Inscrire manuellement des applications Microsoft Entra pour la passerelle de gestion cloud

  • Article

S’applique à : Configuration Manager (branche actuelle)

La deuxième étape principale pour configurer une passerelle de gestion cloud (CMG) consiste à intégrer le site Configuration Manager à votre locataire Microsoft Entra. Cette intégration permet au site de s’authentifier auprès de Microsoft Entra ID, qu’il utilise pour déployer et surveiller le service de passerelle de gestion cloud. Si vous ne pouvez pas utiliser Configuration Manager pour automatiser la création des applications pendant l’Assistant Service Azure, vous pouvez utiliser l’Assistant pour importer une application créée précédemment. Par exemple, si vos administrateurs Azure exigent qu’ils créent manuellement toutes les inscriptions d’applications Microsoft Entra, utilisez ce processus.

Conseil

Cet article fournit des conseils normatifs pour intégrer le site spécifiquement pour la passerelle de gestion cloud. Pour plus d’informations sur ce processus et sur d’autres utilisations du nœud Services Azure dans la console Configuration Manager, consultez Configurer les services Azure.

Lorsque vous intégrez le site, vous créez des inscriptions d’applications dans Microsoft Entra ID. La passerelle de gestion cloud nécessite deux inscriptions d’applications :

  • Application web (également appelée application serveur dans Configuration Manager)
  • Application native (également appelée application cliente dans Configuration Manager)

Il existe deux méthodes pour créer ces applications, toutes deux nécessitant un rôle d’administrateur général dans Microsoft Entra ID :

  • Utilisez Configuration Manager pour automatiser la création des applications lorsque vous intégrez le site.
  • Créez manuellement les applications à l’avance, puis importez-les lorsque vous intégrez le site.

Cet article fournit les détails spécifiques de la deuxième méthode. Associez ces instructions aux procédures de l’article Configurer Microsoft Entra ID pour la passerelle de gestion cloud pour terminer le processus.

Obtenir les détails du locataire

Conseil

Au cours de ce processus, vous devez noter plusieurs valeurs à utiliser ultérieurement. Ouvrez une application comme le Bloc-notes Windows pour coller les valeurs que vous allez copier à partir du portail Azure.

Tout d’abord, vous devez noter le nom et l’ID de locataire Microsoft Entra. Ces valeurs sont les deux premières informations dont vous avez besoin pour importer les inscriptions d’applications dans Configuration Manager.

  1. Dans le Portail Azure, sélectionnez Microsoft Entra ID.

  2. Dans le menu Microsoft Entra ID, sélectionnez Noms de domaine personnalisés.

  3. Notez le nom du locataire. Par exemple : contoso.onmicrosoft.com.

  4. Dans le menu Microsoft Entra ID, sélectionnez Propriétés.

  5. Copiez la valeur GUID de l’ID de locataire .

Inscrire l’application web (serveur)

  1. Dans le menu Microsoft Entra ID, sélectionnez inscriptions d'applications. Sélectionnez Nouvelle inscription pour créer une application.

  2. Dans le volet Inscrire une application , spécifiez les informations suivantes :

    • Nom : nom convivial de l’application. Par exemple : CMG-ServerApp.
    • Types de comptes pris en charge : conservez ce paramètre comme option par défaut, Comptes dans cet annuaire organisationnel uniquement.
    • URI de redirection : sélectionnez : Client public/natif (bureau mobile &) et tapez http://localhost en tant qu’URI

  3. Sélectionnez Inscrire pour créer l’application.

  4. Dans les propriétés de la nouvelle application, copiez les valeurs suivantes :

    • Nom d’affichage : cette valeur est le nom convivial de cette inscription d’application que vous utiliserez ultérieurement comme nom d’application.
    • ID d’application (client) : vous utiliserez cette valeur GUID ultérieurement comme ID client.

  5. Dans le menu des propriétés de l’application, sélectionnez Certificats & secrets, puis sélectionnez Nouvelle clé secrète client.

    • Description : vous pouvez utiliser n’importe quel nom pour le secret ou le laisser vide.
    • Expire : sélectionnez 12 mois ou 24 mois.

    Sélectionnez Ajouter. Copiez immédiatement la valeur de la chaîne secrète client et expire. Si vous quittez ce volet, vous ne pouvez plus récupérer le même secret. Vous utiliserez ces valeurs ultérieurement comme valeurs de clé secrète et d’expiration de clé secrète .

  6. Si vous envisagez d’utiliser Microsoft Entra découverte d’utilisateurs dans Configuration Manager, vous devez ajuster les autorisations sur cette application. Dans le menu des propriétés de l’application, sélectionnez Autorisations d’API. Par défaut, il doit disposer de l’autorisation User.Read pour l’API Microsoft Graph , qui doit être modifiée.

    1. Sélectionnez Microsoft Graph pour énumérer la liste des autorisations d’API disponibles, puis sélectionnez Autorisations d’application.

    2. Développez Répertoire, puis sélectionnez Directory.Read.All.

    3. Basculez vers Autorisations déléguées.

    4. Développez Utilisateur et supprimez l’autorisation User.Read .

    5. Sélectionnez Mettre à jour les autorisations.

    6. Dans le volet Autorisations de l’API, sélectionnez Accorder le consentement administrateur pour..., puis sélectionnez Oui.

  7. Dans le menu des propriétés de l’application, sélectionnez Exposer une API.

    1. Pour l’URI ID d’application, sélectionnez Ajouter. Spécifiez un URI unique pour le locataire. Vous utiliserez cette valeur ultérieurement comme URI d’ID d’application. Utilisez l’un des formats recommandés suivants :

      • api://{tenantId}/{string}, par exemple, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, par exemple, https://contoso.onmicrosoft.com/ConfigMgrService

      Sélectionnez Enregistrer.

    2. Sélectionnez Ajouter une étendue et spécifiez les informations requises suivantes :

      • Nom de l’étendue : user_impersonation
      • Qui peut donner son consentement : sélectionnez Administrateurs et utilisateurs
      • Administration nom d’affichage du consentement : spécifiez un nom explicite. Par exemple, Access CMG-ServerApp
      • Administration description du consentement : spécifiez une description explicite. Par exemple, Allow the application to access CMG-ServerApp on behalf of the signed-in user.

    3. Sélectionnez Ajouter une étendue à enregistrer.

  8. Dans le menu des propriétés de l’application, sélectionnez Manifeste. Définissez l’entrée oauth2AllowIdTokenImplicitFlow sur true. Par exemple :

    "oauth2AllowIdTokenImplicitFlow": true,

    Sélectionnez Enregistrer.

L’application web (serveur) pour la passerelle de gestion cloud est maintenant inscrite dans Microsoft Entra ID.

Inscrire l’application native (cliente)

  1. Dans le menu Microsoft Entra ID, sélectionnez inscriptions d'applications. Sélectionnez Nouvelle inscription pour créer une application.

  2. Dans le volet Inscrire une application , spécifiez les informations suivantes :

    • Nom : nom convivial de l’application. Par exemple : CMG-ClientApp.
    • Types de comptes pris en charge : conservez ce paramètre comme option par défaut, Comptes dans cet annuaire organisationnel uniquement.
    • URI de redirection : laissez cette valeur facultative vide.

  3. Sélectionnez Inscrire pour créer l’application.

  4. Dans les propriétés de la nouvelle application, copiez les valeurs suivantes :

    • Nom d’affichage : cette valeur est le nom convivial de cette inscription d’application que vous utiliserez ultérieurement comme nom d’application.
    • ID d’application (client) : vous utiliserez cette valeur GUID ultérieurement comme ID client.

  5. Dans le menu des propriétés de l’application, sélectionnez Authentification.

    1. Sous Configurations de plateforme, sélectionnez Ajouter une plateforme.

      1. Dans le volet Configurer les plateformes, sélectionnez Applications mobiles et de bureau.

      2. Dans le volet Configurer le Bureau + appareils , sous URI de redirection personnalisés, spécifiez ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Utilisez le GUID d’ID client de l’application, par exemple : ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Sélectionnez Configurer.

    2. Sous Paramètres avancés, définissez Autoriser les flux clients publics sur Oui. Sélectionnez Enregistrer.

  6. Ajustez les autorisations sur cette application. Dans le menu des propriétés de l’application, sélectionnez Autorisations d’API. Par défaut, il doit disposer de l’autorisation déléguée User.Read pour l’API Microsoft Graph .

    1. Dans le volet Autorisations de l’API, sélectionnez Ajouter une autorisation.

    2. Basculez vers l’onglet Mes API , puis sélectionnez votre application web (serveur). Par exemple, CMG-ServerApp. Sélectionnez l’autorisation user_impersonation , puis sélectionnez Ajouter des autorisations à enregistrer.

    3. Dans le volet Autorisations de l’API, sélectionnez Accorder le consentement administrateur pour..., puis sélectionnez Oui.

  7. Dans le menu des propriétés de l’application, sélectionnez Manifeste. Définissez l’entrée oauth2AllowIdTokenImplicitFlow sur true. Par exemple :

    "oauth2AllowIdTokenImplicitFlow": true,

    Sélectionnez Enregistrer.

L’application native (cliente) pour la passerelle de gestion cloud est maintenant inscrite dans Microsoft Entra ID. Cette étape conclut également le processus dans le Portail Azure. Le rôle de l’administrateur général Azure est terminé.

Importer les applications dans Configuration Manager

Après avoir inscrit manuellement les deux applications dans le Portail Azure, utilisez le processus décrit dans l’article Configurer Microsoft Entra ID pour la passerelle de gestion cloud, mais sélectionnez l’option Importer chacune des applications.

Ces processus importent des métadonnées sur les applications Microsoft Entra dans Configuration Manager. Vous n’avez pas besoin d’autorisations Microsoft Entra pour importer ces applications.

Importer une application web (serveur)

Lorsque vous sélectionnez Importer dans la fenêtre Application serveur , la fenêtre Importer des applications s’ouvre. Entrez les informations suivantes sur l’application web Microsoft Entra déjà inscrite dans le Portail Azure :

  • nom du locataire Microsoft Entra : nom de votre locataire Microsoft Entra.
  • ID de locataire Microsoft Entra : GUID de votre locataire Microsoft Entra.
  • Nom de l’application : nom convivial de l’application, nom d’affichage dans l’inscription de l’application.
  • ID client : valeur d’ID d’application (client) de l’inscription de l’application. Le format est un GUID standard.
  • Clé secrète : copiez la clé secrète lorsque vous inscrivez l’application dans Microsoft Entra ID et créez la clé secrète.
  • Expiration de la clé secrète : spécifiez la même date que celle de la Portail Azure.
  • URI d’ID d’application : la valeur est l’URI d’ID d’application de l’entrée d’inscription d’application dans le centre d'administration Microsoft Entra. Le format est similaire à https://ConfigMgrService.

Après avoir entré les informations, sélectionnez Vérifier. Sélectionnez ensuite OK pour fermer la fenêtre Importer des applications .

Importante

Lorsque vous utilisez une application Microsoft Entra importée, vous n’êtes pas informé d’une date d’expiration à venir à partir des notifications de la console.

Importer une application native (cliente)

Lorsque vous sélectionnez Importer dans la fenêtre Application cliente , la fenêtre Importer des applications s’ouvre. Entrez les informations suivantes sur l’application native Microsoft Entra déjà inscrite dans le Portail Azure :

  • L’Assistant remplit automatiquement le nom Microsoft Entra locataire et l’ID de locataire en fonction de l’application web (serveur) que vous avez déjà spécifiée.
  • Nom de l’application : nom convivial de l’application.
  • ID client : valeur d’ID d’application (client) de l’inscription de l’application. Le format est un GUID standard.

Après avoir entré les informations, sélectionnez Vérifier. Sélectionnez ensuite OK pour fermer la fenêtre Importer des applications .

Prochaines étapes

Après avoir inscrit manuellement les deux applications dans le Portail Azure, utilisez le processus de l’article suivant pour importer les applications :

Configurer Microsoft Entra ID pour la passerelle de gestion cloud