Aracılığıyla paylaş

CMG için Microsoft Entra Kimliğini yapılandırma

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

Bulut yönetimi ağ geçidi (CMG) ayarlamanın ikinci birincil adımı, Configuration Manager sitesini Microsoft Entra kiracınızla tümleştirmektir. Bu tümleştirme, sitenin CMG hizmetini dağıtmak ve izlemek için kullandığı Microsoft Entra kimliğiyle kimlik doğrulaması yapmasına olanak tanır. Sonraki adımda istemciler için Microsoft Entra kimlik doğrulama yöntemini seçerseniz, bu tümleştirme bu kimlik doğrulama yöntemi için bir önkoşuldur.

İpucu

Bu makalede, siteyi bulut yönetimi ağ geçidine özel olarak tümleştirmek için açıklayıcı yönergeler sağlanmaktadır. Bu işlem ve Configuration Manager konsolundaki Azure Hizmetleri düğümünün diğer kullanımları hakkında daha fazla bilgi için bkz. Azure hizmetlerini yapılandırma.

Siteyi tümleştirdiğinizde, Microsoft Entra kimliğinde uygulama kayıtları oluşturursunuz. CMG için iki uygulama kaydı gerekir:

  • Web uygulaması (Configuration Manager'de sunucu uygulaması olarak da adlandırılır)
  • Yerel uygulama (Configuration Manager'de istemci uygulaması olarak da adlandırılır)

Bu uygulamaları oluşturmak için iki yöntem vardır ve her ikisi de Microsoft Entra kimliğinde genel yönetici rolü gerektirir:

  • Siteyi tümleştirdiğinizde uygulamaların oluşturulmasını otomatikleştirmek için Configuration Manager kullanın.
  • Uygulamaları önceden el ile oluşturun ve siteyi tümleştirdiğinizde bunları içeri aktarın.

Bu makale öncelikli olarak ilk yöntemi izler. Diğer yöntem hakkında daha fazla bilgi için bkz. CMG için Microsoft Entra uygulamalarını el ile kaydetme.

Başlamadan önce, Microsoft Entra Kimliği genel yöneticisinin kullanılabilir olduğundan emin olun.

Not

Önceden oluşturulmuş uygulama kayıtlarını içeri aktarmayı planlıyorsanız, önce bunları Microsoft Entra kimliğinde oluşturmanız gerekir. CMG için Microsoft Entra uygulamalarını el ile kaydetme makalesiyle başlayın. Ardından Azure Hizmetleri sihirbazını çalıştırmak ve uygulamaları Configuration Manager'e aktarmak için bu makaleye dönün.

Uygulama kayıtlarının amacı

Bu iki Microsoft Entra uygulama kaydı, CMG'nin sunucu ve istemci tarafını temsil eder.

  • İstemci uygulaması, CMG'ye bağlanan yönetilen istemcileri ve kullanıcıları temsil eder. CMG'nin kendisi de dahil olmak üzere Azure'da hangi kaynaklara erişeceklerini tanımlar.

  • Sunucu uygulaması, Azure'da barındırılan CMG bileşenlerini temsil eder. Azure'da hangi kaynaklara erişeceklerini tanımlar. Sunucu uygulaması, yönetilen istemcilerden, kullanıcılardan ve CMG bağlantı noktasından Azure tabanlı CMG bileşenlerine kimlik doğrulama ve yetkilendirmeyi kolaylaştırmak için kullanılır. Bu iletişim şirket içi yönetim noktalarına ve yazılım güncelleştirme noktalarına gelen trafiği, Azure'da ilk CMG sağlamayı ve Microsoft Entra bulmayı içerir.

İstemciler PKI tarafından verilen istemci kimlik doğrulama sertifikaları kullanıyorsa, iki istemci uygulaması cihaz merkezli etkinlik için kullanılmaz. Örneğin, bir cihaz koleksiyonunu hedefleyen yazılım dağıtımı. Kullanıcı merkezli etkinlik her zaman kimlik doğrulaması ve yetkilendirme amacıyla bu iki uygulama kaydını kullanır.

Azure Hizmetleri sihirbazını başlatma

  1. Configuration Manager konsolunda Yönetim çalışma alanına gidin, Cloud Services genişletin ve Azure Hizmetleri düğümünü seçin.

  2. Şeridin Giriş sekmesinde, Azure Hizmetleri* grubunda Azure Hizmetlerini Yapılandır'ı seçin.

  3. Azure Hizmetleri Sihirbazı'nın Azure Hizmetleri sayfasında:

    1. Configuration Manager nesne için bir Ad belirtin. Bu ad yalnızca Configuration Manager'daki bağlantıyı tanımlamak içindir.

    2. Bu hizmet bağlantısını daha fazla tanımlamak için isteğe bağlı bir Açıklama belirtin.

    3. Bulut Yönetimi hizmetini seçin.

  4. Azure Hizmetleri Sihirbazı'nınUygulama sayfasında kiracınız için Azure ortamını seçin:

    • AzurePublicCloud: Kiracınız genel Azure bulutundadır.
    • AzureUSGovernmentCloud: Kiracınız Azure ABD Kamu bulutundadır.

Web (sunucu) uygulama kaydını oluşturma

  1. Azure Hizmetleri Sihirbazı penceresinin Uygulama sayfasında, Web uygulaması için Gözat'ı seçin.

  2. Sunucu Uygulaması penceresinde Oluştur'u seçerek uygulamanın oluşturulmasını otomatikleştirmek için Configuration Manager kullanın.

  3. Sunucu Uygulaması Oluştur penceresinde aşağıdaki bilgileri belirtin:

    • Uygulama adı: Uygulama için kolay bir ad.

    • Giriş Sayfası URL'si: Bu değer Configuration Manager tarafından kullanılmaz, ancak Microsoft Entra kimliği için gereklidir. Varsayılan olarak bu değer şeklindedir https://ConfigMgrService.

    • Uygulama Kimliği URI'si: Bu değerin Microsoft Entra kiracınızda benzersiz olması gerekir. Hizmete erişim istemek için Configuration Manager istemcisi tarafından kullanılan erişim belirtecinde bulunur. Varsayılan olarak bu değer şeklindedir https://ConfigMgrService. Varsayılan değeri aşağıdaki önerilen biçimlerden biriyle değiştirin:

      • api://{tenantId}/{string}, örneğin, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, örneğin, https://contoso.onmicrosoft.com/ConfigMgrService

    • Gizli anahtar geçerlilik süresi: Açılan listeden 1 yıl veya 2 yıl seçin. Varsayılan değer bir yıldır.

    • yönetici hesabı Microsoft Entra: Genel yönetici olarak Microsoft Entra kimlik doğrulaması yapmak için Oturum aç'ı seçin. Configuration Manager bu kimlik bilgilerini kaydetmez. Bu kişi Configuration Manager izin gerektirmez ve Azure Hizmetleri Sihirbazı'nı çalıştıran aynı hesap olması gerekmez. Azure'da kimlik doğrulaması başarıyla tamamlandıktan sonra sayfada başvuru için Microsoft Entra kiracı adı gösterilir.

  4. Web uygulamasını Microsoft Entra kimliğinde oluşturmak için Tamam'ı seçin ve Sunucu Uygulaması Oluştur penceresini kapatın.

  5. Sunucu Uygulaması penceresinde yeni uygulamanızın seçili olduğundan emin olun, ardından pencereyi kaydedip kapatmak için Tamam'ı seçin.

Not

Geçerli dal sürümü 2309 Configuration Manager dan başlayarak, CMG oluşturmak için web (sunucu) uygulamasının güvenliğini geliştirdik. Yeni CMG oluşturma işlemi için kullanıcılar kiracıyı ve uygulama adını Microsoft Entra kiracı adını kullanarak seçebilir. Kiracı ve uygulama adı'nı seçtikten sonra oturum açma düğmesi görüntülenir ve kurulum CMG'sine göre işlemin geri kalanını izleyin.

Önceden var olan CMG müşterilerinin Microsoft Entra kiracılar düğümüne giderek web sunucusu uygulamalarını güncelleştirmeleri gerekir.> Kiracıyı seçin,> sunucu uygulamasını seçin--> "uygulama ayarlarını güncelleştir" seçeneğine tıklayın.

Yerel (istemci) uygulama kaydını oluşturma

  1. Azure Hizmetleri Sihirbazı penceresinin Uygulama sayfasında Yerel İstemci uygulaması için Gözat'ı seçin.

  2. İstemci Uygulaması penceresinde Oluştur'u seçerek uygulamanın oluşturulmasını otomatikleştirmek için Configuration Manager kullanın.

  3. İstemci Uygulaması Oluştur penceresinde aşağıdaki bilgileri belirtin:

    • Uygulama adı: Uygulama için kolay bir ad.

    • yönetici hesabı Microsoft Entra: Genel yönetici olarak Microsoft Entra kimlik doğrulaması yapmak için Oturum aç'ı seçin. Configuration Manager bu kimlik bilgilerini kaydetmez. Bu kişi Configuration Manager izin gerektirmez ve Azure Hizmetleri Sihirbazı'nı çalıştıran aynı hesap olması gerekmez. Azure'da kimlik doğrulaması başarıyla tamamlandıktan sonra sayfada başvuru için Microsoft Entra kiracı adı gösterilir.

  4. Yerel uygulamayı Microsoft Entra kimliğinde oluşturmak için Tamam'ı seçin ve İstemci Uygulaması Oluştur penceresini kapatın.

  5. İstemci Uygulaması penceresinde yeni uygulamanızın seçili olduğundan emin olun, ardından pencereyi kaydedip kapatmak için Tamam'ı seçin.

Azure Hizmetleri sihirbazını tamamlama

  1. Azure Hizmetleri Sihirbazı'nda hem Web uygulaması hem de Yerel İstemci uygulaması değerlerinin tamamlanmasını onaylayın. Devam etmek için İleri'yi seçin.

  2. Sihirbazın Bulma sayfası yalnızca bazı senaryolarda gereklidir. Siteyi Microsoft Entra kimliğine eklerken isteğe bağlıdır ve CMG'yi oluşturmak için gerekli değildir. Ortamınızdaki belirli işlevleri desteklemek için ihtiyacınız varsa daha sonra etkinleştirebilirsiniz.

    Microsoft Entra kullanıcı bulmayı gerektirebilecek CMG senaryoları hakkında daha fazla bilgi için bkz. İstemci kimlik doğrulamasını yapılandırma: Microsoft Entra Kimliği ve İstemcileri Microsoft Entra Kimliği kullanarak yükleme.

    Bu bulma yöntemi hakkında daha fazla bilgi için bkz. Kullanıcı bulma Microsoft Entra yapılandırma.

  3. Ayarları gözden geçirin ve sihirbazı tamamlayın.

Sihirbaz kapatıldığında Azure Hizmetleri düğümünde yeni bağlantıyı görürsünüz. Ayrıca, kiracı ve uygulama kayıtlarını Configuration Manager konsolunun Microsoft Entra kiracılar düğümünde de görüntüleyebilirsiniz.

Cihaz veya kullanıcı olmayan kiracılar için Microsoft Entra kimlik doğrulamasını devre dışı bırakma

Cihazlarınız CMG işlem kaynakları aboneliğine sahip kiracıdan ayrı Microsoft Entra bir kiracıdaysa, kullanıcılar ve cihazlarla ilişkilendirilmiş olmayan kiracılar için kimlik doğrulamasını devre dışı bırakabilirsiniz.

  1. Bulut Yönetimi hizmetinin özelliklerini açın.

  2. Uygulamalar sekmesine geçin.

  3. Bu kiracı için Microsoft Entra kimlik doğrulamasını devre dışı bırak seçeneğini belirleyin.

Daha fazla bilgi için bkz. Azure hizmetlerini yapılandırma.

Azure kaynak sağlayıcılarını yapılandırma

CMG hizmeti, Azure aboneliğinize belirli kaynak sağlayıcılarını kaydetmenizi gerektirir. CMG'yi bir sanal makine ölçek kümesine dağıttığınızda aşağıdaki kaynak sağlayıcılarını kaydedin:

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

Not

CMG'yi daha önce klasik bir bulut hizmeti kullanarak dağıttıysanız, Azure aboneliğiniz aşağıdaki iki kaynak sağlayıcısını gerektirir:

  • Microsoft.ClassicCompute
  • Microsoft.Storage

Sürüm 2203'den başlayarak, cmg'yi bulut hizmeti (klasik) olarak dağıtma seçeneği kaldırılır. Tüm CMG dağıtımları bir sanal makine ölçek kümesi kullanmalıdır. Daha fazla bilgi için bkz . Kaldırılan ve kullanım dışı bırakılan özellikler.

Microsoft Entra hesabınızın kaynak sağlayıcısı için /register/action işlemi gerçekleştirmek için izni olmalıdır. Varsayılan olarak, Katkıda Bulunan ve Sahip rolleri bu izni içerir.

Aşağıdaki adımlarda bir kaynak sağlayıcısını kaydetme işlemi özetlenmiştir. Daha fazla bilgi için bkz. Azure kaynak sağlayıcıları ve türleri.

  1. Azure portalda oturum açın.

  2. Azure portal menüsünde Abonelikler'i arayın. Kullanılabilir seçenekler arasından seçin.

  3. Görüntülemek istediğiniz aboneliği seçin.

  4. Soldaki menüde , Ayarlar'ın altında Kaynak sağlayıcıları'nı seçin.

  5. Kaydetmek istediğiniz kaynak sağlayıcısını bulun ve Kaydet'i seçin. Aboneliğinizde en az ayrıcalıkları korumak için yalnızca kullanmaya hazır olduğunuz kaynak sağlayıcılarını kaydedin.

PowerShell ile otomatikleştirme

İsteğe bağlı olarak PowerShell kullanarak bu yapılandırmaların özelliklerini otomatikleştirebilirsiniz.

  1. Configuration Manager'da Microsoft Entra web/sunucu uygulamasını tanımlamak için Import-CMAADServerApplication cmdlet'ini kullanın.

  2. Microsoft Entra yerel/istemci uygulamasını Configuration Manager tanımlamak için Import-CMAADClientApplication cmdlet'ini kullanın.

  3. İçeri aktarılan uygulama nesnelerini almak için Get-CMAADApplication cmdlet'ini kullanın.

  4. Ardından uygulama nesnelerini New-CMCloudManagementAzureService cmdlet'ine geçirerek Configuration Manager'de Bulut Yönetimi için Azure hizmetini oluşturun.

Sonraki adımlar

Hangi istemci kimlik doğrulaması türünü kullanacağınıza karar vererek CMG kurulumunuza devam edin:

İstemci kimlik doğrulamayı yapılandırma