Dela via

Registrera Microsoft Entra appar för CMG manuellt

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Det andra primära steget för att konfigurera en molnhanteringsgateway (CMG) är att integrera Configuration Manager plats med din Microsoft Entra klientorganisation. Med den här integreringen kan webbplatsen autentisera med Microsoft Entra ID, som används för att distribuera och övervaka CMG-tjänsten. Om du inte kan använda Configuration Manager för att automatisera skapandet av appar under Azure Service-guiden kan du använda guiden för att importera en app som skapats tidigare. Om dina Azure-administratörer till exempel kräver att de manuellt skapar alla Microsoft Entra appregistreringar använder du den här processen.

Tips

Den här artikeln innehåller förebyggande vägledning för att integrera webbplatsen specifikt för molnhanteringsgatewayen. Mer information om den här processen och andra användningar av Azure Services-noden i Configuration Manager-konsolen finns i Konfigurera Azure-tjänster.

När du integrerar webbplatsen skapar du appregistreringar i Microsoft Entra ID. CMG kräver två appregistreringar:

  • Webbapp (kallas även för en serverapp i Configuration Manager)
  • Inbyggd app (kallas även för en klientapp i Configuration Manager)

Det finns två metoder för att skapa dessa appar, som båda kräver en global administratörsroll i Microsoft Entra ID:

  • Använd Configuration Manager för att automatisera skapandet av appar när du integrerar webbplatsen.
  • Skapa apparna manuellt i förväg och importera dem sedan när du integrerar webbplatsen.

Den här artikeln innehåller specifik information om den andra metoden. Koppla dessa instruktioner med procedurerna i artikeln Konfigurera Microsoft Entra ID för CMG för att slutföra processen.

Hämta klientinformation

Tips

Under den här processen måste du anteckna flera värden som ska användas senare. Öppna en app som Windows Anteckningar för att klistra in de värden som du kopierar från Azure-portalen.

Först måste du anteckna Microsoft Entra klientorganisationsnamn och klientorganisations-ID. Dessa värden är de första två delarna av informationen som du behöver för att importera appregistreringarna i Configuration Manager.

  1. I Azure Portal väljer du Microsoft Entra ID.

  2. I menyn Microsoft Entra ID väljer du Anpassade domännamn.

  3. Anteckna klientorganisationens namn. Till exempel contoso.onmicrosoft.com.

  4. I menyn Microsoft Entra ID väljer du Egenskaper.

  5. Kopiera guid-värdet för klientorganisations-ID .

Registrera webbappen (server)

  1. I menyn Microsoft Entra ID väljer du Appregistreringar. Välj Ny registrering för att skapa en ny app.

  2. I fönstret Registrera ett program anger du följande information:

    • Namn: Ett eget namn för appen. Till exempel CMG-ServerApp.
    • Kontotyper som stöds: Lämna den här inställningen som standardalternativ, Endast konton i den här organisationskatalogen.
    • Omdirigerings-URI: Välj: Offentlig klient/intern (mobil &skrivbord) och skriv http://localhost som URI

  3. Välj Registrera för att skapa appen.

  4. Kopiera följande värden i egenskaperna för den nya appen:

    • Visningsnamn: Det här värdet är det egna namnet för den här appregistreringen som du senare ska använda som programnamn.
    • Program-ID (klient): Du använder det här GUID-värdet senare som klient-ID.

  5. På menyn i appegenskaperna väljer du Certifikat & hemligheter och väljer sedan Ny klienthemlighet.

    • Beskrivning: Du kan använda valfritt namn för hemligheten eller lämna den tom.
    • Upphör att gälla: Välj antingen 12 månader eller 24 månader.

    Välj Lägg till. Kopiera omedelbart klienthemlighetssträngen Värde och Upphör att gälla. Om du lämnar det här fönstret kan du inte hämta samma hemlighet igen. Du använder dessa värden senare som utgångsvärden för hemlig nyckel och hemlig nyckel .

  6. Om du ska använda Microsoft Entra användaridentifiering i Configuration Manager måste du justera behörigheterna för den här appen. I menyn i appegenskaperna väljer du API-behörigheter. Som standard bör den ha behörigheten User.Read för Microsoft Graph API, som måste ändras.

    1. Välj Microsoft Graph för att räkna upp listan över tillgängliga API-behörigheter och välj sedan Programbehörigheter.

    2. Expandera Katalog och välj sedan Directory.Read.All.

    3. Växla till Delegerade behörigheter.

    4. Expandera Användare och ta bort behörigheten User.Read .

    5. Välj Uppdatera behörigheter.

    6. I fönstret API-behörigheter väljer du Bevilja administratörsmedgivande för... och sedan Ja.

  7. På menyn i appegenskaperna väljer du Exponera ett API.

    1. För URI för program-ID väljer du Lägg till. Ange en URI som är unik för klientorganisationen. Du använder det här värdet senare som app-ID-URI. Använd något av följande rekommenderade format:

      • api://{tenantId}/{string}, till exempel api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, till exempel https://contoso.onmicrosoft.com/ConfigMgrService

      Välj Spara.

    2. Välj Lägg till ett omfång och ange följande information:

      • Omfångsnamn: user_impersonation
      • Vem kan samtycka: Välj Administratörer och användare
      • Admin visningsnamn för medgivande: Ange ett beskrivande namn. Till exempel Access CMG-ServerApp
      • Admin medgivandebeskrivning: Ange en beskrivande beskrivning. Till exempel Allow the application to access CMG-ServerApp on behalf of the signed-in user.

    3. Välj Lägg till omfång för att spara.

  8. I menyn i appegenskaperna väljer du Manifest. Ange posten oauth2AllowIdTokenImplicitFlow till true. Till exempel:

    "oauth2AllowIdTokenImplicitFlow": true,

    Välj Spara.

Webbappen (server) för CMG är nu registrerad i Microsoft Entra ID.

Registrera den interna appen (klient)

  1. I menyn Microsoft Entra ID väljer du Appregistreringar. Välj Ny registrering för att skapa en ny app.

  2. I fönstret Registrera ett program anger du följande information:

    • Namn: Ett eget namn för appen. Till exempel CMG-ClientApp.
    • Kontotyper som stöds: Lämna den här inställningen som standardalternativ, Endast konton i den här organisationskatalogen.
    • Omdirigerings-URI: Lämna det här valfria värdet tomt.

  3. Välj Registrera för att skapa appen.

  4. Kopiera följande värden i egenskaperna för den nya appen:

    • Visningsnamn: Det här värdet är det egna namnet för den här appregistreringen som du senare ska använda som programnamn.
    • Program-ID (klient): Du använder det här GUID-värdet senare som klient-ID.

  5. På menyn i appegenskaperna väljer du Autentisering.

    1. Under Plattformskonfigurationer väljer du Lägg till en plattform.

      1. I fönstret Konfigurera plattformar väljer du Mobil- och skrivbordsprogram.

      2. I fönstret Konfigurera skrivbord + enheter , under Anpassade omdirigerings-URI:er, anger du ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Använd appens klient-ID GUID, till exempel: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Välj Konfigurera.

    2. Under Avancerade inställningar anger du Tillåt offentliga klientflöden till Ja. Välj Spara.

  6. Justera behörigheterna för den här appen. I menyn i appegenskaperna väljer du API-behörigheter. Som standard bör den ha delegerad behörighet för User.Read för Microsoft Graph API.

    1. I fönstret API-behörigheter väljer du Lägg till en behörighet.

    2. Växla till fliken Mina API:er och välj din webbapp (server). Till exempel CMG-ServerApp. Välj behörigheten user_impersonation och välj sedan Lägg till behörigheter för att spara.

    3. I fönstret API-behörigheter väljer du Bevilja administratörsmedgivande för... och sedan Ja.

  7. I menyn i appegenskaperna väljer du Manifest. Ange posten oauth2AllowIdTokenImplicitFlow till true. Till exempel:

    "oauth2AllowIdTokenImplicitFlow": true,

    Välj Spara.

Den interna (klient)-appen för CMG har nu registrerats i Microsoft Entra ID. Det här steget avslutar också processen i Azure Portal. Rollen som global Azure-administratör är klar.

Importera apparna till Configuration Manager

När du har registrerat de två apparna manuellt i Azure Portal använder du processen i artikeln för att konfigurera Microsoft Entra ID för CMG, men väljer alternativet importera var och en av apparna.

Dessa processer importerar metadata om Microsoft Entra-appar till Configuration Manager. Du behöver inga Microsoft Entra behörigheter för att importera dessa appar.

Importera webbapp (server)

När du väljer Importera från fönstret Serverapp öppnas fönstret Importera appar . Ange följande information om den Microsoft Entra webbapp som redan är registrerad i Azure Portal:

  • Microsoft Entra klientnamn: Namnet på din Microsoft Entra klientorganisation.
  • Microsoft Entra klientorganisations-ID: GUID för din Microsoft Entra klientorganisation.
  • Programnamn: Ett eget namn för appen, visningsnamnet i appregistreringen.
  • Klient-ID: Program-ID-värdet (klient) för appregistreringen. Formatet är ett standard-GUID.
  • Hemlig nyckel: Kopiera den hemliga nyckeln när du registrerar appen i Microsoft Entra ID och skapar den hemliga nyckeln.
  • Förfallodatum för hemlig nyckel: Ange samma datum som från Azure Portal.
  • App-ID-URI: Värdet är program-ID-URI för appregistreringsposten i Microsoft Entra administrationscenter. Formatet liknar https://ConfigMgrService.

När du har angett informationen väljer du Verifiera. Välj sedan OK för att stänga fönstret Importera appar .

Viktigt

När du använder en importerad Microsoft Entra app meddelas du inte om ett kommande förfallodatum från konsolmeddelanden.

Importera intern app (klient)

När du väljer Importera från fönstret Klientapp öppnas fönstret Importera appar . Ange följande information om den Microsoft Entra interna appen som redan är registrerad i Azure Portal:

  • Guiden fyller i Microsoft Entra klientorganisationsnamn och klientorganisations-ID automatiskt baserat på webbappen (server) som du redan har angett.
  • Programnamn: Ett eget namn för appen.
  • Klient-ID: Program-ID-värdet (klient) för appregistreringen. Formatet är ett standard-GUID.

När du har angett informationen väljer du Verifiera. Välj sedan OK för att stänga fönstret Importera appar .

Nästa steg

När du har registrerat de två apparna manuellt i Azure Portal använder du processen i följande artikel för att importera apparna:

Konfigurera Microsoft Entra ID för CMG