Microsoft Entra-id configureren voor CMG
Van toepassing op: Configuration Manager (current branch)
De tweede primaire stap voor het instellen van een cloudbeheergateway (CMG) is het integreren van de Configuration Manager site met uw Microsoft Entra tenant. Met deze integratie kan de site worden geverifieerd met Microsoft Entra-id, die wordt gebruikt om de CMG-service te implementeren en te bewaken. Als u in de volgende stap de Microsoft Entra-verificatiemethode voor clients kiest, is deze integratie een vereiste voor die verificatiemethode.
Tip
Dit artikel bevat prescriptieve richtlijnen voor het integreren van de site specifiek voor de cloudbeheergateway. Zie Azure-services configureren voor meer informatie over dit proces en andere toepassingen van het Azure Services-knooppunt in de Configuration Manager-console.
Wanneer u de site integreert, maakt u app-registraties in Microsoft Entra-id. Voor de CMG zijn twee app-registraties vereist:
- Web-app (ook wel een server-app genoemd in Configuration Manager)
- Systeemeigen app (in Configuration Manager ook wel een client-app genoemd)
Er zijn twee methoden om deze apps te maken, die beide een globale beheerdersrol in Microsoft Entra-id vereisen:
- Gebruik Configuration Manager om het maken van de apps te automatiseren wanneer u de site integreert.
- Maak de apps handmatig van tevoren en importeer ze wanneer u de site integreert.
Dit artikel volgt voornamelijk de eerste methode. Zie Handmatig Microsoft Entra-apps registreren voor CMG voor meer informatie over de andere methode.
Voordat u begint, moet u ervoor zorgen dat er een globale beheerder van Microsoft Entra id beschikbaar is.
Opmerking
Als u vooraf gemaakte app-registraties wilt importeren, moet u deze eerst in Microsoft Entra-id maken. Begin met het artikel om Microsoft Entra-apps handmatig te registreren voor CMG. Ga vervolgens terug naar dit artikel om de wizard Azure-services uit te voeren en de apps te importeren in Configuration Manager.
Doel van app-registraties
Deze twee Microsoft Entra app-registraties vertegenwoordigen de server- en clientzijde van de CMG.
De client-app vertegenwoordigt beheerde clients en gebruikers die verbinding maken met de CMG. Het definieert tot welke resources ze toegang hebben binnen Azure, inclusief de CMG zelf.
De server-app vertegenwoordigt de CMG-onderdelen die worden gehost in Azure. Het definieert tot welke resources ze toegang hebben binnen Azure. De server-app wordt gebruikt om verificatie en autorisatie van beheerde clients, gebruikers en het CMG-verbindingspunt naar de op Azure gebaseerde CMG-onderdelen te vergemakkelijken. Deze communicatie omvat verkeer naar on-premises beheerpunten en software-updatepunten, initiële CMG-inrichting in Azure en Microsoft Entra detectie.
Als clients gebruikmaken van door PKI uitgegeven clientverificatiecertificaten, worden de twee client-apps niet gebruikt voor apparaatgerichte activiteiten. Bijvoorbeeld softwaredistributie gericht op een apparaatverzameling. Gebruikersgerichte activiteit maakt altijd gebruik van deze twee app-registraties voor verificatie- en autorisatiedoeleinden.
De wizard Azure Services starten
Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer het Azure Services-knooppunt.
Selecteer op het tabblad Start van het lint in de groep Azure Services* de optie Azure-services configureren.
Op de pagina Azure-services van de wizard Azure-services:
Geef een naam op voor het object in Configuration Manager. Deze naam is alleen bedoeld om de verbinding in Configuration Manager te identificeren.
Geef een optionele beschrijving op om deze serviceverbinding verder te identificeren.
Selecteer de Cloud Management-service .
Selecteer op de pagina App van de wizard Azure-services de Azure-omgeving voor uw tenant:
- AzurePublicCloud: uw tenant bevindt zich in de globale Azure-cloud.
- AzureUSGovernmentCloud: uw tenant bevindt zich in de Azure US Government-cloud.
De registratie van de web-app (server) maken
Selecteer op de pagina App van het venster Van de wizard Azure-services de optie Bladeren voor de web-app.
Selecteer maken in het venster Server-app om Configuration Manager te gebruiken om het maken van de app te automatiseren.
Geef in het venster Servertoepassing maken de volgende informatie op:
Toepassingsnaam: een beschrijvende naam voor de app.
Url van HomePage: deze waarde wordt niet gebruikt door Configuration Manager, maar vereist voor Microsoft Entra id. Deze waarde is
https://ConfigMgrService
standaard .App-id-URI: deze waarde moet uniek zijn in uw Microsoft Entra tenant. Het staat in het toegangstoken dat door de Configuration Manager-client wordt gebruikt om toegang tot de service aan te vragen. Deze waarde is
https://ConfigMgrService
standaard . Wijzig de standaardinstelling in een van de volgende aanbevolen indelingen:-
api://{tenantId}/{string}
, bijvoorbeeldapi://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, bijvoorbeeldhttps://contoso.onmicrosoft.com/ConfigMgrService
-
Geldigheidsperiode van geheime sleutel: kies 1 jaar of 2 jaar in de vervolgkeuzelijst. Eén jaar is de standaardwaarde.
Microsoft Entra beheerdersaccount: selecteer Aanmelden om bij Microsoft Entra id te verifiëren als globale beheerder. Configuration Manager slaat deze referenties niet op. Deze persona vereist geen machtigingen in Configuration Manager en hoeft niet hetzelfde account te zijn waarop de Wizard Azure-services wordt uitgevoerd. Nadat de verificatie bij Azure is geslaagd, wordt op de pagina ter referentie de naam van de Microsoft Entra tenant weergegeven.
Selecteer OK om de web-app te maken in Microsoft Entra-id en sluit het venster Servertoepassing maken.
Controleer in het venster Server-app of uw nieuwe app is geselecteerd en selecteer vervolgens OK om het venster op te slaan en te sluiten.
Opmerking
Vanaf Configuration Manager huidige vertakkingsversie 2309 hebben we een verbeterde beveiliging van web-app (server) voor het maken van CMG. Voor het maken van een nieuwe CMG kunnen gebruikers de tenant en de naam van de app selecteren met behulp van de Microsoft Entra tenantnaam. Nadat u de naam van de tenant en app hebt geselecteerd, wordt de aanmeldingsknop weergegeven, volgt u de rest van het proces volgens de CMG-instelling.
Bestaande CMG-klanten moeten hun webserver-app bijwerken door te navigeren naar Microsoft Entra tenants-knooppunt -> selecteer de tenant -> selecteer de server-app -> klik op Toepassingsinstellingen bijwerken.
De registratie van de systeemeigen (client)-app maken
Selecteer op de pagina App van het venster Van de wizard Azure-services de optie Bladeren voor de systeemeigen client-app.
Selecteer maken in het venster Client-app om Configuration Manager te gebruiken om het maken van de app te automatiseren.
Geef in het venster Clienttoepassing maken de volgende informatie op:
Toepassingsnaam: een beschrijvende naam voor de app.
Microsoft Entra beheerdersaccount: selecteer Aanmelden om bij Microsoft Entra id te verifiëren als globale beheerder. Configuration Manager slaat deze referenties niet op. Deze persona vereist geen machtigingen in Configuration Manager en hoeft niet hetzelfde account te zijn waarop de Wizard Azure-services wordt uitgevoerd. Nadat de verificatie bij Azure is geslaagd, wordt op de pagina ter referentie de naam van de Microsoft Entra tenant weergegeven.
Selecteer OK om de systeemeigen app te maken in Microsoft Entra-id en sluit het venster Clienttoepassing maken.
Controleer in het venster Client-app of uw nieuwe app is geselecteerd en selecteer vervolgens OK om het venster op te slaan en te sluiten.
De wizard Azure-services voltooien
Controleer in de wizard Azure-services of zowel de waarden voor de web-app als de systeemeigen client-app zijn voltooid. Selecteer Volgende om door te gaan.
