Настройка Microsoft Entra ID для CMG

Относится к Configuration Manager (Current Branch)

Второй основной шаг для настройки шлюза управления облаком (CMG) — интеграция сайта Configuration Manager с клиентом Microsoft Entra. Такая интеграция позволяет сайту проходить проверку подлинности с помощью Microsoft Entra ID, который он использует для развертывания и мониторинга службы CMG. Если на следующем шаге вы выберете Microsoft Entra метод проверки подлинности для клиентов, эта интеграция является необходимым условием для этого метода проверки подлинности.

Совет

В этой статье содержатся инструкции по интеграции сайта специально для шлюза управления облаком. Дополнительные сведения об этом процессе и других способах использования узла служб Azure в консоли Configuration Manager см. в разделе Настройка служб Azure.

При интеграции сайта вы создаете регистрации приложений в Microsoft Entra ID. CmG требует двух регистраций приложений:

• Веб-приложение (в Configuration Manager также называется серверным приложением)
• Собственное приложение (в Configuration Manager также называется клиентским приложением)

Существует два метода создания этих приложений, для которых требуется Microsoft Entra глобальный администратор.

• Используйте Configuration Manager для автоматизации создания приложений при интеграции сайта.
• Заранее создайте приложения вручную, а затем импортируйте их при интеграции сайта.

В этой статье в основном используется первый метод. Дополнительные сведения о другом методе см. в разделе Ручная регистрация приложений Microsoft Entra для CMG.

Перед началом работы убедитесь, что у вас есть Microsoft Entra глобальный администратор.

Важно!

• Роль глобального администратора Microsoft Entra является ролью с высоким уровнем привилегий и должна использоваться только в том случае, если нельзя использовать другую роль. Для этой функции требуется роль глобального администратора. Для других функций корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Дополнительные сведения см. в статье Основы ролевого администрирования для Configuration Manager.
• Если вы планируете импортировать предварительно созданные регистрации приложений, сначала необходимо создать их в Microsoft Entra ID. Начните со статьи, чтобы вручную зарегистрировать приложения Microsoft Entra для CMG. Затем вернитесь к этой статье, чтобы запустить мастер служб Azure и импортировать приложения в Configuration Manager.

Назначение регистраций приложений

Эти две Microsoft Entra регистрации приложений представляют серверную и клиентную стороны CMG.

• Клиентское приложение представляет управляемые клиенты и пользователей, которые подключаются к шлюзу управления облачными клиентами. Он определяет, к каким ресурсам у них есть доступ в Azure, включая само CMG.

• Серверное приложение представляет компоненты CMG, размещенные в Azure. Он определяет, к каким ресурсам у них есть доступ в Azure. Серверное приложение используется для упрощения проверки подлинности и авторизации управляемых клиентов, пользователей и точки подключения CMG к компонентам CMG на основе Azure. Это взаимодействие включает трафик к локальным точкам управления и точкам обновления программного обеспечения, начальной подготовке CMG в Azure и обнаружению Microsoft Entra.

Если клиенты используют выданные PKI сертификаты проверки подлинности клиента, то два клиентских приложения не используются для действий, ориентированных на устройство. Например, распространение программного обеспечения, предназначенное для коллекции устройств. Действия, ориентированные на пользователя, всегда используют эти две регистрации приложений для проверки подлинности и авторизации.

Запуск мастера служб Azure

1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Службы Azure.

2. На вкладке Главная ленты в группе службы Azure* выберите Настроить службы Azure.

3. На странице службы Azure мастера служб Azure:

   1. Укажите имя объекта в Configuration Manager. Это имя предназначено только для идентификации соединения в Configuration Manager.

   2. Укажите необязательное описание для дальнейшего определения этого подключения к службе.

   3. Выберите службу "Управление облаком ".

4. На странице Приложениямастера служб Azure выберите среду Azure для своего клиента:

   • AzurePublicCloud. Ваш клиент находится в глобальном Azure облаке.
   • AzureUSGovernmentCloud: ваш клиент находится в облаке Azure сша для государственных организаций.

Создание регистрации веб-(серверного) приложения

1. На странице Приложение в окне мастера служб Azure для веб-приложения нажмите кнопку Обзор.

2. В окне Серверное приложение выберите Создать, чтобы использовать Configuration Manager для автоматизации создания приложения.

3. В окне Создание серверного приложения укажите следующие сведения:

   • Имя приложения: понятное имя приложения.

   • URL-адрес homePage. Это значение не используется Configuration Manager, но требуется для Microsoft Entra ID. По умолчанию это значение равно https://ConfigMgrService.

   • URI идентификатора приложения. Это значение должно быть уникальным в клиенте Microsoft Entra. Он находится в маркере доступа, используемом клиентом Configuration Manager для запроса доступа к службе. По умолчанию это значение равно https://ConfigMgrService. Измените значение по умолчанию на один из следующих рекомендуемых форматов:

     • api://{tenantId}/{string}, например api://aaaabbbb-0000-cccc-1111-dddd2222eeee/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}, например https://contoso.onmicrosoft.com/ConfigMgrService

   • Срок действия секретного ключа: в раскрывающемся списке выберите 1 год или 2 года . Один год является значением по умолчанию.

   • учетная запись Microsoft Entra администратора. Выберите Войти, чтобы пройти проверку подлинности, чтобы Microsoft Entra ID в качестве глобального администратора. Configuration Manager не сохраняет эти учетные данные. Для этого пользователя не требуются разрешения в Configuration Manager, и он не должен быть той же учетной записью, которая запускает мастер служб Azure. После успешной проверки подлинности в Azure на странице отображается имя клиента Microsoft Entra для справки.

4. Нажмите кнопку ОК, чтобы создать веб-приложение в Microsoft Entra ID и закрыть окно Создание серверного приложения.

5. В окне Серверное приложение убедитесь, что выбрано новое приложение, а затем нажмите кнопку ОК , чтобы сохранить и закрыть окно.

Примечание.

Начиная с Configuration Manager текущей версии ветви 2309, мы имеем повышенную безопасность веб-(серверного) приложения для создания шлюза управления облачными клиентами. Для создания нового шлюза управления облачными клиентами пользователи могут выбрать клиент и имя приложения, используя имя клиента Microsoft Entra. После выбора имени клиента и приложения появится кнопка входа, следуйте остальной части процесса в рамках настройки CMG.

Существующие клиенты CMG должны обновить свое веб-серверное приложение, перейдя к узлу Microsoft Entra клиентов.> Выберите клиент ,> выберите серверное приложение .> Щелкните "Обновить параметры приложения".

Создание регистрации собственного (клиентского) приложения

1. На странице Приложение в окне мастера служб Azure для собственного клиентского приложения выберите Обзор.

2. В окне Клиентское приложение выберите Создать, чтобы использовать Configuration Manager для автоматизации создания приложения.

3. В окне Создание клиентского приложения укажите следующие сведения:

   • Имя приложения: понятное имя приложения.

   • учетная запись Microsoft Entra администратора. Выберите Войти, чтобы пройти проверку подлинности, чтобы Microsoft Entra ID в качестве глобального администратора. Configuration Manager не сохраняет эти учетные данные. Для этого пользователя не требуются разрешения в Configuration Manager, и он не должен быть той же учетной записью, которая запускает мастер служб Azure. После успешной проверки подлинности в Azure на странице отображается имя клиента Microsoft Entra для справки.

4. Нажмите кнопку ОК, чтобы создать собственное приложение в Microsoft Entra ID и закрыть окно Создание клиентского приложения.

5. В окне Клиентское приложение убедитесь, что выбрано новое приложение, а затем нажмите кнопку ОК , чтобы сохранить и закрыть окно.

Завершение работы мастера служб Azure

1. В мастере служб Azure убедитесь, что значения веб-приложения и собственного клиентского приложения завершены. Нажмите кнопку Далее, чтобы продолжить.

2. Страница "Обнаружение " мастера необходима только в некоторых сценариях. Это необязательно при подключении сайта к Microsoft Entra ID и не требуется для создания CMG. Если он вам нужен для поддержки определенных функций в вашей среде, вы можете включить его позже.

   Дополнительные сведения о сценариях CMG, для которых может потребоваться обнаружение Microsoft Entra пользователей, см. в разделах Настройка проверки подлинности клиента: Microsoft Entra ID и Установка клиентов с помощью Microsoft Entra ID.

   Дополнительные сведения об этом методе обнаружения см. в разделе Настройка Microsoft Entra обнаружения пользователей.

3. Просмотрите параметры и завершите работу мастера.

Когда мастер закроется, вы увидите новое подключение в узле службы Azure. Вы также можете просмотреть регистрации клиентов и приложений в узле Microsoft Entra tenants консоли Configuration Manager.

Отключение проверки подлинности Microsoft Entra для клиентов, не относящихся к устройствам или пользователям

Если ваши устройства находятся в клиенте Microsoft Entra, который отделен от клиента с подпиской на вычислительные ресурсы CMG, можно отключить проверку подлинности для клиентов, не связанных с пользователями и устройствами.

1. Откройте свойства службы управления облаком .

2. Перейдите на вкладку Приложения .

3. Выберите параметр Отключить проверку подлинности Microsoft Entra для этого клиента.

Дополнительные сведения см. в разделе Настройка служб Azure.

Настройка поставщиков ресурсов Azure

Служба CMG требует регистрации определенных поставщиков ресурсов в подписке Azure. При развертывании шлюза управления облачными клиентами в масштабируемом наборе виртуальных машин зарегистрируйте следующие поставщики ресурсов:

• Microsoft.KeyVault
• Microsoft.Storage
• Microsoft.Network
• Microsoft.Compute

Примечание.

Если вы ранее развернули CMG с помощью классической облачной службы, для подписки на Azure требуются следующие два поставщика ресурсов:

• Microsoft.ClassicCompute
• Microsoft.Storage

Начиная с версии 2203 возможность развертывания CMG в качестве облачной службы (классической) удаляется. Все развертывания CMG должны использовать масштабируемый набор виртуальных машин. Дополнительные сведения см. в статье Удаленные и нерекомендуемые функции.

Вашей учетной записи Microsoft Entra требуется разрешение на выполнение /register/action операции с поставщиком ресурсов. По умолчанию роли участник и владелец включают это разрешение.

Следующие шаги обобщают процесс регистрации поставщика ресурсов. Дополнительные сведения см. в разделе поставщиков и типов ресурсов Azure.

1. Войдите на портал Azure.

2. В меню портал Azure найдите Подписки. Выберите его из доступных параметров.

3. Выберите подписку, которую вы хотите просмотреть.

4. В меню слева в разделе Параметры выберите Поставщики ресурсов.

5. Найдите поставщика ресурсов, который требуется зарегистрировать, и выберите Зарегистрировать. Чтобы сохранить минимальные привилегии в подписке, регистрируйте только те поставщики ресурсов, которые вы готовы использовать.

Автоматизация с помощью PowerShell

При необходимости можно автоматизировать аспекты этих конфигураций с помощью PowerShell.

1. Используйте командлет Import-CMAADServerApplication, чтобы определить Microsoft Entra веб-приложение или серверное приложение в Configuration Manager.

2. Используйте командлет Import-CMAADClientApplication для определения Microsoft Entra собственного или клиентского приложения в Configuration Manager.

3. Используйте командлет Get-CMAADApplication , чтобы получить импортированные объекты приложения.

4. Затем передайте объекты приложения в командлет New-CMCloudManagementAzureService, чтобы создать службу Azure для управления облаком в Configuration Manager.

Дальнейшие действия

Продолжите настройку CMG, решив, какой тип проверки подлинности клиента следует использовать:

Настройка проверки подлинности клиента