Dela via


Konfigurera Azure-tjänster för användning med Configuration Manager

Gäller för: Configuration Manager (aktuell gren)

Använd Guiden Azure-tjänster för att förenkla konfigurationen av de Azure-molntjänster som du använder med Configuration Manager. Den här guiden ger en gemensam konfigurationsupplevelse med hjälp av Microsoft Entra webbappregistreringar. Dessa appar tillhandahåller prenumerations- och konfigurationsinformation och autentiserar kommunikation med Microsoft Entra-ID. Appen ersätter att ange samma information varje gång du konfigurerar en ny Configuration Manager komponent eller tjänst med Azure.

Tillgängliga tjänster

Konfigurera följande Azure-tjänster med den här guiden:

Tjänstinformation

I följande tabell visas information om var och en av tjänsterna.

  • Klienter: Antalet tjänstinstanser som du kan konfigurera. Varje instans måste vara en distinkt Microsoft Entra klientorganisation.

  • Moln: Alla tjänster stöder det globala Azure-molnet, men inte alla tjänster stöder privata moln, till exempel Azure US Government-molnet.

  • Webbapp: Om tjänsten använder en Microsoft Entra app av typen Webbapp/API, även kallad en serverapp i Configuration Manager.

  • Intern app: Om tjänsten använder en Microsoft Entra app av typen Intern, även kallad en klientapp i Configuration Manager.

  • Åtgärder: Om du kan importera eller skapa dessa appar i guiden Configuration Manager Azure-tjänster.

Tjänst Klientorganisationer Moln Webbapp Inbyggd app Åtgärder
Molnhantering med
Microsoft Entra identifiering
Flera Offentlig, privat Stöds Stöds Importera, skapa
Log Analytics-anslutningsprogram En Offentlig, privat Stöds Stöds inte Importera
Microsoft Store för
Business
En Offentlig Stöds Stöds inte Importera, skapa

Om Microsoft Entra appar

Olika Azure-tjänster kräver olika konfigurationer som du gör i Azure Portal. Dessutom kan apparna för varje tjänst kräva separata behörigheter till Azure-resurser.

Du kan använda en enda app för mer än en tjänst. Det finns bara ett objekt att hantera i Configuration Manager och Microsoft Entra-ID. När säkerhetsnyckeln i appen upphör att gälla behöver du bara uppdatera en nyckel.

När du skapar ytterligare Azure-tjänster i guiden är Configuration Manager utformat för att återanvända information som är gemensam mellan tjänster. Det här beteendet hjälper dig att behöva ange samma information mer än en gång.

Mer information om nödvändiga appbehörigheter och konfigurationer för varje tjänst finns i relevant artikel Configuration Manager i Tillgängliga tjänster.

Börja med följande artiklar om du vill ha mer information om Azure-appar:

Innan du börjar

När du har bestämt vilken tjänst du vill ansluta till läser du tabellen i Tjänstinformation. Den här tabellen innehåller information som du behöver för att slutföra Azure-tjänstguiden. Ha en diskussion i förväg med din Microsoft Entra administratör. Bestäm vilka av följande åtgärder som ska utföras:

  • Skapa apparna manuellt i förväg i Azure Portal. Importera sedan appinformationen till Configuration Manager.

    Tips

    Mer information om molnhantering finns i Registrera Microsoft Entra appar manuellt för molnhanteringsgatewayen.

  • Använd Configuration Manager för att direkt skapa appar i Microsoft Entra-ID. Om du vill samla in nödvändiga data från Microsoft Entra ID läser du informationen i de andra avsnitten i den här artikeln.

Vissa tjänster kräver att de Microsoft Entra apparna har specifika behörigheter. Granska informationen för varje tjänst för att fastställa eventuella behörigheter som krävs. Innan du till exempel kan importera en webbapp måste en Azure-administratör först skapa den i Azure Portal.

När du konfigurerar Log Analytics Connector ska du ge den nyligen registrerade webbappen deltagarbehörighet för den resursgrupp som innehåller den relevanta arbetsytan. Med den här behörigheten kan Configuration Manager komma åt arbetsytan. När du tilldelar behörigheten söker du efter namnet på appregistreringen i området Lägg till användare i Azure Portal. Den här processen är densamma som när du tillhandahåller Configuration Manager med behörighet till Log Analytics. En Azure-administratör måste tilldela dessa behörigheter innan du importerar appen till Configuration Manager.

Starta Azure Services-guiden

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Azure Services.

  2. På fliken Start i menyfliksområdet går du till gruppen Azure-tjänster och väljer Konfigurera Azure-tjänster.

  3. På sidan Azure-tjänster i Guiden Azure-tjänster:

    1. Ange ett namn för objektet i Configuration Manager.

    2. Ange en valfri Beskrivning som hjälper dig att identifiera tjänsten.

    3. Välj den Azure-tjänst som du vill ansluta till Configuration Manager.

  4. Välj Nästa för att fortsätta till sidan Egenskaper för Azure-appen i Azure-tjänstguiden.

Egenskaper för Azure-appar

På sidan App i Azure Services-guiden väljer du först Azure-miljön i listan. Se tabellen i Tjänstinformation för vilken miljö som för närvarande är tillgänglig för tjänsten.

Resten av appsidan varierar beroende på den specifika tjänsten. Se tabellen i Tjänstinformation för vilken typ av app tjänsten använder och vilken åtgärd du kan använda.

När du har angett apparna på den här sidan väljer du Nästa för att fortsätta till sidan Konfiguration eller identifiering i Azure Services-guiden.

Webbapp

Den här appen är den Microsoft Entra ID-typen Webbapp/API, som även kallas en serverapp i Configuration Manager.

Dialogrutan Serverapp

När du väljer Bläddra efterwebbappen på sidan App i Azure Services-guiden öppnas dialogrutan Serverapp. Den visar en lista som visar följande egenskaper för alla befintliga webbappar:

  • Eget namn för klientorganisation
  • Eget namn för app
  • Tjänsttyp

Det finns tre åtgärder som du kan vidta i dialogrutan Serverapp:

När du har valt, importerat eller skapat en webbapp väljer du OK för att stänga dialogrutan Serverapp. Den här åtgärden återgår till appsidan i Azure Services-guiden.

Dialogrutan Importera appar (server)

När du väljer Importera från dialogrutan Serverapp eller sidan App i Azure Services-guiden öppnas dialogrutan Importera appar. På den här sidan kan du ange information om en Microsoft Entra webbapp som redan har skapats i Azure Portal. Den importerar metadata om webbappen till Configuration Manager. Ange följande information:

  • Microsoft Entra klientnamn: Namnet på din Microsoft Entra klientorganisation.
  • Microsoft Entra klientorganisations-ID: GUID för din Microsoft Entra klientorganisation.
  • Programnamn: Ett eget namn för appen, visningsnamnet i appregistreringen.
  • Klient-ID: Program-ID-värdet (klient) för appregistreringen. Formatet är ett standard-GUID.
  • Hemlig nyckel: Du måste kopiera den hemliga nyckeln när du registrerar appen i Microsoft Entra-ID.
  • Förfallodatum för hemlig nyckel: Välj ett framtida datum i kalendern.
  • App-ID-URI: Det här värdet måste vara unikt i din Microsoft Entra klientorganisation. Det finns i den åtkomsttoken som används av Configuration Manager-klienten för att begära åtkomst till tjänsten. Värdet är program-ID-URI:n för appregistreringsposten i Microsoft Entra administrationscenter.

När du har angett informationen väljer du Verifiera. Välj sedan OK för att stänga dialogrutan Importera appar. Den här åtgärden återgår antingen till appsidan i Azure Services-guiden eller till dialogrutan Serverapp.

Viktigt

När du använder en importerad Microsoft Entra app meddelas du inte om ett kommande förfallodatum från konsolmeddelanden.

Dialogrutan Skapa serverprogram

När du väljer Skapa i dialogrutan Serverapp öppnas dialogrutan Skapa serverprogram. Den här sidan automatiserar skapandet av en webbapp i Microsoft Entra-ID. Ange följande information:

  • Programnamn: Ett eget namn för appen.

  • Url för startsida: Det här värdet används inte av Configuration Manager, utan krävs av Microsoft Entra-ID. Som standard är https://ConfigMgrServicedet här värdet .

  • App-ID-URI: Det här värdet måste vara unikt i din Microsoft Entra klientorganisation. Det finns i den åtkomsttoken som används av Configuration Manager-klienten för att begära åtkomst till tjänsten. Som standard är https://ConfigMgrServicedet här värdet . Ändra standardvärdet till något av följande rekommenderade format:

    • api://{tenantId}/{string}, till exempel api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}, till exempel https://contoso.onmicrosoft.com/ConfigMgrService
  • Giltighetsperiod för hemlig nyckel: välj antingen 1 år eller 2 år i listrutan. Ett år är standardvärdet.

    Obs!

    Du kan se ett alternativ för Aldrig, men Microsoft Entra stöder det inte längre. Om du tidigare valde det här alternativet har förfallodatumet nu angetts till 99 år från det datum då du skapade det.

Välj Logga in för att autentisera till Azure som administrativ användare. Dessa autentiseringsuppgifter sparas inte av Configuration Manager. Den här personen kräver inte behörigheter i Configuration Manager och behöver inte vara samma konto som kör Azure Services-guiden. När du har autentiserat till Azure visar sidan Microsoft Entra klientnamn som referens.

Välj OK för att skapa webbappen i Microsoft Entra-ID och stäng dialogrutan Skapa serverprogram. Den här åtgärden återgår till dialogrutan Serverapp.

Obs!

Om du har definierat en Microsoft Entra princip för villkorsstyrd åtkomst och gäller för alla molnappar måste du undanta det skapade serverprogrammet från den här principen. Mer information om hur du exkluderar specifika appar finns i Microsoft Entra dokumentation om villkorsstyrd åtkomst.

Intern klientapp

Den här appen är den Microsoft Entra ID-typen Intern, som även kallas en klientapp i Configuration Manager.

Dialogrutan Klientapp

När du väljer Bläddra efter den interna klientappen på sidan App i Azure Services-guiden öppnas dialogrutan Klientapp. Den visar en lista som visar följande egenskaper för alla befintliga interna appar:

  • Eget namn för klientorganisation
  • Eget namn för app
  • Tjänsttyp

Det finns tre åtgärder som du kan vidta i dialogrutan Klientapp:

När du har valt, importerat eller skapat en intern app väljer du OK för att stänga dialogrutan Klientapp. Den här åtgärden återgår till appsidan i Azure Services-guiden.

Dialogrutan Importera appar (klient)

När du väljer Importera från dialogrutan Klientapp öppnas dialogrutan Importera appar. På den här sidan kan du ange information om en Microsoft Entra inbyggd app som redan har skapats i Azure Portal. Den importerar metadata om den interna appen till Configuration Manager. Ange följande information:

  • Programnamn: Ett eget namn för appen.
  • Klient-ID: Program-ID-värdet (klient) för appregistreringen. Formatet är ett standard-GUID.

När du har angett informationen väljer du Verifiera. Välj sedan OK för att stänga dialogrutan Importera appar. Den här åtgärden återgår till dialogrutan Klientapp.

Tips

När du registrerar appen i Microsoft Entra-ID kan du behöva ange följande omdirigerings-URI manuellt: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Ange appens klient-ID GUID, till exempel: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Dialogrutan Skapa klientprogram

När du väljer Skapa i dialogrutan Klientapp öppnas dialogrutan Skapa klientprogram. Den här sidan automatiserar skapandet av en inbyggd app i Microsoft Entra-ID. Ange följande information:

  • Programnamn: Ett eget namn för appen.
  • Svars-URL: Det här värdet används inte av Configuration Manager, utan krävs av Microsoft Entra-ID. Som standard är https://ConfigMgrServicedet här värdet .

Välj Logga in för att autentisera till Azure som administrativ användare. Dessa autentiseringsuppgifter sparas inte av Configuration Manager. Den här personen kräver inte behörigheter i Configuration Manager och behöver inte vara samma konto som kör Azure Services-guiden. När du har autentiserat till Azure visar sidan Microsoft Entra klientnamn som referens.

Välj OK för att skapa den interna appen i Microsoft Entra ID och stäng dialogrutan Skapa klientprogram. Den här åtgärden återgår till dialogrutan Klientapp.

Konfiguration eller identifiering

När du har angett webbappar och interna appar på sidan Appar fortsätter Azure Services-guiden till antingen en konfigurations- eller identifieringssida , beroende på vilken tjänst du ansluter till. Informationen på den här sidan varierar från tjänst till tjänst. Mer information finns i någon av följande artiklar:

Slutför slutligen Azure Services-guiden via sidorna Sammanfattning, Förlopp och Slutförande. Du har slutfört konfigurationen av en Azure-tjänst i Configuration Manager. Upprepa den här processen för att konfigurera andra Azure-tjänster.

Uppdatera programinställningar

Om du vill att dina Configuration Manager klienter ska kunna begära en Microsoft Entra enhetstoken och aktivera läskatalogens databehörigheter måste du uppdatera inställningarna för webbserverprogrammet.

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Microsoft Entra klientorganisationer.
  2. Välj den Microsoft Entra klientorganisationen för det program som du vill uppdatera.
  3. I avsnittet Program väljer du ditt Microsoft Entra webbserverprogram och väljer sedan Uppdatera programinställningar i menyfliksområdet.
  4. När du uppmanas att bekräfta väljer du Ja för att bekräfta att du vill uppdatera programmet med de senaste inställningarna.

Förnya hemlig nyckel

Du måste förnya Microsoft Entra appens hemliga nyckel innan giltighetsperioden är slut. Om du låter nyckeln förfalla kan Configuration Manager inte autentisera med Microsoft Entra ID, vilket gör att dina anslutna Azure-tjänster slutar fungera.

Från och med version 2006 visar Configuration Manager-konsolen meddelanden för följande omständigheter:

  • En eller flera Microsoft Entra apphemlighetsnycklar upphör snart att gälla
  • En eller flera Microsoft Entra apphemlighetsnycklar har upphört att gälla

För att undvika båda fallen förnyar du den hemliga nyckeln.

Mer information om hur du interagerar med dessa meddelanden finns i Configuration Manager konsolaviseringar.

Obs!

Du måste ha minst rollen "Molnprogramadministratör" Microsoft Entra tilldelad för att kunna förnya nyckeln.

Förnya nyckel för skapad app

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Microsoft Entra klientorganisationer.

  2. I fönstret Information väljer du appens Microsoft Entra klientorganisation.

  3. I menyfliksområdet väljer du Förnya hemlig nyckel. Ange autentiseringsuppgifterna för antingen appägaren eller en Microsoft Entra-administratör.

Förnya nyckel för importerad app

Om du har importerat Azure-appen i Configuration Manager använder du Azure Portal för att förnya. Observera den nya hemliga nyckeln och förfallodatumet. Lägg till den här informationen i guiden Förnya hemlig nyckel .

Obs!

Spara den hemliga nyckeln innan du stänger nyckelsidan för Azure-programegenskaper. Den här informationen tas bort när du stänger sidan.

Inaktivera autentisering

Från och med version 2010 kan du inaktivera Microsoft Entra autentisering för klienter som inte är associerade med användare och enheter. När du registrerar Configuration Manager för att Microsoft Entra ID kan webbplatsen och klienterna använda modern autentisering. För närvarande är Microsoft Entra enhetsautentisering aktiverat för alla registrerade klienter, oavsett om de har enheter eller inte. Du har till exempel en separat klientorganisation med en prenumeration som du använder för beräkningsresurser för att stödja en molnhanteringsgateway. Om det inte finns användare eller enheter som är associerade med klientorganisationen inaktiverar du Microsoft Entra autentisering.

  1. I Configuration Manager-konsolen går du till arbetsytan Administration.

  2. Expandera Cloud Services och välj noden Azure Services.

  3. Välj målanslutningen av typen Molnhantering. I menyfliksområdet väljer du Egenskaper.

  4. Växla till fliken Program .

  5. Välj alternativet Inaktivera Microsoft Entra autentisering för den här klientorganisationen.

  6. Välj OK för att spara och stänga anslutningsegenskaperna.

Tips

Det kan ta upp till 25 timmar innan den här ändringen börjar gälla för klienter. Använd följande steg för att testa för att påskynda den här ändringen av beteendet:

  1. Starta om sms_executive-tjänsten på platsservern.
  2. Starta om ccmexec-tjänsten på klienten.
  3. Utlös klientschemat för att uppdatera standardhanteringsplatsen. Använd till exempel verktyget skicka schema: SendSchedule {00000000-0000-0000-0000-000000000023}

Visa konfigurationen av en Azure-tjänst

Visa egenskaperna för en Azure-tjänst som du har konfigurerat för användning. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer Azure-tjänster. Välj den tjänst som du vill visa eller redigera och välj sedan Egenskaper.

Om du väljer en tjänst och sedan väljer Ta bort i menyfliksområdet tar den här åtgärden bort anslutningen i Configuration Manager. Den tar inte bort appen i Microsoft Entra-ID. Be Azure-administratören att ta bort appen när den inte längre behövs. Eller kör Azure Service-guiden för att importera appen.

Dataflöde för molnhantering

Följande diagram är ett konceptuellt dataflöde för interaktionen mellan Configuration Manager, Microsoft Entra-ID och anslutna molntjänster. I det här specifika exemplet används cloud management-tjänsten, som innehåller en Windows 10-klient och både server- och klientappar. Flödena för andra tjänster liknar varandra.

Dataflödesdiagram för Configuration Manager med Microsoft Entra-ID och molnhantering

  1. Configuration Manager-administratören importerar eller skapar klient- och serverapparna i Microsoft Entra-ID.

  2. Configuration Manager Microsoft Entra användaridentifieringsmetod körs. Webbplatsen använder Microsoft Entra-serverapptoken för att fråga Microsoft Graph efter användarobjekt.

  3. Webbplatsen lagrar data om användarobjekten. Mer information finns i Microsoft Entra användaridentifiering.

  4. Configuration Manager-klienten begär Microsoft Entra användartoken. Klienten gör anspråket med hjälp av program-ID:t för Microsoft Entra-klientappen och serverappen som målgrupp. Mer information finns i Anspråk i Microsoft Entra säkerhetstoken.

  5. Klienten autentiserar med platsen genom att presentera Microsoft Entra-token för molnhanteringsgatewayen och den lokala HTTPS-aktiverade hanteringsplatsen.

Mer detaljerad information finns i Microsoft Entra autentiseringsarbetsflöde.