Configurar serviços do Azure para uso com Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Use o Assistente dos Serviços do Azure para simplificar o processo de configuração dos serviços de nuvem do Azure que você usa com Configuration Manager. Esse assistente fornece uma experiência de configuração comum usando Microsoft Entra registros de aplicativo Web. Esses aplicativos fornecem detalhes de assinatura e configuração e autenticam comunicações com Microsoft Entra ID. O aplicativo substitui a inserção dessas mesmas informações sempre que você configura um novo componente ou serviço de Configuration Manager com o Azure.

Serviços disponíveis

Configure os seguintes serviços do Azure usando este assistente:

• Gerenciamento de Nuvem: esse serviço permite que o site e os clientes se autentiquem usando Microsoft Entra ID. Essa autenticação permite outros cenários, como:

  • Instalar e atribuir clientes Configuration Manager usando Microsoft Entra ID para autenticação

  • Configurar Microsoft Entra descoberta de usuário

  • Configurar Microsoft Entra descoberta de grupo de usuários

  • Suporte a determinados cenários de gateway de gerenciamento de nuvem

    Dica

    Para obter mais informações específicas para o gerenciamento de nuvem, consulte Configurar Microsoft Entra ID para gateway de gerenciamento de nuvem.

  • Aprovação do aplicativo notificações por email

• Conector do Log Analytics: conecte-se ao Azure Log Analytics. Sincronizar dados de coleta com o Log Analytics.

  Importante

  Este artigo refere-se ao Conector do Log Analytics, que anteriormente era chamado de Conector OMS. Esse recurso foi preterido em novembro de 2020. Ele foi removido do Configuration Manager na versão 2107. Para obter mais informações, consulte Recursos removidos e preteridos.

• Microsoft Store para Empresas: conecte-se ao Microsoft Store para Empresas. Obtenha aplicativos de armazenamento para sua organização que você pode implantar com Configuration Manager.

• Gerenciamento de Serviços de Administração: ao configurar o Azure Services, para maior segurança, você pode selecionar a opção Gerenciamento de Serviços de Administração. Selecionar essa opção permite que os administradores segmentem seus privilégios de administrador entre o gerenciamento de nuvem e o serviço de administração. Ao habilitar essa opção, o acesso é restrito apenas a pontos de extremidade de serviço de administração. Os clientes de Gerenciamento de Configuração serão autenticados no site usando Microsoft Entra ID. (versão 2207 ou posterior)

  Observação

  Somente os clientes do CMG VMSS podem habilitar a opção de gerenciamento de serviço administrativo. Essa opção não é aplicável para clientes CMG clássicos.

Detalhes do serviço

A tabela a seguir lista detalhes sobre cada um dos serviços.

• Locatários: o número de instâncias de serviço que você pode configurar. Cada instância deve ser um locatário Microsoft Entra distinto.

• Nuvens: todos os serviços dão suporte à nuvem global do Azure, mas nem todos os serviços dão suporte a nuvens privadas, como a nuvem do Governo dos EUA do Azure.

• Aplicativo Web: se o serviço usa um aplicativo Microsoft Entra do tipo aplicativo Web/API, também conhecido como um aplicativo de servidor no Configuration Manager.

• Aplicativo nativo: se o serviço usa um aplicativo Microsoft Entra do tipo Native, também conhecido como um aplicativo cliente no Configuration Manager.

• Ações: se você pode importar ou criar esses aplicativos no assistente Configuration Manager serviços do Azure.

Serviço	Locatários	Nuvens	Aplicativo Web	Aplicativo nativo	Ações
Gerenciamento de nuvem com Microsoft Entra descoberta	Vários	Público, Privado			Importar, Criar
Conector do Log Analytics	Um	Público, Privado			Importar
Microsoft Store para Business	Um	Público			Importar, Criar

Sobre Microsoft Entra aplicativos

Diferentes serviços do Azure exigem configurações distintas, que você faz no portal do Azure. Além disso, os aplicativos para cada serviço podem exigir permissões separadas para os recursos do Azure.

Você pode usar um único aplicativo para mais de um serviço. Há apenas um objeto a ser gerenciado em Configuration Manager e Microsoft Entra ID. Quando a chave de segurança no aplicativo expirar, você só precisa atualizar uma chave.

Quando você cria serviços adicionais do Azure no assistente, Configuration Manager é projetado para reutilizar informações comuns entre os serviços. Esse comportamento ajuda você a precisar inserir as mesmas informações mais de uma vez.

Para obter mais informações sobre as permissões e configurações de aplicativo necessárias para cada serviço, consulte o artigo Configuration Manager relevante nos serviços disponíveis.

Para obter mais informações sobre aplicativos do Azure, comece com os seguintes artigos:

• Autenticação e autorização em Serviço de Aplicativo do Azure
• visão geral Aplicativos Web
• Noções básicas de registro de um aplicativo em Microsoft Entra ID
• Registrar seu aplicativo com seu locatário Microsoft Entra

Antes de começar

Depois de decidir o serviço ao qual deseja se conectar, consulte a tabela em Detalhes do serviço. Esta tabela fornece informações necessárias para concluir o Assistente de Serviço do Azure. Tenha uma discussão antecipada com o administrador do Microsoft Entra. Decida qual das seguintes ações a serem executadas:

• Crie manualmente os aplicativos com antecedência no portal do Azure. Em seguida, importe os detalhes do aplicativo para Configuration Manager.

  Dica

  Para obter mais informações específicas do gerenciamento de nuvem, consulte Registrar manualmente Microsoft Entra aplicativos para o gateway de gerenciamento de nuvem.

• Use Configuration Manager para criar diretamente os aplicativos no Microsoft Entra ID. Para coletar os dados necessários de Microsoft Entra ID, examine as informações nas outras seções deste artigo.

Alguns serviços exigem que os aplicativos Microsoft Entra tenham permissões específicas. Examine as informações de cada serviço para determinar as permissões necessárias. Por exemplo, antes de importar um aplicativo Web, um administrador do Azure deve primeiro criá-lo no portal do Azure.

Ao configurar o Conector do Log Analytics, forneça ao seu aplicativo Web recém-registrado contribuidor permissão no grupo de recursos que contém o workspace relevante. Essa permissão permite que Configuration Manager acessem esse workspace. Ao atribuir a permissão, pesquise o nome do registro do aplicativo na área Adicionar usuários do portal do Azure. Esse processo é o mesmo que ao fornecer Configuration Manager com permissões para o Log Analytics. Um administrador do Azure deve atribuir essas permissões antes de importar o aplicativo para Configuration Manager.

Iniciar o assistente dos Serviços do Azure

1. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione o nó serviços do Azure.

2. Na guia Página Inicial da faixa de opções, no grupo serviços do Azure , selecione Configurar Serviços do Azure.

3. Na página Serviços do Azure do Assistente dos Serviços do Azure:

   1. Especifique um Nome para o objeto em Configuration Manager.

   2. Especifique uma Descrição opcional para ajudá-lo a identificar o serviço.

   3. Selecione o serviço do Azure com o qual você deseja se conectar Configuration Manager.

4. Selecione Avançar para continuar na página de propriedades do aplicativo do Azure do Assistente dos Serviços do Azure.

Propriedades do aplicativo do Azure

Na página Aplicativo do Assistente dos Serviços do Azure, primeiro selecione o ambiente do Azure na lista. Consulte a tabela em Detalhes do serviço para qual ambiente está disponível no momento para o serviço.

O restante da página Aplicativo varia dependendo do serviço específico. Consulte a tabela em Detalhes do serviço para qual tipo de aplicativo o serviço usa e qual ação você pode usar.

• Se o aplicativo der suporte à importação e criar ações, selecione Procurar. Essa ação abre a caixa de diálogo Aplicativo do Servidor ou a caixa de diálogo Aplicativo Cliente.

• Se o aplicativo só dá suporte à ação de importação, selecione Importar. Essa ação abre a caixa de diálogo Importar Aplicativos (servidor) ou a caixa de diálogo Importar Aplicativos (cliente).

Depois de especificar os aplicativos nesta página, selecione Avançar para continuar na página Configuração ou Descoberta do Assistente dos Serviços do Azure.

Aplicativo Web

Este aplicativo é o Microsoft Entra aplicativo Web/API do tipo ID, também conhecido como um aplicativo de servidor no Configuration Manager.

Caixa de diálogo aplicativo do servidor

Quando você seleciona Procurar o aplicativo Web na página Aplicativo do Assistente dos Serviços do Azure, ele abre a caixa de diálogo Aplicativo do Servidor. Ele exibe uma lista que mostra as seguintes propriedades de todos os aplicativos Web existentes:

• Nome amigável do locatário
• Nome amigável do aplicativo
• Tipo de Serviço

Há três ações que você pode executar na caixa de diálogo do aplicativo Server:

• Para reutilizar um aplicativo Web existente, selecione-o na lista.
• Selecione Importar para abrir a caixa de diálogo Importar aplicativos.
• Selecione Criar para abrir a caixa de diálogo Criar Aplicativo do Servidor.

Depois de selecionar, importar ou criar um aplicativo Web, selecione OK para fechar a caixa de diálogo Aplicativo do Servidor. Essa ação retorna à página Aplicativo do Assistente dos Serviços do Azure.

Caixa de diálogo Importar aplicativos (servidor)

Quando você seleciona Importar na caixa de diálogo Aplicativo do Servidor ou na página Aplicativo do Assistente dos Serviços do Azure, ele abre a caixa de diálogo Importar aplicativos. Esta página permite inserir informações sobre um aplicativo Web Microsoft Entra que já foi criado no portal do Azure. Ele importa metadados sobre esse aplicativo Web para Configuration Manager. Especifique as seguintes informações:

• Microsoft Entra nome do locatário: o nome do locatário Microsoft Entra.
• Microsoft Entra ID do locatário: o GUID do seu locatário Microsoft Entra.
• Nome do aplicativo: um nome amigável para o aplicativo, o nome de exibição no registro do aplicativo.
• ID do cliente: o valor da ID do aplicativo (cliente) do registro do aplicativo. O formato é um GUID padrão.
• Chave Secreta: você precisa copiar a chave secreta ao registrar o aplicativo em Microsoft Entra ID.
• Expiração da Chave Secreta: selecione uma data futura do calendário.
• URI da ID do aplicativo: esse valor precisa ser exclusivo em seu locatário Microsoft Entra. Ele está no token de acesso usado pelo Configuration Manager cliente para solicitar acesso ao serviço. O valor é o URI de ID do Aplicativo da entrada de registro do aplicativo no centro de administração Microsoft Entra.

Depois de inserir as informações, selecione Verificar. Em seguida, selecione OK para fechar a caixa de diálogo Importar aplicativos. Essa ação retorna à página Aplicativo do Assistente dos Serviços do Azure ou à caixa de diálogo Aplicativo do Servidor.

Importante

Quando você usa um aplicativo de Microsoft Entra importado, não é notificado de uma data de validade futura das notificações do console.

Caixa de diálogo Criar Aplicativo do Servidor

Quando você seleciona Criar na caixa de diálogo Aplicativo do Servidor, ele abre a caixa de diálogo Criar Aplicativo do Servidor. Esta página automatiza a criação de um aplicativo Web no Microsoft Entra ID. Especifique as seguintes informações:

• Nome do aplicativo: um nome amigável para o aplicativo.

• URL da Página Inicial: esse valor não é usado por Configuration Manager, mas exigido por Microsoft Entra ID. Por padrão, esse valor é https://ConfigMgrService.

• URI da ID do aplicativo: esse valor precisa ser exclusivo em seu locatário Microsoft Entra. Ele está no token de acesso usado pelo Configuration Manager cliente para solicitar acesso ao serviço. Por padrão, esse valor é https://ConfigMgrService. Altere o padrão para um dos seguintes formatos recomendados:

  • api://{tenantId}/{string}, por exemplo, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}, por exemplo, https://contoso.onmicrosoft.com/ConfigMgrService

• Período de validade da Chave Secreta: escolha 1 ano ou 2 anos na lista suspensa. Um ano é o valor padrão.

  Observação

  Você pode ver uma opção para Nunca, mas Microsoft Entra não dá mais suporte a ela. Se você tiver selecionado essa opção anteriormente, a data de validade agora será definida para 99 anos a partir da data em que você a criou.

Selecione Entrar para autenticar no Azure como usuário administrativo. Essas credenciais não são salvas por Configuration Manager. Essa persona não requer permissões no Configuration Manager e não precisa ser a mesma conta que executa o Assistente dos Serviços do Azure. Depois de autenticar com êxito no Azure, a página mostra o Microsoft Entra nome do locatário para referência.

Selecione OK para criar o aplicativo Web no Microsoft Entra ID e feche a caixa de diálogo Criar Aplicativo do Servidor. Essa ação retorna à caixa de diálogo do aplicativo Server.

Observação

Se você tiver uma política de acesso condicional Microsoft Entra definida e se aplicar a todos os aplicativos de Nuvem , você deverá excluir o aplicativo de servidor criado dessa política. Para obter mais informações sobre como excluir aplicativos específicos, consulte Microsoft Entra Documentação de Acesso Condicional.

Aplicativo Native Client

Este aplicativo é o Microsoft Entra tipo de ID Native, também conhecido como um aplicativo cliente no Configuration Manager.

Caixa de diálogo Aplicativo cliente

Quando você seleciona Procurar o aplicativo Cliente Nativo na página Aplicativo do Assistente dos Serviços do Azure, ele abre a caixa de diálogo Aplicativo cliente. Ele exibe uma lista que mostra as seguintes propriedades de todos os aplicativos nativos existentes:

• Nome amigável do locatário
• Nome amigável do aplicativo
• Tipo de Serviço

Há três ações que você pode executar na caixa de diálogo Aplicativo Cliente:

• Para reutilizar um aplicativo nativo existente, selecione-o na lista.
• Selecione Importar para abrir a caixa de diálogo Importar aplicativos.
• Selecione Criar para abrir a caixa de diálogo Criar Aplicativo cliente.

Depois de selecionar, importar ou criar um aplicativo nativo, escolha OK para fechar a caixa de diálogo Aplicativo cliente. Essa ação retorna à página Aplicativo do Assistente dos Serviços do Azure.

Caixa de diálogo Importar aplicativos (cliente)

Quando você seleciona Importar na caixa de diálogo Aplicativo cliente, ele abre a caixa de diálogo Importar aplicativos. Esta página permite inserir informações sobre um aplicativo nativo Microsoft Entra que já foi criado no portal do Azure. Ele importa metadados sobre esse aplicativo nativo para Configuration Manager. Especifique as seguintes informações:

• Nome do aplicativo: um nome amigável para o aplicativo.
• ID do cliente: o valor da ID do aplicativo (cliente) do registro do aplicativo. O formato é um GUID padrão.

Depois de inserir as informações, selecione Verificar. Em seguida, selecione OK para fechar a caixa de diálogo Importar aplicativos. Essa ação retorna à caixa de diálogo Aplicativo cliente.

Dica

Ao registrar o aplicativo no Microsoft Entra ID, talvez seja necessário especificar manualmente o seguinte URI de redirecionamento: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Especifique o GUID da ID do cliente do aplicativo, por exemplo: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Caixa de diálogo Criar Aplicativo cliente

Quando você seleciona Criar na caixa de diálogo Aplicativo cliente, ele abre a caixa de diálogo Criar Aplicativo cliente. Esta página automatiza a criação de um aplicativo nativo no Microsoft Entra ID. Especifique as seguintes informações:

• Nome do aplicativo: um nome amigável para o aplicativo.
• URL de resposta: esse valor não é usado por Configuration Manager, mas exigido por Microsoft Entra ID. Por padrão, esse valor é https://ConfigMgrService.

Selecione Entrar para autenticar no Azure como usuário administrativo. Essas credenciais não são salvas por Configuration Manager. Essa persona não requer permissões no Configuration Manager e não precisa ser a mesma conta que executa o Assistente dos Serviços do Azure. Depois de autenticar com êxito no Azure, a página mostra o Microsoft Entra nome do locatário para referência.

Selecione OK para criar o aplicativo nativo no Microsoft Entra ID e feche a caixa de diálogo Criar Aplicativo cliente. Essa ação retorna à caixa de diálogo Aplicativo cliente.

Configuração ou Descoberta

Depois de especificar os aplicativos web e nativos na página Aplicativos , o Assistente dos Serviços do Azure segue para uma página de Configuração ou Descoberta , dependendo do serviço ao qual você está se conectando. Os detalhes desta página variam de serviço para serviço. Para obter mais informações, confira um dos seguintes artigos:

• Serviço de gerenciamento de nuvem, página Descoberta: configurar Microsoft Entra descoberta de usuário

• Serviço do Conector do Log Analytics , página Configuração : configurar a conexão com o Log Analytics

• Microsoft Store para Empresas serviço, página Configurações: configurar Microsoft Store para Empresas sincronização

Por fim, conclua o Assistente dos Serviços do Azure por meio das páginas Resumo, Progresso e Conclusão. Você concluiu a configuração de um serviço do Azure em Configuration Manager. Repita esse processo para configurar outros serviços do Azure.

Atualizar as configurações do aplicativo

Para permitir que seus clientes Configuration Manager solicitem um token de dispositivo Microsoft Entra e habilitem as permissões de dados do diretório de leitura, você precisa atualizar as configurações do aplicativo do servidor Web.

1. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione o nó Microsoft Entra locatários.
2. Selecione o locatário Microsoft Entra para o aplicativo que você deseja atualizar.
3. Na seção Aplicativos, selecione seu Microsoft Entra aplicativo de servidor Web e selecione Atualizar Configurações do Aplicativo na faixa de opções.
4. Quando solicitado para confirmação, selecione Sim para confirmar se deseja atualizar o aplicativo com as configurações mais recentes.

Renovar chave secreta

Você precisa renovar a chave secreta do Microsoft Entra aplicativo antes do fim do período de validade. Se você deixar a chave expirar, Configuration Manager não poderá se autenticar com Microsoft Entra ID, o que fará com que os serviços conectados do Azure parem de funcionar.

A partir da versão 2006, o console Configuration Manager exibe notificações para as seguintes circunstâncias:

• Uma ou mais chaves secretas do aplicativo Microsoft Entra expirarão em breve
• Uma ou mais chaves de segredo do aplicativo Microsoft Entra expiraram

Para atenuar ambos os casos, renove a chave secreta.

Para obter mais informações sobre como interagir com essas notificações, consulte Configuration Manager notificações do console.

Observação

Você precisa ter pelo menos a função "Administrador de Aplicativos na Nuvem" Microsoft Entra atribuída para poder renovar a chave.

Renovar chave para o aplicativo criado

1. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione o nó Microsoft Entra locatários.

2. No painel Detalhes, selecione o locatário Microsoft Entra para o aplicativo.

3. Na faixa de opções, selecione Renovar Chave Secreta. Insira as credenciais do proprietário do aplicativo ou de um administrador Microsoft Entra.

Renovar chave para o aplicativo importado

Se você importou o aplicativo do Azure em Configuration Manager, use o portal do Azure para renovar. Observe a nova chave secreta e a data de validade. Adicione essas informações ao assistente Renovar Chave Secreta .

Observação

Salve a chave secreta antes de fechar a página Chave de propriedades do aplicativo do Azure. Essas informações são removidas quando você fecha a página.

Desabilitar a autenticação

A partir da versão 2010, você pode desabilitar Microsoft Entra autenticação para locatários não associados a usuários e dispositivos. Quando você integra Configuration Manager para Microsoft Entra ID, ele permite que o site e os clientes usem a autenticação moderna. Atualmente, Microsoft Entra autenticação de dispositivo está habilitada para todos os locatários integrados, independentemente de ter ou não dispositivos. Por exemplo, você tem um locatário separado com uma assinatura que você usa para recursos de computação para dar suporte a um gateway de gerenciamento de nuvem. Se não houver usuários ou dispositivos associados ao locatário, desabilite Microsoft Entra autenticação.

1. No console Configuration Manager, acesse o workspace Administração.

2. Expanda Serviços de Nuvem e selecione o nó serviços do Azure.

3. Selecione a conexão de destino do tipo Gerenciamento de Nuvem. Na faixa de opções, selecione Propriedades.

4. Alterne para a guia Aplicativos .

5. Selecione a opção Desabilitar Microsoft Entra autenticação para este locatário.

6. Selecione OK para salvar e fechar as propriedades de conexão.

Dica

Pode levar até 25 horas para que essa alteração entre em vigor nos clientes. Para fins de teste para acelerar essa alteração no comportamento, use as seguintes etapas:

1. Reinicie o serviço sms_executive no servidor do site.
2. Reinicie o serviço ccmexec no cliente.
3. Acione a agenda do cliente para atualizar o ponto de gerenciamento padrão. Por exemplo, use a ferramenta de agendamento de envio: SendSchedule {00000000-0000-0000-0000-000000000023}

Exibir a configuração de um serviço do Azure

Exiba as propriedades de um serviço do Azure que você configurou para uso. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione Serviços do Azure. Selecione o serviço que você deseja exibir ou editar e selecione Propriedades.

Se você selecionar um serviço e escolher Excluir na faixa de opções, essa ação excluirá a conexão em Configuration Manager. Ele não remove o aplicativo em Microsoft Entra ID. Peça ao administrador do Azure para excluir o aplicativo quando ele não for mais necessário. Ou execute o Assistente de Serviço do Azure para importar o aplicativo.

Fluxo de dados de gerenciamento de nuvem

O diagrama a seguir é um fluxo de dados conceitual para a interação entre Configuration Manager, Microsoft Entra ID e serviços de nuvem conectados. Este exemplo específico usa o serviço de Gerenciamento de Nuvem, que inclui um cliente Windows 10 e aplicativos de servidor e cliente. Os fluxos para outros serviços são semelhantes.

1. O administrador Configuration Manager importa ou cria os aplicativos cliente e servidor no Microsoft Entra ID.

2. Configuration Manager Microsoft Entra método de descoberta de usuário é executado. O site usa o token de aplicativo do servidor Microsoft Entra para consultar o Microsoft Graph em busca de objetos de usuário.

3. O site armazena dados sobre os objetos do usuário. Para obter mais informações, consulte Microsoft Entra descoberta de usuário.

4. O cliente Configuration Manager solicita o token de usuário Microsoft Entra. O cliente faz a declaração usando a ID do aplicativo do Microsoft Entra aplicativo cliente e o aplicativo de servidor como o público-alvo. Para obter mais informações, consulte Declarações em tokens de segurança Microsoft Entra.

5. O cliente se autentica com o site apresentando o token Microsoft Entra para o gateway de gerenciamento de nuvem e o ponto de gerenciamento habilitado para HTTPS local.

Para obter informações mais detalhadas, consulte Microsoft Entra fluxo de trabalho de autenticação.