Azure-services configureren voor gebruik met Configuration Manager

Van toepassing op: Configuration Manager (current branch)

Gebruik de wizard Azure-services om het configureren van de Azure-cloudservices die u gebruikt met Configuration Manager te vereenvoudigen. Deze wizard biedt een algemene configuratie-ervaring met behulp van Microsoft Entra web-app-registraties. Deze apps bieden abonnements- en configuratiegegevens en verifiëren de communicatie met Microsoft Entra-id. De app vervangt het invoeren van dezelfde gegevens telkens wanneer u een nieuw Configuration Manager-onderdeel of -service instelt met Azure.

Beschikbare services

Configureer de volgende Azure-services met behulp van deze wizard:

• Cloudbeheer: met deze service kunnen de site en clients worden geverifieerd met behulp van Microsoft Entra-id. Deze verificatie maakt andere scenario's mogelijk, zoals:

  • Configuration Manager-clients installeren en toewijzen met behulp van Microsoft Entra-id voor verificatie

  • Detectie van Microsoft Entra gebruiker configureren

  • Detectie van Microsoft Entra gebruikersgroep configureren

  • Ondersteuning voor bepaalde scenario's voor cloudbeheergateway

    Tip

    Zie Microsoft Entra-id configureren voor cloudbeheergateway voor meer informatie die specifiek is voor cloudbeheer.

  • E-mailmeldingen voor app-goedkeuring

• Log Analytics-connector: maak verbinding met Azure Log Analytics. Gegevens van de verzameling synchroniseren met Log Analytics.

  Belangrijk

  Dit artikel verwijst naar de Log Analytics-connector, die voorheen de OMS-connector werd genoemd. Deze functie is in november 2020 afgeschaft. Het is verwijderd uit Configuration Manager in versie 2107. Zie Verwijderde en afgeschafte functies voor meer informatie.

• Microsoft Store voor Bedrijven: maak verbinding met de Microsoft Store voor Bedrijven. Download Store-apps voor uw organisatie die u kunt implementeren met Configuration Manager.

• Beheerservicebeheer: wanneer u Azure Services configureert, kunt u voor verbeterde beveiliging de optie Beheerservicebeheer selecteren. Als u deze optie selecteert, kunnen beheerders hun beheerdersbevoegdheden verdelen tussen cloudbeheer en beheerservice. Door deze optie in te schakelen, is de toegang beperkt tot alleen beheerservice-eindpunten. Configuration Management-clients worden geverifieerd bij de site met behulp van Microsoft Entra-id. (versie 2207 of hoger)

  Opmerking

  Alleen CMG VMSS-klanten kunnen de optie Beheer van beheerservices inschakelen. Deze optie is niet van toepassing op klassieke CMG-klanten.

Servicedetails

De volgende tabel bevat details over elk van de services.

• Tenants: het aantal service-exemplaren dat u kunt configureren. Elk exemplaar moet een afzonderlijke Microsoft Entra tenant zijn.

• Clouds: alle services ondersteunen de wereldwijde Azure-cloud, maar niet alle services ondersteunen privéclouds, zoals de Azure-cloud van de Amerikaanse overheid.

• Web-app: of de service gebruikmaakt van een Microsoft Entra-app van het type Web-app/API, ook wel een server-app genoemd in Configuration Manager.

• Systeemeigen app: of de service gebruikmaakt van een Microsoft Entra-app van het type Native, ook wel een client-app genoemd in Configuration Manager.

• Acties: of u deze apps kunt importeren of maken in de wizard Configuration Manager Azure-services.

Service	Tenants	Wolken	Web-app	Systeemeigen app	Acties
Cloudbeheer met Microsoft Entra detectie	Meerdere	Openbaar, privé			Importeren, maken
Log Analytics-connector	Een	Openbaar, privé			Importeren
Microsoft Store voor Business	Een	Openbaar			Importeren, maken

Over Microsoft Entra-apps

Voor verschillende Azure-services zijn afzonderlijke configuraties vereist. Deze maakt u in de Azure Portal. Daarnaast kunnen voor de apps voor elke service afzonderlijke machtigingen voor Azure-resources zijn vereist.

U kunt één app voor meer dan één service gebruiken. Er is slechts één object om te beheren in Configuration Manager en Microsoft Entra-id. Wanneer de beveiligingssleutel in de app verloopt, hoeft u slechts één sleutel te vernieuwen.

Wanneer u extra Azure-services maakt in de wizard, is Configuration Manager ontworpen om informatie te hergebruiken die gemeenschappelijk is tussen services. Dit gedrag helpt u om dezelfde informatie meer dan één keer in te voeren.

Zie het relevante artikel Configuration Manager in Beschikbare services voor meer informatie over de vereiste app-machtigingen en -configuraties voor elke service.

Begin met de volgende artikelen voor meer informatie over Azure-apps:

• Verificatie en autorisatie in Azure App Service
• overzicht van Web Apps
• Basisbeginselen van het registreren van een toepassing in Microsoft Entra-id
• Uw toepassing registreren bij uw Microsoft Entra-tenant

Voordat u begint

Nadat u hebt besloten met welke service u verbinding wilt maken, raadpleegt u de tabel in Servicedetails. Deze tabel bevat informatie die u nodig hebt om de Azure-servicewizard te voltooien. Overleg vooraf met de beheerder van uw Microsoft Entra. Bepaal welke van de volgende acties u wilt uitvoeren:

• Maak de apps handmatig van tevoren in de Azure Portal. Importeer vervolgens de app-details in Configuration Manager.

  Tip

  Zie Handmatig Microsoft Entra apps registreren voor de cloudbeheergateway voor meer informatie die specifiek is voor cloudbeheer.

• Gebruik Configuration Manager om de apps rechtstreeks in Microsoft Entra id te maken. Als u de benodigde gegevens van Microsoft Entra-id wilt verzamelen, raadpleegt u de informatie in de andere secties van dit artikel.

Voor sommige services moeten de Microsoft Entra-apps specifieke machtigingen hebben. Bekijk de informatie voor elke service om de vereiste machtigingen te bepalen. Voordat u bijvoorbeeld een web-app kunt importeren, moet een Azure-beheerder deze eerst maken in de Azure Portal.

Wanneer u de Log Analytics-connector configureert, geeft u de zojuist geregistreerde inzender van de web-app toestemming voor de resourcegroep die de relevante werkruimte bevat. Met deze machtiging heeft Configuration Manager toegang tot die werkruimte. Wanneer u de machtiging toewijst, zoekt u naar de naam van de app-registratie in het gebied Gebruikers toevoegen van de Azure Portal. Dit proces is hetzelfde als wanneer Configuration Manager machtigingen verleent voor Log Analytics. Een Azure-beheerder moet deze machtigingen toewijzen voordat u de app in Configuration Manager importeert.

De wizard Azure Services starten

1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer het Azure Services-knooppunt.

2. Selecteer op het tabblad Start van het lint in de groep Azure-servicesde optie Azure-services configureren.

3. Op de pagina Azure-services van de wizard Azure-services:

   1. Geef een naam op voor het object in Configuration Manager.

   2. Geef een optionele beschrijving op om u te helpen de service te identificeren.

   3. Selecteer de Azure-service waarmee u verbinding wilt maken Configuration Manager.

4. Selecteer Volgende om door te gaan naar de pagina Azure-app-eigenschappen van de wizard Azure-services.

Eigenschappen van Azure-app

Selecteer op de pagina App van de wizard Azure Services eerst de Azure-omgeving in de lijst. Raadpleeg de tabel in Servicedetails voor welke omgeving momenteel beschikbaar is voor de service.

De rest van de app-pagina varieert, afhankelijk van de specifieke service. Raadpleeg de tabel in Servicedetails voor welk type app de service gebruikt en welke actie u kunt gebruiken.

• Als de app zowel import- als het maken van acties ondersteunt, selecteert u Bladeren. Met deze actie wordt het dialoogvenster Server-app of het dialoogvenster Client-app geopend.

• Als de app alleen de importactie ondersteunt, selecteert u Importeren. Met deze actie wordt het dialoogvenster Apps importeren (server) of het dialoogvenster Apps importeren (client) geopend.

Nadat u de apps op deze pagina hebt opgegeven, selecteert u Volgende om door te gaan naar de pagina Configuratie of Detectie van de Wizard Azure-services.

Web-app

Deze app is het Microsoft Entra ID-type Web-app/API, ook wel een server-app genoemd in Configuration Manager.

Dialoogvenster Server-app

Wanneer u Bladeren naar de web-app selecteert op de pagina App van de wizard Azure Services, wordt het dialoogvenster Server-app geopend. Er wordt een lijst weergegeven met de volgende eigenschappen van bestaande web-apps:

• Beschrijvende naam van tenant
• Beschrijvende naam van app
• Servicetype

Er zijn drie acties die u kunt uitvoeren vanuit het dialoogvenster Server-app:

• Als u een bestaande web-app opnieuw wilt gebruiken, selecteert u deze in de lijst.
• Selecteer Importeren om het dialoogvenster Apps importeren te openen.
• Selecteer Maken om het dialoogvenster Servertoepassing maken te openen.

Nadat u een web-app hebt geselecteerd, geïmporteerd of gemaakt, selecteert u OK om het dialoogvenster Server-app te sluiten. Deze actie keert terug naar de pagina App van de wizard Azure-services.

Dialoogvenster Apps importeren (server)

Wanneer u Importeren selecteert in het dialoogvenster Server-app of de pagina App van de wizard Azure Services, wordt het dialoogvenster Apps importeren geopend. Op deze pagina kunt u informatie invoeren over een Microsoft Entra web-app die al in de Azure Portal is gemaakt. Metagegevens over die web-app worden geïmporteerd in Configuration Manager. Geef de volgende informatie op:

• Microsoft Entra tenantnaam: de naam van uw Microsoft Entra tenant.
• Microsoft Entra tenant-id: de GUID van uw Microsoft Entra tenant.
• Toepassingsnaam: een beschrijvende naam voor de app, de weergavenaam in de app-registratie.
• Client-id: de waarde van de toepassings-id (client) van de app-registratie. De indeling is een standaard-GUID.
• Geheime sleutel: u moet de geheime sleutel kopiëren wanneer u de app registreert in Microsoft Entra-id.
• Vervaldatum geheime sleutel: selecteer een toekomstige datum in de agenda.
• App-id-URI: deze waarde moet uniek zijn in uw Microsoft Entra tenant. Het staat in het toegangstoken dat door de Configuration Manager-client wordt gebruikt om toegang tot de service aan te vragen. De waarde is de toepassings-id-URI van de app-registratievermelding in het Microsoft Entra-beheercentrum.

Nadat u de gegevens hebt ingevoerd, selecteert u Verifiëren. Selecteer vervolgens OK om het dialoogvenster Apps importeren te sluiten. Deze actie keert terug naar de pagina App van de wizard Azure-services of het dialoogvenster Server-app.

Belangrijk

Wanneer u een geïmporteerde Microsoft Entra-app gebruikt, ontvangt u geen melding van een toekomstige vervaldatum via consolemeldingen.

Dialoogvenster Servertoepassing maken

Wanneer u Maken selecteert in het dialoogvenster Server-app, wordt het dialoogvenster Servertoepassing maken geopend. Op deze pagina wordt het maken van een web-app in Microsoft Entra-id geautomatiseerd. Geef de volgende informatie op:

• Toepassingsnaam: een beschrijvende naam voor de app.

• Url van HomePage: deze waarde wordt niet gebruikt door Configuration Manager, maar vereist voor Microsoft Entra id. Deze waarde is https://ConfigMgrServicestandaard .

• App-id-URI: deze waarde moet uniek zijn in uw Microsoft Entra tenant. Het staat in het toegangstoken dat door de Configuration Manager-client wordt gebruikt om toegang tot de service aan te vragen. Deze waarde is https://ConfigMgrServicestandaard . Wijzig de standaardinstelling in een van de volgende aanbevolen indelingen:

  • api://{tenantId}/{string}, bijvoorbeeld api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}, bijvoorbeeld https://contoso.onmicrosoft.com/ConfigMgrService

• Geldigheidsperiode van geheime sleutel: kies 1 jaar of 2 jaar in de vervolgkeuzelijst. Eén jaar is de standaardwaarde.

  Opmerking

  Mogelijk ziet u een optie voor Nooit, maar Microsoft Entra deze niet meer ondersteunt. Als u deze optie eerder hebt geselecteerd, is de vervaldatum nu ingesteld op 99 jaar vanaf de datum waarop u deze hebt gemaakt.

Selecteer Aanmelden om te verifiëren bij Azure als gebruiker met beheerdersrechten. Deze referenties worden niet opgeslagen door Configuration Manager. Deze persona vereist geen machtigingen in Configuration Manager en hoeft niet hetzelfde account te zijn waarop de Wizard Azure-services wordt uitgevoerd. Nadat de verificatie bij Azure is geslaagd, wordt op de pagina de naam van de Microsoft Entra tenant weergegeven ter referentie.

Selecteer OK om de web-app te maken in Microsoft Entra-id en sluit het dialoogvenster Servertoepassing maken. Deze actie keert terug naar het dialoogvenster Server-app.

Opmerking

Als u een Microsoft Entra beleid voor voorwaardelijke toegang hebt gedefinieerd en van toepassing is op Alle cloud-apps, moet u de gemaakte servertoepassing uitsluiten van dit beleid. Zie Microsoft Entra documentatie voor voorwaardelijke toegang voor meer informatie over het uitsluiten van specifieke apps.

Systeemeigen client-app

Deze app is het Microsoft Entra id-type Native, ook wel een client-app genoemd in Configuration Manager.

Dialoogvenster Client-app

Wanneer u Bladeren naar de systeemeigen client-app selecteert op de pagina App van de wizard Azure-services, wordt het dialoogvenster Client-app geopend. Er wordt een lijst weergegeven met de volgende eigenschappen van alle bestaande systeemeigen apps:

• Beschrijvende naam van tenant
• Beschrijvende naam van app
• Servicetype

Er zijn drie acties die u kunt uitvoeren vanuit het dialoogvenster Client-app:

• Als u een bestaande systeemeigen app opnieuw wilt gebruiken, selecteert u deze in de lijst.
• Selecteer Importeren om het dialoogvenster Apps importeren te openen.
• Selecteer Maken om het dialoogvenster Clienttoepassing maken te openen.

Nadat u een systeemeigen app hebt geselecteerd, geïmporteerd of gemaakt, kiest u OK om het dialoogvenster Client-app te sluiten. Deze actie keert terug naar de pagina App van de wizard Azure-services.

Dialoogvenster Apps importeren (client)

Wanneer u Importeren selecteert in het dialoogvenster Client-app, wordt het dialoogvenster Apps importeren geopend. Op deze pagina kunt u informatie invoeren over een Microsoft Entra systeemeigen app die al is gemaakt in de Azure Portal. Er worden metagegevens over die systeemeigen app geïmporteerd in Configuration Manager. Geef de volgende informatie op:

• Toepassingsnaam: een beschrijvende naam voor de app.
• Client-id: de waarde van de toepassings-id (client) van de app-registratie. De indeling is een standaard-GUID.

Nadat u de gegevens hebt ingevoerd, selecteert u Verifiëren. Selecteer vervolgens OK om het dialoogvenster Apps importeren te sluiten. Deze actie keert terug naar het dialoogvenster Client-app.

Tip

Wanneer u de app registreert in Microsoft Entra-id, moet u mogelijk handmatig de volgende omleidings-URI opgeven: ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>. Geef de client-id-GUID van de app op, bijvoorbeeld: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49.

Dialoogvenster Clienttoepassing maken

Wanneer u Maken selecteert in het dialoogvenster Client-app, wordt het dialoogvenster Clienttoepassing maken geopend. Op deze pagina wordt het maken van een systeemeigen app in Microsoft Entra id geautomatiseerd. Geef de volgende informatie op:

• Toepassingsnaam: een beschrijvende naam voor de app.
• Antwoord-URL: deze waarde wordt niet gebruikt door Configuration Manager, maar vereist door Microsoft Entra id. Deze waarde is https://ConfigMgrServicestandaard .

Selecteer Aanmelden om te verifiëren bij Azure als gebruiker met beheerdersrechten. Deze referenties worden niet opgeslagen door Configuration Manager. Deze persona vereist geen machtigingen in Configuration Manager en hoeft niet hetzelfde account te zijn waarop de Wizard Azure-services wordt uitgevoerd. Nadat de verificatie bij Azure is geslaagd, wordt op de pagina de naam van de Microsoft Entra tenant weergegeven ter referentie.

Selecteer OK om de systeemeigen app te maken in Microsoft Entra id en sluit het dialoogvenster Clienttoepassing maken. Deze actie keert terug naar het dialoogvenster Client-app.

Configuratie of detectie

Nadat u de web- en systeemeigen apps hebt opgegeven op de pagina Apps , gaat de wizard Azure-services naar een configuratie- of detectiepagina , afhankelijk van de service waarmee u verbinding maakt. De details van deze pagina verschillen per service. Zie een van de volgende artikelen voor meer informatie:

• Cloud Management-service, pagina Detectie: Detectie van Microsoft Entra gebruiker configureren

• Log Analytics Connector-service , pagina Configuratie : De verbinding met Log Analytics configureren

• Microsoft Store voor Bedrijven-service, pagina Configuraties: synchronisatie van Microsoft Store voor Bedrijven configureren

Voltooi ten slotte de wizard Azure-services via de pagina's Samenvatting, Voortgang en Voltooiing. U hebt de configuratie van een Azure-service voltooid in Configuration Manager. Herhaal dit proces om andere Azure-services te configureren.

Toepassingsinstellingen bijwerken

Als u wilt toestaan dat uw Configuration Manager-clients een Microsoft Entra apparaattoken kunnen aanvragen en om de machtigingen voor leesmapgegevens in te schakelen, moet u de toepassingsinstellingen van de webserver bijwerken.

1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer het knooppunt Microsoft Entra tenants.
2. Selecteer de Microsoft Entra tenant voor de toepassing die u wilt bijwerken.
3. Selecteer in de sectie Toepassingen uw Microsoft Entra webservertoepassing en selecteer vervolgens Toepassingsinstellingen bijwerken op het lint.
4. Wanneer u om bevestiging wordt gevraagd, selecteert u Ja om te bevestigen dat u de toepassing wilt bijwerken met de meest recente instellingen.

Geheime sleutel vernieuwen

U moet de geheime sleutel van de Microsoft Entra-app vernieuwen voor het einde van de geldigheidsperiode. Als u de sleutel laat verlopen, kunt Configuration Manager zich niet verifiëren met Microsoft Entra-id, waardoor uw verbonden Azure-services niet meer werken.

Vanaf versie 2006 worden in de Configuration Manager-console meldingen weergegeven voor de volgende omstandigheden:

• Een of meer Microsoft Entra geheime sleutels voor apps verlopen binnenkort
• Een of meer Microsoft Entra geheime sleutels voor apps zijn verlopen

Als u beide gevallen wilt beperken, vernieuwt u de geheime sleutel.

Zie Configuration Manager consolemeldingen voor meer informatie over het werken met deze meldingen.

Opmerking

U moet ten minste de rol Cloudtoepassingsbeheerder Microsoft Entra hebben toegewezen om de sleutel te kunnen vernieuwen.

Sleutel vernieuwen voor gemaakte app

1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer het knooppunt Microsoft Entra tenants.

2. Selecteer in het deelvenster Details de Microsoft Entra tenant voor de app.

3. Selecteer geheime sleutel vernieuwen op het lint. Voer de referenties van de app-eigenaar of een Microsoft Entra-beheerder in.

Sleutel vernieuwen voor geïmporteerde app

Als u de Azure-app in Configuration Manager hebt geïmporteerd, gebruikt u de Azure Portal om te verlengen. Noteer de nieuwe geheime sleutel en vervaldatum. Voeg deze informatie toe aan de wizard Geheime sleutel vernieuwen .

Opmerking

Sla de geheime sleutel op voordat u de pagina Sleutel voor Azure-toepassingseigenschappen sluit. Deze informatie wordt verwijderd wanneer u de pagina sluit.

Verificatie uitschakelen

Vanaf versie 2010 kunt u Microsoft Entra verificatie uitschakelen voor tenants die niet zijn gekoppeld aan gebruikers en apparaten. Wanneer u Configuration Manager onboardt naar Microsoft Entra-id, kunnen de site en clients moderne verificatie gebruiken. Op dit moment is Microsoft Entra apparaatverificatie ingeschakeld voor alle onboarded tenants, ongeacht of deze apparaten heeft. U hebt bijvoorbeeld een afzonderlijke tenant met een abonnement dat u gebruikt voor rekenresources ter ondersteuning van een cloudbeheergateway. Als er geen gebruikers of apparaten zijn gekoppeld aan de tenant, schakelt u Microsoft Entra verificatie uit.

1. Ga in de Configuration Manager-console naar de werkruimte Beheer.

2. Vouw Cloud Services uit en selecteer het knooppunt Azure Services.

3. Selecteer de doelverbinding van het type Cloud Management. Selecteer Eigenschappen op het lint.

4. Ga naar het tabblad Toepassingen .

5. Selecteer de optie om Microsoft Entra verificatie voor deze tenant uit te schakelen.

6. Selecteer OK om de verbindingseigenschappen op te slaan en te sluiten.

Tip

Het kan tot 25 uur duren voordat deze wijziging van kracht wordt op clients. Voer de volgende stappen uit om deze gedragswijziging te versnellen:

1. Start de sms_executive-service op de siteserver opnieuw.
2. Start de ccmexec-service opnieuw op de client.
3. Activeer de clientplanning om het standaardbeheerpunt te vernieuwen. Gebruik bijvoorbeeld het hulpprogramma voor verzendplanning: SendSchedule {00000000-0000-0000-0000-000000000023}

De configuratie van een Azure-service weergeven

Bekijk de eigenschappen van een Azure-service die u hebt geconfigureerd voor gebruik. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer Azure Services. Selecteer de service die u wilt weergeven of bewerken en selecteer vervolgens Eigenschappen.

Als u een service selecteert en vervolgens Verwijderen kiest op het lint, wordt de verbinding in Configuration Manager verwijderd. De app in Microsoft Entra-id wordt niet verwijderd. Vraag uw Azure-beheerder om de app te verwijderen wanneer deze niet meer nodig is. Of voer de Wizard Azure Service uit om de app te importeren.

Gegevensstroom voor cloudbeheer

Het volgende diagram is een conceptuele gegevensstroom voor de interactie tussen Configuration Manager, Microsoft Entra-id en verbonden cloudservices. In dit specifieke voorbeeld wordt gebruikgemaakt van de Cloud Management-service, die een Windows 10-client en zowel server- als client-apps bevat. De stromen voor andere services zijn vergelijkbaar.

1. De Configuration Manager beheerder importeert of maakt de client- en server-apps in Microsoft Entra-id.

2. Configuration Manager Microsoft Entra gebruikersdetectiemethode wordt uitgevoerd. De site gebruikt het token van de Microsoft Entra-server-app om een query uit te voeren op gebruikersobjecten in Microsoft Graph.

3. De site slaat gegevens op over de gebruikersobjecten. Zie Microsoft Entra gebruikersdetectie voor meer informatie.

4. De Configuration Manager-client vraagt het Microsoft Entra-gebruikerstoken aan. De client maakt de claim met behulp van de toepassings-id van de Microsoft Entra client-app en de server-app als de doelgroep. Zie Claims in Microsoft Entra-beveiligingstokens voor meer informatie.

5. De client verifieert zich bij de site door het Microsoft Entra-token te presenteren aan de cloudbeheergateway en het on-premises HTTPS-beheerpunt.

Zie Microsoft Entra verificatiewerkstroom voor meer informatie.