Manuelles Registrieren Microsoft Entra-Apps für das CMG

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Der zweite primäre Schritt zum Einrichten eines Cloudverwaltungsgateways (CLOUD Management Gateway, CMG) besteht darin, den Configuration Manager Standort in Ihren Microsoft Entra Mandanten zu integrieren. Diese Integration ermöglicht es dem Standort, sich bei Microsoft Entra ID zu authentifizieren, die zum Bereitstellen und Überwachen des CMG-Diensts verwendet werden. Wenn Sie Configuration Manager nicht verwenden können, um die Erstellung der Apps während des Azure-Dienst-Assistenten zu automatisieren, können Sie den Assistenten verwenden, um eine zuvor erstellte App zu importieren. Wenn Ihre Azure-Administratoren beispielsweise verlangen, dass sie alle Microsoft Entra App-Registrierungen manuell erstellen, verwenden Sie diesen Prozess.

Tipp

Dieser Artikel enthält ausführliche Anleitungen zum Integrieren des Standorts speziell für das Cloudverwaltungsgateway. Weitere Informationen zu diesem Prozess und anderen Verwendungen des Knotens Azure-Dienste in der Configuration Manager-Konsole finden Sie unter Konfigurieren von Azure-Diensten.

Wenn Sie die Website integrieren, erstellen Sie App-Registrierungen in Microsoft Entra ID. Das CMG erfordert zwei App-Registrierungen:

  • Web-App (in Configuration Manager auch als Server-App bezeichnet)
  • Native App (in Configuration Manager auch als Client-App bezeichnet)

Es gibt zwei Methoden zum Erstellen dieser Apps, die beide eine globale Administratorrolle in Microsoft Entra ID erfordern:

  • Verwenden Sie Configuration Manager, um die Erstellung der Apps zu automatisieren, wenn Sie die Website integrieren.
  • Erstellen Sie die Apps im Voraus manuell, und importieren Sie sie dann, wenn Sie die Website integrieren.

Dieser Artikel enthält die spezifischen Details für die zweite Methode. Koppeln Sie diese Anweisungen mit den Verfahren im Artikel Konfigurieren von Microsoft Entra ID für CMG, um den Vorgang abzuschließen.

Abrufen von Mandantendetails

Tipp

Während dieses Vorgangs müssen Sie mehrere Werte zur späteren Verwendung beachten. Öffnen Sie eine App wie Windows Editor, um die Werte einzufügen, die Sie aus dem Azure-Portal kopieren möchten.

Notieren Sie sich zunächst den Microsoft Entra Mandantennamen und die Mandanten-ID. Diese Werte sind die ersten beiden Informationen, die Sie zum Importieren der App-Registrierungen in Configuration Manager benötigen.

  1. Wählen Sie im Azure-PortalMicrosoft Entra ID aus.

  2. Wählen Sie im Menü Microsoft Entra ID Benutzerdefinierte Domänennamen aus.

  3. Notieren Sie sich den Mandantennamen. Beispiel: contoso.onmicrosoft.com.

  4. Wählen Sie im Menü Microsoft Entra ID die Option Eigenschaften aus.

  5. Kopieren Sie den Wert der Mandanten-ID-GUID .

Registrieren der Web-App (Server-App)

  1. Wählen Sie im menü Microsoft Entra ID die Option App-Registrierungen aus. Wählen Sie Neue Registrierung aus, um eine neue App zu erstellen.

  2. Geben Sie im Bereich Anwendung registrieren die folgenden Informationen an:

    • Name: Ein Anzeigename für die App. Beispiel: CMG-ServerApp.
    • Unterstützte Kontotypen: Übernehmen Sie diese Einstellung als Standardoption, nur Konten in diesem Organisationsverzeichnis.
    • Umleitungs-URI: Wählen Sie Folgendes aus: Öffentlicher Client/nativ (mobiler &Desktop), und geben Sie als URI ein http://localhost .

  3. Wählen Sie Registrieren aus, um die App zu erstellen.

  4. Kopieren Sie in den Eigenschaften der neuen App die folgenden Werte:

    • Anzeigename: Dieser Wert ist der Anzeigename für diese App-Registrierung, den Sie später als Anwendungsnamen verwenden.
    • Anwendungs-ID (Client): Sie verwenden diesen GUID-Wert später als Client-ID.

  5. Wählen Sie im Menü der App-Eigenschaften Zertifikate & Geheimnisse und dann Neuer geheimer Clientschlüssel aus.

    • Beschreibung: Sie können einen beliebigen Namen für das Geheimnis verwenden oder es leer lassen.
    • Läuft ab: Wählen Sie entweder 12 Monate oder 24 Monate aus.

    Wählen Sie Hinzufügen. Kopieren Sie sofort die Zeichenfolge des geheimen ClientschlüsselsWert und läuft ab. Wenn Sie diesen Bereich verlassen, können Sie dasselbe Geheimnis nicht erneut abrufen. Sie verwenden diese Werte später als Ablaufwerte für geheimen Schlüssel und geheimen Schlüssel .

  6. Wenn Sie Microsoft Entra Benutzerermittlung in Configuration Manager verwenden möchten, müssen Sie die Berechtigungen für diese App anpassen. Wählen Sie im Menü der App-Eigenschaften API-Berechtigungen aus. Standardmäßig sollte sie über die Berechtigung User.Read für die Microsoft Graph-API verfügen, die geändert werden muss.

    1. Wählen Sie Microsoft Graph aus, um die Liste der verfügbaren API-Berechtigungen aufzulisten, und wählen Sie dann Anwendungsberechtigungen aus.

    2. Erweitern Sie Verzeichnis, und wählen Sie dann Directory.Read.All aus.

    3. Wechseln Sie zu Delegierte Berechtigungen.

    4. Erweitern Sie Benutzer, und entfernen Sie die Berechtigung User.Read .

    5. Wählen Sie Berechtigungen aktualisieren aus.

    6. Wählen Sie im Bereich API-Berechtigungen die Option Administratoreinwilligung erteilen für... und dann Ja aus.

  7. Wählen Sie im Menü der App-Eigenschaften die Option API verfügbar machen aus.

    1. Wählen Sie als Anwendungs-ID-URI die Option Hinzufügen aus. Geben Sie einen für den Mandanten eindeutigen URI an. Sie verwenden diesen Wert später als App-ID-URI. Verwenden Sie eines der folgenden empfohlenen Formate:

      • api://{tenantId}/{string}, zum Beispiel api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, zum Beispiel https://contoso.onmicrosoft.com/ConfigMgrService

      Klicken Sie auf Speichern.

    2. Wählen Sie Bereich hinzufügen aus, und geben Sie die folgenden erforderlichen Informationen an:

      • Bereichsname: user_impersonation
      • Wer kann zustimmen: Wählen Sie Administratoren und Benutzer aus.
      • Admin Anzeigename der Zustimmung: Geben Sie einen aussagekräftigen Namen an. Beispiel: Access CMG-ServerApp
      • Admin Zustimmungsbeschreibung: Geben Sie eine aussagekräftige Beschreibung an. Beispiel: Allow the application to access CMG-ServerApp on behalf of the signed-in user.

    3. Wählen Sie Bereich hinzufügen aus, um sie zu speichern.

  8. Wählen Sie im Menü der App-Eigenschaften manifest aus. Legen Sie den oauth2AllowIdTokenImplicitFlow-Eintrag auf true fest. Zum Beispiel:

    "oauth2AllowIdTokenImplicitFlow": true,

    Klicken Sie auf Speichern.

Die Web-App (Server)-App für CMG ist jetzt in Microsoft Entra ID registriert.

Registrieren der nativen App (Client)

  1. Wählen Sie im menü Microsoft Entra ID die Option App-Registrierungen aus. Wählen Sie Neue Registrierung aus, um eine neue App zu erstellen.

  2. Geben Sie im Bereich Anwendung registrieren die folgenden Informationen an:

    • Name: Ein Anzeigename für die App. Beispiel: CMG-ClientApp.
    • Unterstützte Kontotypen: Übernehmen Sie diese Einstellung als Standardoption, nur Konten in diesem Organisationsverzeichnis.
    • Umleitungs-URI: Lassen Sie diesen optionalen Wert leer.

  3. Wählen Sie Registrieren aus, um die App zu erstellen.

  4. Kopieren Sie in den Eigenschaften der neuen App die folgenden Werte:

    • Anzeigename: Dieser Wert ist der Anzeigename für diese App-Registrierung, den Sie später als Anwendungsnamen verwenden.
    • Anwendungs-ID (Client): Sie verwenden diesen GUID-Wert später als Client-ID.

  5. Wählen Sie im Menü der App-Eigenschaften die Option Authentifizierung aus.

    1. Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen aus.

      1. Wählen Sie im Bereich Plattformen konfigurieren die Option Mobile und Desktopanwendungen aus.

      2. Geben Sie im Bereich Desktop und Geräte konfigurieren unter Benutzerdefinierte Umleitungs-URIs an ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Verwenden Sie die Client-ID-GUID der App, z. B.: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Wählen Sie Konfigurieren aus.

    2. Legen Sie unter Erweiterte Einstellungen die Option Öffentliche Clientflows zulassen auf Ja fest. Klicken Sie auf Speichern.

  6. Passen Sie die Berechtigungen für diese App an. Wählen Sie im Menü der App-Eigenschaften API-Berechtigungen aus. Standardmäßig sollte sie über die delegierte Berechtigung User.Read für die Microsoft Graph-API verfügen.

    1. Wählen Sie im Bereich API-Berechtigungen die Option Berechtigung hinzufügen aus.

    2. Wechseln Sie zur Registerkarte Meine APIs , und wählen Sie Ihre Web-App (Server-App) aus. Beispiel: CMG-ServerApp. Wählen Sie die berechtigung user_impersonation und dann Berechtigungen zum Speichern hinzufügen aus.

    3. Wählen Sie im Bereich API-Berechtigungen die Option Administratoreinwilligung erteilen für... und dann Ja aus.

  7. Wählen Sie im Menü der App-Eigenschaften manifest aus. Legen Sie den oauth2AllowIdTokenImplicitFlow-Eintrag auf true fest. Zum Beispiel:

    "oauth2AllowIdTokenImplicitFlow": true,

    Klicken Sie auf Speichern.

Die native (Client-)App für CMG ist jetzt in Microsoft Entra ID registriert. Dieser Schritt schließt auch den Prozess im Azure-Portal ab. Die Rolle des globalen Azure-Administrators ist erledigt.

Importieren der Apps in Configuration Manager

Nachdem Sie die beiden Apps im Azure-Portal manuell registriert haben, verwenden Sie das Verfahren im Artikel Konfigurieren von Microsoft Entra ID für CMG, aber wählen Sie die Option Zum Importieren der einzelnen Apps aus.

Diese Prozesse importieren Metadaten zu den Microsoft Entra-Apps in Configuration Manager. Sie benötigen keine Microsoft Entra Berechtigungen, um diese Apps zu importieren.

Importieren einer Web-App (Server-App)

Wenn Sie im Fenster Server-Appdie Option Importieren auswählen, wird das Fenster Apps importieren geöffnet. Geben Sie die folgenden Informationen zur Microsoft Entra Web-App ein, die bereits im Azure-Portal registriert ist:

  • Microsoft Entra Mandantenname: Der Name Ihres Microsoft Entra Mandanten.
  • Microsoft Entra Mandanten-ID: Die GUID Ihres Microsoft Entra Mandanten.
  • Anwendungsname: Ein Anzeigename für die App, der Anzeigename in der App-Registrierung.
  • Client-ID: Der Wert der Anwendungs-ID (Client) der App-Registrierung. Das Format ist eine Standard-GUID.
  • Geheimer Schlüssel: Kopieren Sie den geheimen Schlüssel, wenn Sie die App in Microsoft Entra ID registrieren und den geheimen Schlüssel erstellen.
  • Ablauf des geheimen Schlüssels: Geben Sie dasselbe Datum wie aus dem Azure-Portal an.
  • App-ID-URI: Der Wert ist der Anwendungs-ID-URI des App-Registrierungseintrags im Microsoft Entra Admin Center. Das Format ähnelt https://ConfigMgrService.

Nachdem Sie die Informationen eingegeben haben, wählen Sie Überprüfen aus. Wählen Sie dann OK aus, um das Fenster Apps importieren zu schließen.

Wichtig

Wenn Sie eine importierte Microsoft Entra-App verwenden, werden Sie über Konsolenbenachrichtigungen nicht über ein bevorstehendes Ablaufdatum benachrichtigt.

Importieren einer nativen (Client-)App

Wenn Sie im Fenster Client-Appdie Option Importieren auswählen, wird das Fenster Apps importieren geöffnet. Geben Sie die folgenden Informationen zur Microsoft Entra nativen App ein, die bereits im Azure-Portal registriert ist:

  • Der Assistent füllt automatisch den Microsoft Entra Mandantennamen und die Mandanten-ID basierend auf der web (Server)-App auf, die Sie bereits angegeben haben.
  • Anwendungsname: Ein Anzeigename für die App.
  • Client-ID: Der Wert der Anwendungs-ID (Client) der App-Registrierung. Das Format ist eine Standard-GUID.

Nachdem Sie die Informationen eingegeben haben, wählen Sie Überprüfen aus. Wählen Sie dann OK aus, um das Fenster Apps importieren zu schließen.

Nächste Schritte

Nachdem Sie die beiden Apps im Azure-Portal manuell registriert haben, verwenden Sie den Prozess im folgenden Artikel, um die Apps zu importieren:

Konfigurieren von Microsoft Entra ID für CMG