Настройка служб Azure для использования с Configuration Manager

Относится к Configuration Manager (Current Branch)

Используйте мастер служб Azure, чтобы упростить процесс настройки облачных служб Azure, используемых с Configuration Manager. Этот мастер предоставляет общий интерфейс настройки, используя Microsoft Entra регистрации веб-приложений. Эти приложения предоставляют сведения о подписке и конфигурации, а также проверяют подлинность связи с Microsoft Entra идентификатором. Приложение заменяет ввод этих же сведений при каждой настройке нового компонента или службы Configuration Manager в Azure.

Доступные службы

Настройте следующие службы Azure с помощью этого мастера:

• Управление облаком. Эта служба позволяет сайту и клиентам проходить проверку подлинности с помощью идентификатора Microsoft Entra. Эта проверка подлинности позволяет использовать другие сценарии, например:

  • Установка и назначение клиентов Configuration Manager с помощью идентификатора Microsoft Entra для проверки подлинности

  • Настройка обнаружения пользователей Microsoft Entra

  • Настройка Microsoft Entra обнаружения групп пользователей

  • Поддержка определенных сценариев шлюза управления облаком

    Совет

    Дополнительные сведения об управлении облаком см. в разделе Настройка идентификатора Microsoft Entra для шлюза управления облаком.

  • Уведомления по электронной почте утверждения приложения

• Соединитель Log Analytics: подключение к Azure Log Analytics. Синхронизация данных сбора с Log Analytics.

  Важно!

  В этой статье описывается соединитель Log Analytics, который ранее назывался соединителем OMS. Эта функция была устаревшей в ноябре 2020 г. Она удалена из Configuration Manager версии 2107. Дополнительные сведения см. в статье Удаленные и нерекомендуемые функции.

• Microsoft Store для бизнеса. Подключитесь к Microsoft Store для бизнеса. Получите приложения магазина для своей организации, которые можно развернуть с помощью Configuration Manager.

• Управление службами администрирования. При настройке служб Azure для повышенной безопасности можно выбрать параметр Администрирование Управление службами. Выбор этого параметра позволяет администраторам сегментировать свои права администратора между службой управления облаком и службой администрирования. При включении этого параметра доступ ограничивается только конечными точками службы администрирования. Клиенты управления конфигурацией будут проходить проверку подлинности на сайте с помощью идентификатора Microsoft Entra. (версия 2207 или более поздняя)

  Примечание.

  Только клиенты CMG VMSS могут включить параметр управления административной службой. Этот параметр неприменим для классических клиентов CMG.

Сведения о службе

В следующей таблице перечислены сведения о каждой из служб.

• Клиенты: количество экземпляров службы, которые можно настроить. Каждый экземпляр должен быть отдельным клиентом Microsoft Entra.

• Облака. Все службы поддерживают глобальное облако Azure, но не все службы поддерживают частные облака, такие как облако Azure для государственных организаций США.

• Веб-приложение. Использует ли служба Microsoft Entra приложение типа Веб-приложение или API, также называемое серверным приложением в Configuration Manager.

• Собственное приложение. Использует ли служба Microsoft Entra приложение типа Native, также называемое клиентским приложением в Configuration Manager.

• Действия. Можно ли импортировать или создать эти приложения в мастере Configuration Manager служб Azure.

Служба	Клиенты	Облака	Веб-приложение	Собственное приложение	Действия
Управление облаком с помощью обнаружение Microsoft Entra	Несколько	Общедоступный, частный			Импорт, создание
Соединитель Log Analytics	Одной	Общедоступный, частный			Импорт
Microsoft Store для Для бизнеса	Одной	Общедоступные			Импорт, создание

Сведения о приложениях Microsoft Entra

Для разных служб Azure требуются различные конфигурации, которые вы делаете в портал Azure. Кроме того, приложениям для каждой службы могут потребоваться отдельные разрешения на доступ к ресурсам Azure.

Вы можете использовать одно приложение для нескольких служб. В Configuration Manager и идентификаторе Microsoft Entra есть только один объект для управления. По истечении срока действия ключа безопасности в приложении необходимо обновить только один ключ.

При создании дополнительных служб Azure в мастере Configuration Manager предназначены для повторного использования сведений, которые являются общими для служб. Такое поведение помогает вам несколько раз вводить одни и те же сведения.

Дополнительные сведения о необходимых разрешениях и конфигурациях приложений для каждой службы см. в соответствующей статье Configuration Manager статьи Доступные службы.

Дополнительные сведения о приложениях Azure см. в следующих статьях:

• Проверка подлинности и авторизация в Служба приложений Azure
• Обзор веб-приложения
• Основы регистрации приложения в идентификаторе Microsoft Entra
• Регистрация приложения в клиенте Microsoft Entra

Перед началом работы

После выбора службы, к которой требуется подключиться, обратитесь к таблице в разделе Сведения о службе. В этой таблице содержатся сведения, необходимые для завершения работы мастера службы Azure. Заранее обсудите с администратором Microsoft Entra. Определите, какие из следующих действий следует выполнить:

• Вручную создайте приложения заранее в портал Azure. Затем импортируйте сведения о приложении в Configuration Manager.

  Совет

  Дополнительные сведения об управлении облаком см. в статье Регистрация приложений Microsoft Entra вручную для шлюза управления облаком.

• Используйте Configuration Manager для непосредственного создания приложений в идентификаторе Microsoft Entra. Чтобы собрать необходимые данные из идентификатора Microsoft Entra, ознакомьтесь с информацией в других разделах этой статьи.

Для некоторых служб требуются определенные разрешения для приложений Microsoft Entra. Просмотрите сведения для каждой службы, чтобы определить необходимые разрешения. Например, прежде чем импортировать веб-приложение, администратор Azure должен сначала создать его в портал Azure.

При настройке соединителя Log Analytics предоставьте зарегистрированному веб-приложению участник разрешение на группу ресурсов, содержащую соответствующую рабочую область. Это разрешение позволяет Configuration Manager получить доступ к этой рабочей области. При назначении разрешения найдите имя регистрации приложения в области Добавление пользователей портал Azure. Этот процесс выполняется так же, как и при предоставлении Configuration Manager с разрешениями для Log Analytics. Администратор Azure должен назначить эти разрешения, прежде чем импортировать приложение в Configuration Manager.

Запуск мастера служб Azure

1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Службы Azure.

2. На вкладке Главная ленты в группе Службы Azure выберите Настроить службы Azure.

3. На странице Службы Azure мастера служб Azure выполните следующие действия.

   1. Укажите имя объекта в Configuration Manager.

   2. Укажите необязательное описание , чтобы определить службу.

   3. Выберите службу Azure, к которой нужно подключиться с помощью Configuration Manager.

4. Нажмите кнопку Далее , чтобы перейти на страницу свойств приложения Azure мастера служб Azure.

Свойства приложения Azure

На странице Приложение мастера служб Azure сначала выберите среду Azure из списка. Сведения о среде, доступной в настоящее время для службы, см. в таблице сведений о службе.

Остальная часть страницы приложения зависит от конкретной службы. Сведения о типе приложения, используемого службой, и какие действия можно использовать, см. в таблице в разделе Сведения о службе .

• Если приложение поддерживает действия импорта и создания, нажмите кнопку Обзор. Это действие открывает диалоговое окно Серверное приложение или диалоговое окно Клиентское приложение.

• Если приложение поддерживает только действие импорта, выберите Импорт. Это действие открывает диалоговое окно Импорт приложений (сервер) или диалоговое окно Импорт приложений (клиент).

После указания приложений на этой странице нажмите кнопку Далее , чтобы перейти на страницу Конфигурация или обнаружение мастера служб Azure.

Веб-приложение

Это приложение является типом идентификатора Microsoft Entra веб-приложение или API, также называемое серверным приложением в Configuration Manager.

Диалоговое окно серверного приложения

При нажатии кнопки Обзорвеб-приложения на странице Приложение мастера служб Azure откроется диалоговое окно Серверные приложения. В нем отображается список со следующими свойствами всех существующих веб-приложений:

• Понятное имя клиента
• Понятное имя приложения
• Тип службы

В диалоговом окне серверного приложения можно выполнить три действия:

• Чтобы повторно использовать существующее веб-приложение, выберите его из списка.
• Выберите Импорт, чтобы открыть диалоговое окно Импорт приложений.
• Выберите Создать , чтобы открыть диалоговое окно Создание серверного приложения.

После выбора, импорта или создания веб-приложения нажмите кнопку ОК , чтобы закрыть диалоговое окно Серверное приложение. Это действие возвращается на страницу приложение мастера служб Azure.

Диалоговое окно импорта приложений (сервер)

При выборе импорта в диалоговом окне Серверного приложения или на странице Приложения мастера служб Azure откроется диалоговое окно Импорт приложений. На этой странице можно ввести сведения о веб-приложении Microsoft Entra, которое уже создано в портал Azure. Он импортирует метаданные об этом веб-приложении в Configuration Manager. Укажите следующие сведения:

• Microsoft Entra имя клиента: имя клиента Microsoft Entra.
• Microsoft Entra идентификатор клиента: GUID вашего клиента Microsoft Entra.
• Имя приложения: понятное имя приложения, отображаемое имя в регистрации приложения.
• Идентификатор клиента: значение идентификатора приложения (клиента) регистрации приложения. Формат является стандартным GUID.
• Секретный ключ. При регистрации приложения в Microsoft Entra идентификаторе необходимо скопировать секретный ключ.
• Срок действия секретного ключа. Выберите будущую дату в календаре.
• URI идентификатора приложения. Это значение должно быть уникальным в клиенте Microsoft Entra. Он находится в маркере доступа, используемом клиентом Configuration Manager для запроса доступа к службе. Значением является универсальный код ресурса (URI) идентификатора приложения записи регистрации приложения в центре администрирования Microsoft Entra.

После ввода сведений нажмите кнопку Проверить. Затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Импорт приложений. Это действие возвращается на страницу приложения мастера служб Azure или диалоговое окно Серверное приложение.

Важно!

При использовании импортированного Microsoft Entra приложения вы не будете получать уведомления о предстоящей дате окончания срока действия из уведомлений консоли.

Диалоговое окно "Создание серверного приложения"

При нажатии кнопки Создать в диалоговом окне Серверное приложение откроется диалоговое окно Создание серверного приложения. Эта страница автоматизирует создание веб-приложения в Microsoft Entra идентификаторе. Укажите следующие сведения:

• Имя приложения: понятное имя приложения.

• URL-адрес homePage. Это значение не используется Configuration Manager, но требуется для идентификатора Microsoft Entra. По умолчанию это значение равно https://ConfigMgrService.

• URI идентификатора приложения. Это значение должно быть уникальным в клиенте Microsoft Entra. Он находится в маркере доступа, используемом клиентом Configuration Manager для запроса доступа к службе. По умолчанию это значение равно https://ConfigMgrService. Измените значение по умолчанию на один из следующих рекомендуемых форматов:

  • api://{tenantId}/{string}, например api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}, например https://contoso.onmicrosoft.com/ConfigMgrService

• Срок действия секретного ключа: в раскрывающемся списке выберите 1 год или 2 года . Один год является значением по умолчанию.

  Примечание.

  Может появиться параметр Никогда, но Microsoft Entra больше не поддерживает его. Если вы ранее выбрали этот параметр, дата окончания срока действия теперь устанавливается в течение 99 лет с даты его создания.

Выберите Войти , чтобы пройти проверку подлинности в Azure в качестве администратора. Эти учетные данные не сохраняются Configuration Manager. Этому человеку не требуются разрешения в Configuration Manager, и он не должен быть той же учетной записью, которая запускает мастер служб Azure. После успешной проверки подлинности в Azure на странице отображается имя клиента Microsoft Entra для справки.

Нажмите кнопку ОК, чтобы создать веб-приложение с идентификатором Microsoft Entra и закрыть диалоговое окно Создание серверного приложения. Это действие возвращается в диалоговое окно Серверное приложение.

Примечание.

Если у вас есть политика условного доступа Microsoft Entra, определенная и применяемая ко всем облачным приложениям, необходимо исключить созданное серверное приложение из этой политики. Дополнительные сведения об исключении определенных приложений см. в документации по условному доступу Microsoft Entra.

Собственное клиентское приложение

Это приложение является Microsoft Entra тип идентификатора Native, также называемый клиентским приложением в Configuration Manager.

Диалоговое окно клиентского приложения

При нажатии кнопки Обзорсобственного клиентского приложения на странице приложения мастера служб Azure откроется диалоговое окно Клиентское приложение. В нем отображается список со следующими свойствами всех существующих собственных приложений:

• Понятное имя клиента
• Понятное имя приложения
• Тип службы

В диалоговом окне Клиентское приложение можно выполнить три действия:

• Чтобы повторно использовать существующее собственное приложение, выберите его в списке.
• Выберите Импорт, чтобы открыть диалоговое окно Импорт приложений.
• Выберите Создать , чтобы открыть диалоговое окно Создание клиентского приложения.

После выбора, импорта или создания собственного приложения нажмите кнопку ОК , чтобы закрыть диалоговое окно Клиентское приложение. Это действие возвращается на страницу приложение мастера служб Azure.

Диалоговое окно импорта приложений (клиент)

При выборе импорта в диалоговом окне Клиентское приложение откроется диалоговое окно Импорт приложений. На этой странице можно ввести сведения о Microsoft Entra собственном приложении, которое уже создано в портал Azure. Он импортирует метаданные об этом собственном приложении в Configuration Manager. Укажите следующие сведения:

• Имя приложения: понятное имя приложения.
• Идентификатор клиента: значение идентификатора приложения (клиента) регистрации приложения. Формат является стандартным GUID.

После ввода сведений нажмите кнопку Проверить. Затем нажмите кнопку ОК , чтобы закрыть диалоговое окно Импорт приложений. Это действие возвращается в диалоговое окно Клиентское приложение.

Совет

При регистрации приложения в Microsoft Entra идентификаторе может потребоваться вручную указать следующий URI перенаправления: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Укажите guid идентификатора клиента приложения, например ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Диалоговое окно "Создание клиентского приложения"

При нажатии кнопки Создать в диалоговом окне Клиентское приложение откроется диалоговое окно Создание клиентского приложения. Эта страница автоматизирует создание собственного приложения в Microsoft Entra id. Укажите следующие сведения:

• Имя приложения: понятное имя приложения.
• URL-адрес ответа. Это значение не используется Configuration Manager, но требуется для идентификатора Microsoft Entra. По умолчанию это значение равно https://ConfigMgrService.

Выберите Войти , чтобы пройти проверку подлинности в Azure в качестве администратора. Эти учетные данные не сохраняются Configuration Manager. Этому человеку не требуются разрешения в Configuration Manager, и он не должен быть той же учетной записью, которая запускает мастер служб Azure. После успешной проверки подлинности в Azure на странице отображается имя клиента Microsoft Entra для справки.

Нажмите кнопку ОК, чтобы создать собственное приложение в Microsoft Entra идентификаторе и закрыть диалоговое окно Создание клиентского приложения. Это действие возвращается в диалоговое окно Клиентское приложение.

Конфигурация или обнаружение

После указания веб-приложений и собственных приложений на странице "Приложения " мастер служб Azure переходит к странице "Конфигурация " или "Обнаружение " в зависимости от службы, к которой вы подключаетесь. Сведения об этой странице зависят от службы. Дополнительные сведения см. в одной из следующих статей:

• Облачная служба управления, страница обнаружения: настройка обнаружения пользователей Microsoft Entra

• Служба соединителя Log Analytics, страница конфигурации: настройка подключения к Log Analytics

• Microsoft Store для бизнеса служба, страница "Конфигурации": настройка синхронизации Microsoft Store для бизнеса

Наконец, завершите работу мастера служб Azure на страницах Сводка, Ход выполнения и Завершение. Вы завершили настройку службы Azure в Configuration Manager. Повторите этот процесс, чтобы настроить другие службы Azure.

Обновление параметров приложения

Чтобы разрешить клиентам Configuration Manager запрашивать маркер устройства Microsoft Entra и включить разрешения на чтение данных каталога, необходимо обновить параметры приложения веб-сервера.

1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Microsoft Entra клиентов.
2. Выберите клиент Microsoft Entra для приложения, которое требуется обновить.
3. В разделе Приложения выберите приложение веб-сервера Microsoft Entra, а затем на ленте выберите Обновить параметры приложения.
4. При появлении запроса на подтверждение выберите Да , чтобы подтвердить, что вы хотите обновить приложение с помощью последних параметров.

Продление секретного ключа

Необходимо продлить секретный ключ приложения Microsoft Entra до окончания срока его действия. Если срок действия ключа истек, Configuration Manager не сможете пройти проверку подлинности с помощью идентификатора Microsoft Entra, что приведет к прекращению работы подключенных служб Azure.

Начиная с версии 2006, консоль Configuration Manager отображает уведомления о следующих обстоятельствах:

• Срок действия одного или нескольких секретных ключей Microsoft Entra приложения скоро истечет
• Срок действия одного или нескольких секретных ключей приложения Microsoft Entra истек

Чтобы устранить оба случая, обновите секретный ключ.

Дополнительные сведения о взаимодействии с этими уведомлениями см. в разделе уведомления консоли Configuration Manager.

Примечание.

Для продления ключа вам должна быть назначена по крайней мере роль "Администратор облачных приложений" Microsoft Entra.

Продление ключа для созданного приложения

1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Microsoft Entra клиентов.

2. В области Сведения выберите клиент Microsoft Entra для приложения.

3. На ленте выберите Продлить секретный ключ. Введите учетные данные владельца приложения или администратора Microsoft Entra.

Продление ключа для импортированного приложения

Если вы импортировали приложение Azure в Configuration Manager, используйте портал Azure для продления. Обратите внимание на новый секретный ключ и дату окончания срока действия. Добавьте эти сведения в мастер обновления секретного ключа .

Примечание.

Сохраните секретный ключ перед закрытием страницы ключ свойств приложения Azure. Эти сведения удаляются при закрытии страницы.

Отключение проверки подлинности

Начиная с версии 2010, можно отключить проверку подлинности Microsoft Entra для клиентов, не связанных с пользователями и устройствами. При подключении Configuration Manager к идентификатору Microsoft Entra сайт и клиенты могут использовать современную проверку подлинности. В настоящее время проверка подлинности Microsoft Entra устройства включена для всех подключенных клиентов независимо от того, есть ли у него устройства. Например, у вас есть отдельный клиент с подпиской, которая используется для вычислительных ресурсов для поддержки шлюза управления облаком. Если с клиентом не связаны пользователи или устройства, отключите проверку подлинности Microsoft Entra.

1. В консоли Configuration Manager перейдите в рабочую область Администрирование.

2. Разверните узел Облачные службы и выберите узел Службы Azure.

3. Выберите целевое подключение типа Управление облаком. На ленте выберите Свойства.

4. Перейдите на вкладку Приложения .

5. Выберите параметр Отключить проверку подлинности Microsoft Entra для этого клиента.

6. Нажмите кнопку ОК , чтобы сохранить и закрыть свойства подключения.

Совет

Это изменение может занять до 25 часов, чтобы ввести в силу для клиентов. Для тестирования, чтобы ускорить это изменение в поведении, выполните следующие действия.

1. Перезапустите службу sms_executive на сервере сайта.
2. Перезапустите службу ccmexec на клиенте.
3. Активируйте расписание клиента, чтобы обновить точку управления по умолчанию. Например, используйте средство расписания отправки: SendSchedule {00000000-0000-0000-0000-000000000023}

Просмотр конфигурации службы Azure

Просмотрите свойства службы Azure, которую вы настроили для использования. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните Облачные службы и выберите Службы Azure. Выберите службу, которую нужно просмотреть или изменить, а затем выберите Свойства.

Если выбрать службу и выбрать удалить на ленте, это действие удалит подключение в Configuration Manager. Приложение не удаляется в идентификаторе Microsoft Entra. Попросите администратора Azure удалить приложение, если оно больше не требуется. Или запустите мастер служб Azure, чтобы импортировать приложение.

Поток данных для управления облаком

На следующей схеме представлен концептуальный поток данных для взаимодействия между Configuration Manager, идентификатором Microsoft Entra и подключенными облачными службами. В этом примере используется служба управления облаком, которая включает в себя клиент Windows 10, а также серверные и клиентские приложения. Потоки для других служб похожи.

1. Администратор Configuration Manager импортирует или создает клиентские и серверные приложения в идентификаторе Microsoft Entra.

2. Configuration Manager Microsoft Entra выполняется метод обнаружения пользователей. Сайт использует маркер приложения сервера Microsoft Entra для запроса объектов пользователя в Microsoft Graph.

3. Сайт хранит данные о пользовательских объектах. Дополнительные сведения см. в разделе обнаружение Microsoft Entra пользователей.

4. Клиент Configuration Manager запрашивает маркер пользователя Microsoft Entra. Клиент создает утверждение, используя идентификатор приложения Microsoft Entra клиентского приложения, а серверное приложение — в качестве аудитории. Дополнительные сведения см. в разделе Утверждения в Microsoft Entra маркерах безопасности.

5. Клиент выполняет проверку подлинности на сайте, предоставляя маркер Microsoft Entra шлюзу управления облака и локальной точке управления с поддержкой HTTPS.

Дополнительные сведения см. в разделе рабочий процесс проверки подлинности Microsoft Entra.