Konfigurera Microsoft Entra-ID för CMG
Gäller för: Configuration Manager (aktuell gren)
Det andra primära steget för att konfigurera en molnhanteringsgateway (CMG) är att integrera Configuration Manager plats med din Microsoft Entra klientorganisation. Med den här integreringen kan webbplatsen autentiseras med Microsoft Entra-ID, som används för att distribuera och övervaka CMG-tjänsten. Om du väljer Microsoft Entra autentiseringsmetod för klienter i nästa steg är den här integreringen en förutsättning för den autentiseringsmetoden.
Tips
Den här artikeln innehåller förebyggande vägledning för att integrera webbplatsen specifikt för molnhanteringsgatewayen. Mer information om den här processen och andra användningar av Azure Services-noden i Configuration Manager-konsolen finns i Konfigurera Azure-tjänster.
När du integrerar webbplatsen skapar du appregistreringar i Microsoft Entra-ID. CMG kräver två appregistreringar:
- Webbapp (kallas även för en serverapp i Configuration Manager)
- Inbyggd app (kallas även för en klientapp i Configuration Manager)
Det finns två metoder för att skapa dessa appar, som båda kräver en global administratörsroll i Microsoft Entra-ID:
- Använd Configuration Manager för att automatisera skapandet av appar när du integrerar webbplatsen.
- Skapa apparna manuellt i förväg och importera dem sedan när du integrerar webbplatsen.
Den här artikeln följer främst den första metoden. Mer information om den andra metoden finns i Registrera Microsoft Entra appar manuellt för CMG.
Innan du börjar kontrollerar du att du har en global administratör för Microsoft Entra-ID tillgänglig.
Obs!
Om du planerar att importera förskapade appregistreringar måste du först skapa dem i Microsoft Entra-ID. Börja med artikeln om du vill registrera Microsoft Entra appar för CMG manuellt. Gå sedan tillbaka till den här artikeln för att köra Azure Services-guiden och importera apparna till Configuration Manager.
Syftet med appregistreringar
Dessa två Microsoft Entra appregistreringar representerar server- och klientsidan för CMG.
Klientappen representerar hanterade klienter och användare som ansluter till CMG:en. Den definierar vilka resurser de har åtkomst till i Azure, inklusive själva CMG:en.
Serverappen representerar de CMG-komponenter som finns i Azure. Den definierar vilka resurser de har åtkomst till i Azure. Serverappen används för att underlätta autentisering och auktorisering från hanterade klienter, användare och CMG-anslutningspunkten till Azure-baserade CMG-komponenter. Den här kommunikationen omfattar trafik till lokala hanteringsplatser och programuppdateringsplatser, inledande CMG-etablering i Azure och Microsoft Entra identifiering.
Om klienter använder PKI-utfärdade klientautentiseringscertifikat används inte de två klientapparna för enhetscentrerad aktivitet. Till exempel programvarudistribution riktad mot en enhetssamling. Användarcentrerad aktivitet använder alltid dessa två appregistreringar för autentiserings- och auktoriseringsändamål.
Starta Azure Services-guiden
I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Azure Services.
På fliken Start i menyfliksområdet går du till gruppen Azure Services* och väljer Konfigurera Azure-tjänster.
På sidan Azure-tjänster i Guiden Azure-tjänster:
Ange ett namn för objektet i Configuration Manager. Det här namnet är bara för att identifiera anslutningen i Configuration Manager.
Ange en valfri beskrivning för att ytterligare identifiera den här tjänstanslutningen.
Välj molnhanteringstjänsten .
På sidan App i Azure Services-guiden väljer du Azure-miljön för din klientorganisation:
- AzurePublicCloud: Din klientorganisation finns i det globala Azure-molnet.
- AzureUSGovernmentCloud: Din klientorganisation finns i Azure US Government-molnet.
Skapa appregistreringen för webben (servern)
På sidan App i fönstret Azure Services-guide väljer du Bläddra för webbappen.
I fönstret Serverapp väljer du Skapa för att använda Configuration Manager för att automatisera skapandet av appen.
I fönstret Skapa serverprogram anger du följande information:
Programnamn: Ett eget namn för appen.
Url för startsida: Det här värdet används inte av Configuration Manager, utan krävs av Microsoft Entra-ID. Som standard är
https://ConfigMgrService
det här värdet .App-ID-URI: Det här värdet måste vara unikt i din Microsoft Entra klientorganisation. Det finns i den åtkomsttoken som används av Configuration Manager-klienten för att begära åtkomst till tjänsten. Som standard är
https://ConfigMgrService
det här värdet . Ändra standardvärdet till något av följande rekommenderade format:-
api://{tenantId}/{string}
, till exempelapi://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, till exempelhttps://contoso.onmicrosoft.com/ConfigMgrService
-
Giltighetsperiod för hemlig nyckel: välj antingen 1 år eller 2 år i listrutan. Ett år är standardvärdet.
Microsoft Entra administratörskonto: Välj Logga in för att autentisera för att Microsoft Entra ID som global administratör. Configuration Manager sparar inte dessa autentiseringsuppgifter. Den här personen kräver inte behörigheter i Configuration Manager och behöver inte vara samma konto som kör Azure Services-guiden. När du har autentiserat till Azure visar sidan Microsoft Entra klientnamn som referens.
Välj OK för att skapa webbappen i Microsoft Entra-ID och stäng fönstret Skapa serverprogram.
I fönstret Serverapp kontrollerar du att den nya appen är markerad och väljer sedan OK för att spara och stänga fönstret.
Obs!
Från och med Configuration Manager aktuella grenversion 2309 har vi förbättrad säkerhet för webbappen (server) för att skapa CMG. Om du vill skapa en ny CMG kan användarna välja klientorganisation och appnamn med hjälp av Microsoft Entra klientnamn. När du har valt klientorganisations- och appnamn visas inloggningsknappen och följer resten av processen enligt cmg-konfigurationen.
Befintliga CMG-kunder måste uppdatera sin webbserverapp genom att gå till Microsoft Entra klientnod –> välj klientorganisationen –> välj serverappen –> klicka på "Uppdatera programinställningar".
Skapa den interna appregistreringen (klienten)
På sidan App i fönstret Azure Services-guide väljer du Bläddra för den interna klientappen.
I fönstret Klientapp väljer du Skapa för att använda Configuration Manager för att automatisera skapandet av appen.
I fönstret Skapa klientprogram anger du följande information:
Programnamn: Ett eget namn för appen.
Microsoft Entra administratörskonto: Välj Logga in för att autentisera för att Microsoft Entra ID som global administratör. Configuration Manager sparar inte dessa autentiseringsuppgifter. Den här personen kräver inte behörigheter i Configuration Manager och behöver inte vara samma konto som kör Azure Services-guiden. När du har autentiserat till Azure visar sidan Microsoft Entra klientnamn som referens.
Välj OK för att skapa den interna appen i Microsoft Entra-ID och stäng fönstret Skapa klientprogram.
I fönstret Klientapp kontrollerar du att den nya appen är markerad och väljer sedan OK för att spara och stänga fönstret.
Slutför Azure Services-guiden
I Azure Services-guiden bekräftar du att både webbappens och den interna klientappens värden är slutförda. Gå vidare genom att klicka på Nästa.
Identifieringssidan i guiden är bara nödvändig i vissa scenarier. Det är valfritt när du registrerar webbplatsen för att Microsoft Entra-ID och inte behöver skapa CMG:en. Om du behöver den för att stödja specifika funktioner i din miljö kan du aktivera den senare.
Mer information om CMG-scenarier som kan kräva Microsoft Entra användaridentifiering finns i Konfigurera klientautentisering: Microsoft Entra-ID och Installera klienter med Microsoft Entra-ID.
Mer information om den här identifieringsmetoden finns i Konfigurera Microsoft Entra användaridentifiering.
Granska inställningarna och slutför guiden.
När guiden stängs visas den nya anslutningen i Noden Azure-tjänster . Du kan också visa klient- och appregistreringar i noden Microsoft Entra klientorganisationer i Configuration Manager-konsolen.
Inaktivera Microsoft Entra autentisering för icke-enhets- eller användarklientorganisationer
Om dina enheter finns i en Microsoft Entra klientorganisation som är separat från klientorganisationen med en prenumeration på CMG-beräkningsresurserna kan du inaktivera autentisering för klienter som inte är associerade med användare och enheter.
Öppna egenskaperna för Cloud Management-tjänsten .
Växla till fliken Program .
Välj alternativet Inaktivera Microsoft Entra autentisering för den här klientorganisationen.
Mer information finns i Konfigurera Azure-tjänster.
Konfigurera Azure-resursproviders
CMG-tjänsten kräver att du registrerar specifika resursprovidrar i din Azure-prenumeration. När du distribuerar CMG:en till en VM-skalningsuppsättning registrerar du följande resursproviders:
- Microsoft.KeyVault
- Microsoft.Storage
- Microsoft.Network
- Microsoft.Compute
Obs!
Om du tidigare distribuerade CMG:en med en klassisk molntjänst kräver din Azure-prenumeration följande två resursprovidrar:
- Microsoft.ClassicCompute
- Microsoft.Storage
Från och med version 2203 tas alternativet att distribuera en CMG som en molntjänst (klassisk) bort. Alla CMG-distributioner bör använda en VM-skalningsuppsättning. Mer information finns i Borttagna och inaktuella funktioner.
Ditt Microsoft Entra-konto behöver behörighet att utföra /register/action
åtgärden för resursprovidern. Rollerna Deltagare och Ägare innehåller som standard den här behörigheten.
Följande steg sammanfattar processen för att registrera en resursprovider. Mer information finns i Azure-resursprovidrar och typer.
Logga in på Azure-portalen.
På menyn Azure Portal söker du efter Prenumerationer. Välj den bland de tillgängliga alternativen.
Välj den prenumeration som du vill visa.
På den vänstra menyn går du till Inställningar och väljer Resursprovidrar.
Leta upp den resursprovider som du vill registrera och välj Registrera. Om du vill behålla minsta möjliga behörighet i din prenumeration registrerar du bara de resursprovidrar som du är redo att använda.
Automatisera med PowerShell
Du kan även automatisera aspekter av dessa konfigurationer med hjälp av PowerShell.
Använd cmdleten Import-CMAADServerApplication för att definiera Microsoft Entra webb-/serverappen i Configuration Manager.
Använd cmdleten Import-CMAADClientApplication för att definiera den Microsoft Entra interna appen/klientappen i Configuration Manager.
Använd cmdleten Get-CMAADApplication för att hämta de importerade appobjekten.
Skicka sedan appobjekten till cmdleten New-CMCloudManagementAzureService för att skapa Azure-tjänsten för molnhantering i Configuration Manager.
Nästa steg
Fortsätt konfigurationen av CMG genom att bestämma vilken typ av klientautentisering som ska användas: