикий карта в конце. Ключ "type" должен иметь значение "Web". Рассмотрим пример.
"replyUrlsWithType": [ { "url": "http://localhost:6516/*", "type": "Single-Page Application" } ],
Примечание.
Если вы включили Application Guard в Microsoft Defender для браузера, вы не сможете зарегистрировать Центр Администратор Windows в Azure или войти в Azure.
Устранение неполадок с ошибкой одностраничного приложения при входе в Azure
Если вы недавно обновили экземпляр Центра Windows Администратор до более новой версии, а шлюз ранее зарегистрирован в Azure, при входе в Azure может возникнуть ошибка с сообщением о том, что "активация токена между источниками разрешена только для типа клиента одностраничного приложения". Это связано с тем, что Центр Администратор Windows изменил способ проверки подлинности на основе общих рекомендаций Майкрософт. Где мы ранее использовали неявный поток предоставления, теперь мы используем поток кода авторизации.
Если вы хотите продолжить использование существующей регистрации приложения для приложения Windows Администратор Center, используйте Центр администрирования Microsoft Entra для обновления URI перенаправления регистрации на платформу одностраничного приложения (SPA). Это позволяет потоку кода авторизации использовать ключ проверки подлинности для Exchange (PKCE) и поддержку общего доступа к ресурсам между источниками (CORS) для приложений, использующих такую регистрацию.
Выполните следующие действия для регистрации приложений, настроенных в настоящее время с помощью URI перенаправления веб-платформы :
- Войдите в центр администрирования Microsoft Entra.
- Перейдите к приложениям удостоверений >> Регистрация приложений, выберите приложение и проверьте подлинность.
- На плитке веб-платформы в разделе URI перенаправления выберите предупреждающий баннер (он указывает на необходимость переноса URI).
- Выберите универсальный код ресурса (URI перенаправления) для приложения и нажмите кнопку "Настроить". Эти URI перенаправления должны появиться на плитке платформы одностраничного приложения, сообщая о том, что для них теперь включена поддержка CORS с потоком кода авторизации и PKCE.
Вместо обновления существующих URI можно создать новую регистрацию приложения для шлюза. Регистрация приложений, созданные для Центра Администратор Windows через поток регистрации шлюза, создают URI перенаправления платформы одностраничных приложений.
Если вы не можете перенести URI перенаправления регистрации приложения для использования потока кода проверки подлинности, вы можете продолжать использовать существующую регистрацию приложения как есть. Для этого необходимо отменить регистрацию шлюза Центра Администратор Windows и повторно зарегистрировать его с помощью того же идентификатора регистрации приложения.