De detectiepagina van de wizard is alleen in sommige scenario's nodig. Dit is optioneel wanneer u de site onboardt naar Microsoft Entra-id en niet vereist is om de CMG te maken. Als u deze nodig hebt om specifieke functionaliteit in uw omgeving te ondersteunen, kunt u deze later inschakelen.
Zie Clientverificatie configureren: Microsoft Entra-id en Clients installeren met behulp van Microsoft Entra ID voor meer informatie over cmg-scenario's waarvoor mogelijk Microsoft Entra gebruikersdetectie is vereist.
Zie Microsoft Entra gebruikersdetectie configureren voor meer informatie over deze detectiemethode.
Controleer de instellingen en voltooi de wizard.
Wanneer de wizard wordt gesloten, ziet u de nieuwe verbinding in het knooppunt Azure Services . U kunt ook de tenant- en app-registraties bekijken in het knooppunt Microsoft Entra tenants van de Configuration Manager-console.
Microsoft Entra-verificatie uitschakelen voor tenants die geen apparaten of gebruikers zijn
Als uw apparaten zich in een Microsoft Entra tenant bevinden die gescheiden is van de tenant met een abonnement voor de CMG-rekenresources, kunt u verificatie uitschakelen voor tenants die niet zijn gekoppeld aan gebruikers en apparaten.
Open de eigenschappen van de Cloud Management-service .
Ga naar het tabblad Toepassingen .
Selecteer de optie om Microsoft Entra verificatie voor deze tenant uit te schakelen.
Zie Azure-services configureren voor meer informatie.
Azure-resourceproviders configureren
Voor de CMG-service moet u specifieke resourceproviders registreren in uw Azure-abonnement. Wanneer u de CMG implementeert in een virtuele-machineschaalset, registreert u de volgende resourceproviders:
- Microsoft.KeyVault
- Microsoft.Storage
- Microsoft.Network
- Microsoft.Compute
Opmerking
Als u de CMG eerder hebt geïmplementeerd met behulp van een klassieke cloudservice, zijn voor uw Azure-abonnement de volgende twee resourceproviders vereist:
- Microsoft.ClassicCompute
- Microsoft.Storage
Vanaf versie 2203 wordt de optie voor het implementeren van een CMG als cloudservice (klassiek) verwijderd. Alle CMG-implementaties moeten gebruikmaken van een virtuele-machineschaalset. Zie Verwijderde en afgeschafte functies voor meer informatie.
Uw Microsoft Entra-account heeft toestemming nodig om de /register/action
bewerking voor de resourceprovider uit te voeren. Standaard bevatten de rollen Inzender en Eigenaar deze machtiging.
De volgende stappen geven een overzicht van het proces voor het registreren van een resourceprovider. Zie Azure-resourceproviders en -typen voor meer informatie.
Meld u aan bij Azure Portal.
Zoek in het menu Azure Portal naar Abonnementen. Selecteer deze in de beschikbare opties.
Selecteer het abonnement dat u wilt weergeven.
Selecteer in het linkermenu onder Instellingen de optie Resourceproviders.
Zoek de resourceprovider die u wilt registreren en selecteer Registreren. Als u de minste bevoegdheden in uw abonnement wilt behouden, registreert u alleen de resourceproviders die u wilt gebruiken.
Automatiseren met PowerShell
U kunt desgewenst aspecten van deze configuraties automatiseren met behulp van PowerShell.
Gebruik de cmdlet Import-CMAADServerApplication om de Microsoft Entra web-/server-app in Configuration Manager te definiëren.
Gebruik de cmdlet Import-CMAADClientApplication om de Microsoft Entra systeemeigen/client-app in Configuration Manager te definiëren.
Gebruik de cmdlet Get-CMAADApplication om de geïmporteerde app-objecten op te halen.
Geef vervolgens de app-objecten door aan de cmdlet New-CMCloudManagementAzureService om de Azure-service voor cloudbeheer in Configuration Manager te maken.
Volgende stappen
Ga verder met het instellen van CMG door te bepalen welk type clientverificatie u wilt gebruiken: