Регистрация приложений Microsoft Entra вручную для CMG

Относится к Configuration Manager (Current Branch)

Второй основной шаг для настройки шлюза управления облаком (CMG) — интеграция сайта Configuration Manager с клиентом Microsoft Entra. Такая интеграция позволяет сайту проходить проверку подлинности с помощью Microsoft Entra ID, который он использует для развертывания и мониторинга службы CMG. Если вы не можете использовать Configuration Manager для автоматизации создания приложений во время мастера службы Azure, вы можете использовать мастер для импорта ранее созданного приложения. Например, если администраторам Azure требуется вручную создать все Microsoft Entra регистрации приложений, используйте этот процесс.

Совет

В этой статье содержатся инструкции по интеграции сайта специально для шлюза управления облаком. Дополнительные сведения об этом процессе и других способах использования узла Служб Azure в консоли Configuration Manager см. в разделе Настройка служб Azure.

При интеграции сайта вы создаете регистрации приложений в Microsoft Entra ID. CmG требует двух регистраций приложений:

  • Веб-приложение (в Configuration Manager также называется серверным приложением)
  • Собственное приложение (в Configuration Manager также называется клиентским приложением)

Существует два метода создания этих приложений, для обоих из которых требуется роль глобального администратора в Microsoft Entra ID:

  • Используйте Configuration Manager для автоматизации создания приложений при интеграции сайта.
  • Заранее создайте приложения вручную, а затем импортируйте их при интеграции сайта.

В этой статье приведены конкретные сведения о втором методе. Свяжите эти инструкции с процедурами, описанными в статье Настройка Microsoft Entra ID для CMG, чтобы завершить процесс.

Получение сведений о клиенте

Совет

Во время этого процесса необходимо заметить несколько значений, которые будут использоваться позже. Откройте приложение, например Блокнот Windows, чтобы вставить значения, скопированные на портале Azure.

Сначала необходимо зафиксировать имя и идентификатор клиента Microsoft Entra. Эти значения представляют собой первые два фрагмента информации, необходимые для импорта регистраций приложений в Configuration Manager.

  1. В портал Azure выберите Microsoft Entra ID.

  2. В меню Microsoft Entra ID выберите Пользовательский домен.

  3. Запишите имя клиента. Например, contoso.onmicrosoft.com.

  4. В меню Microsoft Entra ID выберите Свойства.

  5. Скопируйте значение GUID идентификатора клиента .

Регистрация веб-приложения (серверного)

  1. В меню Microsoft Entra ID выберите Регистрация приложений. Выберите Новая регистрация , чтобы создать новое приложение.

  2. В области Регистрация приложения укажите следующие сведения:

    • Имя: понятное имя приложения. Например, CMG-ServerApp.
    • Поддерживаемые типы учетных записей. Оставьте этот параметр в качестве параметра по умолчанию Учетные записи только в этом каталоге организации.
    • URI перенаправления. Выберите общедоступный клиент или собственный (мобильный &настольном компьютере) и введите http://localhost URI в качестве URI.
  3. Выберите Зарегистрировать , чтобы создать приложение.

  4. В свойствах нового приложения скопируйте следующие значения:

    • Отображаемое имя: это понятное имя для регистрации приложения, которое вы будете использовать позже в качестве имени приложения.
    • Идентификатор приложения (клиента). Это значение GUID будет использоваться позже в качестве идентификатора клиента.
  5. В меню свойств приложения выберите Сертификаты & секреты, а затем выберите Новый секрет клиента.

    • Описание. Вы можете использовать любое имя секрета или оставить его пустым.
    • Срок действия: выберите 12 месяцев или 24 месяца.

    Нажмите Добавить. Немедленно скопируйте строку секрета клиента Value и Expires. Если вы покинете эту область, вы не сможете получить тот же секрет снова. Эти значения будут использоваться позже в качестве значений срока действия секретного ключа и секретного ключа .

  6. Если вы собираетесь использовать обнаружение Microsoft Entra пользователей в Configuration Manager, необходимо настроить разрешения для этого приложения. В меню свойств приложения выберите Разрешения API. По умолчанию он должен иметь разрешение User.Read для API Microsoft Graph , которое необходимо изменить.

    1. Выберите Microsoft Graph , чтобы перечислить список доступных разрешений API, а затем выберите Разрешения приложения.

    2. Разверните узел Каталог, а затем выберите Directory.Read.All.

    3. Переключитесь на делегированные разрешения.

    4. Разверните узел Пользователь и удалите разрешение User.Read .

    5. Выберите Обновить разрешения.

    6. В области Разрешения API выберите Предоставить согласие администратора для..., а затем нажмите кнопку Да.

  7. В меню свойств приложения выберите Предоставить API.

    1. В поле URI идентификатора приложения выберите Добавить. Укажите универсальный код ресурса (URI), который является уникальным для клиента. Это значение будет использоваться позже в качестве URI идентификатора приложения. Используйте один из следующих рекомендуемых форматов:

      • api://{tenantId}/{string}, например api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, например https://contoso.onmicrosoft.com/ConfigMgrService

      Выберите Сохранить.

    2. Выберите Добавить область и укажите следующие необходимые сведения:

      • Имя области: user_impersonation
      • Кто может предоставить согласие: выберите Администраторы и пользователи
      • Администратор отображаемое имя согласия. Укажите понятное имя. Пример: Access CMG-ServerApp
      • Администратор описание согласия. Укажите понятное описание. Пример: Allow the application to access CMG-ServerApp on behalf of the signed-in user.
    3. Выберите Добавить область для сохранения.

  8. В меню свойств приложения выберите Манифест. Задайте для записи oauth2AllowIdTokenImplicitFlowзначение true. Например:

    "oauth2AllowIdTokenImplicitFlow": true,
    

    Выберите Сохранить.

Веб-приложение (сервер) для CMG теперь зарегистрировано в Microsoft Entra ID.

Регистрация собственного (клиентского) приложения

  1. В меню Microsoft Entra ID выберите Регистрация приложений. Выберите Новая регистрация , чтобы создать новое приложение.

  2. В области Регистрация приложения укажите следующие сведения:

    • Имя: понятное имя приложения. Например, CMG-ClientApp.
    • Поддерживаемые типы учетных записей. Оставьте этот параметр в качестве параметра по умолчанию Учетные записи только в этом каталоге организации.
    • URI перенаправления. Оставьте это необязательное значение пустым.
  3. Выберите Зарегистрировать , чтобы создать приложение.

  4. В свойствах нового приложения скопируйте следующие значения:

    • Отображаемое имя: это понятное имя для регистрации приложения, которое вы будете использовать позже в качестве имени приложения.
    • Идентификатор приложения (клиента). Это значение GUID будет использоваться позже в качестве идентификатора клиента.
  5. В меню свойств приложения выберите Проверка подлинности.

    1. В разделе Конфигурации платформы выберите Добавить платформу.

      1. В области Настройка платформ выберите Мобильные и классические приложения.

      2. В области Настройка рабочего стола и устройств в разделе Настраиваемые URI перенаправления укажите ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Используйте идентификатор GUID клиента приложения, например ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255.

      3. Нажмите Настроить.

    2. В разделе Дополнительные параметры установите для параметра Разрешить общедоступные клиентские потокизначение Да. Выберите Сохранить.

  6. Настройте разрешения для этого приложения. В меню свойств приложения выберите Разрешения API. По умолчанию он должен иметь делегированное разрешение User.Read для API Microsoft Graph .

    1. В области Разрешения API выберите Добавить разрешение.

    2. Перейдите на вкладку Мои API и выберите свое веб-приложение (сервер). Например, CMG-ServerApp. Выберите разрешение user_impersonation , а затем выберите Добавить разрешения для сохранения.

    3. В области Разрешения API выберите Предоставить согласие администратора для..., а затем нажмите кнопку Да.

  7. В меню свойств приложения выберите Манифест. Задайте для записи oauth2AllowIdTokenImplicitFlowзначение true. Например:

    "oauth2AllowIdTokenImplicitFlow": true,
    

    Выберите Сохранить.

Собственное (клиентское) приложение для CMG теперь зарегистрировано в Microsoft Entra ID. Этот шаг также завершает процесс в портал Azure. Выполняется роль глобального администратора Azure.

Импорт приложений в Configuration Manager

После того как вы вручную зарегистрируете два приложения в портал Azure, используйте процесс, приведенный в статье Настройка Microsoft Entra ID для CMG, но выберите параметр Импортировать каждое из приложений.

Эти процессы импортируют метаданные о приложениях Microsoft Entra в Configuration Manager. Для импорта этих приложений не требуются разрешения Microsoft Entra.

Импорт веб-(серверного) приложения

При выборе импорта в окне серверного приложения откроется окно Импорт приложений . Введите следующие сведения о веб-приложении Microsoft Entra, которое уже зарегистрировано в портал Azure:

  • Microsoft Entra имя клиента: имя клиента Microsoft Entra.
  • Microsoft Entra идентификатор клиента: GUID вашего клиента Microsoft Entra.
  • Имя приложения: понятное имя приложения, отображаемое имя в регистрации приложения.
  • Идентификатор клиента: значение идентификатора приложения (клиента) регистрации приложения. Формат является стандартным GUID.
  • Секретный ключ. Скопируйте секретный ключ при регистрации приложения в Microsoft Entra ID и создайте секретный ключ.
  • Срок действия секретного ключа: укажите ту же дату, что и в портал Azure.
  • URI идентификатора приложения. Значением является URI идентификатора приложения записи регистрации приложения в Центр администрирования Microsoft Entra. Формат аналогичен формату https://ConfigMgrService.

После ввода сведений нажмите кнопку Проверить. Затем нажмите кнопку ОК , чтобы закрыть окно Импорт приложений .

Важно!

При использовании импортированного Microsoft Entra приложения вы не будете получать уведомления о предстоящей дате окончания срока действия из уведомлений консоли.

Импорт собственного (клиентского) приложения

При выборе импорта в окне клиентского приложения откроется окно Импорт приложений . Введите следующие сведения о собственном приложении Microsoft Entra, которое уже зарегистрировано в портал Azure:

  • Мастер автоматически заполняет имя и идентификатор клиента Microsoft Entra на основе уже указанного веб-приложения (сервер).
  • Имя приложения: понятное имя приложения.
  • Идентификатор клиента: значение идентификатора приложения (клиента) регистрации приложения. Формат является стандартным GUID.

После ввода сведений нажмите кнопку Проверить. Затем нажмите кнопку ОК , чтобы закрыть окно Импорт приложений .

Дальнейшие действия

После того как вы вручную зарегистрируете два приложения в портал Azure, используйте процедуру, описанную в следующей статье, чтобы импортировать приложения: