Megosztás a következőn keresztül:

Microsoft Entra-azonosító konfigurálása CMG-hez

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

A felhőfelügyeleti átjáró (CMG) beállításának második elsődleges lépése a Configuration Manager hely integrálása a Microsoft Entra bérlővel. Ez az integráció lehetővé teszi, hogy a hely hitelesítést végezzen Microsoft Entra azonosítóval, amelyet a CMG szolgáltatás üzembe helyezéséhez és figyeléséhez használ. Ha a következő lépésben az ügyfelek Microsoft Entra hitelesítési módszerét választja, akkor ez az integráció előfeltétele ennek a hitelesítési módszernek.

Tipp

Ez a cikk előíró útmutatást nyújt a webhely kifejezetten a felhőfelügyeleti átjáróhoz való integrálásához. További információ erről a folyamatról és az Azure-szolgáltatások csomópont egyéb használati módjairól az Configuration Manager konzolon: Azure-szolgáltatások konfigurálása.

A webhely integrálásakor alkalmazásregisztrációkat hoz létre Microsoft Entra azonosítóban. A CMG-nek két alkalmazásregisztrációra van szüksége:

  • Webalkalmazás (más néven kiszolgálóalkalmazás a Configuration Manager)
  • Natív alkalmazás (más néven ügyfélalkalmazás a Configuration Manager)

Ezeknek az alkalmazásoknak két módszere van, amelyekhez globális rendszergazdai szerepkörre van szükség Microsoft Entra azonosítóban:

  • A Configuration Manager használatával automatizálhatja az alkalmazások létrehozását a webhely integrálásakor.
  • Manuálisan hozza létre előre az alkalmazásokat, majd importálja őket a webhely integrálásakor.

Ez a cikk elsősorban az első módszert követi. A másik módszerrel kapcsolatos további információkért lásd: Microsoft Entra-alkalmazások manuális regisztrálása a CMG-hez.

Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik Microsoft Entra-azonosítójú globális rendszergazdával.

Megjegyzés:

Ha előre létrehozott alkalmazásregisztrációkat szeretne importálni, először létre kell hoznia őket Microsoft Entra azonosítóban. Kezdje a CMG-hez készült Microsoft Entra-alkalmazások manuális regisztrálását ismertető cikkel. Ezután térjen vissza ehhez a cikkhez az Azure Services varázsló futtatásához, és importálja az alkalmazásokat a Configuration Manager.

Az alkalmazásregisztrációk célja

Ez a két Microsoft Entra alkalmazásregisztráció a CMG kiszolgáló- és ügyféloldalát jelöli.

  • Az ügyfélalkalmazás a CMG-hez csatlakozó felügyelt ügyfeleket és felhasználókat jelöli. Meghatározza, hogy milyen erőforrásokhoz férnek hozzá az Azure-on belül, beleértve magát a CMG-t is.

  • A kiszolgálóalkalmazás az Azure-ban üzemeltetett CMG-összetevőket jelöli. Meghatározza, hogy milyen erőforrásokhoz férnek hozzá az Azure-ban. A kiszolgálóalkalmazás a felügyelt ügyfelek, felhasználók és a CMG-kapcsolati pont és az Azure-alapú CMG-összetevők hitelesítésének és engedélyezésének megkönnyítésére szolgál. Ez a kommunikáció magában foglalja a helyszíni felügyeleti pontokra és szoftverfrissítési pontokra történő forgalmat, a kezdeti CMG-kiépítést az Azure-ban, valamint Microsoft Entra felderítést.

Ha az ügyfelek PKI által kibocsátott ügyfél-hitelesítési tanúsítványokat használnak, akkor a két ügyfélalkalmazást nem használják eszközközpontú tevékenységekhez. Például egy eszközgyűjteményre irányuló szoftverterjesztés. A felhasználóközpontú tevékenység mindig ezt a két alkalmazásregisztrációt használja hitelesítési és engedélyezési célokra.

Az Azure-szolgáltatások varázsló elindítása

  1. Az Configuration Manager-konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Cloud Services elemet, és válassza ki az Azure-szolgáltatások csomópontot.

  2. A menüszalag Kezdőlap lapjának Azure Services* csoportjában válassza az Azure-szolgáltatások konfigurálása lehetőséget.

  3. Az Azure-szolgáltatások varázsló Azure-szolgáltatások lapján:

    1. Adja meg az objektum nevét a Configuration Manager. Ez a név csak a Configuration Manager kapcsolatának azonosítására használható.

    2. Adjon meg egy opcionális Leírást a szolgáltatáskapcsolat további azonosításához.

    3. Válassza ki a Cloud Management szolgáltatást.

  4. Az Azure Services varázslóAlkalmazás lapján válassza ki a bérlőhöz tartozó Azure-környezetet:

    • AzurePublicCloud: A bérlő a globális Azure-felhőben található.
    • AzureUSGovernmentCloud: A bérlő az AZURE US Government-felhőben található.

A webes (kiszolgálói) alkalmazásregisztráció létrehozása

  1. Az Azure Services varázsló ablakának Alkalmazás lapján a webalkalmazáshoz válassza a Tallózás lehetőséget.

  2. A Kiszolgálóalkalmazás ablakban válassza a Létrehozás lehetőséget a Configuration Manager az alkalmazás létrehozásának automatizálásához.

  3. A Kiszolgálóalkalmazás létrehozása ablakban adja meg a következő adatokat:

    • Alkalmazás neve: Az alkalmazás rövid neve.

    • HomePage URL: Ezt az értéket nem használja Configuration Manager, de Microsoft Entra azonosító megköveteli. Ez az érték alapértelmezés szerint a következő https://ConfigMgrService: .

    • Alkalmazásazonosító URI-ja: Ennek az értéknek egyedinek kell lennie a Microsoft Entra bérlőben. A Configuration Manager-ügyfél által a szolgáltatáshoz való hozzáférés kéréséhez használt hozzáférési jogkivonatban található. Ez az érték alapértelmezés szerint a következő https://ConfigMgrService: . Módosítsa az alapértelmezett értéket az alábbi ajánlott formátumok egyikére:

      • api://{tenantId}/{string}, például: api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, például: https://contoso.onmicrosoft.com/ConfigMgrService

    • Titkos kulcs érvényességi időtartama: válasszon 1 vagy2 évet a legördülő listából. Az alapértelmezett érték egy év.

    • Microsoft Entra rendszergazdai fiók: Válassza a Bejelentkezés lehetőséget a globális rendszergazdaként Microsoft Entra azonosító hitelesítéséhez. Configuration Manager nem menti ezeket a hitelesítő adatokat. Ez a személy nem igényel engedélyeket Configuration Manager, és nem kell ugyanaznak a fióknak lennie, amely az Azure Services varázslót futtatja. Miután sikeresen hitelesítést végzett az Azure-ban, az oldalon megjelenik a Microsoft Entra bérlő neve referenciaként.

  4. Válassza az OK gombot a webalkalmazás létrehozásához Microsoft Entra azonosítóban, majd zárja be a Kiszolgálóalkalmazás létrehozása ablakot.

  5. A Kiszolgálóalkalmazás ablakban győződjön meg arról, hogy az új alkalmazás ki van jelölve, majd kattintson az OK gombra az ablak mentéséhez és bezárásához.

Megjegyzés:

Configuration Manager ág aktuális 2309-es verziójától kezdődően a CMG létrehozásához bővítettük a webes (kiszolgálói) alkalmazás biztonságát. Új CMG-létrehozáshoz a felhasználók kiválaszthatják a bérlőt és az alkalmazás nevét a Microsoft Entra bérlő nevével. A bérlő és az alkalmazás nevének kiválasztása után megjelenik a bejelentkezési gomb, kövesse a folyamat többi részét a telepítési CMG-nek megfelelően.

A meglévő CMG-ügyfeleknek frissíteniük kell a webkiszolgáló-alkalmazásukat úgy, hogy Microsoft Entra bérlői csomópontra lépnek –> kiválasztják a bérlőt –> kiválasztják a kiszolgálóalkalmazást –,> majd az "alkalmazásbeállítások frissítése" elemre kattintanak.

A natív (ügyfél-) alkalmazásregisztráció létrehozása

  1. Az Azure Services varázsló ablakának Alkalmazás lapján a natív ügyfélalkalmazáshoz válassza a Tallózás lehetőséget.

  2. Az Ügyfélalkalmazás ablakban válassza a Létrehozás lehetőséget a Configuration Manager az alkalmazás létrehozásának automatizálásához.

  3. Az Ügyfélalkalmazás létrehozása ablakban adja meg a következő adatokat:

    • Alkalmazás neve: Az alkalmazás rövid neve.

    • Microsoft Entra rendszergazdai fiók: Válassza a Bejelentkezés lehetőséget a globális rendszergazdaként Microsoft Entra azonosító hitelesítéséhez. Configuration Manager nem menti ezeket a hitelesítő adatokat. Ez a személy nem igényel engedélyeket Configuration Manager, és nem kell ugyanaznak a fióknak lennie, amely az Azure Services varázslót futtatja. Miután sikeresen hitelesítést végzett az Azure-ban, az oldalon megjelenik a Microsoft Entra bérlő neve referenciaként.

  4. Válassza az OK gombot a natív alkalmazás létrehozásához Microsoft Entra azonosítóban, majd zárja be az Ügyfélalkalmazás létrehozása ablakot.

  5. Az Ügyfélalkalmazás ablakban győződjön meg arról, hogy az új alkalmazás ki van jelölve, majd kattintson az OK gombra az ablak mentéséhez és bezárásához.

Az Azure-szolgáltatások varázslójának befejezése

  1. Az Azure Services varázslóban ellenőrizze, hogy a webalkalmazás és a natív ügyfélalkalmazás értékei is elkészültek-e. A folytatáshoz válassza Tovább lehetőséget.

  2. A varázsló Felderítési lapja csak bizonyos esetekben szükséges. A webhely előkészítésekor nem kötelező Microsoft Entra azonosítót, és nem szükséges létrehozni a CMG-t. Ha szüksége van rá a környezet adott funkcióinak támogatásához, később engedélyezheti.

    Az Microsoft Entra felhasználófelderítést igénylő CMG-forgatókönyvekkel kapcsolatos további információkért lásd: Ügyfél-hitelesítés konfigurálása: Microsoft Entra azonosító és Ügyfelek telepítése Microsoft Entra-azonosítóval.

    További információ erről a felderítési módszerről: Microsoft Entra felhasználófelderítés konfigurálása.

  3. Tekintse át a beállításokat, és fejezze be a varázslót.

Amikor a varázsló bezárul, az új kapcsolat megjelenik az Azure-szolgáltatások csomópontban. A bérlői és alkalmazásregisztrációkat a Configuration Manager konzol Microsoft Entra bérlői csomópontjában is megtekintheti.

Nem eszköz- vagy felhasználói bérlők Microsoft Entra hitelesítésének letiltása

Ha az eszközei olyan Microsoft Entra bérlőben találhatók, amely elkülönül a CMG számítási erőforrásaihoz tartozó előfizetéssel rendelkező bérlőtől, letilthatja a felhasználókhoz és eszközökhöz nem társított bérlők hitelesítését.

  1. Nyissa meg a Cloud Management szolgáltatás tulajdonságait.

  2. Váltson az Alkalmazások lapra.

  3. Válassza a Bérlő Microsoft Entra hitelesítésének letiltása lehetőséget.

További információ: Azure-szolgáltatások konfigurálása.

Azure-erőforrás-szolgáltatók konfigurálása

A CMG-szolgáltatáshoz bizonyos erőforrás-szolgáltatókat kell regisztrálnia az Azure-előfizetésében. Amikor üzembe helyezi a CMG-t egy virtuálisgép-méretezési csoportban, regisztrálja a következő erőforrás-szolgáltatókat:

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

Megjegyzés:

Ha korábban klasszikus felhőszolgáltatással helyezte üzembe a CMG-t, az Azure-előfizetéséhez a következő két erőforrás-szolgáltatóra van szükség:

  • Microsoft.ClassicCompute
  • Microsoft.Storage

A 2203-as verziótól kezdődően a CMG felhőszolgáltatásként (klasszikus) való üzembe helyezésének lehetősége el lesz távolítva. Minden CMG-telepítésnek virtuálisgép-méretezési csoportot kell használnia. További információ: Eltávolított és elavult funkciók.

A Microsoft Entra-fióknak engedéllyel kell rendelkeznie a /register/action művelet végrehajtásához az erőforrás-szolgáltató számára. Alapértelmezés szerint a Közreműködő és a Tulajdonos szerepkör tartalmazza ezt az engedélyt.

Az alábbi lépések összefoglalják az erőforrás-szolgáltató regisztrálásának folyamatát. További információ: Azure-erőforrás-szolgáltatók és -típusok.

  1. Jelentkezzen be az Azure portálra.

  2. A Azure Portal menüben keresse meg az Előfizetések elemet. Válassza ki az elérhető lehetőségek közül.

  3. Válassza ki a megtekinteni kívánt előfizetést.

  4. A bal oldali menü Beállítások területén válassza az Erőforrás-szolgáltatók lehetőséget.

  5. Keresse meg a regisztrálni kívánt erőforrás-szolgáltatót, és válassza a Regisztráció lehetőséget. Az előfizetésben a minimális jogosultságok fenntartása érdekében csak azokat az erőforrás-szolgáltatókat regisztrálja, amelyek használatára készen áll.

Automatizálás a PowerShell-lel

Ezen konfigurációk aspektusait a PowerShell használatával is automatizálhatja.

  1. Az Import-CMAADServerApplication parancsmaggal definiálja a Microsoft Entra web-/kiszolgálóalkalmazást Configuration Manager.

  2. Az Import-CMAADClientApplication parancsmaggal definiálja a natív/ügyfélalkalmazás Microsoft Entra Configuration Manager.

  3. Az importált alkalmazásobjektumok lekéréséhez használja a Get-CMAADApplication parancsmagot.

  4. Ezután adja át az alkalmazásobjektumokat a New-CMCloudManagementAzureService parancsmagnak az Azure Cloud Management szolgáltatás létrehozásához a Configuration Manager.

Következő lépések

Folytassa a CMG beállítását a használandó ügyfél-hitelesítés típusának kiválasztásával:

Ügyfél-hitelesítés konfigurálása