Microsoft Entra-alkalmazások manuális regisztrálása a CMG-hez

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

A felhőfelügyeleti átjáró (CMG) beállításának második elsődleges lépése az Configuration Manager hely integrálása a Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy a hely hitelesítést végezzen Microsoft Entra ID, amelyet a CMG szolgáltatás üzembe helyezéséhez és figyeléséhez használ. Ha nem tudja a Configuration Manager használatával automatizálni az alkalmazások létrehozását az Azure Szolgáltatás varázslója során, a varázslóval importálhat egy korábban létrehozott alkalmazást. Ha például az Azure-rendszergazdák megkövetelik, hogy manuálisan hozzák létre az összes Microsoft Entra alkalmazásregisztrációt, használja ezt a folyamatot.

Tipp

Ez a cikk előíró útmutatást nyújt a webhely kifejezetten a felhőfelügyeleti átjáróhoz való integrálásához. További információ erről a folyamatról és az Azure-szolgáltatások csomópont egyéb használati módjairól az Configuration Manager konzolon: Azure-szolgáltatások konfigurálása.

A webhely integrálásakor alkalmazásregisztrációkat hoz létre a Microsoft Entra ID. A CMG-nek két alkalmazásregisztrációra van szüksége:

  • Webalkalmazás (más néven kiszolgálóalkalmazás a Configuration Manager)
  • Natív alkalmazás (más néven ügyfélalkalmazás a Configuration Manager)

Ezeknek az alkalmazásoknak a létrehozására két módszer létezik, amelyekhez globális rendszergazdai szerepkörre van szükség a Microsoft Entra ID:

  • A Configuration Manager használatával automatizálhatja az alkalmazások létrehozását a webhely integrálásakor.
  • Manuálisan hozza létre előre az alkalmazásokat, majd importálja őket a webhely integrálásakor.

Ez a cikk a második módszer részleteit ismerteti. A folyamat befejezéséhez párosítsa ezeket az utasításokat a Configure Microsoft Entra ID for CMG (Microsoft Entra ID konfigurálása CMG-hez) című cikkben található eljárásokkal.

Bérlő részleteinek lekérése

Tipp

A folyamat során több értéket is fel kell jegyeznie a későbbi használathoz. Nyisson meg egy alkalmazást, például a Windows Jegyzettömbet az Azure Portalról másolandó értékek beillesztéséhez.

Először jegyezze fel a Microsoft Entra bérlő nevét és bérlőazonosítóját. Ezek az értékek az első két információ, amelyet az alkalmazásregisztrációk Configuration Manager importálni kell.

  1. A Azure Portal válassza a Microsoft Entra ID lehetőséget.

  2. A Microsoft Entra ID menüben válassza az Egyéni tartománynevek lehetőséget.

  3. Jegyezze fel a bérlő nevét. Használja például a contoso.onmicrosoft.com címet.

  4. A Microsoft Entra ID menüben válassza a Tulajdonságok lehetőséget.

  5. Másolja ki a bérlőazonosító GUID-értékét.

A webalkalmazás (kiszolgáló) regisztrálása

  1. A Microsoft Entra ID menüben válassza a Alkalmazásregisztrációk lehetőséget. Új alkalmazás létrehozásához válassza az Új regisztráció lehetőséget.

  2. Az Alkalmazás regisztrálása panelen adja meg a következő információkat:

    • Név: Az alkalmazás rövid neve. Használja például a CMG-ServerApp címet.
    • Támogatott fióktípusok: Hagyja meg ezt a beállítást alapértelmezett beállításként, csak ebben a szervezeti címtárban lévő fiókok beállításként.
    • Átirányítási URI: Válassza a nyilvános ügyfél/natív (mobil &asztali) lehetőséget, és írja be http://localhost URI-ként

  3. Az alkalmazás létrehozásához válassza a Regisztráció lehetőséget.

  4. Az új alkalmazás tulajdonságai között másolja a következő értékeket:

    • Megjelenítendő név: Ez az érték az alkalmazásregisztráció rövid neve, amelyet később az alkalmazás neveként fog használni.
    • Alkalmazás (ügyfél) azonosítója: Ezt a GUID-értéket fogja később ügyfél-azonosítóként használni.

  5. Az alkalmazás tulajdonságainak menüjében válassza a Tanúsítványok & titkos kulcsok, majd az Új titkos ügyfélkód lehetőséget.

    • Leírás: Bármilyen nevet használhat a titkos kódhoz, vagy üresen hagyhatja.
    • Lejár: Válasszon 12 vagy24 hónapot.

