Handmatig Microsoft Entra-apps registreren voor de CMG
Van toepassing op: Configuration Manager (current branch)
De tweede primaire stap voor het instellen van een cloudbeheergateway (CMG) is het integreren van de Configuration Manager site met uw Microsoft Entra tenant. Met deze integratie kan de site worden geverifieerd met Microsoft Entra ID, die wordt gebruikt voor het implementeren en bewaken van de CMG-service. Als u Configuration Manager niet kunt gebruiken om het maken van de apps tijdens de Azure-servicewizard te automatiseren, kunt u de wizard gebruiken om een eerder gemaakte app te importeren. Als uw Azure-beheerders bijvoorbeeld vereisen dat ze handmatig alle Microsoft Entra app-registraties maken, gebruikt u dit proces.
Tip
Dit artikel bevat prescriptieve richtlijnen voor het integreren van de site specifiek voor de cloudbeheergateway. Zie Azure-services configureren voor meer informatie over dit proces en andere toepassingen van het Azure Services-knooppunt in de Configuration Manager-console.
Wanneer u de site integreert, maakt u app-registraties in Microsoft Entra ID. Voor de CMG zijn twee app-registraties vereist:
- Web-app (ook wel een server-app genoemd in Configuration Manager)
- Systeemeigen app (in Configuration Manager ook wel een client-app genoemd)
Er zijn twee methoden om deze apps te maken, die beide een globale beheerdersrol vereisen in Microsoft Entra ID:
- Gebruik Configuration Manager om het maken van de apps te automatiseren wanneer u de site integreert.
- Maak de apps handmatig van tevoren en importeer ze wanneer u de site integreert.
Dit artikel bevat de specifieke details voor de tweede methode. Koppel deze instructies aan de procedures in het artikel Microsoft Entra ID configureren voor CMG om het proces te voltooien.
Tenantgegevens ophalen
Tip
Tijdens dit proces moet u verschillende waarden noteren om later te gebruiken. Open een app zoals Windows Kladblok om de waarden te plakken die u uit de Azure-portal kopieert.
Eerst moet u de Microsoft Entra tenantnaam en tenant-id noteren. Deze waarden zijn de eerste twee gegevens die u nodig hebt om de app-registraties in Configuration Manager te importeren.
Selecteer Microsoft Entra ID in de Azure Portal.
Selecteer in het menu Microsoft Entra ID de optie Aangepaste domeinnamen.
Noteer de tenantnaam. Bijvoorbeeld
contoso.onmicrosoft.com
.Selecteer Eigenschappen in het menu Microsoft Entra ID.
Kopieer de guid-waarde van tenant-id .
De web-app (server) registreren
Selecteer App-registraties in het menu Microsoft Entra ID. Selecteer Nieuwe registratie om een nieuwe app te maken.
Geef in het deelvenster Een toepassing registreren de volgende informatie op:
-
Naam: een beschrijvende naam voor de app. Bijvoorbeeld
CMG-ServerApp
. - Ondersteunde accounttypen: laat deze instelling staan als de standaardoptie Alleen accounts in deze organisatiemap.
- Omleidings-URI: Selecteer : Openbare client/systeemeigen (mobiel &desktop) en typ http://localhost als URI
-
Naam: een beschrijvende naam voor de app. Bijvoorbeeld
Selecteer Registreren om de app te maken.
Kopieer de volgende waarden in de eigenschappen van de nieuwe app:
- Weergavenaam: deze waarde is de beschrijvende naam voor deze app-registratie die u later als de toepassingsnaam gebruikt.
- Toepassings-id (client): u gebruikt deze GUID-waarde later als de client-id.
Selecteer certificaten & geheimen in het menu van de app-eigenschappen en selecteer vervolgens Nieuw clientgeheim.
- Beschrijving: u kunt een willekeurige naam voor het geheim gebruiken of deze leeg laten.
- Verloopt: selecteer 12 maanden of 24 maanden.
Kies Toevoegen. Kopieer onmiddellijk de waarde van de clientgeheimtekenreeks en Verloopt. Als u dit deelvenster verlaat, kunt u hetzelfde geheim niet meer ophalen. U gebruikt deze waarden later als de geheime sleutel en de vervaldatumwaarden voor de geheime sleutel .
Als u Microsoft Entra gebruikersdetectie in Configuration Manager gaat gebruiken, moet u de machtigingen voor deze app aanpassen. Selecteer API-machtigingen in het menu van de app-eigenschappen. Standaard moet deze de machtiging User.Read hebben voor de Microsoft Graph API, die moet worden gewijzigd.
Selecteer Microsoft Graph om de lijst met beschikbare API-machtigingen op te sommen en selecteer vervolgens Toepassingsmachtigingen.
Vouw Map uit en selecteer vervolgens Directory.Read.All.
Schakel over naar Gedelegeerde machtigingen.
Vouw Gebruiker uit en verwijder de machtiging User.Read .
Selecteer Machtigingen bijwerken.
Selecteer in het deelvenster API-machtigingen de optie Beheerderstoestemming verlenen voor... en selecteer vervolgens Ja.
Selecteer een API beschikbaar maken in het menu van de app-eigenschappen.
Selecteer Toevoegen voor de toepassings-id-URI. Geef een URI op die uniek is voor de tenant. U gebruikt deze waarde later als de app-id-URI. Gebruik een van de volgende aanbevolen indelingen:
-
api://{tenantId}/{string}
, bijvoorbeeldapi://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, bijvoorbeeldhttps://contoso.onmicrosoft.com/ConfigMgrService
Klik op Opslaan.
-
Selecteer Een bereik toevoegen en geef de volgende vereiste informatie op:
-
Bereiknaam:
user_impersonation
- Wie kan toestemming geven: Beheerders en gebruikers selecteren
-
Beheer weergavenaam voor toestemming: geef een betekenisvolle naam op. Bijvoorbeeld
Access CMG-ServerApp
-
Beheer beschrijving van toestemming: geef een zinvolle beschrijving op. Bijvoorbeeld
Allow the application to access CMG-ServerApp on behalf of the signed-in user.
-
Bereiknaam:
Selecteer Bereik toevoegen om op te slaan.
Selecteer Manifest in het menu van de app-eigenschappen. Stel de vermelding oauth2AllowIdTokenImplicitFlow in op true. Bijvoorbeeld:
"oauth2AllowIdTokenImplicitFlow": true,
Klik op Opslaan.
De web-app (server) voor CMG is nu geregistreerd in Microsoft Entra ID.
De systeemeigen (client)-app registreren
Selecteer App-registraties in het menu Microsoft Entra ID. Selecteer Nieuwe registratie om een nieuwe app te maken.
Geef in het deelvenster Een toepassing registreren de volgende informatie op:
-
Naam: een beschrijvende naam voor de app. Bijvoorbeeld
CMG-ClientApp
. - Ondersteunde accounttypen: laat deze instelling staan als de standaardoptie Alleen accounts in deze organisatiemap.
- Omleidings-URI: laat deze optionele waarde leeg.
-
Naam: een beschrijvende naam voor de app. Bijvoorbeeld
Selecteer Registreren om de app te maken.
Kopieer de volgende waarden in de eigenschappen van de nieuwe app:
- Weergavenaam: deze waarde is de beschrijvende naam voor deze app-registratie die u later als de toepassingsnaam gebruikt.
- Toepassings-id (client): u gebruikt deze GUID-waarde later als de client-id.
Selecteer verificatie in het menu van de app-eigenschappen.
Selecteer onder Platformconfiguraties de optie Een platform toevoegen.
Selecteer in het deelvenster Platformen configureren de optie Mobiele en bureaubladtoepassingen.
Geef in het deelvenster Bureaublad en apparaten configureren onder Aangepaste omleidings-URI's op
ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>
. Gebruik de client-id-GUID van de app, bijvoorbeeld:ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255
.Selecteer Configureren.
Stel onder Geavanceerde instellingen openbare clientstromen toestaan in op Ja. Klik op Opslaan.
Pas de machtigingen voor deze app aan. Selecteer API-machtigingen in het menu van de app-eigenschappen. Standaard moet deze de gedelegeerde machtiging User.Read hebben voor de Microsoft Graph API.
Selecteer in het deelvenster API-machtigingen de optie Een machtiging toevoegen.
Ga naar het tabblad Mijn API's en selecteer uw web-app (server). Bijvoorbeeld CMG-ServerApp. Selecteer de machtiging user_impersonation en selecteer vervolgens Machtigingen toevoegen om op te slaan.
Selecteer in het deelvenster API-machtigingen de optie Beheerderstoestemming verlenen voor... en selecteer vervolgens Ja.
Selecteer Manifest in het menu van de app-eigenschappen. Stel de vermelding oauth2AllowIdTokenImplicitFlow in op true. Bijvoorbeeld:
"oauth2AllowIdTokenImplicitFlow": true,
Klik op Opslaan.
De systeemeigen (client)app voor CMG is nu geregistreerd in Microsoft Entra ID. Met deze stap wordt ook het proces in de Azure Portal afgesloten. De rol van de globale beheerder van Azure is voltooid.
De apps importeren in Configuration Manager
Nadat u de twee apps handmatig hebt geregistreerd in de Azure Portal, gebruikt u het proces in het artikel Microsoft Entra ID configureren voor CMG, maar selecteert u de optie om elk van de apps te importeren.
Deze processen importeren metagegevens over de Microsoft Entra apps in Configuration Manager. U hebt geen Microsoft Entra machtigingen nodig om deze apps te importeren.
Web-app (server) importeren
Wanneer u Importeren selecteert in het venster Server-app , wordt het venster Apps importeren geopend. Voer de volgende informatie in over de Microsoft Entra web-app die al is geregistreerd in de Azure Portal:
- Microsoft Entra tenantnaam: de naam van uw Microsoft Entra tenant.
- Microsoft Entra tenant-id: de GUID van uw Microsoft Entra tenant.
- Toepassingsnaam: een beschrijvende naam voor de app, de weergavenaam in de app-registratie.
- Client-id: de waarde van de toepassings-id (client) van de app-registratie. De indeling is een standaard-GUID.
- Geheime sleutel: kopieer de geheime sleutel wanneer u de app registreert in Microsoft Entra ID en de geheime sleutel maakt.
- Vervaldatum geheime sleutel: geef dezelfde datum op als vanaf de Azure Portal.
-
App-id-URI: de waarde is de toepassings-id-URI van de vermelding van de app-registratie in de Microsoft Entra-beheercentrum. De indeling is vergelijkbaar met
https://ConfigMgrService
.
Nadat u de gegevens hebt ingevoerd, selecteert u Verifiëren. Selecteer vervolgens OK om het venster Apps importeren te sluiten.
Belangrijk
Wanneer u een geïmporteerde Microsoft Entra-app gebruikt, ontvangt u geen melding van een toekomstige vervaldatum via consolemeldingen.
Systeemeigen (client)-app importeren
Wanneer u Importeren selecteert in het venster Client-app , wordt het venster Apps importeren geopend. Voer de volgende informatie in over de Microsoft Entra systeemeigen app die al is geregistreerd in de Azure Portal:
- De wizard vult de Microsoft Entra tenantnaam en tenant-id automatisch in op basis van de web-app (server) die u al hebt opgegeven.
- Toepassingsnaam: een beschrijvende naam voor de app.
- Client-id: de waarde van de toepassings-id (client) van de app-registratie. De indeling is een standaard-GUID.
Nadat u de gegevens hebt ingevoerd, selecteert u Verifiëren. Selecteer vervolgens OK om het venster Apps importeren te sluiten.
Volgende stappen
Nadat u de twee apps handmatig hebt geregistreerd in de Azure Portal, gebruikt u het proces in het volgende artikel om de apps te importeren: