Configurer l’ID de Microsoft Entra pour la passerelle de gestion cloud
S’applique à : Configuration Manager (branche actuelle)
La deuxième étape principale pour configurer une passerelle de gestion cloud (CMG) consiste à intégrer le site Configuration Manager à votre locataire Microsoft Entra. Cette intégration permet au site de s’authentifier avec Microsoft Entra’ID, qu’il utilise pour déployer et surveiller le service de passerelle de gestion cloud. Si vous choisissez la méthode d’authentification Microsoft Entra pour les clients à l’étape suivante, cette intégration est un prérequis pour cette méthode d’authentification.
Conseil
Cet article fournit des conseils normatifs pour intégrer le site spécifiquement pour la passerelle de gestion cloud. Pour plus d’informations sur ce processus et sur d’autres utilisations du nœud Services Azure dans la console Configuration Manager, consultez Configurer les services Azure.
Lorsque vous intégrez le site, vous créez des inscriptions d’applications dans Microsoft Entra ID. La passerelle de gestion cloud nécessite deux inscriptions d’applications :
- Application web (également appelée application serveur dans Configuration Manager)
- Application native (également appelée application cliente dans Configuration Manager)
Il existe deux méthodes pour créer ces applications, toutes deux nécessitant un rôle d’administrateur général dans Microsoft Entra ID :
- Utilisez Configuration Manager pour automatiser la création des applications lorsque vous intégrez le site.
- Créez manuellement les applications à l’avance, puis importez-les lorsque vous intégrez le site.
Cet article suit principalement la première méthode. Pour plus d’informations sur l’autre méthode, consultez Inscrire manuellement des applications Microsoft Entra pour la passerelle de gestion cloud.
Avant de commencer, vérifiez que vous disposez d’un administrateur général d’ID Microsoft Entra.
Remarque
Si vous envisagez d’importer des inscriptions d’applications précréées, vous devez d’abord les créer dans Microsoft Entra’ID. Commencez par l’article inscrire manuellement Microsoft Entra applications pour la passerelle de gestion cloud. Revenez ensuite à cet article pour exécuter l’Assistant Services Azure et importer les applications dans Configuration Manager.
Objectif des inscriptions d’applications
Ces deux Microsoft Entra inscriptions d’applications représentent le côté serveur et le côté client de la passerelle de gestion cloud.
L’application cliente représente les clients managés et les utilisateurs qui se connectent à la passerelle de gestion cloud. Il définit les ressources auxquelles ils ont accès dans Azure, y compris la passerelle de gestion cloud elle-même.
L’application serveur représente les composants de passerelle de gestion cloud hébergés dans Azure. Il définit les ressources auxquelles ils ont accès dans Azure. L’application serveur est utilisée pour faciliter l’authentification et l’autorisation des clients managés, des utilisateurs et du point de connexion de la passerelle de gestion cloud aux composants de la passerelle de gestion cloud Azure. Cette communication inclut le trafic vers les points de gestion locaux et les points de mise à jour logicielle, l’approvisionnement initial de la passerelle de gestion cloud dans Azure et la découverte Microsoft Entra.
Si les clients utilisent des certificats d’authentification client émis par PKI, les deux applications clientes ne sont pas utilisées pour l’activité centrée sur l’appareil. Par exemple, la distribution de logiciels ciblant un regroupement d’appareils. L’activité centrée sur l’utilisateur utilise toujours ces deux inscriptions d’application à des fins d’authentification et d’autorisation.
Démarrer l’Assistant Services Azure
Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez le nœud Services Azure.
Sous l’onglet Accueil du ruban, dans le groupe Services Azure*, sélectionnez Configurer les services Azure.
Dans la page Services Azure de l’Assistant Services Azure :
Spécifiez un Nom pour l’objet dans Configuration Manager. Ce nom est uniquement destiné à identifier la connexion dans Configuration Manager.
Spécifiez une description facultative pour identifier davantage cette connexion de service.
Sélectionnez le service Gestion cloud .
Dans la page Application de l’Assistant Services Azure, sélectionnez l’environnement Azure pour votre locataire :
- AzurePublicCloud : votre locataire se trouve dans le cloud Azure global.
- AzureUSGovernmentCloud : votre locataire se trouve dans le cloud Azure US Government.
Créer l’inscription de l’application web (serveur)
Dans la page Application de la fenêtre Assistant Services Azure , pour l’application web, sélectionnez Parcourir.
Dans la fenêtre Application serveur, sélectionnez Créer pour utiliser Configuration Manager pour automatiser la création de l’application.
Dans la fenêtre Créer une application serveur , spécifiez les informations suivantes :
Nom de l’application : nom convivial de l’application.
URL de page d’accueil : cette valeur n’est pas utilisée par Configuration Manager, mais requise par Microsoft Entra ID. Par défaut, cette valeur est
https://ConfigMgrService
.URI d’ID d’application : cette valeur doit être unique dans votre locataire Microsoft Entra. Il se trouve dans le jeton d’accès utilisé par le client Configuration Manager pour demander l’accès au service. Par défaut, cette valeur est
https://ConfigMgrService
. Remplacez la valeur par défaut par l’un des formats recommandés suivants :-
api://{tenantId}/{string}
, par exemple,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, par exemple,https://contoso.onmicrosoft.com/ConfigMgrService
-
Période de validité de la clé secrète : choisissez 1 an ou 2 ans dans la liste déroulante. Une année est la valeur par défaut.
Microsoft Entra compte d’administrateur : sélectionnez Se connecter pour vous authentifier auprès de Microsoft Entra ID en tant qu’administrateur général. Configuration Manager n’enregistre pas ces informations d’identification. Ce personnage ne nécessite pas d’autorisations dans Configuration Manager et n’a pas besoin d’être le même compte que celui qui exécute l’Assistant Services Azure. Une fois l’authentification réussie auprès d’Azure, la page affiche le nom du locataire Microsoft Entra pour référence.
Sélectionnez OK pour créer l’application web dans Microsoft Entra ID et fermer la fenêtre Créer une application serveur.
Dans la fenêtre Application serveur , vérifiez que votre nouvelle application est sélectionnée, puis sélectionnez OK pour enregistrer et fermer la fenêtre.
Remarque
À compter de Configuration Manager current branch version 2309, nous avons amélioré la sécurité de l’application web (serveur) pour la création de la passerelle de gestion cloud. Pour la création d’une nouvelle passerelle de gestion cloud, les utilisateurs peuvent sélectionner le locataire et le nom de l’application à l’aide du nom de locataire Microsoft Entra. Après avoir sélectionné le nom du locataire et de l’application, le bouton de connexion s’affiche, suivez le reste du processus conformément à la passerelle de gestion cloud de configuration.
Les clients de passerelle de gestion cloud préexistants doivent mettre à jour leur application de serveur web en accédant à Microsoft Entra nœud locataires --> sélectionnez le locataire --> sélectionnez l’application serveur --> cliquez sur « Mettre à jour les paramètres de l’application ».
Créer l’inscription d’application native (cliente)
Dans la page Application de la fenêtre Assistant Services Azure , pour l’application Native Client, sélectionnez Parcourir.
Dans la fenêtre Application cliente, sélectionnez Créer pour utiliser Configuration Manager automatiser la création de l’application.
Dans la fenêtre Créer une application cliente , spécifiez les informations suivantes :
Nom de l’application : nom convivial de l’application.
Microsoft Entra compte d’administrateur : sélectionnez Se connecter pour vous authentifier auprès de Microsoft Entra ID en tant qu’administrateur général. Configuration Manager n’enregistre pas ces informations d’identification. Ce personnage ne nécessite pas d’autorisations dans Configuration Manager et n’a pas besoin d’être le même compte que celui qui exécute l’Assistant Services Azure. Une fois l’authentification réussie auprès d’Azure, la page affiche le nom du locataire Microsoft Entra pour référence.
Sélectionnez OK pour créer l’application native dans Microsoft Entra ID et fermer la fenêtre Créer une application cliente.
Dans la fenêtre Application cliente , vérifiez que votre nouvelle application est sélectionnée, puis sélectionnez OK pour enregistrer et fermer la fenêtre.
Terminer l’Assistant Services Azure
Dans l’Assistant Services Azure, vérifiez que les valeurs de l’application web et de l’application Native Client sont complètes. Sélectionnez Suivant pour continuer.
La page Découverte de l’Assistant n’est nécessaire que dans certains scénarios. Elle est facultative lorsque vous intégrez le site à Microsoft Entra ID et n’est pas nécessaire pour créer la passerelle de gestion cloud. Si vous en avez besoin pour prendre en charge des fonctionnalités spécifiques dans votre environnement, vous pouvez l’activer ultérieurement.
Pour plus d’informations sur les scénarios de passerelle de gestion cloud qui peuvent nécessiter Microsoft Entra découverte d’utilisateurs, consultez Configurer l’authentification client : ID Microsoft Entra et Installer des clients à l’aide de l’ID Microsoft Entra.
Pour plus d’informations sur cette méthode de découverte, consultez Configurer Microsoft Entra découverte d’utilisateurs.
Passez en revue les paramètres et terminez l’Assistant.
À la fermeture de l’Assistant, la nouvelle connexion s’affiche dans le nœud Services Azure . Vous pouvez également afficher les inscriptions des locataires et des applications dans le nœud Microsoft Entra locataires de la console Configuration Manager.
Désactiver l’authentification Microsoft Entra pour les locataires non-appareil ou utilisateur
Si vos appareils se trouvent dans un locataire Microsoft Entra distinct du locataire avec un abonnement pour les ressources de calcul de la passerelle de gestion cloud, vous pouvez désactiver l’authentification pour les locataires qui ne sont pas associés aux utilisateurs et aux appareils.
Ouvrez les propriétés du service de gestion cloud .
Basculez vers l’onglet Applications .
Sélectionnez l’option Désactiver l’authentification Microsoft Entra pour ce locataire.
Pour plus d’informations, consultez Configurer les services Azure.
Configurer des fournisseurs de ressources Azure
Le service de passerelle de gestion cloud vous oblige à inscrire des fournisseurs de ressources spécifiques dans votre abonnement Azure. Lorsque vous déployez la passerelle de gestion cloud sur un groupe de machines virtuelles identiques, inscrivez les fournisseurs de ressources suivants :
- Microsoft.KeyVault
- Microsoft.Storage
- Microsoft.Network
- Microsoft.Compute
Remarque
Si vous avez précédemment déployé la passerelle de gestion cloud à l’aide d’un service cloud classique, votre abonnement Azure nécessite les deux fournisseurs de ressources suivants :
- Microsoft.ClassicCompute
- Microsoft.Storage
À compter de la version 2203, l’option de déploiement d’une passerelle de gestion cloud en tant que service cloud (classique) est supprimée. Tous les déploiements de passerelle de gestion cloud doivent utiliser un groupe de machines virtuelles identiques. Pour plus d’informations, consultez Fonctionnalités supprimées et dépréciées.
Votre compte Microsoft Entra a besoin d’une autorisation pour effectuer l’opération /register/action
pour le fournisseur de ressources. Par défaut, les rôles Contributeur et Propriétaire incluent cette autorisation.
Les étapes suivantes résument le processus d’inscription d’un fournisseur de ressources. Pour plus d’informations, consultez Fournisseurs et types de ressources Azure.
Connectez-vous au Portail Azure.
Dans le menu Portail Azure, recherchez Abonnements. Sélectionnez-la parmi les options disponibles.
Sélectionnez l’abonnement que vous souhaitez afficher.
Dans le menu de gauche, sous Paramètres, sélectionnez Fournisseurs de ressources.
Recherchez le fournisseur de ressources que vous souhaitez inscrire, puis sélectionnez Inscrire. Pour conserver les privilèges minimum dans votre abonnement, inscrivez uniquement les fournisseurs de ressources que vous êtes prêt à utiliser.
Automatiser avec PowerShell
Vous pouvez éventuellement automatiser certains aspects de ces configurations à l’aide de PowerShell.
Utilisez l’applet de commande Import-CMAADServerApplication pour définir l’application web/serveur Microsoft Entra dans Configuration Manager.
Utilisez l’applet de commande Import-CMAADClientApplication pour définir la Microsoft Entra application native/cliente dans Configuration Manager.
Utilisez l’applet de commande Get-CMAADApplication pour obtenir les objets d’application importés.
Transmettez ensuite les objets d’application à l’applet de commande New-CMCloudManagementAzureService pour créer le service Azure pour la gestion cloud dans Configuration Manager.
Prochaines étapes
Poursuivez la configuration de votre passerelle de gestion cloud en choisissant le type d’authentification client à utiliser :