Konfigurera Azure-tjänster för användning med Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Använd Guiden Azure-tjänster för att förenkla konfigurationen av de Azure-molntjänster som du använder med Configuration Manager. Den här guiden ger en gemensam konfigurationsupplevelse med hjälp av Microsoft Entra webbappregistreringar. Dessa appar tillhandahåller prenumerations- och konfigurationsinformation och autentiserar kommunikation med Microsoft Entra-ID. Appen ersätter att ange samma information varje gång du konfigurerar en ny Configuration Manager komponent eller tjänst med Azure.
Tillgängliga tjänster
Konfigurera följande Azure-tjänster med den här guiden:
Molnhantering: Med den här tjänsten kan webbplatsen och klienterna autentisera med hjälp av Microsoft Entra ID. Den här autentiseringen möjliggör andra scenarier, till exempel:
Installera och tilldela Configuration Manager klienter med Microsoft Entra-ID för autentisering
Konfigurera Microsoft Entra identifiering av användargrupper
Stöd för vissa scenarier för molnhanteringsgateway
Tips
Mer information om molnhantering finns i Konfigurera Microsoft Entra-ID för molnhanteringsgateway.
Log Analytics-anslutningsprogram: Anslut till Azure Log Analytics. Synkronisera insamlingsdata till Log Analytics.
Viktigt
Den här artikeln refererar till Log Analytics Connector, som tidigare kallades OMS Connector. Den här funktionen blev inaktuell i november 2020. Den tas bort från Configuration Manager i version 2107. Mer information finns i Borttagna och inaktuella funktioner.
Microsoft Store för företag: Anslut till Microsoft Store för företag. Hämta store-appar för din organisation som du kan distribuera med Configuration Manager.
Administrationstjänsthantering: När du konfigurerar Azure-tjänster kan du för ökad säkerhet välja alternativet Administrationstjänsthantering. Om du väljer det här alternativet kan administratörer segmentera sina administratörsprivilegier mellan molnhanterings- och administrationstjänsten. Genom att aktivera det här alternativet begränsas åtkomsten till endast administrationstjänstslutpunkter. Configuration Management-klienter autentiserar till platsen med hjälp av Microsoft Entra-ID. (version 2207 eller senare)
Obs!
Endast CMG VMSS-kunder kan aktivera hanteringsalternativ för administrativa tjänster. Det här alternativet gäller inte för klassiska CMG-kunder.
Tjänstinformation
I följande tabell visas information om var och en av tjänsterna.
Klienter: Antalet tjänstinstanser som du kan konfigurera. Varje instans måste vara en distinkt Microsoft Entra klientorganisation.
Moln: Alla tjänster stöder det globala Azure-molnet, men inte alla tjänster stöder privata moln, till exempel Azure US Government-molnet.
Webbapp: Om tjänsten använder en Microsoft Entra app av typen Webbapp/API, även kallad en serverapp i Configuration Manager.
Intern app: Om tjänsten använder en Microsoft Entra app av typen Intern, även kallad en klientapp i Configuration Manager.
Åtgärder: Om du kan importera eller skapa dessa appar i guiden Configuration Manager Azure-tjänster.
| Tjänst | Klientorganisationer | Moln | Webbapp | Inbyggd app | Åtgärder |
|---|---|---|---|---|---|
| Molnhantering med Microsoft Entra identifiering |
Flera | Offentlig, privat |
|
|
Importera, skapa |
| Log Analytics-anslutningsprogram | En | Offentlig, privat |
|
|
Importera |
| Microsoft Store för Business |
En | Offentlig |
|
|
Importera, skapa |
Om Microsoft Entra appar
Olika Azure-tjänster kräver olika konfigurationer som du gör i Azure Portal. Dessutom kan apparna för varje tjänst kräva separata behörigheter till Azure-resurser.
Du kan använda en enda app för mer än en tjänst. Det finns bara ett objekt att hantera i Configuration Manager och Microsoft Entra-ID. När säkerhetsnyckeln i appen upphör att gälla behöver du bara uppdatera en nyckel.
När du skapar ytterligare Azure-tjänster i guiden är Configuration Manager utformat för att återanvända information som är gemensam mellan tjänster. Det här beteendet hjälper dig att behöva ange samma information mer än en gång.
Mer information om nödvändiga appbehörigheter och konfigurationer för varje tjänst finns i relevant artikel Configuration Manager i Tillgängliga tjänster.
Börja med följande artiklar om du vill ha mer information om Azure-appar:
- Autentisering och auktorisering i Azure App Service
- Web Apps översikt
- Grunderna i att registrera ett program i Microsoft Entra-ID
- Registrera ditt program med din Microsoft Entra klientorganisation
Innan du börjar
När du har bestämt vilken tjänst du vill ansluta till läser du tabellen i Tjänstinformation. Den här tabellen innehåller information som du behöver för att slutföra Azure-tjänstguiden. Ha en diskussion i förväg med din Microsoft Entra administratör. Bestäm vilka av följande åtgärder som ska utföras:
Skapa apparna manuellt i förväg i Azure Portal. Importera sedan appinformationen till Configuration Manager.
Tips
Mer information om molnhantering finns i Registrera Microsoft Entra appar manuellt för molnhanteringsgatewayen.
Använd Configuration Manager för att direkt skapa appar i Microsoft Entra-ID. Om du vill samla in nödvändiga data från Microsoft Entra ID läser du informationen i de andra avsnitten i den här artikeln.
Vissa tjänster kräver att de Microsoft Entra apparna har specifika behörigheter. Granska informationen för varje tjänst för att fastställa eventuella behörigheter som krävs. Innan du till exempel kan importera en webbapp måste en Azure-administratör först skapa den i Azure Portal.
När du konfigurerar Log Analytics Connector ska du ge den nyligen registrerade webbappen deltagarbehörighet för den resursgrupp som innehåller den relevanta arbetsytan. Med den här behörigheten kan Configuration Manager komma åt arbetsytan. När du tilldelar behörigheten söker du efter namnet på appregistreringen i området Lägg till användare i Azure Portal. Den här processen är densamma som när du tillhandahåller Configuration Manager med behörighet till Log Analytics. En Azure-administratör måste tilldela dessa behörigheter innan du importerar appen till Configuration Manager.
Starta Azure Services-guiden
I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Azure Services.
På fliken Start i menyfliksområdet går du till gruppen Azure-tjänster och väljer Konfigurera Azure-tjänster.
På sidan Azure-tjänster i Guiden Azure-tjänster:
Ange ett namn för objektet i Configuration Manager.
Ange en valfri Beskrivning som hjälper dig att identifiera tjänsten.
Välj den Azure-tjänst som du vill ansluta till Configuration Manager.
Välj Nästa för att fortsätta till sidan Egenskaper för Azure-appen i Azure-tjänstguiden.
Egenskaper för Azure-appar
På sidan App i Azure Services-guiden väljer du först Azure-miljön i listan. Se tabellen i Tjänstinformation för vilken miljö som för närvarande är tillgänglig för tjänsten.
Resten av appsidan varierar beroende på den specifika tjänsten. Se tabellen i Tjänstinformation för vilken typ av app tjänsten använder och vilken åtgärd du kan använda.
Om appen stöder både import och skapar åtgärder väljer du Bläddra. Den här åtgärden öppnar dialogrutan Serverapp eller dialogrutan Klientapp.
Om appen bara stöder importåtgärden väljer du Importera. Den här åtgärden öppnar dialogrutan Importera appar (server) eller dialogrutan Importera appar (klient).
När du har angett apparna på den här sidan väljer du Nästa för att fortsätta till sidan Konfiguration eller identifiering i Azure Services-guiden.
Webbapp
Den här appen är den Microsoft Entra ID-typen Webbapp/API, som även kallas en serverapp i Configuration Manager.
Dialogrutan Serverapp
När du väljer Bläddra efterwebbappen på sidan App i Azure Services-guiden öppnas dialogrutan Serverapp. Den visar en lista som visar följande egenskaper för alla befintliga webbappar:
- Eget namn för klientorganisation
- Eget namn för app
- Tjänsttyp
Det finns tre åtgärder som du kan vidta i dialogrutan Serverapp:
- Om du vill återanvända en befintlig webbapp väljer du den i listan.
- Välj Importera för att öppna dialogrutan Importera appar.
- Välj Skapa för att öppna dialogrutan Skapa serverprogram.
När du har valt, importerat eller skapat en webbapp väljer du OK för att stänga dialogrutan Serverapp. Den här åtgärden återgår till appsidan i Azure Services-guiden.
Dialogrutan Importera appar (server)
När du väljer Importera från dialogrutan Serverapp eller sidan App i Azure Services-guiden öppnas dialogrutan Importera appar. På den här sidan kan du ange information om en Microsoft Entra webbapp som redan har skapats i Azure Portal. Den importerar metadata om webbappen till Configuration Manager. Ange följande information:
- Microsoft Entra klientnamn: Namnet på din Microsoft Entra klientorganisation.
- Microsoft Entra klientorganisations-ID: GUID för din Microsoft Entra klientorganisation.
- Programnamn: Ett eget namn för appen, visningsnamnet i appregistreringen.
- Klient-ID: Program-ID-värdet (klient) för appregistreringen. Formatet är ett standard-GUID.
- Hemlig nyckel: Du måste kopiera den hemliga nyckeln när du registrerar appen i Microsoft Entra-ID.
- Förfallodatum för hemlig nyckel: Välj ett framtida datum i kalendern.
- App-ID-URI: Det här värdet måste vara unikt i din Microsoft Entra klientorganisation. Det finns i den åtkomsttoken som används av Configuration Manager-klienten för att begära åtkomst till tjänsten. Värdet är program-ID-URI:n för appregistreringsposten i Microsoft Entra administrationscenter.
När du har angett informationen väljer du Verifiera. Välj sedan OK för att stänga dialogrutan Importera appar. Den här åtgärden återgår antingen till appsidan i Azure Services-guiden eller till dialogrutan Serverapp.
Viktigt
När du använder en importerad Microsoft Entra app meddelas du inte om ett kommande förfallodatum från konsolmeddelanden.
Dialogrutan Skapa serverprogram
När du väljer Skapa i dialogrutan Serverapp öppnas dialogrutan Skapa serverprogram. Den här sidan automatiserar skapandet av en webbapp i Microsoft Entra-ID. Ange följande information:
Programnamn: Ett eget namn för appen.
Url för startsida: Det här värdet används inte av Configuration Manager, utan krävs av Microsoft Entra-ID. Som standard är
https://ConfigMgrServicedet här värdet .App-ID-URI: Det här värdet måste vara unikt i din Microsoft Entra klientorganisation. Det finns i den åtkomsttoken som används av Configuration Manager-klienten för att begära åtkomst till tjänsten. Som standard är
https://ConfigMgrServicedet här värdet . Ändra standardvärdet till något av följande rekommenderade format:-
api://{tenantId}/{string}, till exempelapi://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService -
https://{verifiedCustomerDomain}/{string}, till exempelhttps://contoso.onmicrosoft.com/ConfigMgrService
-
Giltighetsperiod för hemlig nyckel: välj antingen 1 år eller 2 år i listrutan. Ett år är standardvärdet.
Obs!
Du kan se ett alternativ för Aldrig, men Microsoft Entra stöder det inte längre. Om du tidigare valde det här alternativet har förfallodatumet nu angetts till 99 år från det datum då du skapade det.
Välj Logga in för att autentisera till Azure som administrativ användare. Dessa autentiseringsuppgifter sparas inte av Configuration Manager. Den här personen kräver inte behörigheter i Configuration Manager och behöver inte vara samma konto som kör Azure Services-guiden. När du har autentiserat till Azure visar sidan Microsoft Entra klientnamn som referens.
Välj OK för att skapa webbappen i Microsoft Entra-ID och stäng dialogrutan Skapa serverprogram. Den här åtgärden återgår till dialogrutan Serverapp.
Obs!
Om du har definierat en Microsoft Entra princip för villkorsstyrd åtkomst och gäller för alla molnappar måste du undanta det skapade serverprogrammet från den här principen. Mer information om hur du exkluderar specifika appar finns i Microsoft Entra dokumentation om villkorsstyrd åtkomst.
Intern klientapp
Den här appen är den Microsoft Entra ID-typen Intern, som även kallas en klientapp i Configuration Manager.
Dialogrutan Klientapp
När du väljer Bläddra efter den interna klientappen på sidan App i Azure Services-guiden öppnas dialogrutan Klientapp. Den visar en lista som visar följande egenskaper för alla befintliga interna appar:
- Eget namn för klientorganisation
- Eget namn för app
- Tjänsttyp
Det finns tre åtgärder som du kan vidta i dialogrutan Klientapp:
- Om du vill återanvända en befintlig inbyggd app väljer du den i listan.
- Välj Importera för att öppna dialogrutan Importera appar.
- Välj Skapa för att öppna dialogrutan Skapa klientprogram.
När du har valt, importerat eller skapat en intern app väljer du OK för att stänga dialogrutan Klientapp. Den här åtgärden återgår till appsidan i Azure Services-guiden.
Dialogrutan Importera appar (klient)
När du väljer Importera från dialogrutan Klientapp öppnas dialogrutan Importera appar. På den här sidan kan du ange information om en Microsoft Entra inbyggd app som redan har skapats i Azure Portal. Den importerar metadata om den interna appen till Configuration Manager. Ange följande information:
- Programnamn: Ett eget namn för appen.
- Klient-ID: Program-ID-värdet (klient) för appregistreringen. Formatet är ett standard-GUID.
När du har angett informationen väljer du Verifiera. Välj sedan OK för att stänga dialogrutan Importera appar. Den här åtgärden återgår till dialogrutan Klientapp.
Tips
När du registrerar appen i Microsoft Entra-ID kan du behöva ange följande omdirigerings-URI manuellt: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Ange appens klient-ID GUID, till exempel: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.
Dialogrutan Skapa klientprogram
När du väljer Skapa i dialogrutan Klientapp öppnas dialogrutan Skapa klientprogram. Den här sidan automatiserar skapandet av en inbyggd app i Microsoft Entra-ID. Ange följande information:
- Programnamn: Ett eget namn för appen.
-
Svars-URL: Det här värdet används inte av Configuration Manager, utan krävs av Microsoft Entra-ID. Som standard är
https://ConfigMgrServicedet här värdet .
Välj Logga in för att autentisera till Azure som administrativ användare. Dessa autentiseringsuppgifter sparas inte av Configuration Manager. Den här personen kräver inte behörigheter i Configuration Manager och behöver inte vara samma konto som kör Azure Services-guiden. När du har autentiserat till Azure visar sidan Microsoft Entra klientnamn som referens.
Välj OK för att skapa den interna appen i Microsoft Entra ID och stäng dialogrutan Skapa klientprogram. Den här åtgärden återgår till dialogrutan Klientapp.
Konfiguration eller identifiering
När du har angett webbappar och interna appar på sidan Appar fortsätter Azure Services-guiden till antingen en konfigurations- eller identifieringssida , beroende på vilken tjänst du ansluter till. Informationen på den här sidan varierar från tjänst till tjänst. Mer information finns i någon av följande artiklar:
Molnhanteringstjänst, identifieringssida: Konfigurera Microsoft Entra användaridentifiering
Log Analytics Connector-tjänsten , konfigurationssidan : Konfigurera anslutningen till Log Analytics
Microsoft Store för företag service, sidan Konfigurationer: Konfigurera Microsoft Store för företag synkronisering
Slutför slutligen Azure Services-guiden via sidorna Sammanfattning, Förlopp och Slutförande. Du har slutfört konfigurationen av en Azure-tjänst i Configuration Manager. Upprepa den här processen för att konfigurera andra Azure-tjänster.
Uppdatera programinställningar
Om du vill att dina Configuration Manager klienter ska kunna begära en Microsoft Entra enhetstoken och aktivera läskatalogens databehörigheter måste du uppdatera inställningarna för webbserverprogrammet.
- I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Microsoft Entra klientorganisationer.
- Välj den Microsoft Entra klientorganisationen för det program som du vill uppdatera.
- I avsnittet Program väljer du ditt Microsoft Entra webbserverprogram och väljer sedan Uppdatera programinställningar i menyfliksområdet.
- När du uppmanas att bekräfta väljer du Ja för att bekräfta att du vill uppdatera programmet med de senaste inställningarna.
Förnya hemlig nyckel
Du måste förnya Microsoft Entra appens hemliga nyckel innan giltighetsperioden är slut. Om du låter nyckeln förfalla kan Configuration Manager inte autentisera med Microsoft Entra ID, vilket gör att dina anslutna Azure-tjänster slutar fungera.
Från och med version 2006 visar Configuration Manager-konsolen meddelanden för följande omständigheter:
- En eller flera Microsoft Entra apphemlighetsnycklar upphör snart att gälla
- En eller flera Microsoft Entra apphemlighetsnycklar har upphört att gälla
För att undvika båda fallen förnyar du den hemliga nyckeln.
Mer information om hur du interagerar med dessa meddelanden finns i Configuration Manager konsolaviseringar.
Obs!
Du måste ha minst rollen "Molnprogramadministratör" Microsoft Entra tilldelad för att kunna förnya nyckeln.
Förnya nyckel för skapad app
I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Microsoft Entra klientorganisationer.
I fönstret Information väljer du appens Microsoft Entra klientorganisation.
I menyfliksområdet väljer du Förnya hemlig nyckel. Ange autentiseringsuppgifterna för antingen appägaren eller en Microsoft Entra-administratör.
Förnya nyckel för importerad app
Om du har importerat Azure-appen i Configuration Manager använder du Azure Portal för att förnya. Observera den nya hemliga nyckeln och förfallodatumet. Lägg till den här informationen i guiden Förnya hemlig nyckel .
Obs!
Spara den hemliga nyckeln innan du stänger nyckelsidan för Azure-programegenskaper. Den här informationen tas bort när du stänger sidan.
Inaktivera autentisering
Från och med version 2010 kan du inaktivera Microsoft Entra autentisering för klienter som inte är associerade med användare och enheter. När du registrerar Configuration Manager för att Microsoft Entra ID kan webbplatsen och klienterna använda modern autentisering. För närvarande är Microsoft Entra enhetsautentisering aktiverat för alla registrerade klienter, oavsett om de har enheter eller inte. Du har till exempel en separat klientorganisation med en prenumeration som du använder för beräkningsresurser för att stödja en molnhanteringsgateway. Om det inte finns användare eller enheter som är associerade med klientorganisationen inaktiverar du Microsoft Entra autentisering.
I Configuration Manager-konsolen går du till arbetsytan Administration.
Expandera Cloud Services och välj noden Azure Services.
Välj målanslutningen av typen Molnhantering. I menyfliksområdet väljer du Egenskaper.
Växla till fliken Program .
Välj alternativet Inaktivera Microsoft Entra autentisering för den här klientorganisationen.
Välj OK för att spara och stänga anslutningsegenskaperna.
Tips
Det kan ta upp till 25 timmar innan den här ändringen börjar gälla för klienter. Använd följande steg för att testa för att påskynda den här ändringen av beteendet:
- Starta om sms_executive-tjänsten på platsservern.
- Starta om ccmexec-tjänsten på klienten.
- Utlös klientschemat för att uppdatera standardhanteringsplatsen. Använd till exempel verktyget skicka schema:
SendSchedule {00000000-0000-0000-0000-000000000023}
Visa konfigurationen av en Azure-tjänst
Visa egenskaperna för en Azure-tjänst som du har konfigurerat för användning. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer Azure-tjänster. Välj den tjänst som du vill visa eller redigera och välj sedan Egenskaper.
Om du väljer en tjänst och sedan väljer Ta bort i menyfliksområdet tar den här åtgärden bort anslutningen i Configuration Manager. Den tar inte bort appen i Microsoft Entra-ID. Be Azure-administratören att ta bort appen när den inte längre behövs. Eller kör Azure Service-guiden för att importera appen.
Dataflöde för molnhantering
Följande diagram är ett konceptuellt dataflöde för interaktionen mellan Configuration Manager, Microsoft Entra-ID och anslutna molntjänster. I det här specifika exemplet används cloud management-tjänsten, som innehåller en Windows 10-klient och både server- och klientappar. Flödena för andra tjänster liknar varandra.
Configuration Manager-administratören importerar eller skapar klient- och serverapparna i Microsoft Entra-ID.
Configuration Manager Microsoft Entra användaridentifieringsmetod körs. Webbplatsen använder Microsoft Entra-serverapptoken för att fråga Microsoft Graph efter användarobjekt.
Webbplatsen lagrar data om användarobjekten. Mer information finns i Microsoft Entra användaridentifiering.
Configuration Manager-klienten begär Microsoft Entra användartoken. Klienten gör anspråket med hjälp av program-ID:t för Microsoft Entra-klientappen och serverappen som målgrupp. Mer information finns i Anspråk i Microsoft Entra säkerhetstoken.
Klienten autentiserar med platsen genom att presentera Microsoft Entra-token för molnhanteringsgatewayen och den lokala HTTPS-aktiverade hanteringsplatsen.
Mer detaljerad information finns i Microsoft Entra autentiseringsarbetsflöde.