Como configurar a integração do Azure
O Windows Admin Center dá suporte a vários recursos opcionais que se integram aos serviços do Azure. Saiba mais sobre as opções de integração do Azure disponíveis no Windows Admin Center.
Para permitir que o gateway do Windows Admin Center se comunique com o Azure para aproveitar a autenticação do Microsoft Entra para acesso ao gateway ou para criar recursos do Azure em seu nome (por exemplo, para proteger VMs gerenciadas no Windows Admin Center usando o Azure Site Recovery), primeiro você precisa registrar seu gateway do Windows Admin Center com o Azure. Você só precisa fazer essa ação uma vez para o gateway do Windows Admin Center – a configuração é preservada quando você atualiza o gateway para uma versão mais recente.
Registrar seu gateway no Azure
Na primeira vez que você tentar usar um recurso de integração do Azure no Windows Admin Center, precisará registrar o gateway no Azure. Registre também o gateway acessando a guia Azure em Configurações do Windows Admin Center. Somente os administradores de gateway do Windows Admin Center podem registrar o gateway do Windows Admin Center no Azure. Saiba mais sobre as permissões de usuário e de administrador do Windows Admin Center.
As etapas guiadas no produto criam um aplicativo Microsoft Entra em seu diretório, o que permite que o Windows Admin Center se comunique com o Azure. Para ver o aplicativo Microsoft Entra que é criado automaticamente, acesse a guia Azure das configurações do Windows Admin Center. O hiperlink Exibir no Azure permite ver o aplicativo Microsoft Entra no portal do Azure.
O aplicativo Microsoft Entra criado é usado para todos os pontos de integração do Azure no Windows Admin Center, incluindo a autenticação do Microsoft Entra com o gateway. O Windows Admin Center configura automaticamente as permissões necessárias para criar e gerenciar recursos do Azure em seu nome:
- Microsoft Graph
- Application.Read.All
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.Read.All
- Directory.ReadWrite.All
- User.Read
- APIs de Gerenciamento do Serviço o Azure
- user_impersonation
Configuração manual do aplicativo Microsoft Entra
Se você quiser configurar um aplicativo Microsoft Entra manualmente, em vez de usar o aplicativo Microsoft Entra criado automaticamente pelo Windows Admin Center durante o processo de registro do gateway, siga estas etapas:
Conceda ao aplicativo Microsoft Entra as permissões de API necessárias listadas acima. Faça isso navegando até o aplicativo Microsoft Entra no portal do Azure. Vá para o portal do Azure >Microsoft Entra ID>App registrations> e selecione o aplicativo Microsoft Entra que você deseja usar. Em seguida, acesse a guia Permissões de API e adicione as permissões de API listadas acima.
Adicione a URL do gateway do Windows Admin Center às URLs de resposta (também conhecidas como URIs de redirecionamento). Navegue até o aplicativo Microsoft Entra e vá para Manifesto. Localize a chave "replyUrlsWithType" no manifesto. Dentro da chave, adicione um objeto contendo duas chaves: "url" e "type". A chave "url" deve ter um valor da URL do gateway do Windows Admin Center, anexando um curinga no final. A chave "type" deve ter um valor de "Web". Por exemplo:
"replyUrlsWithType": [ { "url": "http://localhost:6516/*", "type": "Single-Page Application" } ],
Observação
Se você tiver o Microsoft Defender Application Guard habilitado no navegador, não poderá registrar o Windows Admin Center no Azure nem entrar no Azure.
Solução de problemas de erros de entrada do Azure
O URI de redirecionamento não corresponde aos URIs configurados para este aplicativo
Se você migrou recentemente seus dados de uma versão mais antiga do Windows Admin Center para o Windows Admin Center versão 2410, seus URIs de redirecionamento podem estar configurados incorretamente. Isso pode acontecer se você não tiver concluído a etapa de Registro do Azure no assistente de migração. Essa configuração incorreta ocorre porque Windows Admin Center alterou a maneira como executamos a autenticação com base nas diretrizes gerais da Microsoft. Onde anteriormente usávamos o fluxo de concessão implícita, agora usamos o fluxo de código de autorização.
Há dois URIs de redirecionamento que devem ser adicionados à plataforma SPA (Aplicativo de Página Única). Um exemplo desses URIs de redirecionamento seria:
https://myMachineName.domain.com:6600
https://myMachineName.domain.com:6600/signin-oidc
Neste exemplo, o valor numérico refere-se à porta referenciada na instalação do Windows Admin Center.
Todos os URIs de redirecionamento para Windows Admin Center devem conter:
- O nome de domínio totalmente qualificado (FQDN) ou o nome do host do computador do gateway, sem menção ao host local
- O prefixo HTTPS, não HTTP
Saiba como reconfigurar seus URIs de redirecionamento.
Depois de adicionar os URIs de redirecionamento adequados, é uma boa prática limpar os URIs de redirecionamento antigos e não utilizados.
Resgate de token de origem cruzada permitido apenas para aplicativo de página única
Se você atualizou recentemente sua instância do Windows Admin Center para uma versão mais recente, e seu gateway foi registrado anteriormente no Azure, você pode encontrar um erro informando que o o resgate do token de origem cruzada é permitido apenas para o tipo de cliente “Aplicativo de página única'" ao entrar no Azure. Isso ocorre porque o Windows Admin Center alterou a maneira como executamos a autenticação com base nas diretrizes gerais da Microsoft. Onde anteriormente usávamos o fluxo de concessão implícita, agora usamos o fluxo de código de autorização.
Se quiser continuar usando seu registro de aplicativo existente para o aplicativo do Windows Admin Center, use o centro de administração do Microsoft Entra para atualizar os URIs de redirecionamento do registro para a plataforma de aplicativo de página única (SPA). Isso habilita o fluxo de código de autorização com suporte para PKCE (chave de prova de para intercâmbio de código) e CORS (compartilhamento de recursos entre origens) para aplicativos que usam esse registro.
Siga estas etapas para os registros de aplicativo que estão configurados atualmente com URIs de redirecionamento da plataforma Web:
- Entre no Centro de administração do Microsoft Entra.
- Navegue até Identidade > Aplicativos > Registros de aplicativo, selecione o aplicativo e Autenticação.
- No bloco da plataforma Web, em URIs de redirecionamento, selecione a faixa de aviso indicando que você deve migrar seus URIs.
- Selecione o URI de redirecionamento do seu aplicativo e depois selecione Configurar. Esses URIs de redirecionamento agora devem aparecer no bloco da plataforma aplicativo de página única, mostrando que o suporte a CORS com o fluxo do código de autorização e o PKCE está habilitado para esses URIs.
Em vez de atualizar os URIs existentes, você pode criar um novo registro de aplicativo para seu gateway. Os registros de aplicativos recém-criados para o Windows Admin Center por meio do fluxo de registro do gateway criam URIs de redirecionamento de plataforma do Aplicativo de Página Única.
Se você não puder migrar os URIs de redirecionamento do registro do aplicativo para usar o fluxo de código de autenticação, poderá continuar a usar o registro de aplicativo existente como está. Para isso, você deve cancelar o registro do gateway do Windows Admin Center e registrar novamente com a mesma ID de registro de aplicativo.