Configurare Microsoft Entra ID per CMG

Si applica a: Configuration Manager (Current Branch)

Il secondo passaggio principale per configurare un gateway di gestione cloud consiste nell'integrare il sito Configuration Manager con il tenant Microsoft Entra. Questa integrazione consente al sito di eseguire l'autenticazione con Microsoft Entra ID, che usa per distribuire e monitorare il servizio CMG. Se si sceglie il metodo di autenticazione Microsoft Entra per i client nel passaggio successivo, questa integrazione è un prerequisito per tale metodo di autenticazione.

Consiglio

Questo articolo fornisce indicazioni prescrittive per integrare il sito in modo specifico per il gateway di gestione cloud. Per altre informazioni su questo processo e altri usi del nodo Servizi di Azure nella console di Configuration Manager, vedere Configurare i servizi di Azure.

Quando si integra il sito, si creano registrazioni dell'app in Microsoft Entra ID. Il cmg richiede due registrazioni dell'app:

  • App Web (nota anche come app server in Configuration Manager)
  • App nativa (nota anche come app client in Configuration Manager)

Esistono due metodi per creare queste app, che richiedono entrambi un ruolo di amministratore globale nell Microsoft Entra ID:

  • Usare Configuration Manager per automatizzare la creazione delle app quando si integra il sito.
  • Creare manualmente le app in anticipo e quindi importarle quando si integra il sito.

Questo articolo segue principalmente il primo metodo. Per altre informazioni sull'altro metodo, vedere Registrare manualmente le app Microsoft Entra per CMG.

Prima di iniziare, assicurarsi di avere a disposizione un amministratore globale Microsoft Entra ID.

Nota

Se si prevede di importare registrazioni di app create in precedenza, è prima necessario crearle in Microsoft Entra ID. Iniziare con l'articolo Registrare manualmente le app Microsoft Entra per CMG. Tornare quindi a questo articolo per eseguire la procedura guidata di Servizi di Azure e importare le app in Configuration Manager.

Scopo delle registrazioni delle app

Queste due registrazioni di app Microsoft Entra rappresentano il lato server e client del cmg.

  • L'app client rappresenta i client gestiti e gli utenti che si connettono al cmg. Definisce le risorse a cui hanno accesso all'interno di Azure, incluso il cmg stesso.

  • L'app server rappresenta i componenti cmg ospitati in Azure. Definisce le risorse a cui hanno accesso all'interno di Azure. L'app server viene usata per facilitare l'autenticazione e l'autorizzazione da client gestiti, utenti e dal punto di connessione cmg ai componenti cmg basati su Azure. Questa comunicazione include il traffico verso punti di gestione locali e punti di aggiornamento software, il provisioning iniziale di CMG in Azure e l'individuazione Microsoft Entra.

Se i client usano certificati di autenticazione client rilasciati da PKI, le due app client non vengono usate per l'attività incentrata sul dispositivo. Ad esempio, la distribuzione software destinata a una raccolta di dispositivi. L'attività incentrata sull'utente usa sempre queste due registrazioni di app a scopo di autenticazione e autorizzazione.

Avviare la procedura guidata di Servizi di Azure

  1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Servizi cloud e selezionare il nodo Servizi di Azure.

  2. Nel gruppo Servizi di Azure* della scheda Home della barra multifunzione selezionare Configura servizi di Azure.

  3. Nella pagina Servizi di Azure della Procedura guidata servizi di Azure:

    1. Specificare un nome per l'oggetto in Configuration Manager. Questo nome serve solo per identificare la connessione in Configuration Manager.

    2. Specificare una descrizione facoltativa per identificare ulteriormente la connessione al servizio.

    3. Selezionare il servizio Di gestione cloud .

  4. Nella pagina App della Procedura guidata servizi di Azure selezionare l'ambiente Azure per il tenant:

    • AzurePublicCloud: il tenant si trova nel cloud di Azure globale.
    • AzureUSGovernmentCloud: il tenant si trova nel cloud di Azure US Government.

Creare la registrazione dell'app Web (server)

  1. Nella pagina App della finestra Creazione guidata servizi di Azure selezionare Sfoglia per l'app Web.

  2. Nella finestra App server selezionare Crea per usare Configuration Manager per automatizzare la creazione dell'app.

  3. Nella finestra Crea applicazione server specificare le informazioni seguenti:

    • Nome applicazione: nome descrittivo per l'app.

    • URL homepage: questo valore non viene usato da Configuration Manager, ma richiesto dall'ID Microsoft Entra. Per impostazione predefinita, questo valore è https://ConfigMgrService.

    • URI ID app: questo valore deve essere univoco nel tenant Microsoft Entra. Si tratta del token di accesso usato dal client Configuration Manager per richiedere l'accesso al servizio. Per impostazione predefinita, questo valore è https://ConfigMgrService. Modificare il valore predefinito in uno dei formati consigliati seguenti:

      • api://{tenantId}/{string}Per esempio api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}Per esempio https://contoso.onmicrosoft.com/ConfigMgrService
    • Periodo di validità della chiave privata: scegliere 1 anno o 2 anni dall'elenco a discesa. Un anno è il valore predefinito.

    • Microsoft Entra account amministratore: selezionare Accedi per eseguire l'autenticazione a Microsoft Entra ID come amministratore globale. Configuration Manager non salva queste credenziali. Questa persona non richiede autorizzazioni in Configuration Manager e non deve essere lo stesso account che esegue la Procedura guidata servizi di Azure. Dopo aver eseguito correttamente l'autenticazione in Azure, nella pagina viene visualizzato il nome del tenant Microsoft Entra come riferimento.

  4. Selezionare OK per creare l'app Web nell'ID Microsoft Entra e chiudere la finestra Crea applicazione server.

  5. Nella finestra App server verificare che la nuova app sia selezionata, quindi selezionare OK per salvare e chiudere la finestra.

Nota

A partire da Configuration Manager current branch versione 2309, è stata migliorata la sicurezza dell'app Web (server) per la creazione di CMG. Per la creazione di un nuovo cmg, gli utenti possono selezionare il tenant e il nome dell'app usando il nome del tenant Microsoft Entra. Dopo aver selezionato il nome del tenant e dell'app, viene visualizzato il pulsante di accesso, seguire il resto del processo in base al cmg di configurazione.

I clienti di CMG preesistenti devono aggiornare l'app del server Web passando al nodo Microsoft Entra tenant-> selezionare il tenant -> selezionare l'app server -> fare clic su "Aggiorna impostazioni applicazione".

Creare la registrazione dell'app nativa (client)

  1. Nella pagina App della finestra Creazione guidata Servizi di Azure selezionare Sfoglia per l'app Native Client.

  2. Nella finestra App client selezionare Crea per usare Configuration Manager per automatizzare la creazione dell'app.

  3. Nella finestra Crea applicazione client specificare le informazioni seguenti:

    • Nome applicazione: nome descrittivo per l'app.

    • Microsoft Entra account amministratore: selezionare Accedi per eseguire l'autenticazione a Microsoft Entra ID come amministratore globale. Configuration Manager non salva queste credenziali. Questa persona non richiede autorizzazioni in Configuration Manager e non deve essere lo stesso account che esegue la Procedura guidata servizi di Azure. Dopo aver eseguito correttamente l'autenticazione in Azure, nella pagina viene visualizzato il nome del tenant Microsoft Entra come riferimento.

  4. Selezionare OK per creare l'app nativa nell Microsoft Entra ID e chiudere la finestra Crea applicazione client.

  5. Nella finestra App client verificare che la nuova app sia selezionata, quindi selezionare OK per salvare e chiudere la finestra.

Completare la procedura guidata di Servizi di Azure

  1. Nella Procedura guidata servizi di Azure verificare che i valori dell'app Web e dell'app native client siano completi. Selezionare Avanti per continuare.

  2. La pagina Individuazione della procedura guidata è necessaria solo in alcuni scenari. È facoltativo quando si esegue l'onboarding del sito per Microsoft Entra ID e non è necessario per creare il cmg. Se è necessario per supportare funzionalità specifiche nell'ambiente, è possibile abilitarlo in un secondo momento.

    Per altre informazioni sugli scenari cmg che possono richiedere Microsoft Entra individuazione utente, vedere Configurare l'autenticazione client: Microsoft Entra ID e Installare i client usando Microsoft Entra ID.

    Per altre informazioni su questo metodo di individuazione, vedere Configurare l'individuazione utente Microsoft Entra.

  3. Esaminare le impostazioni e completare la procedura guidata.

Al termine della procedura guidata, la nuova connessione verrà visualizzata nel nodo Servizi di Azure . È anche possibile visualizzare le registrazioni di tenant e app nel nodo Microsoft Entra tenant della console di Configuration Manager.

Disabilitare l'autenticazione Microsoft Entra per tenant non di dispositivi o utenti

Se i dispositivi si trovano in un tenant Microsoft Entra separato dal tenant con una sottoscrizione per le risorse di calcolo di CMG, è possibile disabilitare l'autenticazione per i tenant non associati a utenti e dispositivi.

  1. Aprire le proprietà del servizio Di gestione cloud .

  2. Passare alla scheda Applicazioni .

  3. Selezionare l'opzione Disabilita l'autenticazione Microsoft Entra per questo tenant.

Per altre informazioni, vedere Configurare i servizi di Azure.

Configurare i provider di risorse di Azure

Il servizio CMG richiede la registrazione di provider di risorse specifici nella sottoscrizione di Azure. Quando si distribuisce cmg in un set di scalabilità di macchine virtuali, registrare i provider di risorse seguenti:

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

Nota

Se il cmg è stato distribuito in precedenza usando un servizio cloud classico, la sottoscrizione di Azure richiede i due provider di risorse seguenti:

  • Microsoft.ClassicCompute
  • Microsoft.Storage

A partire dalla versione 2203, l'opzione per distribuire un cmg come servizio cloud (versione classica) viene rimossa. Tutte le distribuzioni di CMG devono usare un set di scalabilità di macchine virtuali. Per altre informazioni, vedere Funzionalità rimosse e deprecate.

L'account Microsoft Entra deve disporre dell'autorizzazione per eseguire l'operazione /register/action per il provider di risorse. Per impostazione predefinita, i ruoli Collaboratore e Proprietario includono questa autorizzazione.

I passaggi seguenti riepilogano il processo di registrazione di un provider di risorse. Per altre informazioni, vedere Provider e tipi di risorse di Azure.

  1. Accedere al portale di Azure.

  2. Nel menu portale di Azure cercare Sottoscrizioni. Selezionarlo nelle opzioni disponibili.

  3. Selezionare la sottoscrizione da visualizzare.

  4. Nel menu a sinistra, in Impostazioni, selezionare Provider di risorse.

  5. Trovare il provider di risorse da registrare e selezionare Registra. Per mantenere i privilegi minimi nella sottoscrizione, registrare solo i provider di risorse pronti per l'uso.

Automatizzare con PowerShell

Facoltativamente, è possibile automatizzare gli aspetti di queste configurazioni usando PowerShell.

  1. Usare il cmdlet Import-CMAADServerApplication per definire l'app web/server Microsoft Entra in Configuration Manager.

  2. Usare il cmdlet Import-CMAADClientApplication per definire l'app Microsoft Entra nativa/client in Configuration Manager.

  3. Usare il cmdlet Get-CMAADApplication per ottenere gli oggetti app importati.

  4. Passare quindi gli oggetti app al cmdlet New-CMCloudManagementAzureService per creare il servizio di Azure per Gestione cloud in Configuration Manager.

Passaggi successivi

Continuare la configurazione di CMG decidendo quale tipo di autenticazione client usare: