Настройка идентификатора Microsoft Entra для CMG

Относится к Configuration Manager (Current Branch)

Второй основной шаг для настройки шлюза управления облаком (CMG) — интеграция сайта Configuration Manager с клиентом Microsoft Entra. Такая интеграция позволяет сайту проходить проверку подлинности с помощью идентификатора Microsoft Entra, который он использует для развертывания и мониторинга службы CMG. Если на следующем шаге вы выберете Microsoft Entra метод проверки подлинности для клиентов, эта интеграция является необходимым условием для этого метода проверки подлинности.

Совет

В этой статье содержатся инструкции по интеграции сайта специально для шлюза управления облаком. Дополнительные сведения об этом процессе и других способах использования узла Служб Azure в консоли Configuration Manager см. в разделе Настройка служб Azure.

При интеграции сайта вы создаете регистрации приложений в Microsoft Entra id. CmG требует двух регистраций приложений:

• Веб-приложение (в Configuration Manager также называется серверным приложением)
• Собственное приложение (в Configuration Manager также называется клиентским приложением)

Существует два метода создания этих приложений, для обоих из которых требуется роль глобального администратора в Microsoft Entra id:

• Используйте Configuration Manager для автоматизации создания приложений при интеграции сайта.
• Заранее создайте приложения вручную, а затем импортируйте их при интеграции сайта.

В этой статье в основном используется первый метод. Дополнительные сведения о другом методе см. в разделе Ручная регистрация приложений Microsoft Entra для CMG.

Перед началом работы убедитесь, что у вас есть глобальный администратор идентификатора Microsoft Entra.

Примечание.

Если вы планируете импортировать предварительно созданные регистрации приложений, сначала необходимо создать их в Microsoft Entra идентификаторе. Начните со статьи, чтобы вручную зарегистрировать приложения Microsoft Entra для CMG. Затем вернитесь к этой статье, чтобы запустить мастер служб Azure и импортировать приложения в Configuration Manager.

Назначение регистраций приложений

Эти две Microsoft Entra регистрации приложений представляют серверную и клиентную стороны CMG.

• Клиентское приложение представляет управляемые клиенты и пользователей, которые подключаются к шлюзу управления облачными клиентами. Он определяет, к каким ресурсам у них есть доступ в Azure, включая само CMG.

• Серверное приложение представляет компоненты CMG, размещенные в Azure. Он определяет, к каким ресурсам у них есть доступ в Azure. Серверное приложение используется для упрощения проверки подлинности и авторизации управляемых клиентов, пользователей и точки подключения CMG к компонентам CMG на основе Azure. Это взаимодействие включает трафик к локальным точкам управления и точкам обновления программного обеспечения, начальной подготовке CMG в Azure и обнаружению Microsoft Entra.

Если клиенты используют выданные PKI сертификаты проверки подлинности клиента, то два клиентских приложения не используются для действий, ориентированных на устройство. Например, распространение программного обеспечения, предназначенное для коллекции устройств. Действия, ориентированные на пользователя, всегда используют эти две регистрации приложений для проверки подлинности и авторизации.

Запуск мастера служб Azure

1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Службы Azure.

2. На вкладке Главная ленты в группе Службы Azure* выберите Настроить службы Azure.

3. На странице Службы Azure мастера служб Azure выполните следующие действия.

   1. Укажите имя объекта в Configuration Manager. Это имя предназначено только для идентификации соединения в Configuration Manager.

   2. Укажите необязательное описание для дальнейшего определения этого подключения к службе.

   3. Выберите службу "Управление облаком ".

4. На странице Приложениемастера служб Azure выберите среду Azure для своего клиента:

   • AzurePublicCloud. Ваш клиент находится в глобальном облаке Azure.
   • AzureUSGovernmentCloud: ваш клиент находится в облаке Azure для государственных организаций США.

Создание регистрации веб-(серверного) приложения

1. На странице Приложение в окне Мастера служб Azure для веб-приложения нажмите кнопку Обзор.

2. В окне Серверное приложение выберите Создать, чтобы использовать Configuration Manager для автоматизации создания приложения.

3. В окне Создание серверного приложения укажите следующие сведения:

   • Имя приложения: понятное имя приложения.

   • URL-адрес homePage. Это значение не используется Configuration Manager, но требуется для идентификатора Microsoft Entra. По умолчанию это значение равно https://ConfigMgrService.

   • URI идентификатора приложения. Это значение должно быть уникальным в клиенте Microsoft Entra. Он находится в маркере доступа, используемом клиентом Configuration Manager для запроса доступа к службе. По умолчанию это значение равно https://ConfigMgrService. Измените значение по умолчанию на один из следующих рекомендуемых форматов:

     • api://{tenantId}/{string}, например api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}, например https://contoso.onmicrosoft.com/ConfigMgrService

   • Срок действия секретного ключа: в раскрывающемся списке выберите 1 год или 2 года . Один год является значением по умолчанию.

   • учетная запись администратора Microsoft Entra. Выберите Войти, чтобы пройти проверку подлинности, чтобы Microsoft Entra идентификатор в качестве глобального администратора. Configuration Manager не сохраняет эти учетные данные. Этому человеку не требуются разрешения в Configuration Manager, и он не должен быть той же учетной записью, которая запускает мастер служб Azure. После успешной проверки подлинности в Azure на странице отображается имя клиента Microsoft Entra для справки.

4. Нажмите кнопку ОК, чтобы создать веб-приложение в Microsoft Entra идентификаторе и закрыть окно Создание серверного приложения.

5. В окне Серверное приложение убедитесь, что выбрано новое приложение, а затем нажмите кнопку ОК , чтобы сохранить и закрыть окно.

Примечание.

Начиная с Configuration Manager текущей версии ветви 2309, мы имеем повышенную безопасность веб-(серверного) приложения для создания шлюза управления облачными клиентами. Для создания нового шлюза управления облачными клиентами пользователи могут выбрать клиент и имя приложения, используя имя клиента Microsoft Entra. После выбора имени клиента и приложения появится кнопка входа, следуйте остальной части процесса в рамках настройки CMG.

Существующие клиенты CMG должны обновить свое веб-серверное приложение, перейдя к узлу Microsoft Entra клиентов.> Выберите клиент ,> выберите серверное приложение .> Щелкните "Обновить параметры приложения".

Создание регистрации собственного (клиентского) приложения

1. На странице Приложение в окне мастера служб Azure для собственного клиентского приложения выберите Обзор.

2. В окне Клиентское приложение выберите Создать, чтобы использовать Configuration Manager для автоматизации создания приложения.

3. В окне Создание клиентского приложения укажите следующие сведения:

   • Имя приложения: понятное имя приложения.

   • учетная запись администратора Microsoft Entra. Выберите Войти, чтобы пройти проверку подлинности, чтобы Microsoft Entra идентификатор в качестве глобального администратора. Configuration Manager не сохраняет эти учетные данные. Этому человеку не требуются разрешения в Configuration Manager, и он не должен быть той же учетной записью, которая запускает мастер служб Azure. После успешной проверки подлинности в Azure на странице отображается имя клиента Microsoft Entra для справки.

4. Нажмите кнопку ОК, чтобы создать собственное приложение в Microsoft Entra идентификаторе и закрыть окно Создание клиентского приложения.

5. В окне Клиентское приложение убедитесь, что выбрано новое приложение, а затем нажмите кнопку ОК , чтобы сохранить и закрыть окно.

Завершение работы мастера служб Azure

1. В мастере служб Azure убедитесь, что значения веб-приложения и собственного клиентского приложения завершены. Нажмите кнопку Далее, чтобы продолжить.

2. Страница "Обнаружение " мастера необходима только в некоторых сценариях. Это необязательно при подключении сайта к Microsoft Entra идентификатору и не требуется для создания CMG. Если он вам нужен для поддержки определенных функций в вашей среде, вы можете включить его позже.

   Дополнительные сведения о сценариях CMG, для которых может потребоваться обнаружение Microsoft Entra пользователей, см. в разделах Настройка проверки подлинности клиента: идентификатор Microsoft Entra и Установка клиентов с помощью идентификатора Microsoft Entra.

   Дополнительные сведения об этом методе обнаружения см. в разделе Настройка Microsoft Entra обнаружения пользователей.

3. Просмотрите параметры и завершите работу мастера.

Когда мастер закроется, вы увидите новое подключение в узле Службы Azure . Вы также можете просмотреть регистрации клиентов и приложений в узле Microsoft Entra tenants консоли Configuration Manager.

Отключение проверки подлинности Microsoft Entra для клиентов, не относящихся к устройствам или пользователям

Если ваши устройства находятся в клиенте Microsoft Entra, который отделен от клиента с подпиской на вычислительные ресурсы CMG, можно отключить проверку подлинности для клиентов, не связанных с пользователями и устройствами.

1. Откройте свойства службы управления облаком .

2. Перейдите на вкладку Приложения .

3. Выберите параметр Отключить проверку подлинности Microsoft Entra для этого клиента.

Дополнительные сведения см. в статье Настройка служб Azure.

Настройка поставщиков ресурсов Azure

Служба CMG требует регистрации определенных поставщиков ресурсов в подписке Azure. При развертывании шлюза управления облачными клиентами в масштабируемом наборе виртуальных машин зарегистрируйте следующие поставщики ресурсов:

• Microsoft.KeyVault
• Microsoft.Storage
• Microsoft.Network
• Microsoft.Compute

Примечание.

Если вы ранее развернули CMG с помощью классической облачной службы, для подписки Azure требуются следующие два поставщика ресурсов:

• Microsoft.ClassicCompute
• Microsoft.Storage

Начиная с версии 2203 возможность развертывания CMG в качестве облачной службы (классической) удаляется. Все развертывания CMG должны использовать масштабируемый набор виртуальных машин. Дополнительные сведения см. в статье Удаленные и нерекомендуемые функции.

Вашей учетной записи Microsoft Entra требуется разрешение на выполнение /register/action операции с поставщиком ресурсов. По умолчанию роли участник и владелец включают это разрешение.

Следующие шаги обобщают процесс регистрации поставщика ресурсов. Дополнительные сведения см. в статье Поставщики и типы ресурсов Azure.

1. Войдите на портал Azure.

2. В меню портал Azure найдите Подписки. Выберите его из доступных параметров.

3. Выберите подписку, которую вы хотите просмотреть.

4. В меню слева в разделе Параметры выберите Поставщики ресурсов.

5. Найдите поставщика ресурсов, который требуется зарегистрировать, и выберите Зарегистрировать. Чтобы сохранить минимальные привилегии в подписке, регистрируйте только те поставщики ресурсов, которые вы готовы использовать.

Автоматизация с помощью PowerShell

При необходимости можно автоматизировать аспекты этих конфигураций с помощью PowerShell.

1. Используйте командлет Import-CMAADServerApplication, чтобы определить Microsoft Entra веб-приложение или серверное приложение в Configuration Manager.

2. Используйте командлет Import-CMAADClientApplication для определения Microsoft Entra собственного или клиентского приложения в Configuration Manager.

3. Используйте командлет Get-CMAADApplication , чтобы получить импортированные объекты приложения.

4. Затем передайте объекты приложения в командлет New-CMCloudManagementAzureService, чтобы создать службу Azure для управления облаком в Configuration Manager.

Дальнейшие действия

Продолжите настройку CMG, решив, какой тип проверки подлинности клиента следует использовать:

Настройка проверки подлинности клиента