Ruční registrace aplikací Microsoft Entra pro CMG
Platí pro: Configuration Manager (Current Branch)
Druhým primárním krokem k nastavení brány pro správu cloudu (CMG) je integrace Configuration Manager lokality s tenantem Microsoft Entra. Tato integrace umožňuje, aby se web ověřil pomocí Microsoft Entra ID, který používá k nasazení a monitorování služby CMG. Pokud nemůžete použít Configuration Manager k automatizaci vytváření aplikací během Průvodce službou Azure, můžete použít průvodce k importu dříve vytvořené aplikace. Pokud například správci Azure vyžadují, aby ručně vytvořili všechny registrace Microsoft Entra aplikací, použijte tento postup.
Tip
Tento článek obsahuje doporučené pokyny k integraci webu speciálně pro bránu pro správu cloudu. Další informace o tomto procesu a dalších použitích uzlu služeb Azure v konzole Configuration Manager najdete v tématu Konfigurace služeb Azure.
Při integraci webu vytvoříte registrace aplikací v Microsoft Entra ID. CmG vyžaduje dvě registrace aplikací:
- Webová aplikace (v Configuration Manager označovaná také jako serverová aplikace)
- Nativní aplikace (v Configuration Manager označovaná také jako klientská aplikace)
Tyto aplikace můžete vytvořit dvěma způsoby, které vyžadují roli globálního správce v Microsoft Entra ID:
- K automatizaci vytváření aplikací při integraci webu použijte Configuration Manager.
- Aplikace předem vytvořte ručně a při integraci webu je importujte.
Tento článek obsahuje konkrétní podrobnosti pro druhou metodu. Pokud chcete proces dokončit, spárujte tyto pokyny s postupy v článku Konfigurace Microsoft Entra ID pro CMG.
Získání podrobností o tenantovi
Tip
Během tohoto procesu si budete muset poznamenat několik hodnot, které můžete použít později. Otevřete aplikaci, jako je Windows Poznámkový blok, a vložte hodnoty, které zkopírujete z webu Azure Portal.
Nejprve si musíte poznamenat Microsoft Entra název tenanta a ID tenanta. Tyto hodnoty jsou první dvě informace, které potřebujete k importu registrací aplikací v Configuration Manager.
V Azure Portal vyberte Microsoft Entra ID.
V nabídce Microsoft Entra ID vyberte Vlastní názvy domén.
Poznamenejte si název tenanta. Například:
contoso.onmicrosoft.com
.V nabídce Microsoft Entra ID vyberte Vlastnosti.
Zkopírujte hodnotu GUID ID tenanta .
Registrace webové (serverové) aplikace
V nabídce Microsoft Entra ID vyberte Registrace aplikací. Vyberte Nová registrace a vytvořte novou aplikaci.
V podokně Zaregistrovat aplikaci zadejte následující informace:
-
Název: Popisný název aplikace. Například:
CMG-ServerApp
. - Podporované typy účtů: Toto nastavení ponechte jako výchozí možnost – Účty pouze v tomto organizačním adresáři.
- Identifikátor URI přesměrování: Vyberte : Veřejný klient nebo nativní (mobilní &desktop) a zadejte http://localhost jako identifikátor URI.
-
Název: Popisný název aplikace. Například:
Vyberte Zaregistrovat a vytvořte aplikaci.
Ve vlastnostech nové aplikace zkopírujte následující hodnoty:
- Zobrazovaný název: Tato hodnota je popisný název registrace aplikace, který později použijete jako název aplikace.
- ID aplikace (klienta): Tuto hodnotu GUID později použijete jako ID klienta.
V nabídce vlastností aplikace vyberte Certifikáty & tajných kódů a pak vyberte Nový tajný klíč klienta.
- Popis: Můžete použít libovolný název tajného kódu nebo ho nechat prázdný.
- Platnost vyprší: Vyberte 12 měsíců nebo 24 měsíců.
Vyberte možnost Přidat. Okamžitě zkopírujte řetězec tajného klíče klienta Value a Vyprší. Pokud toto podokno opustíte, nebudete moct znovu načíst stejný tajný kód. Tyto hodnoty později použijete jako hodnoty vypršení platnosti tajného klíče a tajného klíče .
Pokud budete v Configuration Manager používat zjišťování uživatelů Microsoft Entra, musíte upravit oprávnění pro tuto aplikaci. V nabídce vlastností aplikace vyberte Oprávnění rozhraní API. Ve výchozím nastavení by měl mít oprávnění User.Read pro rozhraní Microsoft Graph API, které se musí změnit.
Vyberte Microsoft Graph a vytvořte seznam dostupných oprávnění rozhraní API a pak vyberte Oprávnění aplikace.
Rozbalte Adresář a pak vyberte Directory.Read.All.
Přepněte na Delegovaná oprávnění.
Rozbalte položku Uživatel a odeberte oprávnění User.Read .
Vyberte Aktualizovat oprávnění.
V podokně Oprávnění rozhraní API vyberte Udělit souhlas správce pro... a pak vyberte Ano.
V nabídce vlastností aplikace vyberte Zveřejnit rozhraní API.
Jako identifikátor URI ID aplikace vyberte Přidat. Zadejte identifikátor URI, který je pro tenanta jedinečný. Tuto hodnotu později použijete jako identifikátor URI ID aplikace. Použijte jeden z následujících doporučených formátů:
-
api://{tenantId}/{string}
, napříkladapi://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, napříkladhttps://contoso.onmicrosoft.com/ConfigMgrService
Vyberte Uložit.
-
Vyberte Přidat obor a zadejte následující požadované informace:
-
Název oboru:
user_impersonation
- Kdo může vyjádřit souhlas: Vyberte Správci a uživatelé.
-
Správa zobrazovaný název souhlasu: Zadejte smysluplný název. Například
Access CMG-ServerApp
-
Správa popis souhlasu: Zadejte smysluplný popis. Například
Allow the application to access CMG-ServerApp on behalf of the signed-in user.
-
Název oboru:
Vyberte Přidat obor , který chcete uložit.
V nabídce vlastností aplikace vyberte Manifest. Nastavte položku oauth2AllowIdTokenImplicitFlow na true. Příklady:
"oauth2AllowIdTokenImplicitFlow": true,
Vyberte Uložit.
Webová (serverová) aplikace pro CMG je teď zaregistrovaná v Microsoft Entra ID.
Registrace nativní (klientské) aplikace
V nabídce Microsoft Entra ID vyberte Registrace aplikací. Vyberte Nová registrace a vytvořte novou aplikaci.
V podokně Zaregistrovat aplikaci zadejte následující informace:
-
Název: Popisný název aplikace. Například:
CMG-ClientApp
. - Podporované typy účtů: Toto nastavení ponechte jako výchozí možnost – Účty pouze v tomto organizačním adresáři.
- Identifikátor URI přesměrování: Tuto volitelnou hodnotu ponechte prázdnou.
-
Název: Popisný název aplikace. Například:
Vyberte Zaregistrovat a vytvořte aplikaci.
Ve vlastnostech nové aplikace zkopírujte následující hodnoty:
- Zobrazovaný název: Tato hodnota je popisný název registrace aplikace, který později použijete jako název aplikace.
- ID aplikace (klienta): Tuto hodnotu GUID později použijete jako ID klienta.
V nabídce vlastností aplikace vyberte Ověřování.
V části Konfigurace platformy vyberte Přidat platformu.
V podokně Konfigurovat platformy vyberte Mobilní a desktopové aplikace.
V podokně Konfigurovat plochu a zařízení v části Identifikátory URI vlastního přesměrování zadejte
ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>
. Použijte identifikátor GUID ID klienta aplikace, například:ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255
.Vyberte Konfigurovat.
V části Upřesnit nastavení nastavte Povolit veřejné klientské toky na Ano. Vyberte Uložit.
Upravte oprávnění k této aplikaci. V nabídce vlastností aplikace vyberte Oprávnění rozhraní API. Ve výchozím nastavení by měl mít pro rozhraní Microsoft Graph API delegované oprávnění User.Read.
V podokně Oprávnění rozhraní API vyberte Přidat oprávnění.
Přepněte na kartu Moje rozhraní API a vyberte svoji webovou (serverovou) aplikaci. Například CMG-ServerApp. Vyberte oprávnění user_impersonation a pak vyberte Přidat oprávnění k uložení.
V podokně Oprávnění rozhraní API vyberte Udělit souhlas správce pro... a pak vyberte Ano.
V nabídce vlastností aplikace vyberte Manifest. Nastavte položku oauth2AllowIdTokenImplicitFlow na true. Příklady:
"oauth2AllowIdTokenImplicitFlow": true,
Vyberte Uložit.
Nativní (klientská) aplikace pro CMG je teď zaregistrovaná v Microsoft Entra ID. Tento krok také uzavírá proces v Azure Portal. Role globálního správce Azure je hotová.
Import aplikací do Configuration Manager
Po ruční registraci obou aplikací v Azure Portal použijte postup v článku Konfigurace Microsoft Entra ID pro CMG, ale vyberte možnost Importovat jednotlivé aplikace.
Tyto procesy importují metadata o aplikacích Microsoft Entra do Configuration Manager. K importu těchto aplikací nepotřebujete žádná Microsoft Entra oprávnění.
Import webové (serverové) aplikace
Když v okně Serverová aplikace vyberete Importovat, otevře se okno Importovat aplikace. Zadejte následující informace o webové aplikaci Microsoft Entra, která je už zaregistrovaná v Azure Portal:
- Microsoft Entra název tenanta: Název vašeho tenanta Microsoft Entra.
- Microsoft Entra ID tenanta: IDENTIFIKÁTOR GUID vašeho tenanta Microsoft Entra.
- Název aplikace: Popisný název aplikace, zobrazovaný název v registraci aplikace.
- ID klienta: Hodnota ID aplikace (klienta) registrace aplikace. Formát je standardní identifikátor GUID.
- Tajný klíč: Při registraci aplikace v Microsoft Entra ID a vytvoření tajného klíče zkopírujte tajný klíč.
- Vypršení platnosti tajného klíče: Zadejte stejné datum jako v Azure Portal.
-
Identifikátor URI ID aplikace: Hodnota je identifikátor URI ID aplikace položky registrace aplikace v Centrum pro správu Microsoft Entra. Formát je podobný jako
https://ConfigMgrService
.
Po zadání informací vyberte Ověřit. Pak vyberte OK a zavřete okno Importovat aplikace .
Důležité
Když použijete importovanou aplikaci Microsoft Entra, nebudete upozorněni na nadcházející datum vypršení platnosti z oznámení konzoly.
Import nativní (klientské) aplikace
Když v okně Klientské aplikace vyberete Importovat, otevře se okno Importovat aplikace. Zadejte následující informace o nativní aplikaci Microsoft Entra, která je už zaregistrovaná v Azure Portal:
- Průvodce automaticky vyplní název tenanta Microsoft Entra a ID tenanta na základě webové (serverové) aplikace, kterou jste už zadali.
- Název aplikace: Popisný název aplikace.
- ID klienta: Hodnota ID aplikace (klienta) registrace aplikace. Formát je standardní identifikátor GUID.
Po zadání informací vyberte Ověřit. Pak vyberte OK a zavřete okno Importovat aplikace .
Další kroky
Po ruční registraci obou aplikací v Azure Portal použijte postup v následujícím článku k importu aplikací: