Configuración de servicios de Azure para su uso con Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Use el Asistente para servicios de Azure para simplificar el proceso de configuración de los servicios en la nube de Azure que se usan con Configuration Manager. Este asistente proporciona una experiencia de configuración común mediante Microsoft Entra registros de aplicaciones web. Estas aplicaciones proporcionan detalles de suscripción y configuración, y autentican las comunicaciones con Microsoft Entra identificador. La aplicación reemplaza escribir esta misma información cada vez que configura un nuevo componente o servicio de Configuration Manager con Azure.
Servicios disponibles
Configure los siguientes servicios de Azure mediante este asistente:
Administración en la nube: este servicio permite que el sitio y los clientes se autentiquen mediante Microsoft Entra identificador. Esta autenticación habilita otros escenarios, como:
Configuración de Microsoft Entra detección de grupos de usuarios
Compatibilidad con determinados escenarios de puerta de enlace de administración en la nube
Sugerencia
Para obtener más información específica sobre la administración en la nube, consulte Configuración del identificador de Microsoft Entra para cloud management gateway.
Notificaciones por correo electrónico de aprobación de aplicaciones
Conector de Log Analytics: conéctese a Azure Log Analytics. Sincronizar datos de recopilación con Log Analytics.
Importante
En este artículo se hace referencia al conector de Log Analytics, que anteriormente se denominaba conector de OMS. Esta característica quedó en desuso en noviembre de 2020. Se quita de Configuration Manager en la versión 2107. Para obtener más información, consulte Características eliminadas y en desuso.
Microsoft Store para Empresas: conéctese al Microsoft Store para Empresas. Obtenga aplicaciones de la tienda para su organización que puede implementar con Configuration Manager.
Administración de servicios de administración: al configurar Azure Services, para mejorar la seguridad, puede seleccionar la opción Administración de servicios de administración. Al seleccionar esta opción, los administradores pueden segmentar sus privilegios de administrador entre la administración en la nube y el servicio de administración. Al habilitar esta opción, el acceso solo está restringido a los puntos de conexión de servicio de administración. Los clientes de Configuration Management se autenticarán en el sitio mediante Microsoft Entra identificador. (versión 2207 o posterior)
Nota:
Solo los clientes de VMSS de CMG pueden habilitar la opción de administración de servicios administrativos. Esta opción no es aplicable a los clientes clásicos de CMG.
Detalles del servicio
En la tabla siguiente se enumeran los detalles de cada uno de los servicios.
Inquilinos: el número de instancias de servicio que puede configurar. Cada instancia debe ser un inquilino Microsoft Entra distinto.
Nubes: todos los servicios admiten la nube global de Azure, pero no todos los servicios admiten nubes privadas, como la nube de Azure US Government.
Aplicación web: indica si el servicio usa una aplicación de Microsoft Entra de tipo Aplicación web o API, también conocida como aplicación de servidor en Configuration Manager.
Aplicación nativa: si el servicio usa una aplicación Microsoft Entra de tipo Native, también conocida como aplicación cliente en Configuration Manager.
Acciones: independientemente de si puede importar o crear estas aplicaciones en Configuration Manager Asistente para servicios de Azure.
Servicio | Espacios empresariales | Nubes | Aplicación web | Aplicación nativa | Acciones |
---|---|---|---|---|---|
Administración en la nube con detección de Microsoft Entra |
Múltiples | Público, privado | Importar, crear | ||
Conector de Log Analytics | Una | Público, privado | Importar | ||
Microsoft Store para Business |
Una | Public | Importar, crear |
Acerca de las aplicaciones de Microsoft Entra
Los distintos servicios de Azure requieren configuraciones distintas, que se realizan en el Azure Portal. Además, las aplicaciones de cada servicio pueden requerir permisos independientes para los recursos de Azure.
Puede usar una sola aplicación para más de un servicio. Solo hay un objeto que administrar en Configuration Manager e identificador de Microsoft Entra. Cuando expire la clave de seguridad de la aplicación, solo tendrá que actualizar una clave.
Al crear servicios de Azure adicionales en el asistente, Configuration Manager está diseñado para reutilizar la información común entre los servicios. Este comportamiento le ayuda a no tener que escribir la misma información más de una vez.
Para obtener más información sobre los permisos y configuraciones de aplicación necesarios para cada servicio, consulte el artículo de Configuration Manager pertinente en Servicios disponibles.
Para obtener más información sobre las aplicaciones de Azure, comience con los artículos siguientes:
- Autenticación y autorización en Azure App Service
- introducción a Web Apps
- Conceptos básicos del registro de una aplicación en Microsoft Entra id.
- Registro de la aplicación con el inquilino de Microsoft Entra
Antes de empezar
Después de decidir el servicio al que desea conectarse, consulte la tabla en Detalles del servicio. En esta tabla se proporciona información que necesita para completar el Asistente para servicios de Azure. Tenga una explicación de antemano con el administrador de Microsoft Entra. Decida cuál de las siguientes acciones debe realizar:
Cree manualmente las aplicaciones de antemano en el Azure Portal. A continuación, importe los detalles de la aplicación en Configuration Manager.
Sugerencia
Para obtener más información específica sobre la administración en la nube, consulte Registro manual de aplicaciones Microsoft Entra para cloud management gateway.
Use Configuration Manager para crear directamente las aplicaciones en Microsoft Entra id. Para recopilar los datos necesarios del identificador de Microsoft Entra, revise la información de las otras secciones de este artículo.
Algunos servicios requieren que las aplicaciones de Microsoft Entra tengan permisos específicos. Revise la información de cada servicio para determinar los permisos necesarios. Por ejemplo, para poder importar una aplicación web, un administrador de Azure primero debe crearla en el Azure Portal.
Al configurar el conector de Log Analytics, conceda al colaborador de la aplicación web recién registrada permiso en el grupo de recursos que contiene el área de trabajo pertinente. Este permiso permite a Configuration Manager acceder a ese área de trabajo. Al asignar el permiso, busque el nombre del registro de la aplicación en el área Agregar usuarios del Azure Portal. Este proceso es el mismo que al proporcionar Configuration Manager con permisos a Log Analytics. Un administrador de Azure debe asignar estos permisos antes de importar la aplicación a Configuration Manager.
Inicio del Asistente para servicios de Azure
En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione el nodo Servicios de Azure.
En la pestaña Inicio de la cinta de opciones, en el grupo Servicios de Azure , seleccione Configurar servicios de Azure.
En la página Servicios de Azure del Asistente para servicios de Azure:
Especifique un nombre para el objeto en Configuration Manager.
Especifique una descripción opcional para ayudarle a identificar el servicio.
Seleccione el servicio de Azure con el que desea conectarse con Configuration Manager.
Seleccione Siguiente para continuar con la página de propiedades de la aplicación de Azure del Asistente para servicios de Azure.
Propiedades de la aplicación de Azure
En la página Aplicación del Asistente para servicios de Azure, seleccione primero el entorno de Azure de la lista. Consulte la tabla de Detalles del servicio para saber qué entorno está disponible actualmente para el servicio.
El resto de la página Aplicación varía en función del servicio específico. Consulte la tabla de Detalles del servicio para saber qué tipo de aplicación usa el servicio y qué acción puede usar.
Si la aplicación admite acciones de importación y creación, seleccione Examinar. Esta acción abre el cuadro de diálogo Aplicación de servidor o el cuadro de diálogo Aplicación cliente.
Si la aplicación solo admite la acción de importación, seleccione Importar. Esta acción abre el cuadro de diálogo Importar aplicaciones (servidor) o el cuadro de diálogo Importar aplicaciones (cliente).
Después de especificar las aplicaciones en esta página, seleccione Siguiente para continuar con la página Configuración o detección del Asistente para servicios de Azure.
Aplicación web
Esta aplicación es el tipo de identificador de Microsoft Entra Aplicación web o API, también conocida como aplicación de servidor en Configuration Manager.
Cuadro de diálogo Aplicación de servidor
Al seleccionar Examinar para la aplicación web en la página Aplicación del Asistente para servicios de Azure, se abre el cuadro de diálogo Aplicación de servidor. Muestra una lista que muestra las siguientes propiedades de las aplicaciones web existentes:
- Nombre descriptivo del inquilino
- Nombre descriptivo de la aplicación
- Tipo de servicio
Hay tres acciones que puede realizar desde el cuadro de diálogo Aplicación de servidor:
- Para reutilizar una aplicación web existente, selecciónela en la lista.
- Seleccione Importar para abrir el cuadro de diálogo Importar aplicaciones.
- Seleccione Crear para abrir el cuadro de diálogo Crear aplicación de servidor.
Después de seleccionar, importar o crear una aplicación web, seleccione Aceptar para cerrar el cuadro de diálogo Aplicación de servidor. Esta acción vuelve a la página Aplicación del Asistente para servicios de Azure.
Cuadro de diálogo Importar aplicaciones (servidor)
Al seleccionar Importar desde el cuadro de diálogo Aplicación servidor o la página Aplicación del Asistente para servicios de Azure, se abre el cuadro de diálogo Importar aplicaciones. Esta página le permite escribir información sobre una aplicación web de Microsoft Entra que ya se ha creado en el Azure Portal. Importa metadatos sobre esa aplicación web en Configuration Manager. Especifique la siguiente información:
- Microsoft Entra nombre del inquilino: nombre del inquilino de Microsoft Entra.
- Microsoft Entra identificador de inquilino: el GUID del inquilino de Microsoft Entra.
- Nombre de la aplicación: un nombre descriptivo para la aplicación, el nombre para mostrar en el registro de la aplicación.
- Id. de cliente: valor del identificador de aplicación (cliente) del registro de la aplicación. El formato es un GUID estándar.
- Clave secreta: tiene que copiar la clave secreta al registrar la aplicación en Microsoft Entra identificador.
- Expiración de clave secreta: seleccione una fecha futura del calendario.
- URI del identificador de aplicación: este valor debe ser único en el inquilino de Microsoft Entra. Está en el token de acceso que usa el cliente de Configuration Manager para solicitar acceso al servicio. El valor es el URI del identificador de aplicación de la entrada de registro de la aplicación en el centro de administración de Microsoft Entra.
Después de escribir la información, seleccione Comprobar. A continuación, seleccione Aceptar para cerrar el cuadro de diálogo Importar aplicaciones. Esta acción vuelve a la página Aplicación del Asistente para servicios de Azure o al cuadro de diálogo Aplicación de servidor.
Importante
Cuando se usa una aplicación de Microsoft Entra importada, no se le notifica una fecha de expiración próxima de las notificaciones de consola.
Cuadro de diálogo Crear aplicación de servidor
Al seleccionar Crear en el cuadro de diálogo Aplicación de servidor, se abre el cuadro de diálogo Crear aplicación de servidor. Esta página automatiza la creación de una aplicación web en Microsoft Entra identificador. Especifique la siguiente información:
Nombre de la aplicación: un nombre descriptivo para la aplicación.
Dirección URL de HomePage: este valor no se usa en Configuration Manager, pero es necesario para Microsoft Entra identificador. De forma predeterminada, este valor es
https://ConfigMgrService
.URI del identificador de aplicación: este valor debe ser único en el inquilino de Microsoft Entra. Está en el token de acceso que usa el cliente de Configuration Manager para solicitar acceso al servicio. De forma predeterminada, este valor es
https://ConfigMgrService
. Cambie el valor predeterminado a uno de los siguientes formatos recomendados:-
api://{tenantId}/{string}
, por ejemplo,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, por ejemplo,https://contoso.onmicrosoft.com/ConfigMgrService
-
Período de validez de clave secreta: elija 1 año o 2 años en la lista desplegable. Un año es el valor predeterminado.
Nota:
Es posible que vea una opción para Nunca, pero Microsoft Entra ya no la admite. Si anteriormente seleccionó esta opción, la fecha de expiración ahora se establece para 99 años a partir de la fecha en que la creó.
Seleccione Iniciar sesión para autenticarse en Azure como usuario administrativo. Estas credenciales no se guardan mediante Configuration Manager. Este rol no requiere permisos en Configuration Manager y no es necesario que sea la misma cuenta que ejecuta el Asistente para servicios de Azure. Después de autenticarse correctamente en Azure, la página muestra el nombre del inquilino de Microsoft Entra como referencia.
Seleccione Aceptar para crear la aplicación web en Microsoft Entra id. y cierre el cuadro de diálogo Crear aplicación de servidor. Esta acción vuelve al cuadro de diálogo Aplicación de servidor.
Nota:
Si tiene una directiva de acceso condicional Microsoft Entra definida y se aplica a todas las aplicaciones en la nube, debe excluir la aplicación de servidor creada de esta directiva. Para obtener más información sobre cómo excluir aplicaciones específicas, consulte Microsoft Entra documentación de acceso condicional.
Aplicación de Native Client
Esta aplicación es el tipo de identificador Microsoft Entra Nativo, también conocido como aplicación cliente en Configuration Manager.
Cuadro de diálogo Aplicación cliente
Al seleccionar Examinar para la aplicación Native Client en la página Aplicación del Asistente para servicios de Azure, se abre el cuadro de diálogo Aplicación cliente. Muestra una lista que muestra las siguientes propiedades de las aplicaciones nativas existentes:
- Nombre descriptivo del inquilino
- Nombre descriptivo de la aplicación
- Tipo de servicio
Hay tres acciones que puede realizar desde el cuadro de diálogo Aplicación cliente:
- Para reutilizar una aplicación nativa existente, selecciónela en la lista.
- Seleccione Importar para abrir el cuadro de diálogo Importar aplicaciones.
- Seleccione Crear para abrir el cuadro de diálogo Crear aplicación cliente.
Después de seleccionar, importar o crear una aplicación nativa, elija Aceptar para cerrar el cuadro de diálogo Aplicación cliente. Esta acción vuelve a la página Aplicación del Asistente para servicios de Azure.
Cuadro de diálogo Importar aplicaciones (cliente)
Al seleccionar Importar desde el cuadro de diálogo Aplicación cliente, se abre el cuadro de diálogo Importar aplicaciones. Esta página le permite escribir información sobre una aplicación nativa Microsoft Entra que ya se ha creado en el Azure Portal. Importa metadatos sobre esa aplicación nativa en Configuration Manager. Especifique la siguiente información:
- Nombre de la aplicación: un nombre descriptivo para la aplicación.
- Id. de cliente: valor del identificador de aplicación (cliente) del registro de la aplicación. El formato es un GUID estándar.
Después de escribir la información, seleccione Comprobar. A continuación, seleccione Aceptar para cerrar el cuadro de diálogo Importar aplicaciones. Esta acción vuelve al cuadro de diálogo Aplicación cliente.
Sugerencia
Al registrar la aplicación en Microsoft Entra identificador, es posible que deba especificar manualmente el siguiente URI de redirección: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>
. Especifique el GUID del identificador de cliente de la aplicación, por ejemplo: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49
.
Cuadro de diálogo Crear aplicación cliente
Al seleccionar Crear en el cuadro de diálogo Aplicación cliente, se abre el cuadro de diálogo Crear aplicación cliente. Esta página automatiza la creación de una aplicación nativa en Microsoft Entra identificador. Especifique la siguiente información:
- Nombre de la aplicación: un nombre descriptivo para la aplicación.
-
Dirección URL de respuesta: este valor no lo usa Configuration Manager, pero lo requiere Microsoft Entra identificador. De forma predeterminada, este valor es
https://ConfigMgrService
.
Seleccione Iniciar sesión para autenticarse en Azure como usuario administrativo. Estas credenciales no se guardan mediante Configuration Manager. Este rol no requiere permisos en Configuration Manager y no es necesario que sea la misma cuenta que ejecuta el Asistente para servicios de Azure. Después de autenticarse correctamente en Azure, la página muestra el nombre del inquilino de Microsoft Entra como referencia.
Seleccione Aceptar para crear la aplicación nativa en Microsoft Entra id. y cierre el cuadro de diálogo Crear aplicación cliente. Esta acción vuelve al cuadro de diálogo Aplicación cliente.
Configuración o detección
Después de especificar las aplicaciones web y nativas en la página Aplicaciones , el Asistente para servicios de Azure pasa a una página de configuración o de detección , en función del servicio al que se conecte. Los detalles de esta página varían de un servicio a otro. Para obtener más información, consulte uno de los siguientes artículos:
Servicio de administración en la nube, página de detección: Configuración Microsoft Entra detección de usuarios
Servicio del conector de Log Analytics , página Configuración : Configuración de la conexión a Log Analytics
Microsoft Store para Empresas servicio, página Configuraciones: Configuración de la sincronización de Microsoft Store para Empresas
Por último, complete el Asistente para servicios de Azure a través de las páginas Resumen, Progreso y Finalización. Ha completado la configuración de un servicio de Azure en Configuration Manager. Repita este proceso para configurar otros servicios de Azure.
Actualización de la configuración de la aplicación
Para permitir que los clientes de Configuration Manager soliciten un token de dispositivo Microsoft Entra y habiliten los permisos de lectura de datos de directorio, debe actualizar la configuración de la aplicación del servidor web.
- En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione el nodo Microsoft Entra inquilinos.
- Seleccione el inquilino de Microsoft Entra para la aplicación que desea actualizar.
- En la sección Aplicaciones, seleccione la aplicación de servidor web Microsoft Entra y, a continuación, seleccione Actualizar configuración de la aplicación en la cinta de opciones.
- Cuando se le pida confirmación, seleccione Sí para confirmar que desea actualizar la aplicación con la configuración más reciente.
Renovación de la clave secreta
Debe renovar la clave secreta de la aplicación de Microsoft Entra antes de que finalice su período de validez. Si deja que la clave expire, Configuration Manager no puede autenticarse con Microsoft Entra identificador, lo que hará que los servicios de Azure conectados dejen de funcionar.
A partir de la versión 2006, la consola de Configuration Manager muestra notificaciones para las siguientes circunstancias:
- Una o varias claves secretas de aplicación Microsoft Entra expirarán pronto
- Una o varias claves secretas de aplicación Microsoft Entra han expirado
Para mitigar ambos casos, renueve la clave secreta.
Para obtener más información sobre cómo interactuar con estas notificaciones, consulte Configuration Manager notificaciones de consola.
Nota:
Debe tener asignado al menos el rol "Administrador de aplicaciones en la nube" Microsoft Entra para poder renovar la clave.
Renovar clave para la aplicación creada
En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione el nodo Microsoft Entra inquilinos.
En el panel Detalles, seleccione el inquilino Microsoft Entra de la aplicación.
En la cinta de opciones, seleccione Renovar clave secreta. Escriba las credenciales del propietario de la aplicación o de un administrador de Microsoft Entra.
Renovar clave para la aplicación importada
Si importó la aplicación de Azure en Configuration Manager, use la Azure Portal para renovarla. Tenga en cuenta la nueva clave secreta y la fecha de expiración. Agregue esta información en el Asistente para renovar clave secreta .
Nota:
Guarde la clave secreta antes de cerrar la página Clave de propiedades de la aplicación de Azure. Esta información se quita al cerrar la página.
Deshabilitación de la autenticación
A partir de la versión 2010, puede deshabilitar Microsoft Entra autenticación para inquilinos no asociados a usuarios y dispositivos. Al incorporar Configuration Manager a Microsoft Entra identificador, permite que el sitio y los clientes usen la autenticación moderna. Actualmente, Microsoft Entra autenticación de dispositivos está habilitada para todos los inquilinos incorporados, independientemente de si tiene o no dispositivos. Por ejemplo, tiene un inquilino independiente con una suscripción que se usa para los recursos de proceso para admitir una puerta de enlace de administración en la nube. Si no hay usuarios ni dispositivos asociados al inquilino, deshabilite Microsoft Entra autenticación.
En la consola de Configuration Manager, vaya al área de trabajo Administración.
Expanda Cloud Services y seleccione el nodo Servicios de Azure.
Seleccione la conexión de destino de tipo Cloud Management. En la cinta de opciones, seleccione Propiedades.
Cambie a la pestaña Aplicaciones .
Seleccione la opción Deshabilitar Microsoft Entra autenticación para este inquilino.
Seleccione Aceptar para guardar y cerrar las propiedades de conexión.
Sugerencia
Este cambio puede tardar hasta 25 horas en surtir efecto en los clientes. Para realizar pruebas para acelerar este cambio de comportamiento, siga estos pasos:
- Reinicie el servicio sms_executive en el servidor de sitio.
- Reinicie el servicio ccmexec en el cliente.
- Desencadene la programación del cliente para actualizar el punto de administración predeterminado. Por ejemplo, use la herramienta de programación de envío:
SendSchedule {00000000-0000-0000-0000-000000000023}
Visualización de la configuración de un servicio de Azure
Vea las propiedades de un servicio de Azure que ha configurado para su uso. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione Servicios de Azure. Seleccione el servicio que desea ver o editar y, a continuación, seleccione Propiedades.
Si selecciona un servicio y, a continuación, elige Eliminar en la cinta de opciones, esta acción elimina la conexión en Configuration Manager. No quita la aplicación en Microsoft Entra identificador. Pida al administrador de Azure que elimine la aplicación cuando ya no sea necesaria. O bien, ejecute el Asistente para servicios de Azure para importar la aplicación.
Flujo de datos de administración en la nube
El diagrama siguiente es un flujo de datos conceptual para la interacción entre Configuration Manager, identificador de Microsoft Entra y servicios en la nube conectados. En este ejemplo específico se usa el servicio Cloud Management, que incluye un cliente Windows 10, y las aplicaciones de servidor y cliente. Los flujos de otros servicios son similares.
El administrador de Configuration Manager importa o crea las aplicaciones cliente y servidor en Microsoft Entra identificador.
Configuration Manager Microsoft Entra se ejecuta el método de detección de usuarios. El sitio usa el token de aplicación de servidor Microsoft Entra para consultar objetos de usuario en Microsoft Graph.
El sitio almacena datos sobre los objetos de usuario. Para obtener más información, consulte Microsoft Entra detección de usuarios.
El cliente Configuration Manager solicita el token de usuario Microsoft Entra. El cliente realiza la notificación mediante el identificador de aplicación de la aplicación cliente Microsoft Entra y la aplicación de servidor como audiencia. Para obtener más información, vea Notificaciones en Microsoft Entra tokens de seguridad.
El cliente se autentica con el sitio mediante la presentación del token de Microsoft Entra en la puerta de enlace de administración en la nube y en el punto de administración local habilitado para HTTPS.
Para obtener información más detallada, consulte Microsoft Entra flujo de trabajo de autenticación.