    Válassza a Hozzáadás lehetőséget. Azonnal másolja ki az ügyfél titkos sztringjének értékét és lejáratát. Ha elhagyja ezt a panelt, nem tudja újból lekérni ugyanazt a titkos kódot. Ezeket az értékeket később titkos kulcsként és titkos kulcs lejárati értékeként fogja használni.

  6. Ha Microsoft Entra felhasználófelderítést fogja használni Configuration Manager, módosítania kell az alkalmazás engedélyeit. Az alkalmazás tulajdonságainak menüjében válassza az API-engedélyek lehetőséget. Alapértelmezés szerint user.read engedéllyel kell rendelkeznie a Microsoft Graph API-hoz, amelyet módosítania kell.

    1. Válassza a Microsoft Graph lehetőséget az elérhető API-engedélyek listájának felsorolásához, majd válassza az Alkalmazásengedélyek lehetőséget.

    2. Bontsa ki a Könyvtár elemet, majd válassza a Directory.Read.All elemet.

    3. Váltson delegált engedélyekre.

    4. Bontsa ki a Felhasználó elemet, és távolítsa el a User.Read engedélyt.

    5. Válassza az Engedélyek frissítése lehetőséget.

    6. Az API-engedélyek panelen válassza a Rendszergazdai hozzájárulás megadása... lehetőséget, majd válassza az Igen lehetőséget.

  7. Az alkalmazás tulajdonságainak menüjében válassza az API közzététele lehetőséget.

    1. Az alkalmazásazonosító URI-jaként válassza a Hozzáadás lehetőséget. Adjon meg egy, a bérlőhöz egyedi URI-t. Ezt az értéket később fogja használni az alkalmazásazonosító URI-jaként. Használja az alábbi ajánlott formátumok egyikét:

      • api://{tenantId}/{string}, például: api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, például: https://contoso.onmicrosoft.com/ConfigMgrService

      Válassza a Mentés elemet.

    2. Válassza a Hatókör hozzáadása lehetőséget, és adja meg a következő szükséges információkat:

      • Hatókör neve: user_impersonation
      • Kik adhatják meg a hozzájárulást: Válassza a Rendszergazdák és felhasználók lehetőséget
      • Rendszergazda hozzájárulás megjelenítendő neve: Adjon meg egy kifejező nevet. Például: Access CMG-ServerApp
      • Rendszergazda hozzájárulás leírása: Adjon meg egy kifejező leírást. Például: Allow the application to access CMG-ServerApp on behalf of the signed-in user.

    3. A mentéshez válassza a Hatókör hozzáadása lehetőséget.

  8. Az alkalmazás tulajdonságainak menüjében válassza a Jegyzékfájl lehetőséget. Állítsa az oauth2AllowIdTokenImplicitFlow bejegyzést true (igaz) értékre. Például:

    "oauth2AllowIdTokenImplicitFlow": true,

    Válassza a Mentés elemet.

A CMG-hez készült webalkalmazás (kiszolgáló) mostantól regisztrálva van a Microsoft Entra ID.

A natív (ügyfél-) alkalmazás regisztrálása

  1. A Microsoft Entra ID menüben válassza a Alkalmazásregisztrációk lehetőséget. Új alkalmazás létrehozásához válassza az Új regisztráció lehetőséget.

  2. Az Alkalmazás regisztrálása panelen adja meg a következő információkat:

    • Név: Az alkalmazás rövid neve. Használja például a CMG-ClientApp címet.
    • Támogatott fióktípusok: Hagyja meg ezt a beállítást alapértelmezett beállításként, csak ebben a szervezeti címtárban lévő fiókok beállításként.
    • Átirányítási URI: Hagyja üresen ezt az opcionális értéket.

  3. Az alkalmazás létrehozásához válassza a Regisztráció lehetőséget.

  4. Az új alkalmazás tulajdonságai között másolja a következő értékeket:

    • Megjelenítendő név: Ez az érték az alkalmazásregisztráció rövid neve, amelyet később az alkalmazás neveként fog használni.
    • Alkalmazás (ügyfél) azonosítója: Ezt a GUID-értéket fogja később ügyfél-azonosítóként használni.

  5. Az alkalmazás tulajdonságainak menüjében válassza a Hitelesítés lehetőséget.

    1. A Platformkonfigurációk területen válassza a Platform hozzáadása lehetőséget.

      1. A Platformok konfigurálása panelen válassza a Mobil- és asztali alkalmazások lehetőséget.

      2. Az Asztal és eszközök konfigurálása panel Egyéni átirányítási URI-k területén adja meg a következőt ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>: . Használja az alkalmazás ügyfél-azonosítójának GUID-azonosítóját, például: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Válassza a Konfigurálás lehetőséget.

    2. A Speciális beállítások területen állítsa a Nyilvános ügyfélfolyamatok engedélyezésebeállítást Igen értékre. Válassza a Mentés elemet.

  6. Módosítsa az alkalmazás engedélyeit. Az alkalmazás tulajdonságainak menüjében válassza az API-engedélyek lehetőséget. Alapértelmezés szerint user.read delegált engedéllyel kell rendelkeznie a Microsoft Graph API-hoz.

    1. Az API-engedélyek panelen válassza az Engedély hozzáadása lehetőséget.

    2. Váltson a Saját API-k lapra, és válassza ki a webes (kiszolgálói) alkalmazást. Például : CMG-ServerApp. Válassza ki a user_impersonation engedélyt, majd válassza az Engedélyek hozzáadása lehetőséget a mentéshez.

    3. Az API-engedélyek panelen válassza a Rendszergazdai hozzájárulás megadása... lehetőséget, majd válassza az Igen lehetőséget.

  7. Az alkalmazás tulajdonságainak menüjében válassza a Jegyzékfájl lehetőséget. Állítsa az oauth2AllowIdTokenImplicitFlow bejegyzést true (igaz) értékre. Például:

    "oauth2AllowIdTokenImplicitFlow": true,

    Válassza a Mentés elemet.

A CMG-hez készült natív (ügyfél-) alkalmazás mostantól regisztrálva van a Microsoft Entra ID. Ez a lépés a Azure Portal is befejezi a folyamatot. Az Azure-beli globális rendszergazda szerepköre el van végezve.

Alkalmazások importálása Configuration Manager

Miután manuálisan regisztrálta a két alkalmazást a Azure Portal, a cikkben szereplő eljárással konfigurálja a Microsoft Entra ID CMG-hez, de válassza az Egyes alkalmazások importálása lehetőséget.

Ezek a folyamatok a Microsoft Entra-alkalmazások metaadatait importálják Configuration Manager. Ezeknek az alkalmazásoknak az importálásához nincs szükség Microsoft Entra engedélyekre.

Webalkalmazás (kiszolgáló) importálása

Ha a Kiszolgáló alkalmazás ablakból az Importálás lehetőséget választja, megnyílik az Alkalmazások importálása ablak. Adja meg az alábbi adatokat a Azure Portal már regisztrált Microsoft Entra webalkalmazásról:

  • Microsoft Entra bérlő neve: A Microsoft Entra-bérlő neve.
  • Microsoft Entra bérlőazonosító: A Microsoft Entra-bérlő GUID azonosítója.
  • Alkalmazás neve: Az alkalmazás rövid neve, az alkalmazásregisztrációban megjelenő név.
  • Ügyfél-azonosító: Az alkalmazásregisztráció alkalmazás- (ügyfél-) azonosítójának értéke. A formátum egy szabványos GUID.
  • Titkos kulcs: Másolja ki a titkos kulcsot, amikor regisztrálja az alkalmazást Microsoft Entra ID és hozza létre a titkos kulcsot.
  • Titkos kulcs lejárata: Adja meg ugyanazt a dátumot, mint a Azure Portal.
  • Alkalmazásazonosító URI-ja: Az érték a Microsoft Entra felügyeleti központ alkalmazásregisztrációs bejegyzésének Alkalmazásazonosító URI-ja. A formátum a következőhöz hasonló: https://ConfigMgrService.

Az adatok megadása után válassza az Ellenőrzés lehetőséget. Ezután kattintson az OK gombra az Alkalmazások importálása ablak bezárásához.

Fontos

Ha importált Microsoft Entra alkalmazást használ, a konzolértesítések nem kapnak értesítést a közelgő lejárati dátumról.

Natív (ügyfélalkalmazás) importálása

Ha az Ügyfélalkalmazás ablakban az Importálás lehetőséget választja, megnyílik az Alkalmazások importálása ablak. Adja meg a következő adatokat a Azure Portal már regisztrált Microsoft Entra natív alkalmazásról:

  • A varázsló automatikusan kitölti a Microsoft Entra bérlő nevét és bérlőazonosítóját a már megadott webalkalmazás (kiszolgáló) alapján.
  • Alkalmazás neve: Az alkalmazás rövid neve.
  • Ügyfél-azonosító: Az alkalmazásregisztráció alkalmazás- (ügyfél-) azonosítójának értéke. A formátum egy szabványos GUID.

Az adatok megadása után válassza az Ellenőrzés lehetőséget. Ezután kattintson az OK gombra az Alkalmazások importálása ablak bezárásához.

Következő lépések

Miután manuálisan regisztrálta a két alkalmazást a Azure Portal, az alábbi cikkben ismertetett eljárással importálhatja az alkalmazásokat:

Microsoft Entra ID konfigurálása CMG-hez