Como configurar a integração do Azure
O Windows Admin Center dá suporte a vários recursos opcionais que se integram aos serviços do Azure. Saiba mais sobre as opções de integração do Azure disponíveis no Windows Admin Center.
Para permitir que o gateway do Windows Admin Center se comunique com o Azure a fim de aproveitar a autenticação do Microsoft Entra para acesso ao gateway ou para criar recursos do Azure em seu nome (por exemplo, para proteger as VMs gerenciadas no Windows Admin Center usando o Azure Site Recovery), primeiro, você precisará registrar o gateway do Windows Admin Center no Azure. Você só precisa fazer isso uma vez para o gateway do Windows Admin Center: a configuração é preservada quando você atualiza o gateway para uma versão mais recente.
Registrar seu gateway no Azure
Na primeira vez que você tentar usar um recurso de integração do Azure no Windows Admin Center, precisará registrar o gateway no Azure. Registre também o gateway acessando a guia Azure em Configurações do Windows Admin Center. Somente os administradores de gateway do Windows Admin Center podem registrar o gateway do Windows Admin Center no Azure. Saiba mais sobre as permissões de usuário e de administrador do Windows Admin Center.
As etapas guiadas no produto criarão um aplicativo Microsoft Entra no seu diretório, o que permite que o Windows Admin Center se comunique com o Azure. Para ver o aplicativo Microsoft Entra que é criado automaticamente, acesse a guia Azure das configurações do Windows Admin Center. O hiperlink Exibir no Azure permite ver o aplicativo Microsoft Entra no portal do Azure.
O aplicativo Microsoft Entra criado é usado para todos os pontos de integração do Azure no Windows Admin Center, incluindo a autenticação do Microsoft Entra com o gateway. O Windows Admin Center configura automaticamente as permissões necessárias para criar e gerenciar recursos do Azure em seu nome:
- Microsoft Graph
- Application.Read.All
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.Read.All
- Directory.ReadWrite.All
- User.Read
- APIs de Gerenciamento do Serviço o Azure
- user_impersonation
Configuração manual do aplicativo Microsoft Entra
Caso você deseje configurar um aplicativo Microsoft Entra manualmente, em vez de usar o aplicativo Microsoft Entra criado automaticamente pelo Windows Admin Center durante o processo de registro do gateway, siga as etapas a seguir.
Conceda ao aplicativo Microsoft Entra as permissões de API necessárias listadas acima. Faça isso navegando até o aplicativo Microsoft Entra no portal do Azure. Vá para o portal do Azure >Microsoft Entra ID>App registrations> e selecione o aplicativo Microsoft Entra que você deseja usar. Em seguida, acesse a guia Permissões de API e adicione as permissões de API listadas acima.
Adicione a URL do gateway do Windows Admin Center às URLs de resposta (também conhecidas como URIs de redirecionamento). Navegue até o aplicativo Microsoft Entra e vá para Manifesto. Localize a chave "replyUrlsWithType" no manifesto. Dentro da chave, adicione um objeto que contém duas chaves: "url" e "type". A chave "url" deve ter um valor da URL do gateway do Windows Admin Center, acrescentando um curinga ao final. A chave "type" deve ter o valor "Web". Por exemplo:
"replyUrlsWithType": [ { "url": "http://localhost:6516/*", "type": "Single-Page Application" } ],
Observação
Se você tiver o Microsoft Defender Application Guard habilitado no navegador, não poderá registrar o Windows Admin Center no Azure nem entrar no Azure.
Solução do erro de aplicativo de página única na entrada do Azure
Se você atualizou recentemente sua instância do Windows Admin Center para uma versão mais recente, e seu gateway foi registrado anteriormente no Azure, você pode encontrar um erro informando que o o resgate do token de origem cruzada é permitido apenas para o tipo de cliente “Aplicativo de página única'" ao entrar no Azure. Isso ocorre porque o Windows Admin Center alterou a maneira como executamos a autenticação com base nas orientações gerais da Microsoft. Onde anteriormente usávamos o fluxo de concessão implícita, agora usamos o fluxo de código de autorização.
Se quiser continuar usando seu registro de aplicativo existente para o aplicativo do Windows Admin Center, use o centro de administração do Microsoft Entra para atualizar os URIs de redirecionamento do registro para a plataforma de aplicativo de página única (SPA). Isso habilita o fluxo de código de autorização com suporte para PKCE (chave de prova de para intercâmbio de código) e CORS (compartilhamento de recursos entre origens) para aplicativos que usam esse registro.
Siga estas etapas para os registros de aplicativo que estão configurados atualmente com URIs de redirecionamento da plataforma Web:
- Entre no Centro de administração do Microsoft Entra.
- Navegue até Identidade > Aplicativos > Registros de aplicativo, selecione o aplicativo e Autenticação.
- No bloco da plataforma Web, em URIs de redirecionamento, selecione a faixa de aviso indicando que você deve migrar seus URIs.
- Selecione o URI de redirecionamento do seu aplicativo e depois selecione Configurar. Esses URIs de redirecionamento agora devem aparecer no bloco da plataforma aplicativo de página única, mostrando que o suporte a CORS com o fluxo do código de autorização e o PKCE está habilitado para esses URIs.
Em vez de atualizar os URIs existentes, você pode criar um novo registro de aplicativo para seu gateway. Os registros de aplicativos recém-criados para o Windows Admin Center por meio do fluxo de registro do gateway criam URIs de redirecionamento de plataforma do Aplicativo de Página Única.
Se você não puder migrar os URIs de redirecionamento do registro do aplicativo para usar o fluxo de código de autenticação, poderá continuar a usar o registro de aplicativo existente como está. Para isso, você deve cancelar o registro do gateway do Windows Admin Center e registrar novamente com a mesma ID de registro de aplicativo.