Configurare i servizi di Azure per l'uso con Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Usare la Procedura guidata di Servizi di Azure per semplificare il processo di configurazione dei servizi cloud di Azure usati con Configuration Manager. Questa procedura guidata offre un'esperienza di configurazione comune usando Microsoft Entra registrazioni di app Web. Queste app forniscono informazioni dettagliate su sottoscrizione e configurazione e autenticano le comunicazioni con Microsoft Entra ID. L'app sostituisce l'immissione di queste stesse informazioni ogni volta che si configura un nuovo componente o servizio Configuration Manager con Azure.

Servizi disponibili

Configurare i servizi di Azure seguenti usando questa procedura guidata:

• Gestione cloud: questo servizio consente al sito e ai client di eseguire l'autenticazione usando Microsoft Entra ID. Questa autenticazione abilita altri scenari, ad esempio:

  • Installare e assegnare client Configuration Manager usando Microsoft Entra ID per l'autenticazione

  • Configurare l'individuazione utente Microsoft Entra

  • Configurare Microsoft Entra individuazione di gruppi di utenti

  • Supportare alcuni scenari di gateway di gestione cloud

    Consiglio

    Per altre informazioni specifiche sulla gestione cloud, vedere Configurare l'ID Microsoft Entra per il gateway di gestione cloud.

  • Notifiche di posta elettronica per l'approvazione dell'app

• Connettore Log Analytics: connettersi ad Azure Log Analytics. Sincronizzare i dati della raccolta con Log Analytics.

  Importante

  Questo articolo fa riferimento al connettore Log Analytics, precedentemente denominato connettore OMS. Questa funzionalità è stata deprecata nel novembre 2020. Viene rimosso da Configuration Manager nella versione 2107. Per altre informazioni, vedere Funzionalità rimosse e deprecate.

• Microsoft Store per le aziende: connettersi al Microsoft Store per le aziende. Ottenere le app dello Store per l'organizzazione che è possibile distribuire con Configuration Manager.

• Gestione del servizio di amministrazione: durante la configurazione di Servizi di Azure, per una sicurezza avanzata è possibile selezionare l'opzione Gestione del servizio di amministrazione. Se si seleziona questa opzione, gli amministratori possono segmentare i privilegi di amministratore tra il servizio di gestione cloud e il servizio di amministrazione. Abilitando questa opzione, l'accesso è limitato solo agli endpoint del servizio di amministrazione. I client di Gestione configurazione eseguono l'autenticazione nel sito usando Microsoft Entra ID. (versione 2207 o successiva)

  Nota

  Solo i clienti di CMG VMSS possono abilitare l'opzione di gestione dei servizi amministrativi. Questa opzione non è applicabile ai clienti cmg classici.

Dettagli servizio

Nella tabella seguente sono elencati i dettagli relativi a ognuno dei servizi.

• Tenant: numero di istanze del servizio che è possibile configurare. Ogni istanza deve essere un tenant Microsoft Entra distinto.

• Cloud: tutti i servizi supportano il cloud di Azure globale, ma non tutti i servizi supportano i cloud privati, ad esempio il cloud di Azure US Government.

• App Web: indica se il servizio usa un'app Microsoft Entra di tipo App Web/API, definita anche app server in Configuration Manager.

• App nativa: indica se il servizio usa un'app Microsoft Entra di tipo Nativo, definita anche app client in Configuration Manager.

• Azioni: se è possibile importare o creare queste app nella procedura guidata Configuration Manager Servizi di Azure.

Servizio	Tenant	Nuvole	App Web	App nativa	Azioni
Gestione cloud con individuazione Microsoft Entra	Multiplo	Pubblico, Privato			Importare, creare
Connettore Log Analytics	Uno	Pubblico, Privato			Importazione
Microsoft Store per Business	Uno	Pubblico			Importare, creare

Informazioni sulle app Microsoft Entra

I diversi servizi di Azure richiedono configurazioni distinte, che vengono effettuate nel portale di Azure. Inoltre, le app per ogni servizio possono richiedere autorizzazioni separate per le risorse di Azure.

È possibile usare una singola app per più di un servizio. È disponibile un solo oggetto da gestire in Configuration Manager e Microsoft Entra ID. Quando la chiave di sicurezza nell'app scade, è necessario aggiornare solo una chiave.

Quando si creano altri servizi di Azure nella procedura guidata, Configuration Manager è progettato per riutilizzare le informazioni comuni tra i servizi. Questo comportamento consente di non dover inserire più volte le stesse informazioni.

Per altre informazioni sulle autorizzazioni e le configurazioni dell'app necessarie per ogni servizio, vedere l'articolo relativo Configuration Manager in Servizi disponibili.

Per altre informazioni sulle app di Azure, iniziare con gli articoli seguenti:

• Autenticazione e autorizzazione in Servizio app di Azure
• panoramica App Web
• Nozioni di base sulla registrazione di un'applicazione nell Microsoft Entra ID
• Registrare l'applicazione con il tenant Microsoft Entra

Prima di iniziare

Dopo aver deciso il servizio a cui connettersi, fare riferimento alla tabella in Dettagli servizio. Questa tabella fornisce informazioni necessarie per completare la Procedura guidata servizio di Azure. Discutere in anticipo con l'amministratore Microsoft Entra. Decidere quale delle azioni seguenti eseguire:

• Creare manualmente le app in anticipo nel portale di Azure. Quindi importare i dettagli dell'app in Configuration Manager.

  Consiglio

  Per altre informazioni specifiche per la gestione cloud, vedere Registrare manualmente le app Microsoft Entra per il gateway di gestione cloud.

• Usare Configuration Manager per creare direttamente le app nell'ID Microsoft Entra. Per raccogliere i dati necessari da Microsoft Entra ID, esaminare le informazioni nelle altre sezioni di questo articolo.

Alcuni servizi richiedono che le app Microsoft Entra dispongano di autorizzazioni specifiche. Esaminare le informazioni per ogni servizio per determinare le autorizzazioni necessarie. Ad esempio, prima di poter importare un'app Web, un amministratore di Azure deve prima crearla nel portale di Azure.

Quando si configura il connettore Log Analytics, concedere all'app Web appena registrata l'autorizzazione per il gruppo di risorse che contiene l'area di lavoro pertinente. Questa autorizzazione consente a Configuration Manager di accedere a tale area di lavoro. Quando si assegna l'autorizzazione, cercare il nome della registrazione dell'app nell'area Aggiungi utenti del portale di Azure. Questo processo è lo stesso di quando si forniscono a Configuration Manager le autorizzazioni per Log Analytics. Un amministratore di Azure deve assegnare queste autorizzazioni prima di importare l'app in Configuration Manager.

Avviare la procedura guidata di Servizi di Azure

1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Servizi cloud e selezionare il nodo Servizi di Azure.

2. Nel gruppo Servizi di Azure della scheda Home della barra multifunzione selezionare Configura servizi di Azure.

3. Nella pagina Servizi di Azure della Procedura guidata servizi di Azure:

   1. Specificare un nome per l'oggetto in Configuration Manager.

   2. Specificare una descrizione facoltativa per identificare il servizio.

   3. Selezionare il servizio di Azure con cui connettersi Configuration Manager.

4. Selezionare Avanti per continuare con la pagina delle proprietà dell'app di Azure della Procedura guidata servizi di Azure.

Proprietà delle app di Azure

Nella pagina App della Procedura guidata servizi di Azure selezionare prima di tutto l'ambiente Azure dall'elenco. Fare riferimento alla tabella in Dettagli servizio per l'ambiente attualmente disponibile per il servizio.

Il resto della pagina dell'app varia a seconda del servizio specifico. Fare riferimento alla tabella in Dettagli servizio per il tipo di app usata dal servizio e l'azione che è possibile usare.

• Se l'app supporta sia l'importazione che la creazione di azioni, selezionare Sfoglia. Questa azione apre la finestra di dialogo App server o App client.

• Se l'app supporta solo l'azione di importazione, selezionare Importa. Questa azione apre la finestra di dialogo Importa app (server) o la finestra di dialogo Importa app (client).

Dopo aver specificato le app in questa pagina, selezionare Avanti per continuare con la pagina Configurazione o individuazione della Procedura guidata servizi di Azure.

App Web

Questa app è il tipo di ID Microsoft Entra app Web/API, definita anche app server in Configuration Manager.

Finestra di dialogo App server

Quando si seleziona Sfoglia per l'app Web nella pagina App della Procedura guidata servizi di Azure, viene visualizzata la finestra di dialogo App server. Viene visualizzato un elenco che mostra le proprietà seguenti di tutte le app Web esistenti:

• Nome descrittivo del tenant
• Nome descrittivo dell'app
• Tipo di servizio

Nella finestra di dialogo App server è possibile eseguire tre azioni:

• Per riutilizzare un'app Web esistente, selezionarla dall'elenco.
• Selezionare Importa per aprire la finestra di dialogo Importa app.
• Selezionare Crea per aprire la finestra di dialogo Crea applicazione server.

Dopo aver selezionato, importato o creato un'app Web, selezionare OK per chiudere la finestra di dialogo App server. Questa azione torna alla pagina App della Procedura guidata servizi di Azure.

Finestra di dialogo Importa app (server)

Quando si seleziona Importa dalla finestra di dialogo App server o dalla pagina App della Procedura guidata servizi di Azure, viene visualizzata la finestra di dialogo Importa app. Questa pagina consente di immettere informazioni su un'app Web Microsoft Entra già creata nel portale di Azure. Importa i metadati relativi all'app Web in Configuration Manager. Specificare le informazioni seguenti:

• Microsoft Entra nome del tenant: nome del tenant Microsoft Entra.
• Microsoft Entra ID tenant: GUID del tenant Microsoft Entra.
• Nome applicazione: nome descrittivo per l'app, il nome visualizzato nella registrazione dell'app.
• ID client: il valore dell'ID applicazione (client) della registrazione dell'app. Il formato è un GUID standard.
• Chiave privata: è necessario copiare la chiave privata quando si registra l'app in Microsoft Entra ID.
• Scadenza chiave privata: selezionare una data futura dal calendario.
• URI ID app: questo valore deve essere univoco nel tenant Microsoft Entra. Si tratta del token di accesso usato dal client Configuration Manager per richiedere l'accesso al servizio. Il valore è l'URI id applicazione della voce di registrazione dell'app nell'interfaccia di amministrazione Microsoft Entra.

Dopo aver immesso le informazioni, selezionare Verifica. Selezionare quindi OK per chiudere la finestra di dialogo Importa app. Questa azione torna alla pagina App della Procedura guidata servizi di Azure o alla finestra di dialogo App server.

Importante

Quando si usa un'app Microsoft Entra importata, non si riceve una notifica di una data di scadenza imminente dalle notifiche della console.

Finestra di dialogo Crea applicazione server

Quando si seleziona Crea dalla finestra di dialogo App server, viene visualizzata la finestra di dialogo Crea applicazione server. Questa pagina automatizza la creazione di un'app Web nell Microsoft Entra ID. Specificare le informazioni seguenti:

• Nome applicazione: nome descrittivo per l'app.

• URL homepage: questo valore non viene usato da Configuration Manager, ma richiesto dall'ID Microsoft Entra. Per impostazione predefinita, questo valore è https://ConfigMgrService.

• URI ID app: questo valore deve essere univoco nel tenant Microsoft Entra. Si tratta del token di accesso usato dal client Configuration Manager per richiedere l'accesso al servizio. Per impostazione predefinita, questo valore è https://ConfigMgrService. Modificare il valore predefinito in uno dei formati consigliati seguenti:

  • api://{tenantId}/{string}Per esempio api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}Per esempio https://contoso.onmicrosoft.com/ConfigMgrService

• Periodo di validità chiave privata: scegliere 1 anno o 2 anni dall'elenco a discesa. Un anno è il valore predefinito.

  Nota

  È possibile che venga visualizzata un'opzione per Mai, ma Microsoft Entra non lo supporta più. Se questa opzione è stata selezionata in precedenza, la data di scadenza viene ora impostata per 99 anni dalla data di creazione.

Selezionare Accedi per eseguire l'autenticazione ad Azure come utente amministratore. Queste credenziali non vengono salvate da Configuration Manager. Questa persona non richiede autorizzazioni in Configuration Manager e non deve essere lo stesso account che esegue la Procedura guidata servizi di Azure. Dopo aver eseguito correttamente l'autenticazione in Azure, nella pagina viene visualizzato il nome del tenant Microsoft Entra come riferimento.

Selezionare OK per creare l'app Web nell'ID Microsoft Entra e chiudere la finestra di dialogo Crea applicazione server. Questa azione torna alla finestra di dialogo App server.

Nota

Se è stato definito un criterio di accesso condizionale Microsoft Entra e si applica a Tutte le app cloud, è necessario escludere l'applicazione server creata da questo criterio. Per altre informazioni su come escludere app specifiche, vedere Microsoft Entra documentazione sull'accesso condizionale.

App native client

Questa app è il tipo di ID Microsoft Entra Nativo, noto anche come app client in Configuration Manager.

Finestra di dialogo App client

Quando si seleziona Sfoglia per l'app Native Client nella pagina App della Procedura guidata servizi di Azure, viene visualizzata la finestra di dialogo App client. Viene visualizzato un elenco che mostra le proprietà seguenti di qualsiasi app nativa esistente:

• Nome descrittivo del tenant
• Nome descrittivo dell'app
• Tipo di servizio

Nella finestra di dialogo App client è possibile eseguire tre azioni:

• Per riutilizzare un'app nativa esistente, selezionarla dall'elenco.
• Selezionare Importa per aprire la finestra di dialogo Importa app.
• Selezionare Crea per aprire la finestra di dialogo Crea applicazione client.

Dopo aver selezionato, importato o creato un'app nativa, scegliere OK per chiudere la finestra di dialogo App client. Questa azione torna alla pagina App della Procedura guidata servizi di Azure.

Finestra di dialogo Importa app (client)

Quando si seleziona Importa dalla finestra di dialogo App client, viene visualizzata la finestra di dialogo Importa app. Questa pagina consente di immettere informazioni su un'app nativa Microsoft Entra già creata nel portale di Azure. Importa i metadati relativi all'app nativa in Configuration Manager. Specificare le informazioni seguenti:

• Nome applicazione: nome descrittivo per l'app.
• ID client: il valore dell'ID applicazione (client) della registrazione dell'app. Il formato è un GUID standard.

Dopo aver immesso le informazioni, selezionare Verifica. Selezionare quindi OK per chiudere la finestra di dialogo Importa app. Questa azione torna alla finestra di dialogo App client.

Consiglio

Quando si registra l'app in Microsoft Entra ID, potrebbe essere necessario specificare manualmente l'URI di reindirizzamento seguente: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Specificare il GUID dell'ID client dell'app, ad esempio: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Finestra di dialogo Crea applicazione client

Quando si seleziona Crea dalla finestra di dialogo App client, viene visualizzata la finestra di dialogo Crea applicazione client. Questa pagina automatizza la creazione di un'app nativa nell Microsoft Entra ID. Specificare le informazioni seguenti:

• Nome applicazione: nome descrittivo per l'app.
• URL di risposta: questo valore non viene usato da Configuration Manager, ma richiesto dall'ID Microsoft Entra. Per impostazione predefinita, questo valore è https://ConfigMgrService.

Selezionare Accedi per eseguire l'autenticazione ad Azure come utente amministratore. Queste credenziali non vengono salvate da Configuration Manager. Questa persona non richiede autorizzazioni in Configuration Manager e non deve essere lo stesso account che esegue la Procedura guidata servizi di Azure. Dopo aver eseguito correttamente l'autenticazione in Azure, nella pagina viene visualizzato il nome del tenant Microsoft Entra come riferimento.

Selezionare OK per creare l'app nativa nell Microsoft Entra ID e chiudere la finestra di dialogo Crea applicazione client. Questa azione torna alla finestra di dialogo App client.

Configurazione o individuazione

Dopo aver specificato le app Web e native nella pagina App , la Procedura guidata servizi di Azure passa a una pagina Configurazione o Individuazione , a seconda del servizio a cui ci si connette. I dettagli di questa pagina variano da servizio a servizio. Per altre informazioni, vedere uno degli articoli seguenti:

• Servizio di gestione cloud, pagina Individuazione: Configurare l'individuazione utente Microsoft Entra

• Servizio Connettore Log Analytics , pagina Configurazione : Configurare la connessione a Log Analytics

• Microsoft Store per le aziende servizio, pagina Configurazioni: Configurare la sincronizzazione Microsoft Store per le aziende

Infine, completare la Procedura guidata di Servizi di Azure tramite le pagine Riepilogo, Stato e Completamento. È stata completata la configurazione di un servizio di Azure in Configuration Manager. Ripetere questo processo per configurare altri servizi di Azure.

Aggiornare le impostazioni dell'applicazione

Per consentire ai client Configuration Manager di richiedere un token di dispositivo Microsoft Entra e di abilitare le autorizzazioni lettura dei dati della directory, è necessario aggiornare le impostazioni dell'applicazione server Web.

1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Servizi cloud e selezionare il nodo Microsoft Entra tenant.
2. Selezionare il tenant Microsoft Entra per l'applicazione da aggiornare.
3. Nella sezione Applicazioni selezionare l'applicazione server Web Microsoft Entra e quindi selezionare Aggiorna impostazioni applicazione sulla barra multifunzione.
4. Quando viene richiesta la conferma, selezionare Sì per confermare di voler aggiornare l'applicazione con le impostazioni più recenti.

Rinnovare la chiave privata

È necessario rinnovare la chiave privata dell'app Microsoft Entra prima della fine del periodo di validità. Se si lascia scadere la chiave, Configuration Manager non può eseguire l'autenticazione con Microsoft Entra ID, il che causerà l'arresto del funzionamento dei servizi di Azure connessi.

A partire dalla versione 2006, nella console di Configuration Manager vengono visualizzate le notifiche per le circostanze seguenti:

• Una o più chiavi segrete dell'app Microsoft Entra scadranno presto
• Una o più chiavi segrete dell'app Microsoft Entra sono scadute

Per attenuare entrambi i casi, rinnovare la chiave privata.

Per altre informazioni su come interagire con queste notifiche, vedere Configuration Manager notifiche della console.

Nota

È necessario avere almeno il ruolo "Amministratore applicazioni cloud" Microsoft Entra assegnato per poter rinnovare la chiave.

Rinnovare la chiave per l'app creata

1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Servizi cloud e selezionare il nodo Microsoft Entra tenant.

2. Nel riquadro Dettagli selezionare il tenant Microsoft Entra per l'app.

3. Nella barra multifunzione selezionare Rinnova chiave privata. Immettere le credenziali del proprietario dell'app o di un amministratore Microsoft Entra.

Rinnovare la chiave per l'app importata

Se l'app Azure è stata importata in Configuration Manager, usare il portale di Azure per rinnovare. Si noti la nuova chiave privata e la data di scadenza. Aggiungere queste informazioni nella procedura guidata Rinnova chiave privata .

Nota

Salvare la chiave privata prima di chiudere la pagina Chiave delle proprietà dell'applicazione Azure. Queste informazioni vengono rimosse quando si chiude la pagina.

Disabilitare l'autenticazione

A partire dalla versione 2010, è possibile disabilitare l'autenticazione Microsoft Entra per i tenant non associati a utenti e dispositivi. Quando si esegue l'onboarding di Configuration Manager per Microsoft Entra ID, il sito e i client possono usare l'autenticazione moderna. Attualmente, Microsoft Entra'autenticazione del dispositivo è abilitata per tutti i tenant di cui è stato eseguito l'onboarding, indipendentemente dal fatto che disponga o meno di dispositivi. Ad esempio, si dispone di un tenant separato con una sottoscrizione usata per le risorse di calcolo per supportare un gateway di gestione cloud. Se non sono presenti utenti o dispositivi associati al tenant, disabilitare l'autenticazione Microsoft Entra.

1. Nella console Configuration Manager passare all'area di lavoro Amministrazione.

2. Espandere Servizi cloud e selezionare il nodo Servizi di Azure.

3. Selezionare la connessione di destinazione di tipo Gestione cloud. Nella barra multifunzione selezionare Proprietà.

4. Passare alla scheda Applicazioni .

5. Selezionare l'opzione Disabilita l'autenticazione Microsoft Entra per questo tenant.

6. Selezionare OK per salvare e chiudere le proprietà di connessione.

Consiglio

L'effetto di questa modifica sui client può richiedere fino a 25 ore. Ai fini del test per velocizzare questa modifica del comportamento, seguire questa procedura:

1. Riavviare il servizio sms_executive nel server del sito.
2. Riavviare il servizio ccmexec nel client.
3. Attivare la pianificazione client per aggiornare il punto di gestione predefinito. Ad esempio, usare lo strumento di pianificazione dell'invio: SendSchedule {00000000-0000-0000-0000-000000000023}

Visualizzare la configurazione di un servizio di Azure

Visualizzare le proprietà di un servizio di Azure configurato per l'uso. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Servizi cloud e selezionare Servizi di Azure. Selezionare il servizio da visualizzare o modificare e quindi selezionare Proprietà.

Se si seleziona un servizio e quindi si sceglie Elimina sulla barra multifunzione, questa azione elimina la connessione in Configuration Manager. Non rimuove l'app nell'ID Microsoft Entra. Chiedere all'amministratore di Azure di eliminare l'app quando non è più necessaria. In alternativa, eseguire la Procedura guidata servizio di Azure per importare l'app.

Flusso di dati di gestione cloud

Il diagramma seguente è un flusso di dati concettuale per l'interazione tra Configuration Manager, ID Microsoft Entra e servizi cloud connessi. Questo esempio specifico usa il servizio Di gestione cloud, che include un client Windows 10, nonché app server e client. I flussi per altri servizi sono simili.

1. L'amministratore Configuration Manager importa o crea le app client e server in Microsoft Entra ID.

2. Configuration Manager Microsoft Entra metodo di individuazione utente viene eseguito. Il sito usa il token dell'app server Microsoft Entra per eseguire query su Microsoft Graph per gli oggetti utente.

3. Il sito archivia i dati relativi agli oggetti utente. Per altre informazioni, vedere Microsoft Entra'individuazione utente.

4. Il client Configuration Manager richiede il token utente Microsoft Entra. Il client effettua l'attestazione usando l'ID applicazione dell'app client Microsoft Entra e l'app server come destinatari. Per altre informazioni, vedere Attestazioni nei token di sicurezza Microsoft Entra.

5. Il client esegue l'autenticazione con il sito presentando il token di Microsoft Entra al gateway di gestione cloud e al punto di gestione locale abilitato per HTTPS.

Per informazioni più dettagliate, vedere Microsoft Entra flusso di lavoro di autenticazione.