Konfigurieren der Azure-Integration
Windows Admin Center unterstützt mehrere optionale Features, die in Azure-Dienste integriert werden können. Erfahren Sie mehr über die Azure-Integrationsoptionen, die mit Windows Admin Center verfügbar sind.
Damit das Windows Admin Center-Gateway mit Azure kommunizieren kann, um die Microsoft Entra-Authentifizierung für den Gatewayzugriff zu nutzen oder Azure-Ressourcen in Ihrem Auftrag zu erstellen (z. B. zum Schützen von VMs, die in Windows Admin Center mithilfe von Azure Site Recovery verwaltet werden), müssen Sie zuerst Ihr Windows Admin Center-Gateway bei Azure registrieren. Sie müssen diese Aktion nur einmal für Ihr Windows Admin Center-Gateway ausführen – die Einstellung wird beibehalten, wenn Sie Ihr Gateway auf eine neuere Version aktualisieren.
Registrieren Ihres Gateways bei Azure
Wenn Sie zum ersten Mal versuchen, eine Azure-Integrationsfunktion in Windows Admin Center zu verwenden, werden Sie aufgefordert, das Gateway bei Azure zu registrieren. Sie können das Gateway auch registrieren, indem Sie in den Windows Admin Center-Einstellungen zur Registerkarte Azure navigieren. Nur Windows Admin Center-Gatewayadministratoren können das Windows Admin Center-Gateway bei Azure registrieren. Erfahren Sie mehr über Windows Admin Center-Benutzer- und -Administratorberechtigungen.
Die geführten Produktschritte erstellen eine Microsoft Entra-App in Ihrem Verzeichnis, mit der Windows Admin Center mit Azure kommunizieren kann. Um die automatisch erstellte Microsoft Entra-App anzuzeigen, navigieren Sie zur Registerkarte Azure der Windows Admin Center-Einstellungen. Mit dem Link In Azure anzeigen können Sie die Microsoft Entra-App im Azure-Portal anzeigen.
Die Microsoft Entra-App, die für alle Aspekte der Azure-Integration in Windows Admin Center verwendet wird, einschließlich der Microsoft Entra-Authentifizierung beim Gateway. Windows Admin Center konfiguriert automatisch die Berechtigungen, die zum Erstellen und Verwalten von Azure-Ressourcen in Ihrem Namen erforderlich sind:
- Microsoft Graph
- Application.Read.All
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.Read.All
- Directory.ReadWrite.All
- User.Read
- Azure Service Management
- user_impersonation
Manuelle Konfiguration der Microsoft Entra-App
Wenn Sie eine Microsoft Entra-App manuell konfigurieren möchten, anstatt die Microsoft Entra-App zu verwenden, die während des Gatewayregistrierungsprozesses automatisch von Windows Admin Center erstellt wurde, führen Sie die folgenden Schritte aus:
Erteilen Sie der Microsoft Entra-App die oben aufgeführten erforderlichen API-Berechtigungen. Navigieren Sie dazu im Azure-Portal zu Ihrer Microsoft Entra-App. Gehen Sie im Azure-Portal auf >Microsoft Entra-ID>App-Registrierungen> und wählen Sie die Microsoft Entra-App, die Sie nutzen möchten. Navigieren Sie dann zur Registerkarte API-Berechtigungen, und fügen Sie die oben aufgeführten API-Berechtigungen hinzu.
Fügen Sie die URL des Windows Admin Center-Gateways den Antwort-URLs (auch als Umleitungs-URIs bezeichnet) hinzu. Navigieren Sie zu Ihrer Microsoft Entra-App, und wechseln Sie dann zu Manifest. Suchen Sie den Schlüssel „replyUrlsWithType“ im Manifest. Fügen Sie innerhalb des Schlüssels ein Objekt hinzu, das zwei Schlüssel enthält: „url“ und „type“. Der Schlüssel „URL“ sollte den Wert der Windows Admin Center-Gateway-URL aufweisen, wobei am Ende ein Platzhalter angefügt wird. Der Schlüssel "type" sollte den Wert "Web" aufweisen. Zum Beispiel:
"replyUrlsWithType": [ { "url": "http://localhost:6516/*", "type": "Single-Page Application" } ],
Hinweis
Wenn Sie Microsoft Defender Application Guard für Ihren Browser aktiviert haben, können Sie Windows Admin Center nicht bei Azure registrieren oder sich bei Azure anmelden.
Problembehandlung bei Azure-Anmeldefehlern
Der Umleitungs-URI stimmt nicht mit den URIs überein, die für diese Anwendung konfiguriert sind.
Wenn Sie Ihre Daten kürzlich von einer älteren Version von Windows Admin Center zu Windows Admin Center Version 2410 migriert haben, sind Ihre Umleitungs-URIs möglicherweise falsch konfiguriert. Dies kann passieren, wenn Sie den Azure-Registrierungsschritt im Migrations-Assistenten nicht abgeschlossen haben. Diese Fehlkonfiguration liegt daran, dass windows Admin Center die Art und Weise geändert hat, wie wir die Authentifizierung basierend auf allgemeinen Microsoft-Anleitungen durchführen. Wo wir zuvor den impliziten Genehmigungs-Flow verwendet haben, verwenden wir jetzt den Autorisierungscode-Flow.
Es gibt zwei Umleitungs-URIs, die der Single-Page Application (SPA)-Plattform hinzugefügt werden müssen. Ein Beispiel für diese Umleitungs-URIs wäre:
https://myMachineName.domain.com:6600
https://myMachineName.domain.com:6600/signin-oidc
In diesem Beispiel bezieht sich der numerische Wert auf den Port, auf den in Ihrer Windows Admin Center-Installation verwiesen wird.
Alle Umleitungs-URIs für Windows Admin Center müssen Folgendes enthalten:
- Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) oder hostname Ihres Gatewaycomputers, keine Erwähnung von localhost
- Das HTTPS-Präfix, nicht HTTP
Erfahren Sie, wie Sie Ihre Umleitungs-URIs neu konfigurieren.
Nachdem Sie die richtigen Umleitungs-URIs hinzugefügt haben, empfiehlt es sich, alte, nicht verwendete Umleitungs-URIs zu bereinigen.
Die einseitige Tokeneinlösung ist nur für die Einzelseitenanwendung zulässig.
Wenn Sie Ihre Windows Admin Center-Instanz kürzlich auf eine neuere Version aktualisiert haben und Ihr Gateway zuvor bei Azure registriert wurde, tritt bei der Anmeldung bei Azure möglicherweise die folgende Fehlermeldung auf: „Die ursprungsübergreifende Tokeneinlösung ist nur für den Clienttyp ‚Single-Page-Webanwendung’ zulässig“. Dies wird angezeigt, da Windows Admin Center die Art und Weise geändert hat, wie wir die Authentifizierung basierend auf allgemeinen Microsoft-Richtlinien durchführen. Wo wir zuvor den impliziten Genehmigungs-Flow verwendet haben, verwenden wir jetzt den Autorisierungscode-Flow.
Wenn Sie Ihre vorhandene App-Registrierung für Ihre Windows Admin Center-Anwendung weiterverwenden möchten, aktualisieren Sie im Microsoft Entra Admin Center die Umleitungs-URIs der Registrierung auf die Plattform der Single-Page-Webanwendung. Dadurch wird der Autorisierungscode-Flow mit PKCE(Proof Key for Code Exchange)- und CORS(Cross-Origin Resource Sharing)-Unterstützung für Anwendungen aktiviert, die diese Registrierung verwenden.
Führen Sie für Anwendungsregistrierungen, die derzeit mit Umleitungs URIs für die Plattform Web konfiguriert sind, die folgenden Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Identität > Anwendungen > App-Registrierungen, und wählen Sie Ihre Anwendung und dann Authentifizierung aus.
- Wählen Sie auf der Kachel für die Plattform Web unter Umleitungs-URIs das Warnbanner aus, das angibt, dass Sie Ihre URIs migrieren sollten.
- Wählen Sie den Umleitungs-URI für Ihre Anwendung und anschließend Konfigurieren aus. Diese Umleitungs-URIs sollten jetzt auf der Kachel für die Plattform Single-Page-Webanwendung angezeigt werden. Ebenfalls wird angezeigt, dass CORS-Unterstützung mit dem Autorisierungscodeflow und PKCE für diese URIs aktiviert ist.
Sie können auch eine neue Anwendungsregistrierung erstellen, anstatt die Umleitungs-URIs zu aktualisieren. App-Registrierungen, die neu für Windows Admin Center über den Gateway-Registrierungs-Flow erstellt wurden, erstellen Umleitungs-URIs für die Single-Page-Webanwendungsplattform.
Wenn Sie die Umleitungs-URIs Ihrer Anwendungsregistrierung nicht migrieren können, um den Authentifizierungscode-Flow zu verwenden, können Sie die vorhandene Anwendungsregistrierung weiterhin unverändert verwenden. Dazu müssen Sie die Registrierung Ihres Windows Admin Center-Gateways aufheben und mit derselben Anwendungsregistrierungs-ID erneut registrieren.