Configure serviços Azure para uso com Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
Utilize o Assistente de Serviços Azure para simplificar o processo de configuração dos serviços de nuvem Azure que utiliza com o Gestor de Configuração. Este assistente proporciona uma experiência de configuração comum utilizando registos de aplicações web Azure Ative Directory (Azure AD). Estas aplicações fornecem detalhes de subscrição e configuração e autenticam comunicações com a Azure AD. A aplicação substitui a introdução desta mesma informação sempre que configurar um novo componente ou serviço do Gestor de Configuração com o Azure.
Serviços disponíveis
Configure os seguintes serviços Azure utilizando este assistente:
Cloud Management: Este serviço permite que o site e os clientes autentem a autenticação utilizando a Azure AD. Esta autenticação permite outros cenários, tais como:
Apoiar certos cenários de gateway de gestão de nuvem
Dica
Para obter mais informações específicas para a gestão da nuvem, consulte Azure Ative Directory configurar para gateway de gestão de nuvem.
Log Analytics Connector: Ligação a Azure Log Analytics. Sync dados de recolha para Log Analytics.
Importante
Este artigo refere-se ao Conector Log Analytics, anteriormente chamado de Conector OMS. Esta funcionalidade foi depresacada em novembro de 2020. É removido do Gestor de Configuração na versão 2107. Para obter mais informações, consulte funcionalidades removidas e preprecadas.
Microsoft Store para Empresas: Ligação ao Microsoft Store para Empresas. Obtenha aplicativos de loja para a sua organização que pode implementar com o Gestor de Configuração.
Detalhes do serviço
A tabela que se segue lista detalhes sobre cada um dos serviços.
Inquilinos: O número de casos de serviço que pode configurar. Cada instância deve ser um inquilino AD Azure distinto.
Nuvens: Todos os serviços suportam a nuvem global de Azure, mas nem todos os serviços suportam nuvens privadas, como a nuvem do Governo dos EUA Azure.
Aplicação Web: Se o serviço utiliza uma aplicação AD AD do tipo Web app /API, também referida como uma aplicação de servidor no Gestor de Configuração.
Aplicação nativa: Se o serviço utiliza uma aplicação AD AD do tipo Native, também referida como uma aplicação de cliente em Configuration Manager.
Ações: Se pode importar ou criar estas aplicações no Assistente de Serviços Azure do Gestor de Configuração.
Serviço | Inquilinos | Nuvens | Aplicação Web | Aplicação nativa | Ações |
---|---|---|---|---|---|
Gestão de nuvem com Descoberta da AD AZure |
Vários | Público, Privado | Importar, Criar | ||
Conector Log Analytics | Um | Público, Privado | Importar | ||
Microsoft Store para Empresa |
Um | Público | Importar, Criar |
Sobre aplicativos AD AZure
Serviços Azure diferentes requerem configurações distintas, que faz no portal Azure. Além disso, as aplicações para cada serviço podem requerer permissões separadas aos recursos da Azure.
Pode utilizar uma única aplicação para mais de um serviço. Há apenas um objeto a gerir em Gestor de Configuração e AZure AD. Quando a chave de segurança da aplicação expirar, basta atualizar uma chave.
Quando cria serviços Azure adicionais no assistente, o Gestor de Configurações foi concebido para reutilizar informações comuns entre serviços. Este comportamento ajuda-o a introduzir a mesma informação mais de uma vez.
Para obter mais informações sobre as permissões e configurações de aplicações necessárias para cada serviço, consulte o artigo relevante do Gestor de Configuração nos serviços Disponíveis.
Para obter mais informações sobre as aplicações Azure, comece com os seguintes artigos:
- Autenticação e autorização no Serviço de Aplicações do Azure
- Visão geral das Aplicações Web
- Fundamentos do Registo de Uma Candidatura em Azure AD
- Registe o seu pedido junto do seu inquilino Azure Ative Directory
Antes de começar
Depois de decidir o serviço ao qual pretende ligar, consulte a tabela nos detalhes do Serviço. Esta tabela fornece informações necessárias para completar o Assistente de Serviço Azure. Tenha uma discussão antecipada com o seu administrador da Ad Azure. Decidir qual das seguintes ações a tomar:
Crie manualmente as aplicações com antecedência no portal Azure. Em seguida, importe os detalhes da aplicação para o Gestor de Configuração.
Dica
Para obter mais informações específicas para a gestão da nuvem, consulte registo manual Azure Ative Directory aplicações para o gateway de gestão de nuvem.
Utilize o Gestor de Configuração para criar diretamente as aplicações em Azure AD. Para recolher os dados necessários da Azure AD, reveja as informações nas outras secções deste artigo.
Alguns serviços exigem que as aplicações AD do Azure tenham permissões específicas. Reveja as informações para cada serviço para determinar quaisquer permissões necessárias. Por exemplo, antes de poder importar uma aplicação web, um administrador da Azure deve primeiro criá-la no portal Azure.
Ao configurar o Log Analytics Connector, dê a sua nova permissão de contribuinte de aplicações web no grupo de recursos que contém o espaço de trabalho relevante. Esta permissão permite ao Gestor de Configuração aceder a esse espaço de trabalho. Ao atribuir a permissão, procure o nome do registo da aplicação na área de utilizadores Add do portal Azure. Este processo é o mesmo que quando fornece o Gestor de Configuração com permissões para Registar Analytics. Um administrador da Azure deve atribuir estas permissões antes de importar a aplicação para o Gestor de Configuração.
Inicie o assistente dos Serviços Azure
Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração, expanda os Serviços cloud e selecione o nó Azure Services.
No separador Casa da fita, no grupo Azure Services, selecione Configure Azure Services.
Na página Azure Services do Assistente de Serviços Azure:
Especifique um nome para o objeto no Gestor de Configuração.
Especifique uma descrição opcional para ajudá-lo a identificar o serviço.
Selecione o serviço Azure que pretende ligar ao Gestor de Configuração.
Selecione Seguinte para continuar a página de propriedades da aplicação Azure do Assistente de Serviços Azure.
Propriedades de aplicativos Azure
Na página da Aplicação do Assistente de Serviços Azure, selecione primeiro o ambiente Azure da lista. Consulte a tabela em detalhes de Serviço para o qual o ambiente está atualmente disponível para o serviço.
O resto da página app varia consoante o serviço específico. Consulte a tabela em Detalhes de Serviço para que tipo de aplicação o serviço utiliza e que ação pode utilizar.
Se a aplicação suporta tanto a importação como cria ações, selecione Browse. Esta ação abre o diálogo da aplicação Server ou o diálogo da App cliente.
Se a aplicação apenas apoiar a ação de importação, selecione Import. Esta ação abre o diálogo de Apps de Importação (servidor) ou o diálogo de Apps de Importação (cliente).
Depois de especificar as aplicações nesta página, selecione Seguinte para continuar na página de Configuração ou Descoberta do Assistente de Serviços Azure.
Aplicação Web
Esta aplicação é a aplicação Web/API do tipo AZure, também referida como uma aplicação de servidor no Gestor de Configuração.
Diálogo de aplicativos do servidor
Quando seleciona procurar a aplicação Web na página de Aplicação do Assistente de Serviços Azure, abre o diálogo da aplicação Do Servidor. Apresenta uma lista que mostra as seguintes propriedades de quaisquer aplicações web existentes:
- Nome amigável do inquilino
- Nome amigável da aplicação
- Tipo de Serviço
Existem três ações que pode tomar a partir do diálogo da aplicação do Servidor:
- Para reutilizar uma aplicação web existente, selecione-a da lista.
- Selecione Import para abrir o diálogo de aplicações Import.
- Selecione Criar para abrir o diálogo de aplicação do servidorCriar .
Depois de selecionar, importar ou criar uma aplicação web, selecione OK para fechar o diálogo da aplicação Server. Esta ação regressa à página da App do Assistente de Serviços Azure.
Diálogo de apps de importação (servidor)
Quando seleciona Import a partir do diálogo da aplicação Do Servidor ou da página de Aplicação do Assistente de Serviços Azure, abre o diálogo das aplicações Import. Esta página permite-lhe introduzir informações sobre uma aplicação web AZure AD que já foi criada no portal Azure. Importa metadados sobre a aplicação web para o Gestor de Configuração. Especifique as seguintes informações:
- Nome do inquilino da AD AD Azure: O nome do seu inquilino AZure AD.
- Azure AD Tenant ID: O GUIA do seu inquilino AZURE AD.
- Nome da aplicação: Nome amigável para a aplicação, o nome de exibição no registo da aplicação.
- ID do cliente: O valor de ID da aplicação (cliente) do registo da aplicação. O formato é um GUID padrão.
- Chave Secreta: Tem de copiar a chave secreta quando registar a aplicação no Azure AD.
- Expiração da chave secreta: Selecione uma data futura do calendário.
- App ID URI: Este valor tem de ser único no seu inquilino AZure AD. Está no token de acesso usado pelo cliente Do Gestor de Configuração para solicitar acesso ao serviço. O valor é o ID URI da aplicação no portal AD AZure. O formato é semelhante a
https://ConfigMgrService
.
Depois de introduzir a informação, selecione Verificar. Em seguida, selecione OK para fechar o diálogo de aplicações De importação. Esta ação retorna à página da App do Assistente de Serviços Azure ou ao diálogo da aplicação do Servidor.
Criar diálogo de aplicação do servidor
Quando seleciona Criar a partir do diálogo da aplicação do Servidor, abre o diálogo 'Aplicação do Servidor'. Esta página automatiza a criação de uma aplicação web em Azure AD. Especifique as seguintes informações:
Nome da aplicação: Um nome amigável para a aplicação.
URL HomePage: Este valor não é utilizado pelo Gestor de Configuração, mas é exigido pelo Azure AD. Por predefinição, este valor é
https://ConfigMgrService
.App ID URI: Este valor tem de ser único no seu inquilino AZure AD. Está no token de acesso usado pelo cliente Do Gestor de Configuração para solicitar acesso ao serviço. Por predefinição, este valor é
https://ConfigMgrService
.Período de validade da Chave Secreta: escolha 1 ano ou 2 anos da lista de abandono. Um ano é o valor padrão.
Nota
Pode ver uma opção para Nunca, mas a Azure AD já não a suporta. Se selecionou previamente esta opção, a data de validade está agora definida para 99 anos a partir da data que a criou.
Selecione Iniciar sômtens para autenticar a Azure como utilizador administrativo. Estas credenciais não são guardadas pelo Gestor de Configuração. Esta persona não requer permissões no Gestor de Configuração, e não precisa de ser a mesma conta que executa o Assistente de Serviços Azure. Depois de autenticar com sucesso a Azure, a página mostra o Nome do Inquilino AZURE para referência.
Selecione OK para criar a aplicação web em AD AZure e feche o diálogo De Aplicação do Servidor Criar. Esta ação regressa ao diálogo da aplicação Server.
Nota
Se tiver uma política de acesso condicional Ad Azure definida e se aplicar a todas as aplicações Cloud - tem de excluir a aplicação do servidor criada desta política. Para obter mais informações sobre como excluir aplicações específicas, consulte a documentação de acesso condicional Azure AD.
Aplicativo cliente nativo
Esta aplicação é o Azure AD type Native, também referido como uma aplicação de cliente em Configuration Manager.
Diálogo da App do Cliente
Quando seleciona procurar a aplicação Cliente Nativo na página app do Assistente de Serviços Azure, abre o diálogo da App cliente. Apresenta uma lista que mostra as seguintes propriedades de quaisquer aplicações nativas existentes:
- Nome amigável do inquilino
- Nome amigável da aplicação
- Tipo de Serviço
Existem três ações que pode tomar a partir do diálogo da App cliente:
- Para reutilizar uma aplicação nativa existente, selecione-a da lista.
- Selecione Import para abrir o diálogo de aplicações Import.
- Selecione Criar para abrir o diálogo de aplicação do cliente criar.
Depois de selecionar, importar ou criar uma aplicação nativa, escolha OK para fechar o diálogo da App cliente. Esta ação regressa à página da App do Assistente de Serviços Azure.
Diálogo de apps de importação (cliente)
Quando seleciona Import a partir do diálogo da App cliente, abre o diálogo das aplicações Import. Esta página permite-lhe introduzir informações sobre uma aplicação nativa AZure AD que já está criada no portal Azure. Importa metadados sobre a aplicação nativa para o Gestor de Configuração. Especifique as seguintes informações:
- Nome da aplicação: Um nome amigável para a aplicação.
- ID do cliente: O valor de ID da aplicação (cliente) do registo da aplicação. O formato é um GUID padrão.
Depois de introduzir a informação, selecione Verificar. Em seguida, selecione OK para fechar o diálogo de aplicações De importação. Esta ação regressa ao diálogo da App cliente.
Dica
Quando registar a aplicação em Azure AD, poderá ter de especificar manualmente o seguinte Redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>
. Especificar o ID GUID do cliente da aplicação, por exemplo: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49
.
Criar diálogo de aplicação ao cliente
Quando seleciona Criar a partir do diálogo da App cliente, abre o diálogo 'Aplicação do Cliente'. Esta página automatiza a criação de uma aplicação nativa em Azure AD. Especifique as seguintes informações:
- Nome da aplicação: Um nome amigável para a aplicação.
- URL de resposta: Este valor não é utilizado pelo Gestor de Configuração, mas é exigido pelo Azure AD. Por predefinição, este valor é
https://ConfigMgrService
.
Selecione Iniciar sômtens para autenticar a Azure como utilizador administrativo. Estas credenciais não são guardadas pelo Gestor de Configuração. Esta persona não requer permissões no Gestor de Configuração, e não precisa de ser a mesma conta que executa o Assistente de Serviços Azure. Depois de autenticar com sucesso a Azure, a página mostra o Nome do Inquilino AZURE para referência.
Selecione OK para criar a aplicação nativa em AD AZure e feche o diálogo De Aplicação do Cliente Create. Esta ação regressa ao diálogo da App cliente.
Configuração ou Descoberta
Depois de especificar as aplicações web e nativas na página apps, o Assistente de Serviços Azure procede a uma página de Configuração ou Discovery, dependendo do serviço a que está a ligar. Os detalhes desta página variam de serviço para serviço. Para mais informações, consulte um dos seguintes artigos:
Serviço de Gestão de Nuvem, página Discovery: Configurar Azure AD User Discovery
Serviço de conector Log Analytics, Página de configuração: Configurar a ligação ao Log Analytics
serviço Microsoft Store para Empresas, página configurações: Configurar Microsoft Store para Empresas sincronização
Por fim, complete o Assistente de Serviços Azure através das páginas Resumo, Progresso e Conclusão. Completou a configuração de um serviço Azure no Gestor de Configuração. Repita este processo para configurar outros serviços Azure.
Atualizar definições de aplicações
Para permitir que os clientes do Seu Gestor de Configuração solicitem um token de dispositivo AD Azure e para ativar as permissões de dados do diretório de leitura, precisa de atualizar as definições da aplicação do servidor web.
Atualização Definições aplicação
- Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração, expanda os Serviços cloud e selecione o nó Azure Ative Directory Inquilinos.
- Selecione o inquilino AZure AD para a aplicação que pretende atualizar.
- Na secção Aplicações, selecione a aplicação do servidor web Azure AD e, em seguida, selecione 'Actualizar' Definições a partir da fita.
- Quando solicitado para confirmação, selecione Sim para confirmar que deseja atualizar a aplicação com as definições mais recentes.
Renovar a chave secreta
É necessário renovar a chave secreta da aplicação AZure AD antes do final do seu período de validade. Se deixar expirar a chave, o Gestor de Configuração não pode autenticar-se com a Azure AD, o que fará com que os seus serviços Azure ligados deixem de funcionar.
A partir da versão 2006, a consola Do Gestor de Configuração apresenta notificações para as seguintes circunstâncias:
- Uma ou mais chaves secretas da aplicação AD AZure expirarão em breve
- Uma ou mais chaves secretas da aplicação AD AZure expiraram
Para mitigar ambos os casos, renove a chave secreta.
Para obter mais informações sobre como interagir com estas notificações, consulte as notificações da consola do Gestor de Configuração.
Renovar a chave para a aplicação criada
Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração, expanda os Serviços cloud e selecione o nó Azure Ative Directory Inquilinos.
No painel Details, selecione o inquilino Azure AD para a aplicação.
Na fita, selecione Renovar a Chave Secreta. Insira as credenciais do proprietário da aplicação ou de um administrador AD Azure.
Renovar a chave para a aplicação importada
Se importou a aplicação Azure no Gestor de Configuração, use o portal Azure para renovar. Note a nova chave secreta e data de validade. Adicione esta informação no assistente de Chave Secreta Renovar.
Nota
Guarde a chave secreta antes de fechar a página chave das propriedades da aplicação Azure. Esta informação é removida quando fecha a página.
Desativar a autenticação
A partir da versão 2010, pode desativar a autenticação AZure AD para inquilinos não associados a utilizadores e dispositivos. Quando está a bordo do Gestor de Configuração para Azure AD, permite que o site e os clientes utilizem a autenticação moderna. Atualmente, a autenticação do dispositivo Azure AD está ativada para todos os inquilinos a bordo, independentemente de ter ou não dispositivos. Por exemplo, você tem um inquilino separado com uma subscrição que você usa para calcular recursos para suportar um portal de gestão de nuvem. Se não houver utilizadores ou dispositivos associados ao arrendatário, desative a autenticação Azure AD.
Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração.
Expanda os Serviços cloud e selecione o nó Azure Services.
Selecione a ligação-alvo do tipo Cloud Management. Na fita, selecione Propriedades.
Mude para o separador Aplicações.
Selecione a opção para desativar Azure Ative Directory autenticação para este inquilino.
Selecione OK para guardar e fechar as propriedades de ligação.
Dica
Pode levar até 25 horas para que esta mudança produza efeitos nos clientes. Para efeitos de testes para acelerar esta mudança de comportamento, utilize os seguintes passos:
- Reinicie o serviço de sms_executive no servidor do site.
- Reiniciar o serviço ccmexec no cliente.
- Desacione o horário do cliente para atualizar o ponto de gestão padrão. Por exemplo, utilize a ferramenta de agendamento de envios:
SendSchedule {00000000-0000-0000-0000-000000000023}
Ver a configuração de um serviço Azure
Veja as propriedades de um serviço Azure que configura para utilização. Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração, expanda os Serviços cloud e selecione Azure Services. Selecione o serviço que pretende visualizar ou editar e, em seguida, selecione Propriedades.
Se selecionar um serviço e escolher Eliminar na fita, esta ação elimina a ligação no Gestor de Configurações. Não remove a aplicação no Azure AD. Peça ao administrador da Azure para apagar a aplicação quando já não for necessária. Ou executar o Assistente de Serviço Azure para importar a aplicação.
Fluxo de dados de gestão de nuvem
O diagrama seguinte é um fluxo de dados conceptuais para a interação entre o Gestor de Configuração, AZure AD e os serviços de nuvem conectada. Este exemplo específico utiliza o serviço cloud Management, que inclui um cliente Windows 10, e aplicações de servidor e cliente. Os fluxos para outros serviços são semelhantes.
O administrador do Gestor de Configuração importa ou cria as aplicações de cliente e servidor em Azure AD.
O método de descoberta do utilizador Azure Ad do Gestor de Configuração Azure. O site utiliza o símbolo da aplicação AD Azure para consultar o Microsoft Graph para objetos do utilizador.
O site armazena dados sobre os objetos do utilizador. Para mais informações, consulte a Azure AD User Discovery.
O cliente Do Gestor de Configuração solicita o token do utilizador Azure AD. O cliente faz a reclamação usando o ID da aplicação do cliente Azure, e a aplicação do servidor como o público. Para obter mais informações, consulte claims in Azure AD Security Tokens.
O cliente autentica-se com o site apresentando o token AD Azure para o gateway de gestão de nuvem e no local de gestão via HTTPS.
Para obter informações mais detalhadas, consulte o fluxo de trabalho de autenticação AD AZure.