Konfigurieren Microsoft Entra-ID für CMG

Gilt für: Configuration Manager (Current Branch)

Der zweite primäre Schritt zum Einrichten eines Cloudverwaltungsgateways (Cloud Management Gateway, CMG) besteht darin, den Configuration Manager Standort in Ihren Microsoft Entra Mandanten zu integrieren. Diese Integration ermöglicht es dem Standort, sich mit Microsoft Entra-ID zu authentifizieren, die zum Bereitstellen und Überwachen des CMG-Diensts verwendet wird. Wenn Sie im nächsten Schritt die Microsoft Entra Authentifizierungsmethode für Clients auswählen, ist diese Integration eine Voraussetzung für diese Authentifizierungsmethode.

Tipp

Dieser Artikel enthält ausführliche Anleitungen zum Integrieren des Standorts speziell für das Cloudverwaltungsgateway. Weitere Informationen zu diesem Prozess und anderen Verwendungen des Knotens Azure-Dienste in der Configuration Manager-Konsole finden Sie unter Konfigurieren von Azure-Diensten.

Wenn Sie die Website integrieren, erstellen Sie App-Registrierungen in Microsoft Entra ID. Das CMG erfordert zwei App-Registrierungen:

• Web-App (in Configuration Manager auch als Server-App bezeichnet)
• Native App (in Configuration Manager auch als Client-App bezeichnet)

Es gibt zwei Methoden zum Erstellen dieser Apps, die beide eine globale Administratorrolle in Microsoft Entra ID erfordern:

• Verwenden Sie Configuration Manager, um die Erstellung der Apps zu automatisieren, wenn Sie die Website integrieren.
• Erstellen Sie die Apps im Voraus manuell, und importieren Sie sie dann, wenn Sie die Website integrieren.

Dieser Artikel folgt in erster Linie der ersten Methode. Weitere Informationen zur anderen Methode finden Sie unter Manuelles Registrieren von Microsoft Entra-Apps für CMG.

Bevor Sie beginnen, stellen Sie sicher, dass Sie über einen Microsoft Entra-ID-globalen Administrator verfügen.

Hinweis

Wenn Sie vorkonfigurierte App-Registrierungen importieren möchten, müssen Sie diese zuerst in Microsoft Entra ID erstellen. Beginnen Sie mit dem Artikel Manuelles Registrieren von Microsoft Entra-Apps für CMG. Kehren Sie dann zu diesem Artikel zurück, um den Azure-Dienst-Assistenten auszuführen und die Apps in Configuration Manager zu importieren.

Zweck von App-Registrierungen

Diese beiden Microsoft Entra App-Registrierungen stellen die Server- und Clientseite des CMG dar.

• Die Client-App stellt verwaltete Clients und Benutzer dar, die eine Verbindung mit dem CMG herstellen. Es definiert, auf welche Ressourcen sie in Azure zugreifen können, einschließlich des CMG selbst.

• Die Server-App stellt die CMG-Komponenten dar, die in Azure gehostet werden. Es definiert, auf welche Ressourcen sie in Azure Zugreifen können. Die Server-App wird verwendet, um die Authentifizierung und Autorisierung von verwalteten Clients, Benutzern und dem CMG-Verbindungspunkt zu den Azure-basierten CMG-Komponenten zu vereinfachen. Diese Kommunikation umfasst Datenverkehr zu lokalen Verwaltungspunkten und Softwareupdatepunkten, die anfängliche CMG-Bereitstellung in Azure und Microsoft Entra Ermittlung.

Wenn Clients PKI-ausgestellte Clientauthentifizierungszertifikate verwenden, werden die beiden Client-Apps nicht für geräteorientierte Aktivitäten verwendet. Beispiel: Softwareverteilung, die auf eine Gerätesammlung ausgerichtet ist. Benutzerorientierte Aktivitäten verwenden diese beiden App-Registrierungen immer für Authentifizierungs- und Autorisierungszwecke.

Starten des Azure-Dienst-Assistenten

1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Cloud Services, und wählen Sie den Knoten Azure-Dienste aus.

2. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Azure-Dienste* die Option Azure-Dienste konfigurieren aus.

3. Auf der Seite Azure-Dienste des Assistenten für Azure-Dienste:

   1. Geben Sie einen Namen für das Objekt in Configuration Manager an. Dieser Name dient nur zur Identifizierung der Verbindung in Configuration Manager.

   2. Geben Sie eine optionale Beschreibung an, um diese Dienstverbindung weiter zu identifizieren.

   3. Wählen Sie den Cloudverwaltungsdienst aus.

4. Wählen Sie auf der Seite App des Assistenten für Azure-Dienste die Azure-Umgebung für Ihren Mandanten aus:

   • AzurePublicCloud: Ihr Mandant befindet sich in der globalen Azure-Cloud.
   • AzureUSGovernmentCloud: Ihr Mandant befindet sich in der Azure US Government-Cloud.

Erstellen der Registrierung der Web-App (Server)

1. Wählen Sie auf der Seite App des Assistenten für Azure-Dienste für die Web-Appdie Option Durchsuchen aus.

2. Wählen Sie im Fenster Server-Appdie Option Erstellen aus, um Configuration Manager zu verwenden, um die Erstellung der App zu automatisieren.

3. Geben Sie im Fenster Serveranwendung erstellen die folgenden Informationen an:

   • Anwendungsname: Ein Anzeigename für die App.

   • HomePage-URL: Dieser Wert wird nicht von Configuration Manager verwendet, ist aber für Microsoft Entra ID erforderlich. Standardmäßig ist https://ConfigMgrServicedieser Wert .

   • App-ID-URI: Dieser Wert muss in Ihrem Microsoft Entra Mandanten eindeutig sein. Es befindet sich im Zugriffstoken, das vom Configuration Manager-Client verwendet wird, um Zugriff auf den Dienst anzufordern. Standardmäßig ist https://ConfigMgrServicedieser Wert . Ändern Sie den Standardwert in eines der folgenden empfohlenen Formate:

     • api://{tenantId}/{string}, zum Beispiel api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}, zum Beispiel https://contoso.onmicrosoft.com/ConfigMgrService

   • Gültigkeitszeitraum für geheime Schlüssel: Wählen Sie entweder 1 Jahr oder 2 Jahre aus der Dropdownliste aus. Ein Jahr ist der Standardwert.

   • Microsoft Entra Administratorkonto: Wählen Sie Anmelden aus, um sich bei Microsoft Entra ID als globaler Administrator zu authentifizieren. Configuration Manager speichert diese Anmeldeinformationen nicht. Diese Persona erfordert keine Berechtigungen in Configuration Manager und muss nicht dasselbe Konto sein, das den Azure-Dienst-Assistenten ausführt. Nach erfolgreicher Authentifizierung bei Azure wird auf der Seite der Microsoft Entra Mandantenname als Referenz angezeigt.

4. Wählen Sie OK aus, um die Web-App in Microsoft Entra ID zu erstellen, und schließen Sie das Fenster Serveranwendung erstellen.

5. Stellen Sie im Fenster Server-App sicher, dass Ihre neue App ausgewählt ist, und wählen Sie dann OK aus, um das Fenster zu speichern und zu schließen.

Hinweis

Ab Configuration Manager Current Branch-Version 2309 haben wir die Sicherheit der Web-App (Server) für die Erstellung von CMG verbessert. Für die Erstellung eines neuen CMG können Benutzer den Mandanten und den App-Namen mithilfe des Microsoft Entra Mandantennamens auswählen. Nachdem Sie den Mandanten- und App-Namen ausgewählt haben, wird die Schaltfläche "Anmeldung" angezeigt, und befolgen Sie den restlichen Prozess gemäß dem CMG-Setup.

Bereits vorhandene CMG-Kunden müssen ihre Webserver-App aktualisieren, indem sie zu Microsoft Entra Mandantenknoten navigieren.> Wählen Sie den Mandanten aus,> wählen Sie die Server-App aus,> klicken Sie auf "Anwendungseinstellungen aktualisieren".

Erstellen der nativen App-Registrierung (Client)

1. Wählen Sie auf der Seite App des Assistenten für Azure-Dienste für die Native Client-Appdie Option Durchsuchen aus.

2. Wählen Sie im Fenster Client-Appdie Option Erstellen aus, um Configuration Manager zu verwenden, um die Erstellung der App zu automatisieren.

3. Geben Sie im Fenster Clientanwendung erstellen die folgenden Informationen an:

   • Anwendungsname: Ein Anzeigename für die App.

   • Microsoft Entra Administratorkonto: Wählen Sie Anmelden aus, um sich bei Microsoft Entra ID als globaler Administrator zu authentifizieren. Configuration Manager speichert diese Anmeldeinformationen nicht. Diese Persona erfordert keine Berechtigungen in Configuration Manager und muss nicht dasselbe Konto sein, das den Azure-Dienst-Assistenten ausführt. Nach erfolgreicher Authentifizierung bei Azure wird auf der Seite der Microsoft Entra Mandantenname als Referenz angezeigt.

4. Wählen Sie OK aus, um die native App in Microsoft Entra ID zu erstellen, und schließen Sie das Fenster Clientanwendung erstellen.

5. Stellen Sie im Fenster Client-App sicher, dass Ihre neue App ausgewählt ist, und wählen Sie dann OK aus, um das Fenster zu speichern und zu schließen.

Abschließen des Assistenten für Azure-Dienste

1. Vergewissern Sie sich im Assistenten für Azure-Dienste, dass sowohl die Werte der Web-App als auch der Native Client-App vollständig sind. Wählen Sie Weiter aus, um fortzufahren.

2. Die Seite Ermittlung des Assistenten ist nur in einigen Szenarien erforderlich. Dies ist optional, wenn Sie das Onboarding der Website in Microsoft Entra ID durchführen und nicht zum Erstellen des CMG erforderlich sind. Wenn Sie sie benötigen, um bestimmte Funktionen in Ihrer Umgebung zu unterstützen, können Sie sie später aktivieren.

   Weitere Informationen zu den CMG-Szenarien, die möglicherweise Microsoft Entra Benutzerermittlung erfordern, finden Sie unter Konfigurieren der Clientauthentifizierung: Microsoft Entra-ID und Installieren von Clients mit Microsoft Entra-ID.

   Weitere Informationen zu dieser Ermittlungsmethode finden Sie unter Konfigurieren Microsoft Entra Benutzerermittlung.

3. Überprüfen Sie die Einstellungen, und schließen Sie den Assistenten ab.

Wenn der Assistent geschlossen wird, wird die neue Verbindung im Knoten Azure-Dienste angezeigt. Sie können die Mandanten- und App-Registrierungen auch im Knoten Microsoft Entra Mandanten der Configuration Manager-Konsole anzeigen.

Deaktivieren der Microsoft Entra-Authentifizierung für Nicht-Geräte- oder Benutzermandanten

Wenn sich Ihre Geräte in einem Microsoft Entra Mandanten befinden, der vom Mandanten mit einem Abonnement für die CMG-Computeressourcen getrennt ist, können Sie die Authentifizierung für Mandanten deaktivieren, die nicht Benutzern und Geräten zugeordnet sind.

1. Öffnen Sie die Eigenschaften des Cloud Management-Diensts .

2. Wechseln Sie zur Registerkarte Anwendungen .

3. Wählen Sie die Option Microsoft Entra Authentifizierung für diesen Mandanten deaktivieren aus.

Weitere Informationen finden Sie unter Konfigurieren von Azure-Diensten.

Konfigurieren von Azure-Ressourcenanbietern

Der CMG-Dienst erfordert, dass Sie bestimmte Ressourcenanbieter in Ihrem Azure-Abonnement registrieren. Wenn Sie das CMG für eine VM-Skalierungsgruppe bereitstellen, registrieren Sie die folgenden Ressourcenanbieter:

• Microsoft.KeyVault
• Microsoft.Storage
• Microsoft.Network
• Microsoft.Compute

Hinweis

Wenn Sie das CMG zuvor mit einem klassischen Clouddienst bereitgestellt haben, sind für Ihr Azure-Abonnement die folgenden zwei Ressourcenanbieter erforderlich:

• Microsoft.ClassicCompute
• Microsoft.Storage

Ab Version 2203 wird die Option zum Bereitstellen eines CMG als Clouddienst (klassisch) entfernt. Alle CMG-Bereitstellungen sollten eine VM-Skalierungsgruppe verwenden. Weitere Informationen finden Sie unter Entfernte und veraltete Features.

Ihr Microsoft Entra-Konto benötigt die Berechtigung, den /register/action Vorgang für den Ressourcenanbieter auszuführen. Standardmäßig enthalten die Rollen Mitwirkender und Besitzer diese Berechtigung.

In den folgenden Schritten wird der Prozess zum Registrieren eines Ressourcenanbieters zusammengefasst. Weitere Informationen finden Sie unter Azure-Ressourcenanbieter und -Typen.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie im Menü Azure-Portal nach Abonnements. Wählen Sie es aus den verfügbaren Optionen aus.

3. Wählen Sie das Abonnement aus, das Sie anzeigen möchten.

4. Wählen Sie im linken Menü unter Einstellungen die Option Ressourcenanbieter aus.

5. Suchen Sie den Ressourcenanbieter, den Sie registrieren möchten, und wählen Sie Registrieren aus. Um die geringsten Berechtigungen in Ihrem Abonnement beizubehalten, registrieren Sie nur die Ressourcenanbieter, die Sie verwenden können.

Automatisieren mit PowerShell

Sie können optional Aspekte dieser Konfigurationen mithilfe von PowerShell automatisieren.

1. Verwenden Sie das Cmdlet Import-CMAADServerApplication, um die Microsoft Entra Web-/Server-App in Configuration Manager zu definieren.

2. Verwenden Sie das Cmdlet Import-CMAADClientApplication, um die Microsoft Entra native/Client-App in Configuration Manager zu definieren.

3. Verwenden Sie das Cmdlet Get-CMAADApplication , um die importierten App-Objekte abzurufen.

4. Übergeben Sie dann die App-Objekte an das Cmdlet New-CMCloudManagementAzureService, um den Azure-Dienst für die Cloudverwaltung in Configuration Manager zu erstellen.

Nächste Schritte

Setzen Sie ihre CMG-Einrichtung fort, indem Sie entscheiden, welche Art von Clientauthentifizierung verwendet werden soll:

Konfigurieren der Clientauthentifizierung