Configurar serviços do Azure para utilização com Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Utilize o Assistente de Serviços do Azure para simplificar o processo de configuração dos serviços cloud do Azure que utiliza com Configuration Manager. Este assistente proporciona uma experiência de configuração comum ao utilizar Microsoft Entra registos de aplicações Web. Estas aplicações fornecem detalhes de subscrição e configuração e autenticam comunicações com Microsoft Entra ID. A aplicação substitui a introdução destas mesmas informações sempre que configurar um novo componente ou serviço Configuration Manager com o Azure.

Serviços disponíveis

Configure os seguintes serviços do Azure com este assistente:

• Gestão da Cloud: este serviço permite que o site e os clientes se autentiquem com Microsoft Entra ID. Esta autenticação permite outros cenários, tais como:

  • Instalar e atribuir clientes Configuration Manager com Microsoft Entra ID para autenticação

  • Configurar Microsoft Entra deteção de utilizadores

  • Configurar Microsoft Entra deteção de grupos de utilizadores

  • Suportar determinados cenários de gateway de gestão da cloud

    Dica

    Para obter mais informações específicas sobre a gestão da cloud, veja Configurar Microsoft Entra ID para o gateway de gestão da cloud.

  • Notificações por email de aprovação de aplicações

• Conector do Log Analytics: ligar ao Azure Log Analytics. Sincronizar dados de recolha com o Log Analytics.

  Importante

  Este artigo refere-se ao Conector do Log Analytics, anteriormente denominado Conector do OMS. Esta funcionalidade foi preterida em novembro de 2020. É removido do Configuration Manager na versão 2107. Para obter mais informações, consulte Funcionalidades removidas e preteridas.

• Microsoft Store para Empresas: Ligar à Microsoft Store para Empresas. Obtenha aplicações da loja para a sua organização que pode implementar com Configuration Manager.

• Gestão do Serviço de Administração: ao configurar os Serviços do Azure, para maior segurança, pode selecionar a opção Gestão de Serviços de Administração. Selecionar esta opção permite que os administradores segmentem os privilégios de administrador entre a gestão da cloud e o serviço de administração. Ao ativar esta opção, o acesso está restrito apenas a pontos finais de serviço de administração. Os clientes de Gestão de Configuração autenticar-se-ão no site com Microsoft Entra ID. (versão 2207 ou posterior)

  Observação

  Apenas os clientes do VMSS de CMG podem ativar a opção de gestão de serviços administrativos. Esta opção não é aplicável para clientes CMG clássicos.

Detalhes do serviço

A tabela seguinte lista os detalhes sobre cada um dos serviços.

• Inquilinos: o número de instâncias de serviço que pode configurar. Cada instância tem de ser um inquilino Microsoft Entra distinto.

• Clouds: todos os serviços suportam a cloud global do Azure, mas nem todos os serviços suportam clouds privadas, como a cloud do Azure US Government.

• Aplicação Web: se o serviço utiliza uma aplicação Microsoft Entra do tipo Aplicação Web/API, também conhecida como aplicação de servidor no Configuration Manager.

• Aplicação nativa: se o serviço utiliza uma aplicação Microsoft Entra do tipo Nativo, também referida como uma aplicação cliente no Configuration Manager.

• Ações: se pode importar ou criar estas aplicações no Configuration Manager Assistente de Serviços do Azure.

Serviço	Locatários	Nuvens	Aplicativo Web	Aplicação nativa	Ações
Gestão da cloud com Microsoft Entra deteção	Vários	Público, Privado			Importar, Criar
Conector do Log Analytics	Um	Público, Privado			Importar
Microsoft Store para Business	Um	Público			Importar, Criar

Acerca Microsoft Entra aplicações

Os diferentes serviços do Azure requerem configurações distintas, o que faz no portal do Azure. Além disso, as aplicações para cada serviço podem exigir permissões separadas para os recursos do Azure.

Pode utilizar uma única aplicação para mais do que um serviço. Só existe um objeto a gerir no Configuration Manager e no Microsoft Entra ID. Quando a chave de segurança na aplicação expirar, só tem de atualizar uma chave.

Quando cria serviços adicionais do Azure no assistente, Configuration Manager foi concebido para reutilizar informações comuns entre serviços. Este comportamento ajuda-o a não precisar de introduzir as mesmas informações mais do que uma vez.

Para obter mais informações sobre as permissões e configurações de aplicações necessárias para cada serviço, veja o artigo relevante Configuration Manager em Serviços disponíveis.

Para obter mais informações sobre as aplicações do Azure, comece com os seguintes artigos:

• Autenticação e autorização no Serviço de Aplicativo do Azure
• descrição geral do Aplicativos Web
• Noções básicas sobre Como Registar uma Aplicação no Microsoft Entra ID
• Registar a aplicação no inquilino do Microsoft Entra

Antes de começar

Depois de decidir o serviço ao qual pretende ligar, consulte a tabela em Detalhes do serviço. Esta tabela fornece informações de que precisa para concluir o Assistente de Serviços do Azure. Tenha um debate com antecedência com o seu administrador Microsoft Entra. Decida qual das seguintes ações deve efetuar:

• Crie manualmente as aplicações com antecedência no portal do Azure. Em seguida, importe os detalhes da aplicação para Configuration Manager.

  Dica

  Para obter mais informações específicas sobre a gestão da cloud, veja Registar manualmente Microsoft Entra aplicações para o gateway de gestão da cloud.

• Utilize Configuration Manager para criar diretamente as aplicações no Microsoft Entra ID. Para recolher os dados necessários do Microsoft Entra ID, reveja as informações nas outras secções deste artigo.

Alguns serviços requerem que as aplicações Microsoft Entra tenham permissões específicas. Reveja as informações de cada serviço para determinar as permissões necessárias. Por exemplo, antes de poder importar uma aplicação Web, um administrador do Azure tem primeiro de criá-la no portal do Azure.

Ao configurar o Conector do Log Analytics, dê permissão à sua aplicação Web recentemente registada contribuidor no grupo de recursos que contém a área de trabalho relevante. Esta permissão permite que Configuration Manager acedam a essa área de trabalho. Ao atribuir a permissão, procure o nome do registo da aplicação na área Adicionar utilizadores do portal do Azure. Este processo é o mesmo que ao fornecer Configuration Manager com permissões para o Log Analytics. Um administrador do Azure tem de atribuir estas permissões antes de importar a aplicação para Configuration Manager.

Iniciar o assistente dos Serviços do Azure

1. Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Serviços de Nuvem e selecione o nó Serviços do Azure.

2. No separador Base do friso, no grupo Serviços do Azure , selecione Configurar Serviços do Azure.

3. Na página Serviços do Azure do Assistente dos Serviços do Azure:

   1. Especifique um Nome para o objeto no Configuration Manager.

   2. Especifique uma Descrição opcional para o ajudar a identificar o serviço.

   3. Selecione o serviço do Azure com o qual pretende ligar-se Configuration Manager.

4. Selecione Seguinte para continuar para a página de propriedades da aplicação Azure do Assistente de Serviços do Azure.

Propriedades da aplicação Azure

Na página Aplicação do Assistente de Serviços do Azure, selecione primeiro o ambiente do Azure na lista. Veja a tabela em Detalhes do serviço para saber qual o ambiente atualmente disponível para o serviço.

O resto da página da Aplicação varia consoante o serviço específico. Veja a tabela em Detalhes do serviço para o tipo de aplicação que o serviço utiliza e que ação pode utilizar.

• Se a aplicação suportar as ações de importação e criação, selecione Procurar. Esta ação abre a caixa de diálogo Aplicação do servidor ou a caixa de diálogo Aplicação Cliente.

• Se a aplicação só suportar a ação de importação, selecione Importar. Esta ação abre a caixa de diálogo Importar Aplicações (servidor) ou a caixa de diálogo Importar Aplicações (cliente).

Depois de especificar as aplicações nesta página, selecione Seguinte para continuar para a página Configuração ou Deteção do Assistente de Serviços do Azure.

Aplicativo Web

Esta aplicação é do tipo Microsoft Entra ID Aplicação Web/API, também conhecida como aplicação de servidor no Configuration Manager.

Caixa de diálogo Aplicação de servidor

Quando seleciona Procurar a aplicação Web na página Aplicação do Assistente de Serviços do Azure, abre a caixa de diálogo Aplicação servidor. Apresenta uma lista que mostra as seguintes propriedades de quaisquer aplicações Web existentes:

• Nome amigável do inquilino
• Nome amigável da aplicação
• Tipo de Serviço

Existem três ações que pode efetuar a partir da caixa de diálogo Aplicação de servidor:

• Para reutilizar uma aplicação Web existente, selecione-a na lista.
• Selecione Importar para abrir a caixa de diálogo Importar aplicações.
• Selecione Criar para abrir a caixa de diálogo Criar Aplicação de Servidor.

Depois de selecionar, importar ou criar uma aplicação Web, selecione OK para fechar a caixa de diálogo Aplicação do servidor. Esta ação regressa à página Aplicação do Assistente de Serviços do Azure.

Caixa de diálogo Importar aplicações (servidor)

Quando seleciona Importar a partir da caixa de diálogo Aplicação do servidor ou da página Aplicação do Assistente dos Serviços do Azure, é aberta a caixa de diálogo Importar aplicações. Esta página permite-lhe introduzir informações sobre uma aplicação Web Microsoft Entra que já foi criada no portal do Azure. Importa metadados sobre essa aplicação Web para Configuration Manager. Especifique as seguintes informações:

• Microsoft Entra nome do inquilino: o nome do seu inquilino Microsoft Entra.
• Microsoft Entra ID do inquilino: o GUID do seu inquilino Microsoft Entra.
• Nome da Aplicação: um nome amigável para a aplicação, o nome a apresentar no registo da aplicação.
• ID de Cliente: o valor do ID da Aplicação (cliente) do registo da aplicação. O formato é um GUID padrão.
• Chave Secreta: tem de copiar a chave secreta quando registar a aplicação no Microsoft Entra ID.
• Expiração da Chave Secreta: selecione uma data futura no calendário.
• URI do ID da Aplicação: este valor tem de ser exclusivo no seu inquilino Microsoft Entra. Está no token de acesso utilizado pelo cliente Configuration Manager para pedir acesso ao serviço. O valor é o URI do ID da Aplicação da entrada de registo da aplicação no centro de administração do Microsoft Entra.

Depois de introduzir as informações, selecione Verificar. Em seguida, selecione OK para fechar a caixa de diálogo Importar aplicações. Esta ação regressa à página Aplicação do Assistente de Serviços do Azure ou à caixa de diálogo Aplicação de servidor.

Importante

Quando utiliza uma aplicação Microsoft Entra importada, não é notificado de uma data de expiração futura a partir das notificações da consola.

Caixa de diálogo Criar Aplicação de Servidor

Quando seleciona Criar na caixa de diálogo Aplicação de servidor, esta abre a caixa de diálogo Criar Aplicação de Servidor. Esta página automatiza a criação de uma aplicação Web no Microsoft Entra ID. Especifique as seguintes informações:

• Nome da Aplicação: um nome amigável para a aplicação.

• URL da Home Page: este valor não é utilizado pelo Configuration Manager, mas sim pelo Microsoft Entra ID. Por predefinição, este valor é https://ConfigMgrService.

• URI do ID da Aplicação: este valor tem de ser exclusivo no seu inquilino Microsoft Entra. Está no token de acesso utilizado pelo cliente Configuration Manager para pedir acesso ao serviço. Por predefinição, este valor é https://ConfigMgrService. Altere a predefinição para um dos seguintes formatos recomendados:

  • api://{tenantId}/{string}, por exemplo, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}, por exemplo, https://contoso.onmicrosoft.com/ConfigMgrService

• Período de validade da Chave Secreta: escolha 1 ano ou 2 anos na lista pendente. Um ano é o valor predefinido.

  Observação

  Poderá ver uma opção para Nunca, mas Microsoft Entra já não a suporta. Se tiver selecionado esta opção anteriormente, a data de expiração está agora definida para 99 anos a partir da data em que a criou.

Selecione Iniciar sessão para autenticar no Azure como um utilizador administrativo. Estas credenciais não são guardadas pelo Configuration Manager. Esta persona não requer permissões no Configuration Manager e não precisa de ser a mesma conta que executa o Assistente de Serviços do Azure. Depois de efetuar a autenticação com êxito no Azure, a página mostra o nome do inquilino Microsoft Entra para referência.

Selecione OK para criar a aplicação Web no Microsoft Entra ID e feche a caixa de diálogo Criar Aplicação de Servidor. Esta ação regressa à caixa de diálogo Aplicação do servidor.

Observação

Se tiver uma Microsoft Entra política de Acesso Condicional definida e aplicada a Todas as aplicações da Cloud, tem de excluir a Aplicação de Servidor criada desta política. Para obter mais informações sobre como excluir aplicações específicas, veja Microsoft Entra Documentação de Acesso Condicional.

Aplicação Cliente Nativo

Esta aplicação é do tipo Microsoft Entra ID Nativo, também conhecido como aplicação cliente no Configuration Manager.

Caixa de diálogo Aplicação Cliente

Quando seleciona Procurar a aplicação Cliente Nativo na página Aplicação do Assistente de Serviços do Azure, é aberta a caixa de diálogo Aplicação Cliente. Apresenta uma lista que mostra as seguintes propriedades de quaisquer aplicações nativas existentes:

• Nome amigável do inquilino
• Nome amigável da aplicação
• Tipo de Serviço

Existem três ações que pode efetuar a partir da caixa de diálogo Aplicação Cliente:

• Para reutilizar uma aplicação nativa existente, selecione-a na lista.
• Selecione Importar para abrir a caixa de diálogo Importar aplicações.
• Selecione Criar para abrir a caixa de diálogo Criar Aplicação Cliente.

Depois de selecionar, importar ou criar uma aplicação nativa, selecione OK para fechar a caixa de diálogo Aplicação Cliente. Esta ação regressa à página Aplicação do Assistente de Serviços do Azure.

Caixa de diálogo Importar aplicações (cliente)

Quando seleciona Importar a partir da caixa de diálogo Aplicação Cliente, esta abre a caixa de diálogo Importar aplicações. Esta página permite-lhe introduzir informações sobre uma aplicação nativa Microsoft Entra que já foi criada no portal do Azure. Importa metadados sobre essa aplicação nativa para Configuration Manager. Especifique as seguintes informações:

• Nome da Aplicação: um nome amigável para a aplicação.
• ID de Cliente: o valor do ID da Aplicação (cliente) do registo da aplicação. O formato é um GUID padrão.

Depois de introduzir as informações, selecione Verificar. Em seguida, selecione OK para fechar a caixa de diálogo Importar aplicações. Esta ação regressa à caixa de diálogo Aplicação Cliente.

Dica

Quando registar a aplicação no Microsoft Entra ID, poderá ter de especificar manualmente o seguinte URI de Redirecionamento: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Especifique o GUID do ID de cliente da aplicação, por exemplo: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Caixa de diálogo Criar Aplicação Cliente

Quando seleciona Criar na caixa de diálogo Aplicação Cliente, esta abre a caixa de diálogo Criar Aplicação Cliente. Esta página automatiza a criação de uma aplicação nativa no Microsoft Entra ID. Especifique as seguintes informações:

• Nome da Aplicação: um nome amigável para a aplicação.
• URL de Resposta: este valor não é utilizado pelo Configuration Manager, mas sim pelo Microsoft Entra ID. Por predefinição, este valor é https://ConfigMgrService.

Selecione Iniciar sessão para autenticar no Azure como um utilizador administrativo. Estas credenciais não são guardadas pelo Configuration Manager. Esta persona não requer permissões no Configuration Manager e não precisa de ser a mesma conta que executa o Assistente de Serviços do Azure. Depois de efetuar a autenticação com êxito no Azure, a página mostra o nome do inquilino Microsoft Entra para referência.

Selecione OK para criar a aplicação nativa no Microsoft Entra ID e feche a caixa de diálogo Criar Aplicação Cliente. Esta ação regressa à caixa de diálogo Aplicação Cliente.

Configuração ou Deteção

Depois de especificar as aplicações Web e nativas na página Aplicações, o Assistente de Serviços do Azure avança para uma páginade Configuração ou Deteção, consoante o serviço ao qual se está a ligar. Os detalhes desta página variam de serviço para serviço. Para obter mais informações, veja um dos seguintes artigos:

• Serviço de Gestão da Cloud, página Deteção: Configurar Microsoft Entra deteção de utilizadores

• Serviço do Conector do Log Analytics , página Configuração : Configurar a ligação ao Log Analytics

• Microsoft Store para Empresas serviço, página Configurações: Configurar a sincronização de Microsoft Store para Empresas

Por fim, conclua o Assistente dos Serviços do Azure através das páginas Resumo, Progresso e Conclusão. Concluiu a configuração de um serviço do Azure no Configuration Manager. Repita este processo para configurar outros serviços do Azure.

Atualizar as definições da aplicação

Para permitir que os seus clientes Configuration Manager solicitem um token de dispositivo Microsoft Entra e ativem as permissões de dados do diretório de leitura, tem de atualizar as definições da aplicação do servidor Web.

1. Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Serviços de Nuvem e selecione o nó Microsoft Entra inquilinos.
2. Selecione o inquilino Microsoft Entra da aplicação que pretende atualizar.
3. Na secção Aplicações, selecione a sua Microsoft Entra aplicação de servidor Web e, em seguida, selecione Atualizar Definições da Aplicação no friso.
4. Quando lhe for pedida confirmação, selecione Sim para confirmar que pretende atualizar a aplicação com as definições mais recentes.

Renovar chave secreta

Tem de renovar a chave secreta da Microsoft Entra aplicação antes do fim do respetivo período de validade. Se deixar a chave expirar, Configuration Manager não consegue autenticar-se com Microsoft Entra ID, o que fará com que os serviços do Azure ligados deixem de funcionar.

A partir da versão 2006, a consola do Configuration Manager apresenta notificações para as seguintes circunstâncias:

• Uma ou mais Microsoft Entra chaves secretas da aplicação expirarão em breve
• Uma ou mais Microsoft Entra chaves secretas da aplicação expiraram

Para mitigar ambos os casos, renove a chave secreta.

Para obter mais informações sobre como interagir com estas notificações, veja Configuration Manager notificações da consola.

Observação

Tem de ter, pelo menos, a função "Administrador de Aplicações na Cloud" Microsoft Entra atribuída para poder renovar a chave. A partir de ConfigMgr 2409, o Microsoft Graph substitui o gráfico de Azure AD que alterou as permissões para a mesma função. A função de segurança privilegiada mimimum para renovar a chave de segurança agora é Administrador de Funções Privilegiadas

Renovar chave para a aplicação criada

1. Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Serviços de Nuvem e selecione o nó Microsoft Entra inquilinos.

2. No painel Detalhes, selecione o inquilino Microsoft Entra da aplicação.

3. No friso, selecione Renovar Chave Secreta. Introduza as credenciais do proprietário da aplicação ou de um administrador Microsoft Entra.

Renovar chave para a aplicação importada

Se importou a aplicação do Azure no Configuration Manager, utilize o portal do Azure para renovar. Anote a nova chave secreta e a data de expiração. Adicione estas informações no assistente Renovar Chave Secreta .

Observação

Guarde a chave secreta antes de fechar a página chave das propriedades da aplicação do Azure. Estas informações são removidas quando fecha a página.

Desativar a autenticação

A partir da versão 2010, pode desativar Microsoft Entra autenticação para inquilinos não associados a utilizadores e dispositivos. Quando integra Configuration Manager para Microsoft Entra ID, permite que o site e os clientes utilizem a autenticação moderna. Atualmente, Microsoft Entra autenticação do dispositivo está ativada para todos os inquilinos integrados, quer tenha ou não dispositivos. Por exemplo, tem um inquilino separado com uma subscrição que utiliza para recursos de computação para suportar um gateway de gestão na cloud. Se não existirem utilizadores ou dispositivos associados ao inquilino, desative Microsoft Entra autenticação.

1. Na consola do Configuration Manager, aceda à área de trabalho Administração.

2. Expanda Serviços de Nuvem e selecione o nó Serviços do Azure.

3. Selecione a ligação de destino do tipo Gestão da Cloud. No friso, selecione Propriedades.

4. Mude para o separador Aplicações .

5. Selecione a opção Desativar Microsoft Entra autenticação para este inquilino.

6. Selecione OK para guardar e fechar as propriedades da ligação.

Dica

Esta alteração pode demorar até 25 horas a entrar em vigor nos clientes. Para fins de teste para acelerar esta alteração de comportamento, utilize os seguintes passos:

1. Reinicie o serviço sms_executive no servidor do site.
2. Reinicie o serviço ccmexec no cliente.
3. Acione a agenda do cliente para atualizar o ponto de gestão predefinido. Por exemplo, utilize a ferramenta enviar agendamento: SendSchedule {00000000-0000-0000-0000-000000000023}

Ver a configuração de um serviço do Azure

Veja as propriedades de um serviço do Azure que configurou para utilização. Na consola do Configuration Manager, aceda à área de trabalho Administração, expanda Serviços de Nuvem e selecione Serviços do Azure. Selecione o serviço que pretende ver ou editar e, em seguida, selecione Propriedades.

Se selecionar um serviço e, em seguida, selecionar Eliminar no friso, esta ação elimina a ligação no Configuration Manager. Não remove a aplicação no Microsoft Entra ID. Peça ao administrador do Azure para eliminar a aplicação quando esta já não for necessária. Em alternativa, execute o Assistente de Serviços do Azure para importar a aplicação.

Fluxo de dados de gestão da cloud

O diagrama seguinte é um fluxo de dados conceptual para a interação entre Configuration Manager, Microsoft Entra ID e serviços cloud ligados. Este exemplo específico utiliza o serviço de Gestão da Cloud, que inclui um cliente Windows 10 e aplicações de servidor e cliente. Os fluxos para outros serviços são semelhantes.

1. O administrador Configuration Manager importa ou cria as aplicações cliente e servidor no Microsoft Entra ID.

2. Configuration Manager Microsoft Entra método de deteção de utilizadores é executado. O site utiliza o token de aplicação de servidor Microsoft Entra para consultar o Microsoft Graph para objetos de utilizador.

3. O site armazena dados sobre os objetos de utilizador. Para obter mais informações, veja Microsoft Entra utilizador Deteção.

4. O cliente Configuration Manager pede o token de utilizador Microsoft Entra. O cliente faz a afirmação com o ID da aplicação do Microsoft Entra aplicação cliente e a aplicação de servidor como público-alvo. Para obter mais informações, veja Claims in Microsoft Entra Security Tokens (Afirmações nos Tokens de Segurança do Microsoft Entra).

5. O cliente autentica-se com o site ao apresentar o token de Microsoft Entra ao gateway de gestão da cloud e ao ponto de gestão compatível com HTTPS no local.

Para obter informações mais detalhadas, veja Microsoft Entra fluxo de trabalho de autenticação.