Configurar serviços do Azure para uso com Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

Use o Assistente dos Serviços do Azure para simplificar o processo de configuração dos serviços de nuvem do Azure que você usa com Configuration Manager. Esse assistente fornece uma experiência de configuração comum usando registros de aplicativo Web do Azure Active Directory (Azure AD). Esses aplicativos fornecem detalhes de assinatura e configuração e autenticam comunicações com Azure AD. O aplicativo substitui a inserção dessas mesmas informações sempre que você configura um novo componente ou serviço de Configuration Manager com o Azure.

Serviços disponíveis

Configure os seguintes serviços do Azure usando este assistente:

• Gerenciamento de Nuvem: esse serviço permite que o site e os clientes se autentiquem usando Azure AD. Essa autenticação permite outros cenários, como:

  • Instalar e atribuir clientes Configuration Manager usando Azure AD para autenticação

  • Configurar Azure AD Descoberta de Usuário

  • Configurar Azure AD descoberta de grupo de usuários

  • Suporte a determinados cenários de gateway de gerenciamento de nuvem

    Dica

    Para obter mais informações específicas para o gerenciamento de nuvem, consulte Configurar o Azure Active Directory para gateway de gerenciamento de nuvem.

  • Notificações por email de aprovação do aplicativo

• Conector do Log Analytics: conecte-se ao Azure Log Analytics. Sincronizar dados de coleta com o Log Analytics.

  Importante

  Este artigo refere-se ao Conector do Log Analytics, que anteriormente era chamado de Conector OMS. Esse recurso foi preterido em novembro de 2020. Ele foi removido do Configuration Manager na versão 2107. Para obter mais informações, consulte Recursos removidos e preteridos.

• Microsoft Store para Empresas: conecte-se ao Microsoft Store para Empresas. Obtenha aplicativos de armazenamento para sua organização que você pode implantar com Configuration Manager.

• Gerenciamento de Serviços de Administração: ao configurar o Azure Services, para maior segurança, você pode selecionar a opção Gerenciamento de Serviços de Administração. Selecionar essa opção permite que os administradores segmentem seus privilégios de administrador entre o gerenciamento de nuvem e o serviço de administração. Ao habilitar essa opção, o acesso é restrito apenas a pontos de extremidade de serviço de administração. Os clientes de Gerenciamento de Configuração serão autenticados no site usando o Azure Active Directory. (versão 2207 ou posterior)

  Observação

  Somente os clientes do CMG VMSS podem habilitar a opção de gerenciamento de serviço administrativo. Essa opção não é aplicável para clientes CMG clássicos.

Detalhes do serviço

A tabela a seguir lista detalhes sobre cada um dos serviços.

• Locatários: o número de instâncias de serviço que você pode configurar. Cada instância deve ser um locatário Azure AD distinto.

• Nuvens: todos os serviços dão suporte à nuvem global do Azure, mas nem todos os serviços dão suporte a nuvens privadas, como a nuvem do Governo dos EUA do Azure.

• Aplicativo Web: se o serviço usa um aplicativo Azure AD do tipo aplicativo Web/API, também conhecido como um aplicativo de servidor no Configuration Manager.

• Aplicativo nativo: se o serviço usa um aplicativo Azure AD do tipo Native, também conhecido como um aplicativo cliente no Configuration Manager.

• Ações: se você pode importar ou criar esses aplicativos no assistente Configuration Manager serviços do Azure.

Serviço	Locatários	Nuvens	Aplicativo Web	Aplicativo nativo	Ações
Gerenciamento de nuvem com descoberta de Azure AD	Vários	Público, Privado			Importar, Criar
Conector do Log Analytics	Um	Público, Privado			Importar
Microsoft Store para Business	Um	Público			Importar, Criar

Sobre Azure AD aplicativos

Diferentes serviços do Azure exigem configurações distintas, que você faz no portal do Azure. Além disso, os aplicativos para cada serviço podem exigir permissões separadas para os recursos do Azure.

Você pode usar um único aplicativo para mais de um serviço. Há apenas um objeto a ser gerenciado em Configuration Manager e Azure AD. Quando a chave de segurança no aplicativo expirar, você só precisa atualizar uma chave.

Quando você cria serviços adicionais do Azure no assistente, Configuration Manager é projetado para reutilizar informações comuns entre os serviços. Esse comportamento ajuda você a precisar inserir as mesmas informações mais de uma vez.

Para obter mais informações sobre as permissões e configurações de aplicativo necessárias para cada serviço, consulte o artigo Configuration Manager relevante nos serviços disponíveis.

Para obter mais informações sobre aplicativos do Azure, comece com os seguintes artigos:

• Autenticação e autorização em Serviço de Aplicativo do Azure
• visão geral Aplicativos Web
• Noções básicas de como registrar um aplicativo no Azure AD
• Registrar seu aplicativo com seu locatário do Azure Active Directory

Antes de começar

Depois de decidir o serviço ao qual deseja se conectar, consulte a tabela em Detalhes do serviço. Esta tabela fornece informações necessárias para concluir o Assistente de Serviço do Azure. Tenha uma discussão antecipada com o administrador do Azure AD. Decida qual das seguintes ações a serem executadas:

• Crie manualmente os aplicativos com antecedência no portal do Azure. Em seguida, importe os detalhes do aplicativo para Configuration Manager.

  Dica

  Para obter mais informações específicas do gerenciamento de nuvem, consulte Registrar manualmente aplicativos do Azure Active Directory para o gateway de gerenciamento de nuvem.

• Use Configuration Manager para criar diretamente os aplicativos no Azure AD. Para coletar os dados necessários de Azure AD, examine as informações nas outras seções deste artigo.

Alguns serviços exigem que os aplicativos Azure AD tenham permissões específicas. Examine as informações de cada serviço para determinar as permissões necessárias. Por exemplo, antes de importar um aplicativo Web, um administrador do Azure deve primeiro criá-lo no portal do Azure.

Ao configurar o Conector do Log Analytics, forneça ao colaborador do aplicativo Web recém-registrado permissão no grupo de recursos que contém o workspace relevante. Essa permissão permite que Configuration Manager acessem esse workspace. Ao atribuir a permissão, pesquise o nome do registro do aplicativo na área Adicionar usuários do portal do Azure. Esse processo é o mesmo que ao fornecer Configuration Manager com permissões para o Log Analytics. Um administrador do Azure deve atribuir essas permissões antes de importar o aplicativo para Configuration Manager.

Iniciar o assistente dos Serviços do Azure

1. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione o nó serviços do Azure.

2. Na guia Página Inicial da faixa de opções, no grupo serviços do Azure , selecione Configurar Serviços do Azure.

3. Na página Serviços do Azure do Assistente dos Serviços do Azure:

   1. Especifique um Nome para o objeto em Configuration Manager.

   2. Especifique uma Descrição opcional para ajudá-lo a identificar o serviço.

   3. Selecione o serviço do Azure com o qual você deseja se conectar Configuration Manager.

4. Selecione Avançar para continuar na página de propriedades do aplicativo do Azure do Assistente dos Serviços do Azure.

Propriedades do aplicativo do Azure

Na página Aplicativo do Assistente dos Serviços do Azure, primeiro selecione o ambiente do Azure na lista. Consulte a tabela em Detalhes do serviço para qual ambiente está disponível no momento para o serviço.

O restante da página Aplicativo varia dependendo do serviço específico. Consulte a tabela em Detalhes do serviço para qual tipo de aplicativo o serviço usa e qual ação você pode usar.

• Se o aplicativo der suporte à importação e criar ações, selecione Procurar. Essa ação abre a caixa de diálogo Aplicativo do Servidor ou a caixa de diálogo Aplicativo Cliente.

• Se o aplicativo só dá suporte à ação de importação, selecione Importar. Esta ação abre a caixa de diálogo Importar Aplicativos (servidor) ou a caixa de diálogo Importar Aplicativos (cliente).

Depois de especificar os aplicativos nesta página, selecione Avançar para continuar na página Configuração ou Descoberta do Assistente dos Serviços do Azure.

Aplicativo Web

Este aplicativo é o Azure AD tipo aplicativo Web/API, também conhecido como um aplicativo de servidor no Configuration Manager.

Caixa de diálogo aplicativo do servidor

Quando você seleciona Procurar o aplicativo Web na página Aplicativo do Assistente dos Serviços do Azure, ele abre a caixa de diálogo Aplicativo do Servidor. Ele exibe uma lista que mostra as seguintes propriedades de todos os aplicativos Web existentes:

• Nome amigável do locatário
• Nome amigável do aplicativo
• Tipo de Serviço

Há três ações que você pode executar na caixa de diálogo do aplicativo Server:

• Para reutilizar um aplicativo Web existente, selecione-o na lista.
• Selecione Importar para abrir a caixa de diálogo Importar aplicativos.
• Selecione Criar para abrir a caixa de diálogo Criar Aplicativo do Servidor.

Depois de selecionar, importar ou criar um aplicativo Web, selecione OK para fechar a caixa de diálogo Aplicativo do Servidor. Essa ação retorna à página Aplicativo do Assistente dos Serviços do Azure.

Caixa de diálogo Importar aplicativos (servidor)

Quando você seleciona Importar na caixa de diálogo Aplicativo do Servidor ou na página Aplicativo do Assistente dos Serviços do Azure, ele abre a caixa de diálogo Importar aplicativos. Esta página permite inserir informações sobre um aplicativo Web Azure AD que já foi criado no portal do Azure. Ele importa metadados sobre esse aplicativo Web para Configuration Manager. Especifique as seguintes informações:

• Azure AD Nome do Locatário: o nome do locatário do Azure AD.
• Azure AD ID do Locatário: o GUID de seu locatário Azure AD.
• Nome do aplicativo: um nome amigável para o aplicativo, o nome de exibição no registro do aplicativo.
• ID do cliente: o valor da ID do aplicativo (cliente) do registro do aplicativo. O formato é um GUID padrão.
• Chave Secreta: você precisa copiar a chave secreta ao registrar o aplicativo no Azure AD.
• Expiração da Chave Secreta: selecione uma data futura do calendário.
• URI da ID do aplicativo: esse valor precisa ser exclusivo em seu locatário Azure AD. Ele está no token de acesso usado pelo Configuration Manager cliente para solicitar acesso ao serviço. O valor é o URI de ID do aplicativo da entrada de registro do aplicativo no portal Azure AD.

Depois de inserir as informações, selecione Verificar. Em seguida, selecione OK para fechar a caixa de diálogo Importar aplicativos. Essa ação retorna à página Aplicativo do Assistente dos Serviços do Azure ou à caixa de diálogo Aplicativo do Servidor.

Importante

Ao usar um aplicativo importado do Azure AD, você não será notificado da data de validade futura por meio das notificações do console.

Caixa de diálogo Criar Aplicativo do Servidor

Quando você seleciona Criar na caixa de diálogo Aplicativo do Servidor, ele abre a caixa de diálogo Criar Aplicativo do Servidor. Esta página automatiza a criação de um aplicativo Web no Azure AD. Especifique as seguintes informações:

• Nome do aplicativo: um nome amigável para o aplicativo.

• URL da Página Inicial: esse valor não é usado por Configuration Manager, mas exigido por Azure AD. Por padrão, esse valor é https://ConfigMgrService.

• URI da ID do aplicativo: esse valor precisa ser exclusivo em seu locatário Azure AD. Ele está no token de acesso usado pelo Configuration Manager cliente para solicitar acesso ao serviço. Por padrão, esse valor é https://ConfigMgrService. Altere o padrão para um dos seguintes formatos recomendados:

  • api://{tenantId}/{string}, por exemplo, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}, por exemplo, https://contoso.onmicrosoft.com/ConfigMgrService

• Período de validade da Chave Secreta: escolha 1 ano ou 2 anos na lista suspensa. Um ano é o valor padrão.

  Observação

  Você pode ver uma opção para Nunca, mas Azure AD não dá mais suporte a ela. Se você tiver selecionado essa opção anteriormente, a data de validade agora será definida para 99 anos a partir da data em que você a criou.

Selecione Entrar para autenticar no Azure como usuário administrativo. Essas credenciais não são salvas por Configuration Manager. Essa persona não requer permissões no Configuration Manager e não precisa ser a mesma conta que executa o Assistente dos Serviços do Azure. Depois de autenticar com êxito no Azure, a página mostra o Azure AD Nome do Locatário para referência.

Selecione OK para criar o aplicativo Web no Azure AD e feche a caixa de diálogo Criar Aplicativo do Servidor. Essa ação retorna à caixa de diálogo do aplicativo Server.

Observação

Se você tiver uma política de acesso condicional Azure AD definida e se aplicar a todos os aplicativos de Nuvem , você deverá excluir o aplicativo de servidor criado dessa política. Para obter mais informações sobre como excluir aplicativos específicos, consulte Azure AD Documentação de Acesso Condicional.

Aplicativo Native Client

Este aplicativo é o tipo Azure AD Native, também conhecido como um aplicativo cliente no Configuration Manager.

Caixa de diálogo Aplicativo cliente

Quando você seleciona Procurar o aplicativo Cliente Nativo na página Aplicativo do Assistente dos Serviços do Azure, ele abre a caixa de diálogo Aplicativo cliente. Ele exibe uma lista que mostra as seguintes propriedades de todos os aplicativos nativos existentes:

• Nome amigável do locatário
• Nome amigável do aplicativo
• Tipo de Serviço

Há três ações que você pode executar na caixa de diálogo Aplicativo Cliente:

• Para reutilizar um aplicativo nativo existente, selecione-o na lista.
• Selecione Importar para abrir a caixa de diálogo Importar aplicativos.
• Selecione Criar para abrir a caixa de diálogo Criar Aplicativo cliente.

Depois de selecionar, importar ou criar um aplicativo nativo, escolha OK para fechar a caixa de diálogo Aplicativo cliente. Essa ação retorna à página Aplicativo do Assistente dos Serviços do Azure.

Caixa de diálogo Importar aplicativos (cliente)

Quando você seleciona Importar na caixa de diálogo Aplicativo cliente, ele abre a caixa de diálogo Importar aplicativos. Esta página permite inserir informações sobre um aplicativo nativo Azure AD que já foi criado no portal do Azure. Ele importa metadados sobre esse aplicativo nativo para Configuration Manager. Especifique as seguintes informações:

• Nome do aplicativo: um nome amigável para o aplicativo.
• ID do cliente: o valor da ID do aplicativo (cliente) do registro do aplicativo. O formato é um GUID padrão.

Depois de inserir as informações, selecione Verificar. Em seguida, selecione OK para fechar a caixa de diálogo Importar aplicativos. Essa ação retorna à caixa de diálogo Aplicativo cliente.

Dica

Ao registrar o aplicativo no Azure AD, talvez seja necessário especificar manualmente o seguinte URI de redirecionamento: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Especifique o GUID da ID do cliente do aplicativo, por exemplo: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Caixa de diálogo Criar Aplicativo cliente

Quando você seleciona Criar na caixa de diálogo Aplicativo cliente, ele abre a caixa de diálogo Criar Aplicativo cliente. Esta página automatiza a criação de um aplicativo nativo no Azure AD. Especifique as seguintes informações:

• Nome do aplicativo: um nome amigável para o aplicativo.
• URL de resposta: esse valor não é usado por Configuration Manager, mas exigido por Azure AD. Por padrão, esse valor é https://ConfigMgrService.

Selecione Entrar para autenticar no Azure como usuário administrativo. Essas credenciais não são salvas por Configuration Manager. Essa persona não requer permissões no Configuration Manager e não precisa ser a mesma conta que executa o Assistente dos Serviços do Azure. Depois de autenticar com êxito no Azure, a página mostra o Azure AD Nome do Locatário para referência.

Selecione OK para criar o aplicativo nativo no Azure AD e feche a caixa de diálogo Criar Aplicativo cliente. Essa ação retorna à caixa de diálogo Aplicativo cliente.

Configuração ou Descoberta

Depois de especificar os aplicativos web e nativos na página Aplicativos , o Assistente dos Serviços do Azure segue para uma página de Configuração ou Descoberta , dependendo do serviço ao qual você está se conectando. Os detalhes desta página variam de serviço para serviço. Para obter mais informações, confira um dos seguintes artigos:

• Serviço de Gerenciamento de Nuvem, página Descoberta: Configurar Azure AD Descoberta de Usuário

• Serviço do Conector do Log Analytics , página Configuração : configurar a conexão com o Log Analytics

• Microsoft Store para Empresas serviço, página Configurações: configurar Microsoft Store para Empresas sincronização

Por fim, conclua o Assistente dos Serviços do Azure por meio das páginas Resumo, Progresso e Conclusão. Você concluiu a configuração de um serviço do Azure em Configuration Manager. Repita esse processo para configurar outros serviços do Azure.

Atualizar as configurações do aplicativo

Para permitir que seus clientes Configuration Manager solicitem um token de dispositivo Azure AD e habilitem as permissões de dados do diretório de leitura, você precisa atualizar as configurações do aplicativo do servidor Web.

1. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione o nó Locatários do Azure Active Directory.
2. Selecione o locatário Azure AD para o aplicativo que você deseja atualizar.
3. Na seção Aplicativos, selecione seu Azure AD aplicativo de servidor Web e selecione Atualizar Configurações do Aplicativo na faixa de opções.
4. Quando solicitado para confirmação, selecione Sim para confirmar se deseja atualizar o aplicativo com as configurações mais recentes.

Renovar chave secreta

Você precisa renovar a chave secreta do Azure AD aplicativo antes do fim do período de validade. Se você deixar a chave expirar, Configuration Manager não poderá se autenticar com Azure AD, o que fará com que os serviços conectados do Azure parem de funcionar.

A partir da versão 2006, o console Configuration Manager exibe notificações para as seguintes circunstâncias:

• Uma ou mais chaves secretas do aplicativo Azure AD expirarão em breve
• Uma ou mais chaves de segredo do aplicativo Azure AD expiraram

Para atenuar ambos os casos, renove a chave secreta.

Para obter mais informações sobre como interagir com essas notificações, consulte Configuration Manager notificações do console.

Observação

Você precisa ter pelo menos a função "Administrador de Aplicativos na Nuvem" Azure AD atribuída para poder renovar a chave.

Renovar chave para o aplicativo criado

1. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione o nó Locatários do Azure Active Directory.

2. No painel Detalhes, selecione o locatário Azure AD para o aplicativo.

3. Na faixa de opções, selecione Renovar Chave Secreta. Insira as credenciais do proprietário do aplicativo ou de um administrador de Azure AD.

Renovar chave para o aplicativo importado

Se você importou o aplicativo do Azure em Configuration Manager, use o portal do Azure para renovar. Observe a nova chave secreta e a data de validade. Adicione essas informações ao assistente Renovar Chave Secreta .

Observação

Salve a chave secreta antes de fechar a página Chave de propriedades do aplicativo do Azure. Essas informações são removidas quando você fecha a página.

Desabilitar a autenticação

A partir da versão 2010, você pode desabilitar Azure AD autenticação para locatários não associados a usuários e dispositivos. Quando você integra Configuration Manager para Azure AD, ele permite que o site e os clientes usem a autenticação moderna. Atualmente, Azure AD autenticação de dispositivo está habilitada para todos os locatários integrados, quer tenha ou não dispositivos. Por exemplo, você tem um locatário separado com uma assinatura que você usa para recursos de computação para dar suporte a um gateway de gerenciamento de nuvem. Se não houver usuários ou dispositivos associados ao locatário, desabilite Azure AD autenticação.

1. No console Configuration Manager, acesse o workspace Administração.

2. Expanda Serviços de Nuvem e selecione o nó serviços do Azure.

3. Selecione a conexão de destino do tipo Gerenciamento de Nuvem. Na faixa de opções, selecione Propriedades.

4. Alterne para a guia Aplicativos .

5. Selecione a opção para desabilitar a autenticação do Azure Active Directory para esse locatário.

6. Selecione OK para salvar e fechar as propriedades de conexão.

Dica

Pode levar até 25 horas para que essa alteração entre em vigor nos clientes. Para fins de teste para acelerar essa alteração no comportamento, use as seguintes etapas:

1. Reinicie o serviço sms_executive no servidor do site.
2. Reinicie o serviço ccmexec no cliente.
3. Acione a agenda do cliente para atualizar o ponto de gerenciamento padrão. Por exemplo, use a ferramenta de agendamento de envio: SendSchedule {00000000-0000-0000-0000-000000000023}

Exibir a configuração de um serviço do Azure

Exiba as propriedades de um serviço do Azure que você configurou para uso. No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione Serviços do Azure. Selecione o serviço que você deseja exibir ou editar e selecione Propriedades.

Se você selecionar um serviço e escolher Excluir na faixa de opções, essa ação excluirá a conexão em Configuration Manager. Ele não remove o aplicativo no Azure AD. Peça ao administrador do Azure para excluir o aplicativo quando ele não for mais necessário. Ou execute o Assistente de Serviço do Azure para importar o aplicativo.

Fluxo de dados de gerenciamento de nuvem

O diagrama a seguir é um fluxo de dados conceitual para a interação entre Configuration Manager, Azure AD e serviços de nuvem conectados. Este exemplo específico usa o serviço de Gerenciamento de Nuvem, que inclui um cliente Windows 10 e aplicativos de servidor e cliente. Os fluxos para outros serviços são semelhantes.

1. O administrador Configuration Manager importa ou cria os aplicativos cliente e servidor no Azure AD.

2. Configuration Manager Azure AD método de descoberta de usuário é executado. O site usa o token de aplicativo do servidor Azure AD para consultar Microsoft Graph para objetos de usuário.

3. O site armazena dados sobre os objetos do usuário. Para obter mais informações, consulte Azure AD Descoberta de Usuário.

4. O cliente Configuration Manager solicita o token de usuário Azure AD. O cliente faz a declaração usando a ID do aplicativo do Azure AD aplicativo cliente e o aplicativo do servidor como público-alvo. Para obter mais informações, consulte Declarações em tokens de segurança Azure AD.

5. O cliente se autentica com o site apresentando o token Azure AD para o gateway de gerenciamento de nuvem e o ponto de gerenciamento habilitado para HTTPS local.

Para obter informações mais detalhadas, consulte Azure AD fluxo de trabalho de autenticação.