Registrare manualmente le app Microsoft Entra per cmg

Si applica a: Configuration Manager (Current Branch)

Il secondo passaggio principale per configurare un gateway di gestione cloud consiste nell'integrare il sito Configuration Manager con il tenant Microsoft Entra. Questa integrazione consente al sito di eseguire l'autenticazione con Microsoft Entra ID, che usa per distribuire e monitorare il servizio CMG. Se non è possibile usare Configuration Manager per automatizzare la creazione delle app durante la Creazione guidata servizio di Azure, è possibile usare la procedura guidata per importare un'app creata in precedenza. Ad esempio, se gli amministratori di Azure richiedono di creare manualmente tutte le registrazioni dell'app Microsoft Entra, usare questo processo.

Consiglio

Questo articolo fornisce indicazioni prescrittive per integrare il sito in modo specifico per il gateway di gestione cloud. Per altre informazioni su questo processo e altri usi del nodo Servizi di Azure nella console di Configuration Manager, vedere Configurare i servizi di Azure.

Quando si integra il sito, si creano registrazioni dell'app in Microsoft Entra ID. Il cmg richiede due registrazioni dell'app:

  • App Web (nota anche come app server in Configuration Manager)
  • App nativa (nota anche come app client in Configuration Manager)

Esistono due metodi per creare queste app, che richiedono entrambi un ruolo di amministratore globale in Microsoft Entra ID:

  • Usare Configuration Manager per automatizzare la creazione delle app quando si integra il sito.
  • Creare manualmente le app in anticipo e quindi importarle quando si integra il sito.

Questo articolo fornisce i dettagli specifici per il secondo metodo. Associare queste istruzioni alle procedure nell'articolo Configurare Microsoft Entra ID per CMG per completare il processo.

Ottenere i dettagli del tenant

Consiglio

Durante questo processo, è necessario prendere nota di diversi valori da usare in un secondo momento. Aprire un'app come Il Blocco note di Windows per incollare i valori che verranno copiati dal portale di Azure.

Prima di tutto, è necessario prendere nota del nome del tenant Microsoft Entra e dell'ID tenant. Questi valori sono le prime due informazioni necessarie per importare le registrazioni dell'app in Configuration Manager.

  1. Nel portale di Azure selezionare Microsoft Entra ID.

  2. Nel menu Microsoft Entra ID selezionare Nomi di dominio personalizzati.

  3. Prendere nota del nome del tenant. Ad esempio, contoso.onmicrosoft.com.

  4. Nel menu Microsoft Entra ID selezionare Proprietà.

  5. Copiare il valore GUID dell'ID tenant .

Registrare l'app Web (server)

  1. Nel menu Microsoft Entra ID selezionare Registrazioni app. Selezionare Nuova registrazione per creare una nuova app.

  2. Nel riquadro Registra un'applicazione specificare le informazioni seguenti:

    • Nome: nome descrittivo per l'app. Ad esempio, CMG-ServerApp.
    • Tipi di account supportati: lasciare questa impostazione come opzione predefinita, Solo account in questa directory organizzativa.
    • URI di reindirizzamento: selezionare: Client pubblico/nativo (mobile &desktop) e digitare http://localhost come URI
  3. Selezionare Registra per creare l'app.

  4. Nelle proprietà della nuova app copiare i valori seguenti:

    • Nome visualizzato: questo valore è il nome descrittivo per la registrazione dell'app che verrà usato in seguito come nome dell'applicazione.
    • ID applicazione (client): questo valore GUID verrà usato in un secondo momento come ID client.
  5. Nel menu delle proprietà dell'app selezionare Certificati & segreti e quindi selezionare Nuovo segreto client.

    • Descrizione: è possibile usare qualsiasi nome per il segreto o lasciarlo vuoto.
    • Scadenza: selezionare 12 mesi o 24 mesi.

    Selezionare Aggiungi. Copiare immediatamente la stringa del segreto client Value e Expires. Se si lascia questo riquadro, non è possibile recuperare di nuovo lo stesso segreto. Questi valori verranno usati in un secondo momento come valori di scadenza della chiave privata e della chiave privata .

  6. Se si intende usare Microsoft Entra'individuazione utente in Configuration Manager, è necessario modificare le autorizzazioni per questa app. Nel menu delle proprietà dell'app selezionare Autorizzazioni API. Per impostazione predefinita, deve disporre dell'autorizzazione User.Read per l'API Microsoft Graph , che deve essere modificata.

    1. Selezionare Microsoft Graph per enumerare l'elenco delle autorizzazioni API disponibili e quindi selezionare Autorizzazioni applicazione.

    2. Espandere Directory e quindi selezionare Directory.Read.All.

    3. Passare a Autorizzazioni delegate.

    4. Espandere Utente e rimuovere l'autorizzazione User.Read .

    5. Selezionare Aggiorna autorizzazioni.

    6. Nel riquadro Autorizzazioni API selezionare Concedi consenso amministratore per e quindi selezionare .

  7. Nel menu delle proprietà dell'app selezionare Esporre un'API.

    1. Per URI ID applicazione selezionare Aggiungi. Specificare un URI univoco per il tenant. Questo valore verrà usato in un secondo momento come URI dell'ID app. Usare uno dei formati consigliati seguenti:

      • api://{tenantId}/{string}Per esempio api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}Per esempio https://contoso.onmicrosoft.com/ConfigMgrService

      Seleziona Salva.

    2. Selezionare Aggiungi un ambito e specificare le informazioni necessarie seguenti:

      • Nome ambito: user_impersonation
      • Chi può fornire il consenso: selezionare Amministratori e utenti
      • Amministrazione nome visualizzato del consenso: specificare un nome significativo. Ad esempio, Access CMG-ServerApp
      • Amministrazione descrizione del consenso: specificare una descrizione significativa. Ad esempio, Allow the application to access CMG-ServerApp on behalf of the signed-in user.
    3. Selezionare Aggiungi ambito per salvare.

  8. Nel menu delle proprietà dell'app selezionare Manifesto. Impostare la voce oauth2AllowIdTokenImplicitFlowsu true. Ad esempio:

    "oauth2AllowIdTokenImplicitFlow": true,
    

    Seleziona Salva.

L'app Web (server) per CMG è ora registrata in Microsoft Entra ID.

Registrare l'app nativa (client)

  1. Nel menu Microsoft Entra ID selezionare Registrazioni app. Selezionare Nuova registrazione per creare una nuova app.

  2. Nel riquadro Registra un'applicazione specificare le informazioni seguenti:

    • Nome: nome descrittivo per l'app. Ad esempio, CMG-ClientApp.
    • Tipi di account supportati: lasciare questa impostazione come opzione predefinita, Solo account in questa directory organizzativa.
    • URI di reindirizzamento: lasciare vuoto questo valore facoltativo.
  3. Selezionare Registra per creare l'app.

  4. Nelle proprietà della nuova app copiare i valori seguenti:

    • Nome visualizzato: questo valore è il nome descrittivo per la registrazione dell'app che verrà usato in seguito come nome dell'applicazione.
    • ID applicazione (client): questo valore GUID verrà usato in un secondo momento come ID client.
  5. Nel menu delle proprietà dell'app selezionare Autenticazione.

    1. In Configurazioni della piattaforma selezionare Aggiungi una piattaforma.

      1. Nel riquadro Configura piattaforme selezionare Applicazioni mobili e desktop.

      2. Nel riquadro Configura desktop e dispositivi , in URI di reindirizzamento personalizzati, specificare ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Usare il GUID dell'ID client dell'app, ad esempio: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Selezionare Configura.

    2. In Impostazioni avanzate impostare Consenti flussi client pubblici su . Seleziona Salva.

  6. Modificare le autorizzazioni per questa app. Nel menu delle proprietà dell'app selezionare Autorizzazioni API. Per impostazione predefinita, deve disporre dell'autorizzazione delegata User.Read per l'API Microsoft Graph .

    1. Nel riquadro Autorizzazioni API selezionare Aggiungi un'autorizzazione.

    2. Passare alla scheda API personali e selezionare l'app Web (server). Ad esempio, CMG-ServerApp. Selezionare l'autorizzazione user_impersonation e quindi selezionare Aggiungi autorizzazioni per il salvataggio.

    3. Nel riquadro Autorizzazioni API selezionare Concedi consenso amministratore per e quindi selezionare .

  7. Nel menu delle proprietà dell'app selezionare Manifesto. Impostare la voce oauth2AllowIdTokenImplicitFlowsu true. Ad esempio:

    "oauth2AllowIdTokenImplicitFlow": true,
    

    Seleziona Salva.

L'app nativa (client) per CMG è ora registrata in Microsoft Entra ID. Questo passaggio conclude anche il processo nella portale di Azure. Il ruolo dell'amministratore globale di Azure viene eseguito.

Importare le app in Configuration Manager

Dopo aver registrato manualmente le due app nel portale di Azure, usare il processo nell'articolo Configurare Microsoft Entra ID per CMG, ma selezionare l'opzione Importa ognuna delle app.

Questi processi importano i metadati relativi alle app Microsoft Entra in Configuration Manager. Non sono necessarie autorizzazioni Microsoft Entra per importare queste app.

Importare un'app Web (server)

Quando si seleziona Importa dalla finestra App server , viene visualizzata la finestra Importa app . Immettere le informazioni seguenti sull'app Web Microsoft Entra già registrata nel portale di Azure:

  • Microsoft Entra nome del tenant: nome del tenant Microsoft Entra.
  • Microsoft Entra ID tenant: GUID del tenant Microsoft Entra.
  • Nome applicazione: nome descrittivo per l'app, il nome visualizzato nella registrazione dell'app.
  • ID client: il valore dell'ID applicazione (client) della registrazione dell'app. Il formato è un GUID standard.
  • Chiave privata: copiare la chiave privata quando si registra l'app in Microsoft Entra ID e creare la chiave privata.
  • Scadenza chiave privata: specificare la stessa data del portale di Azure.
  • URI ID app: il valore è l'URI id applicazione della voce di registrazione dell'app nel Interfaccia di amministrazione di Microsoft Entra. Il formato è simile a https://ConfigMgrService.

Dopo aver immesso le informazioni, selezionare Verifica. Selezionare quindi OK per chiudere la finestra Importa app .

Importante

Quando si usa un'app Microsoft Entra importata, non si riceve una notifica di una data di scadenza imminente dalle notifiche della console.

Importare un'app nativa (client)

Quando si seleziona Importa dalla finestra App client , viene aperta la finestra Importa app . Immettere le informazioni seguenti sull'app nativa Microsoft Entra già registrata nel portale di Azure:

  • La procedura guidata popola automaticamente il nome del tenant Microsoft Entra e l'ID tenant in base all'app Web (server) già specificata.
  • Nome applicazione: nome descrittivo per l'app.
  • ID client: il valore dell'ID applicazione (client) della registrazione dell'app. Il formato è un GUID standard.

Dopo aver immesso le informazioni, selezionare Verifica. Selezionare quindi OK per chiudere la finestra Importa app .

Passaggi successivi

Dopo aver registrato manualmente le due app nel portale di Azure, usare il processo nell'articolo seguente per importare le app: