Configurar Microsoft Entra ID para CMG
Aplica-se a: Configuration Manager (branch atual)
A segunda etapa primária para configurar um CMG (gateway de gerenciamento de nuvem) é integrar o site Configuration Manager ao locatário Microsoft Entra. Essa integração permite que o site se autentique com Microsoft Entra ID, que ele usa para implantar e monitorar o serviço CMG. Se você escolher o método de autenticação Microsoft Entra para clientes na próxima etapa, essa integração será um pré-requisito para esse método de autenticação.
Dica
Este artigo fornece diretrizes prescritivas para integrar o site especificamente para o gateway de gerenciamento de nuvem. Para obter mais informações sobre esse processo e outros usos do nó dos Serviços do Azure no console Configuration Manager, consulte Configurar serviços do Azure.
Ao integrar o site, você cria registros de aplicativo no Microsoft Entra ID. O CMG requer dois registros de aplicativo:
- Aplicativo Web (também chamado de aplicativo de servidor em Configuration Manager)
- Aplicativo nativo (também chamado de aplicativo cliente em Configuration Manager)
Há dois métodos para criar esses aplicativos, que exigem uma função de administrador global no Microsoft Entra ID:
- Use Configuration Manager para automatizar a criação dos aplicativos ao integrar o site.
- Crie manualmente os aplicativos com antecedência e importe-os quando você integrar o site.
Este artigo segue principalmente o primeiro método. Para obter mais informações sobre o outro método, consulte Registrar manualmente Microsoft Entra aplicativos para CMG.
Antes de começar, certifique-se de ter um administrador global de ID Microsoft Entra disponível.
Observação
Se você planeja importar registros de aplicativo pré-criados, primeiro precisará criá-los em Microsoft Entra ID. Comece com o artigo para registrar manualmente Microsoft Entra aplicativos para CMG. Em seguida, retorne a este artigo para executar o assistente dos Serviços do Azure e importar os aplicativos para Configuration Manager.
Finalidade dos registros de aplicativo
Esses dois registros de aplicativo Microsoft Entra representam o lado do servidor e do cliente do CMG.
O aplicativo cliente representa clientes gerenciados e usuários que se conectam ao CMG. Ele define a quais recursos eles têm acesso no Azure, incluindo o próprio CMG.
O aplicativo de servidor representa os componentes CMG hospedados no Azure. Ele define a quais recursos eles têm acesso no Azure. O aplicativo de servidor é usado para facilitar a autenticação e a autorização de clientes, usuários e a conexão CMG gerenciada apontam para os componentes cmg baseados no Azure. Essa comunicação inclui tráfego para pontos de gerenciamento locais e pontos de atualização de software, provisionamento inicial de CMG no Azure e descoberta de Microsoft Entra.
Se os clientes usarem certificados de autenticação de cliente emitidos por PKI, os dois aplicativos cliente não serão usados para atividades centradas no dispositivo. Por exemplo, a distribuição de software direcionada a uma coleção de dispositivos. A atividade centrada no usuário sempre usa esses dois registros de aplicativo para fins de autenticação e autorização.
Iniciar o assistente dos Serviços do Azure
No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione o nó serviços do Azure.
Na guia Página Inicial da faixa de opções, no grupo Serviços do Azure*, selecione Configurar Serviços do Azure.
Na página Serviços do Azure do Assistente dos Serviços do Azure:
Especifique um Nome para o objeto em Configuration Manager. Esse nome é apenas para identificar a conexão no Configuration Manager.
Especifique uma Descrição opcional para identificar ainda mais essa conexão de serviço.
Selecione o serviço de Gerenciamento de Nuvem .
Na página Aplicativo do Assistente dos Serviços do Azure, selecione o ambiente do Azure para seu locatário:
- AzurePublicCloud: seu locatário está na nuvem global do Azure.
- AzureUSGovernmentCloud: seu locatário está na nuvem do Governo dos EUA do Azure.
Criar o registro do aplicativo Web (servidor)
Na página Aplicativo da janela Assistente dos Serviços do Azure , para o aplicativo Web, selecione Procurar.
Na janela Aplicativo do Servidor, selecione Criar para usar Configuration Manager para automatizar a criação do aplicativo.
Na janela Criar Aplicativo do Servidor , especifique as seguintes informações:
Nome do aplicativo: um nome amigável para o aplicativo.
URL da Página Inicial: esse valor não é usado por Configuration Manager, mas exigido por Microsoft Entra ID. Por padrão, esse valor é
https://ConfigMgrService
.URI da ID do aplicativo: esse valor precisa ser exclusivo em seu locatário Microsoft Entra. Ele está no token de acesso usado pelo Configuration Manager cliente para solicitar acesso ao serviço. Por padrão, esse valor é
https://ConfigMgrService
. Altere o padrão para um dos seguintes formatos recomendados:-
api://{tenantId}/{string}
, por exemplo,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, por exemplo,https://contoso.onmicrosoft.com/ConfigMgrService
-
Período de validade da chave secreta: escolha 1 ano ou 2 anos na lista suspensa. Um ano é o valor padrão.
Microsoft Entra conta de administrador: selecione Entrar para autenticar para Microsoft Entra ID como administrador global. Configuration Manager não salva essas credenciais. Essa persona não requer permissões no Configuration Manager e não precisa ser a mesma conta que executa o Assistente dos Serviços do Azure. Depois de autenticar com êxito no Azure, a página mostra o Microsoft Entra nome do locatário para referência.
Selecione OK para criar o aplicativo Web no Microsoft Entra ID e feche a janela Criar Aplicativo do Servidor.
Na janela Aplicativo do Servidor , verifique se seu novo aplicativo está selecionado e selecione OK para salvar e fechar a janela.
Observação
A partir de Configuration Manager branch atual versão 2309, aprimoramos a segurança do aplicativo Web (servidor) para a criação do CMG. Para nova criação de CMG, os usuários podem selecionar o locatário e o nome do aplicativo usando o Microsoft Entra nome do locatário. Depois de selecionar o nome do locatário e do aplicativo, o botão de entrada será exibido, siga o restante do processo de acordo com o CMG de configuração.
Os clientes cmg pré-existentes devem atualizar seu aplicativo de servidor Web navegando até Microsoft Entra nó locatários --> selecione o locatário --> selecione o aplicativo do servidor --> clique em "atualizar configurações do aplicativo".
Criar o registro de aplicativo nativo (cliente)
Na página Aplicativo da janela Assistente dos Serviços do Azure , para o aplicativo Cliente Nativo, selecione Procurar.
Na janela Aplicativo cliente, selecione Criar para usar Configuration Manager para automatizar a criação do aplicativo.
Na janela Criar Aplicativo cliente , especifique as seguintes informações:
Nome do aplicativo: um nome amigável para o aplicativo.
Microsoft Entra conta de administrador: selecione Entrar para autenticar para Microsoft Entra ID como administrador global. Configuration Manager não salva essas credenciais. Essa persona não requer permissões no Configuration Manager e não precisa ser a mesma conta que executa o Assistente dos Serviços do Azure. Depois de autenticar com êxito no Azure, a página mostra o Microsoft Entra nome do locatário para referência.
Selecione OK para criar o aplicativo nativo no Microsoft Entra ID e feche a janela Criar Aplicativo cliente.
Na janela Aplicativo cliente , verifique se seu novo aplicativo está selecionado e selecione OK para salvar e fechar a janela.
Concluir o assistente dos Serviços do Azure
No Assistente dos Serviços do Azure, confirme se os valores do aplicativo Web e do aplicativo Native Client estão concluídos. Selecione Avançar para continuar.
A página Descoberta do assistente só é necessária em alguns cenários. É opcional quando você integra o site para Microsoft Entra ID e não é necessário criar o CMG. Se você precisar dele para dar suporte a funcionalidades específicas em seu ambiente, você poderá habilitá-la posteriormente.
Para obter mais informações sobre os cenários cmg que podem exigir Microsoft Entra descoberta do usuário, consulte Configurar autenticação do cliente: Microsoft Entra ID e Instalar clientes usando Microsoft Entra ID.
Para obter mais informações sobre esse método de descoberta, consulte Configurar Microsoft Entra descoberta do usuário.
Examine as configurações e conclua o assistente.
Quando o assistente fechar, você verá a nova conexão no nó serviços do Azure . Você também pode exibir os registros de locatário e aplicativo no nó Microsoft Entra locatários do console Configuration Manager.
Desabilitar Microsoft Entra autenticação para locatários que não são dispositivos ou usuários
Se seus dispositivos estiverem em um locatário Microsoft Entra separado do locatário com uma assinatura para os recursos de computação CMG, você poderá desabilitar a autenticação para locatários não associados a usuários e dispositivos.
Abra as propriedades do serviço de Gerenciamento de Nuvem .
Alterne para a guia Aplicativos .
Selecione a opção Desabilitar Microsoft Entra autenticação para este locatário.
Para obter mais informações, consulte Configurar serviços do Azure.
Configurar provedores de recursos do Azure
O serviço CMG exige que você registre provedores de recursos específicos em sua assinatura do Azure. Ao implantar o CMG em um conjunto de dimensionamento de máquinas virtuais, registre os seguintes provedores de recursos:
- Microsoft.KeyVault
- Microsoft.Storage
- Microsoft.Network
- Microsoft.Compute
Observação
Se você implantou anteriormente o CMG usando um serviço de nuvem clássico, sua assinatura do Azure exigirá os dois provedores de recursos a seguir:
- Microsoft.ClassicCompute
- Microsoft.Storage
A partir da versão 2203, a opção de implantar um CMG como um serviço de nuvem (clássico) é removida. Todas as implantações de CMG devem usar um conjunto de dimensionamento de máquinas virtuais. Para obter mais informações, consulte Recursos removidos e preteridos.
Sua conta Microsoft Entra precisa de permissão para fazer a /register/action
operação para o provedor de recursos. Por padrão, as funções Colaborador e Proprietário incluem essa permissão.
As etapas a seguir resumem o processo para registrar um provedor de recursos. Para obter mais informações, confira Provedores e tipos de recursos do Azure.
Entre no portal do Azure.
No menu portal do Azure, pesquise assinaturas. Selecione-o nas opções disponíveis.
Selecione a assinatura que você deseja exibir.
No menu à esquerda, em Configurações, selecione Provedores de recursos.
Localize o provedor de recursos que você deseja registrar e selecione Registrar. Para manter privilégios mínimos em sua assinatura, registre apenas os provedores de recursos que você está pronto para usar.
Automatizar com o PowerShell
Opcionalmente, você pode automatizar aspectos dessas configurações usando o PowerShell.
Use o cmdlet Import-CMAADServerApplication para definir o Microsoft Entra aplicativo Web/server no Configuration Manager.
Use o cmdlet Import-CMAADClientApplication para definir o Microsoft Entra aplicativo nativo/cliente no Configuration Manager.
Use o cmdlet Get-CMAADApplication para obter os objetos de aplicativo importados.
Em seguida, passe os objetos do aplicativo para o cmdlet New-CMCloudManagementAzureService para criar o serviço do Azure para Gerenciamento de Nuvem no Configuration Manager.
Próximas etapas
Continue a instalação do CMG decidindo qual tipo de autenticação do cliente usar: