Настройка служб Azure для использования с Configuration Manager

Относится к Configuration Manager (Current Branch)

Используйте мастер служб Azure, чтобы упростить процесс настройки облачных служб Azure, используемых с Configuration Manager. Этот мастер обеспечивает общую настройку с помощью регистрации веб-приложений Azure Active Directory (Azure AD). Эти приложения предоставляют сведения о подписке и конфигурации, а также проверяют подлинность связи с Azure AD. Приложение заменяет ввод этих же сведений при каждой настройке нового компонента или службы Configuration Manager в Azure.

Доступные службы

Настройте следующие службы Azure с помощью этого мастера:

Сведения о службе

В следующей таблице перечислены сведения о каждой из служб.

  • Клиенты: количество экземпляров службы, которые можно настроить. Каждый экземпляр должен быть отдельным клиентом Azure AD.

  • Облака. Все службы поддерживают глобальное облако Azure, но не все службы поддерживают частные облака, такие как облако Azure для государственных организаций США.

  • Веб-приложение: использует ли служба Azure AD приложение типа Веб-приложение или API, также называемое серверным приложением в Configuration Manager.

  • Собственное приложение. Использует ли служба Azure AD приложение типа Native, также называемое клиентским приложением в Configuration Manager.

  • Действия. Можно ли импортировать или создать эти приложения в мастере Configuration Manager служб Azure.

Служба Клиенты Облака Веб-приложение Собственное приложение Действия
Управление облаком с помощью
обнаружение Azure AD
Несколько Общедоступный, частный Поддерживается Поддерживается Импорт, создание
Соединитель Log Analytics Одной Общедоступный, частный Поддерживается Не поддерживается Импорт
Майкрософт Store для
Для бизнеса
Одной Public Поддерживается Не поддерживается Импорт, создание

Сведения о приложениях Azure AD

Для разных служб Azure требуются различные конфигурации, которые вы делаете в портал Azure. Кроме того, приложениям для каждой службы могут потребоваться отдельные разрешения на доступ к ресурсам Azure.

Вы можете использовать одно приложение для нескольких служб. В Configuration Manager и Azure AD есть только один объект для управления. По истечении срока действия ключа безопасности в приложении необходимо обновить только один ключ.

При создании дополнительных служб Azure в мастере Configuration Manager предназначены для повторного использования сведений, которые являются общими для служб. Такое поведение помогает вам несколько раз вводить одни и те же сведения.

Дополнительные сведения о необходимых разрешениях и конфигурациях приложений для каждой службы см. в соответствующей статье Configuration Manager раздела Доступные службы.

Дополнительные сведения о приложениях Azure см. в следующих статьях:

Перед началом работы

После выбора службы, к которой требуется подключиться, обратитесь к таблице в разделе Сведения о службе. В этой таблице содержатся сведения, необходимые для завершения работы мастера службы Azure. Заранее обсудите с администратором Azure AD. Определите, какие из следующих действий следует выполнить:

  • Вручную создайте приложения заранее в портал Azure. Затем импортируйте сведения о приложении в Configuration Manager.

    Совет

    Дополнительные сведения об управлении облаком см. в статье Регистрация приложений Azure Active Directory вручную для шлюза управления облаком.

  • Используйте Configuration Manager для непосредственного создания приложений в Azure AD. Чтобы собрать необходимые данные из Azure AD, ознакомьтесь с информацией в других разделах этой статьи.

Для некоторых служб требуется, чтобы приложения Azure AD имели определенные разрешения. Просмотрите сведения для каждой службы, чтобы определить необходимые разрешения. Например, прежде чем импортировать веб-приложение, администратор Azure должен сначала создать его в портал Azure.

При настройке соединителя Log Analytics предоставьте зарегистрированному участнику веб-приложения разрешение на группу ресурсов, содержащую соответствующую рабочую область. Это разрешение позволяет Configuration Manager получить доступ к этой рабочей области. При назначении разрешения найдите имя регистрации приложения в области Добавление пользователей портал Azure. Этот процесс выполняется так же, как и при предоставлении Configuration Manager с разрешениями для Log Analytics. Администратор Azure должен назначить эти разрешения, прежде чем импортировать приложение в Configuration Manager.

Запуск мастера служб Azure

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Службы Azure.

  2. На вкладке Главная ленты в группе Службы Azure выберите Настроить службы Azure.

  3. На странице Службы Azure мастера служб Azure выполните следующие действия.

    1. Укажите имя объекта в Configuration Manager.

    2. Укажите необязательное описание , чтобы определить службу.

    3. Выберите службу Azure, к которой нужно подключиться с помощью Configuration Manager.

  4. Нажмите кнопку Далее , чтобы перейти на страницу свойств приложения Azure мастера служб Azure.

Свойства приложения Azure

На странице Приложение мастера служб Azure сначала выберите среду Azure из списка. Сведения о среде, доступной в настоящее время для службы, см. в таблице сведений о службе.

Остальная часть страницы приложения зависит от конкретной службы. Сведения о типе приложения, используемого службой, и какие действия можно использовать, см. в таблице в разделе Сведения о службе .

После указания приложений на этой странице нажмите кнопку Далее , чтобы перейти на страницу Конфигурация или обнаружение мастера служб Azure.

Веб-приложение

Это приложение является Azure AD типа Веб-приложение или API, также называемое серверным приложением в Configuration Manager.

Диалоговое окно серверного приложения

При нажатии кнопки Обзорвеб-приложения на странице Приложение мастера служб Azure откроется диалоговое окно Серверные приложения. В нем отображается список со следующими свойствами всех существующих веб-приложений:

  • Понятное имя клиента
  • Понятное имя приложения
  • Тип службы

В диалоговом окне серверного приложения можно выполнить три действия:

После выбора, импорта или создания веб-приложения нажмите кнопку ОК , чтобы закрыть диалоговое окно Серверное приложение. Это действие возвращается на страницу приложение мастера служб Azure.

Диалоговое окно импорта приложений (сервер)

При выборе импорта в диалоговом окне Серверного приложения или на странице Приложения мастера служб Azure откроется диалоговое окно Импорт приложений. На этой странице можно ввести сведения о веб-приложении Azure AD, которое уже создано в портал Azure. Он импортирует метаданные об этом веб-приложении в Configuration Manager. Укажите следующие сведения:

  • Azure AD имя клиента: имя клиента Azure AD.
  • Azure AD идентификатор клиента: GUID клиента Azure AD.
  • Имя приложения: понятное имя приложения, отображаемое имя в регистрации приложения.
  • Идентификатор клиента: значение идентификатора приложения (клиента) регистрации приложения. Формат является стандартным GUID.
  • Секретный ключ. При регистрации приложения в Azure AD необходимо скопировать секретный ключ.
  • Срок действия секретного ключа. Выберите будущую дату в календаре.
  • URI идентификатора приложения. Это значение должно быть уникальным в клиенте Azure AD. Он находится в маркере доступа, используемом клиентом Configuration Manager для запроса доступа к службе. Значением является URI идентификатора приложения записи регистрации приложения на портале Azure AD.

После ввода сведений нажмите кнопку Проверить. Затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Импорт приложений. Это действие возвращается на страницу приложения мастера служб Azure или диалоговое окно Серверное приложение.

Важно!

При использовании импортированного приложения Azure AD вы не получаете уведомления о предстоящем истечении срока действия из консоли.

Диалоговое окно "Создание серверного приложения"

При нажатии кнопки Создать в диалоговом окне Серверное приложение откроется диалоговое окно Создание серверного приложения. Эта страница автоматизирует создание веб-приложения в Azure AD. Укажите следующие сведения:

  • Имя приложения: понятное имя приложения.

  • URL-адрес homePage. Это значение не используется Configuration Manager, но требуется для Azure AD. По умолчанию это значение равно https://ConfigMgrService.

  • URI идентификатора приложения. Это значение должно быть уникальным в клиенте Azure AD. Он находится в маркере доступа, используемом клиентом Configuration Manager для запроса доступа к службе. По умолчанию это значение равно https://ConfigMgrService. Измените значение по умолчанию на один из следующих рекомендуемых форматов:

    • api://{tenantId}/{string}, например api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}, например https://contoso.onmicrosoft.com/ConfigMgrService
  • Срок действия секретного ключа: выберите 1 год или 2 года в раскрывающемся списке. Один год является значением по умолчанию.

    Примечание.

    Может появиться параметр Никогда, но Azure AD больше не поддерживает его. Если вы ранее выбрали этот параметр, дата окончания срока действия теперь устанавливается в течение 99 лет с даты его создания.

Выберите Войти , чтобы пройти проверку подлинности в Azure в качестве администратора. Эти учетные данные не сохраняются Configuration Manager. Для этого пользователя не требуются разрешения в Configuration Manager, и он не должен быть той же учетной записью, которая запускает мастер служб Azure. После успешной проверки подлинности в Azure на странице отображается Azure AD имя клиента для справки.

Нажмите кнопку ОК, чтобы создать веб-приложение в Azure AD и закрыть диалоговое окно Создание серверного приложения. Это действие возвращается в диалоговое окно Серверное приложение.

Примечание.

Если у вас есть политика условного доступа Azure AD, определенная и применяемая ко всем облачным приложениям, необходимо исключить созданное серверное приложение из этой политики. Дополнительные сведения об исключении определенных приложений см. в документации по условному доступу Azure AD.

Собственное клиентское приложение

Это приложение Azure AD типа Native, также называемое клиентским приложением в Configuration Manager.

Диалоговое окно клиентского приложения

При нажатии кнопки Обзорсобственного клиентского приложения на странице Приложения мастера служб Azure откроется диалоговое окно Клиентское приложение. В нем отображается список со следующими свойствами всех существующих собственных приложений:

  • Понятное имя клиента
  • Понятное имя приложения
  • Тип службы

В диалоговом окне Клиентское приложение можно выполнить три действия:

После выбора, импорта или создания собственного приложения нажмите кнопку ОК , чтобы закрыть диалоговое окно Клиентское приложение. Это действие возвращается на страницу приложение мастера служб Azure.

Диалоговое окно импорта приложений (клиент)

При выборе импорта в диалоговом окне Клиентское приложение откроется диалоговое окно Импорт приложений. На этой странице можно ввести сведения о Azure AD собственном приложении, которое уже создано в портал Azure. Он импортирует метаданные об этом собственном приложении в Configuration Manager. Укажите следующие сведения:

  • Имя приложения: понятное имя приложения.
  • Идентификатор клиента: значение идентификатора приложения (клиента) регистрации приложения. Формат является стандартным GUID.

После ввода сведений нажмите кнопку Проверить. Затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Импорт приложений. Это действие возвращается в диалоговое окно Клиентское приложение.

Совет

При регистрации приложения в Azure AD может потребоваться вручную указать следующий URI перенаправления: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Укажите guid идентификатора клиента приложения, например ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Диалоговое окно "Создание клиентского приложения"

При нажатии кнопки Создать в диалоговом окне Клиентское приложение откроется диалоговое окно Создание клиентского приложения. Эта страница автоматизирует создание собственного приложения в Azure AD. Укажите следующие сведения:

  • Имя приложения: понятное имя приложения.
  • URL-адрес ответа. Это значение не используется Configuration Manager, но требуется для Azure AD. По умолчанию это значение равно https://ConfigMgrService.

Выберите Войти , чтобы пройти проверку подлинности в Azure в качестве администратора. Эти учетные данные не сохраняются Configuration Manager. Для этого пользователя не требуются разрешения в Configuration Manager, и он не должен быть той же учетной записью, которая запускает мастер служб Azure. После успешной проверки подлинности в Azure на странице отображается Azure AD имя клиента для справки.

Нажмите кнопку ОК, чтобы создать собственное приложение в Azure AD и закрыть диалоговое окно Создание клиентского приложения. Это действие возвращается в диалоговое окно Клиентское приложение.

Конфигурация или обнаружение

После указания веб-приложений и собственных приложений на странице "Приложения " мастер служб Azure переходит к странице "Конфигурация " или "Обнаружение " в зависимости от службы, к которой вы подключаетесь. Сведения об этой странице зависят от службы. Дополнительные сведения см. в одной из следующих статей:

Наконец, завершите работу мастера служб Azure на страницах Сводка, Ход выполнения и Завершение. Вы завершили настройку службы Azure в Configuration Manager. Повторите этот процесс, чтобы настроить другие службы Azure.

Обновление параметров приложения

Чтобы разрешить клиентам Configuration Manager запрашивать маркер устройства Azure AD и включить разрешения на данные каталога чтения, необходимо обновить параметры приложения веб-сервера.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Клиенты Azure Active Directory.
  2. Выберите клиент Azure AD для приложения, которое требуется обновить.
  3. В разделе Приложения выберите приложение веб-сервера Azure AD, а затем на ленте выберите Обновить параметры приложения.
  4. При появлении запроса на подтверждение выберите Да , чтобы подтвердить, что вы хотите обновить приложение с помощью последних параметров.

Продление секретного ключа

Необходимо продлить секретный ключ приложения Azure AD до окончания срока его действия. Если срок действия ключа истек, Configuration Manager не сможете пройти проверку подлинности с помощью Azure AD, что приведет к прекращению работы подключенных служб Azure.

Начиная с версии 2006, консоль Configuration Manager отображает уведомления о следующих обстоятельствах:

  • Срок действия одного или нескольких секретных ключей Azure AD приложения скоро истечет
  • Срок действия одного или нескольких секретных ключей приложения Azure AD истек

Чтобы устранить оба случая, обновите секретный ключ.

Дополнительные сведения о взаимодействии с этими уведомлениями см. в разделе уведомления консоли Configuration Manager.

Примечание.

Для продления ключа вам должна быть назначена по крайней мере роль "Администратор облачных приложений" Azure AD.

Продление ключа для созданного приложения

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Клиенты Azure Active Directory.

  2. В области Сведения выберите клиент Azure AD для приложения.

  3. На ленте выберите Продлить секретный ключ. Введите учетные данные владельца приложения или администратора Azure AD.

Продление ключа для импортированного приложения

Если вы импортировали приложение Azure в Configuration Manager, используйте портал Azure для продления. Обратите внимание на новый секретный ключ и дату окончания срока действия. Добавьте эти сведения в мастер обновления секретного ключа .

Примечание.

Сохраните секретный ключ перед закрытием страницы ключ свойств приложения Azure. Эти сведения удаляются при закрытии страницы.

Отключение проверки подлинности

Начиная с версии 2010, можно отключить проверку подлинности Azure AD для клиентов, не связанных с пользователями и устройствами. При подключении Configuration Manager к Azure AD сайт и клиенты могут использовать современную проверку подлинности. В настоящее время проверка подлинности Azure AD устройства включена для всех подключенных клиентов независимо от того, есть ли у него устройства. Например, у вас есть отдельный клиент с подпиской, которая используется для вычислительных ресурсов для поддержки шлюза управления облаком. Если с клиентом не связаны пользователи или устройства, отключите проверку подлинности Azure AD.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование.

  2. Разверните узел Облачные службы и выберите узел Службы Azure.

  3. Выберите целевое подключение типа Управление облаком. На ленте выберите Свойства.

  4. Перейдите на вкладку Приложения .

  5. Выберите параметр Отключить проверку подлинности Azure Active Directory для этого клиента.

  6. Нажмите кнопку ОК , чтобы сохранить и закрыть свойства подключения.

Совет

Это изменение может занять до 25 часов, чтобы ввести в силу для клиентов. Для тестирования, чтобы ускорить это изменение в поведении, выполните следующие действия.

  1. Перезапустите службу sms_executive на сервере сайта.
  2. Перезапустите службу ccmexec на клиенте.
  3. Активируйте расписание клиента, чтобы обновить точку управления по умолчанию. Например, используйте средство расписания отправки: SendSchedule {00000000-0000-0000-0000-000000000023}

Просмотр конфигурации службы Azure

Просмотрите свойства службы Azure, которую вы настроили для использования. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните Облачные службы и выберите Службы Azure. Выберите службу, которую нужно просмотреть или изменить, а затем выберите Свойства.

Если выбрать службу и выбрать удалить на ленте, это действие удалит подключение в Configuration Manager. Приложение не удаляется в Azure AD. Попросите администратора Azure удалить приложение, если оно больше не требуется. Или запустите мастер служб Azure, чтобы импортировать приложение.

Поток данных для управления облаком

На следующей схеме представлен концептуальный поток данных для взаимодействия между Configuration Manager, Azure AD и подключенными облачными службами. В этом примере используется служба управления облаком, которая включает в себя клиент Windows 10, а также серверные и клиентские приложения. Потоки для других служб похожи.

Схема потока данных для Configuration Manager с управлением Azure AD и облаком

  1. Администратор Configuration Manager импортирует или создает клиентские и серверные приложения в Azure AD.

  2. Configuration Manager Azure AD выполняется метод обнаружения пользователей. Сайт использует маркер приложения сервера Azure AD для запроса Майкрософт Graph для пользовательских объектов.

  3. Сайт хранит данные о пользовательских объектах. Дополнительные сведения см. в разделе обнаружение Azure AD пользователей.

  4. Клиент Configuration Manager запрашивает маркер пользователя Azure AD. Клиент создает утверждение, используя идентификатор приложения Azure AD клиентского приложения и серверное приложение в качестве аудитории. Дополнительные сведения см. в разделе Утверждения в Azure AD маркерах безопасности.

  5. Клиент выполняет проверку подлинности на сайте, предоставляя маркер Azure AD шлюзу управления облака и локальной точке управления с поддержкой HTTPS.

Дополнительные сведения см. в разделе рабочий процесс проверки подлинности Azure AD.