Configuración de la integración de Azure
Windows Admin Center admite varias características opcionales que se integran con los servicios de Azure. Obtenga información sobre las opciones de integración de Azure disponibles en Windows Admin Center.
Para permitir que la puerta de enlace de Windows Admin Center se comunique con Azure para aprovechar la autenticación de Microsoft Entra para el acceso a la puerta de enlace o para crear recursos de Azure en su nombre (por ejemplo, para proteger las máquinas virtuales administradas en Windows Admin Center mediante Azure Site Recovery), primero debe registrar la puerta de enlace de Windows Admin Center con Azure. Solo tienes que realizar esta acción una vez para la puerta de enlace de Windows Admin Center: la configuración se conserva al actualizar la puerta de enlace a una versión más reciente.
Registro de la puerta de enlace en Azure
La primera vez que intente usar una característica de integración de Azure en Windows Admin Center, se le pedirá que registre la puerta de enlace en Azure. También puede registrarla en la pestaña Azure de la configuración de Windows Admin Center. Solo los administradores de puerta de enlace de Windows Admin Center pueden registrar la puerta de enlace de Windows Admin Center en Azure. Obtenga más información sobre los permisos de usuario y administrador en Windows Admin Center.
Los pasos guiados del producto crean una aplicación de Microsoft Entra en el directorio, lo que permite que Windows Admin Center se comunique con Azure. Para ver la aplicación de Microsoft Entra que se crea automáticamente, vaya a la pestaña Azure de la configuración de Windows Admin Center. El hipervínculo Ver en Azure permite ver la aplicación de Microsoft Entra en Azure Portal.
La aplicación de Microsoft Entra que se usa para todos los puntos de integración de Azure en Windows Admin Center, incluida la autenticación de Microsoft Entra en la puerta de enlace. Windows Admin Center configura automáticamente los permisos necesarios para crear y administrar recursos de Azure en su nombre:
- Microsoft Graph
- Application.Read.All
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.Read.All
- Directory.ReadWrite.All
- User.Read
- Azure Service Management
- user_impersonation
Configuración manual de aplicaciones de Microsoft Entra
Si quiere configurar manualmente una aplicación de Microsoft Entra, en lugar de usar la aplicación Microsoft Entra creada automáticamente por Windows Admin Center durante el proceso de registro de la puerta de enlace, siga estos pasos:
Conceda a la aplicación de Microsoft Entra los permisos de API necesarios enumerados anteriormente. Para ello, vaya a la aplicación de Microsoft Entra en Azure Portal. Vaya a Azure Portal >Microsoft Entra ID>Registros de aplicaciones> seleccione la aplicación De Microsoft Entra que desee usar. Luego, vaya a la pestaña Permisos de API y agregue los permisos de API enumerados anteriormente.
Agregue la dirección URL de la puerta de enlace de Windows Admin Center a las direcciones URL de respuesta (también conocidas como direcciones URI de redireccionamiento). Vaya a la aplicación Microsoft Entra y, a continuación, vaya a Manifiesto. Busque la clave "replyUrlsWithType" en el manifiesto. Dentro de la clave, agregue un objeto que contenga dos claves: "url" y "type". La clave "url" debe tener un valor de la dirección URL de puerta de enlace de Windows Administración Center y debe anexar un carácter comodín al final. La clave "type" debe tener un valor de "Web". Por ejemplo:
"replyUrlsWithType": [ { "url": "http://localhost:6516/*", "type": "Single-Page Application" } ],
Nota:
Si Protección de aplicaciones de Microsoft Defender está habilitado para el explorador, no podrá registrar Windows Admin Center en Azure ni iniciar sesión en Azure.
Solución de problemas de errores de inicio de sesión de Azure
El URI de redirección no coincide con los URI configurados para esta aplicación.
Si ha migrado recientemente los datos de una versión anterior de Windows Admin Center a la versión 2410 de Windows Admin Center, es posible que los URI de redirección estén mal configurados. Esto puede ocurrir si no completó el paso Registro de Azure en el Asistente para migración. Esta configuración incorrecta se debe a que Windows Admin Center cambió la forma en que realizamos la autenticación en función de las instrucciones generales de Microsoft. Si se ha utilizado anteriormente el flujo de concesión implícita, se deberá utilizar el flujo de código de autorización.
Hay dos URI de redirección que se deben agregar a la plataforma de aplicación de página única (SPA). Un ejemplo de estos URI de redirección sería:
https://myMachineName.domain.com:6600
https://myMachineName.domain.com:6600/signin-oidc
En este ejemplo, el valor numérico hace referencia al puerto al que se hace referencia en la instalación de Windows Admin Center.
Todos los URI de redireccionamiento para Windows Admin Center deben contener:
- Nombre de dominio completo (FQDN) o nombre de host de la máquina de puerta de enlace, sin mencionar localhost
- Prefijo HTTPS, no HTTP
Obtenga información sobre cómo volver a configurar los URI de redirección.
Después de agregar los URI de redirección adecuados, se recomienda limpiar los URI de redireccionamiento antiguos y sin usar.
Canje de tokens entre orígenes permitido solo para la aplicación de página única
Si ha actualizado recientemente la instancia de Windows Admin Center a una versión más reciente y la puerta de enlace se registró anteriormente con Azure, podría producirse un error que indica que el canje de tokens entre orígenes solo se permite para el tipo de cliente "Aplicación de página única" al iniciar sesión en Azure. Esto aparece porque Windows Admin Center cambió la forma en que realizamos la autenticación en función de las instrucciones generales de Microsoft. Si se ha utilizado anteriormente el flujo de concesión implícita, se deberá utilizar el flujo de código de autorización.
Si desea continuar usando el registro de aplicación existente para su aplicación de Windows Admin Center, utilice el Centro de administración Microsoft Entra para actualizar los URI de redireccionamiento del registro a la plataforma de aplicación de página única (SPA). Al hacerlo, se habilita el flujo de código de autorización con la clave de prueba para Code Exchange (PKCE) y la compatibilidad con el uso compartido de recursos entre orígenes (CORS) para las aplicaciones que usan ese registro.
Siga estos pasos con los registros de aplicaciones que están configurados actualmente con los URI de redirección de la plataforma web:
- Inicie sesión en el centro de administración de Microsoft Entra.
- Vaya a Identidad > Aplicaciones> Registros de aplicaciones, seleccione la aplicación y, a continuación, Autenticación.
- En el icono de plataforma Web que hay debajo de URI de redirección, seleccione el banner de advertencia que indica que debe migrar los URI.
- Seleccione el URI de redirección de la aplicación y, a continuación, seleccione Configurar. Estos URI de redirección deberían aparecer ahora en el icono de la plataforma de aplicación de página única, lo cual indica que la compatibilidad de CORS con el flujo de código de autorización y PKCE está habilitada para estos URI.
En lugar de actualizar identificadores URI existentes, puede crear un nuevo registro de aplicación para su puerta de enlace. Los registros de aplicaciones que se crean recientemente para Windows Admin Center a través del flujo de registro de la puerta de enlace crean identificadores URI de redirección de la plataforma de aplicación de página única.
Si no puede migrar los identificadores URI de redirección del registro de la aplicación para usar el flujo de código de autenticación, puede seguir usando el registro de aplicaciones existente tal cual. Para ello, debe anular el registro de la puerta de enlace de Windows Admin Center y volver a registrarse con el mismo id. de registro de aplicación.