Registrar manualmente Microsoft Entra aplicativos para o CMG
Aplica-se a: Configuration Manager (branch atual)
A segunda etapa primária para configurar um CMG (gateway de gerenciamento de nuvem) é integrar o site Configuration Manager ao locatário Microsoft Entra. Essa integração permite que o site se autentique com Microsoft Entra ID, que ele usa para implantar e monitorar o serviço CMG. Se você não puder usar Configuration Manager para automatizar a criação dos aplicativos durante o Assistente de Serviço do Azure, poderá usar o assistente para importar um aplicativo criado anteriormente. Por exemplo, se os administradores do Azure exigirem que eles criem manualmente todos os registros de aplicativo Microsoft Entra, use esse processo.
Dica
Este artigo fornece diretrizes prescritivas para integrar o site especificamente para o gateway de gerenciamento de nuvem. Para obter mais informações sobre esse processo e outros usos do nó dos Serviços do Azure no console Configuration Manager, consulte Configurar serviços do Azure.
Ao integrar o site, você cria registros de aplicativo no Microsoft Entra ID. O CMG requer dois registros de aplicativo:
- Aplicativo Web (também chamado de aplicativo de servidor em Configuration Manager)
- Aplicativo nativo (também chamado de aplicativo cliente em Configuration Manager)
Há dois métodos para criar esses aplicativos, que exigem uma função de administrador global no Microsoft Entra ID:
- Use Configuration Manager para automatizar a criação dos aplicativos ao integrar o site.
- Crie manualmente os aplicativos com antecedência e importe-os quando você integrar o site.
Este artigo fornece os detalhes específicos para o segundo método. Emparelhe essas instruções com os procedimentos no artigo Configurar Microsoft Entra ID para CMG para concluir o processo.
Obter detalhes do locatário
Dica
Durante esse processo, você precisará observar vários valores a serem usados posteriormente. Abra um aplicativo como o Bloco de Notas do Windows para colar nos valores que você copiará do Portal do Azure.
Primeiro, você precisa anotar o Microsoft Entra nome do locatário e a ID do locatário. Esses valores são as duas primeiras informações necessárias para importar os registros do aplicativo em Configuration Manager.
No portal do Azure, selecione Microsoft Entra ID.
No menu Microsoft Entra ID, selecione Nomes de domínio personalizados.
Observe o nome do locatário. Por exemplo,
contoso.onmicrosoft.com
.No menu Microsoft Entra ID, selecione Propriedades.
Copie o valor GUID da ID do Locatário .
Registrar o aplicativo Web (servidor)
No menu Microsoft Entra ID, selecione Registros de aplicativo. Selecione Novo registro para criar um novo aplicativo.
No painel Registrar um aplicativo , especifique as seguintes informações:
-
Nome: um nome amigável para o aplicativo. Por exemplo,
CMG-ServerApp
. - Tipos de conta com suporte: deixe essa configuração como a opção padrão, somente contas neste diretório organizacional.
- URI de redirecionamento: selecione: cliente público/nativo (área de trabalho de &móvel) e digite http://localhost como URI
-
Nome: um nome amigável para o aplicativo. Por exemplo,
Selecione Registrar para criar o aplicativo.
Nas propriedades do novo aplicativo, copie os seguintes valores:
- Nome de exibição: esse valor é o nome amigável para este registro de aplicativo que você usará posteriormente como o nome do aplicativo.
- ID do aplicativo (cliente): você usará esse valor GUID mais tarde como a ID do cliente.
No menu das propriedades do aplicativo, selecione Certificados & segredos e selecione Novo segredo do cliente.
- Descrição: você pode usar qualquer nome para o segredo ou deixá-lo em branco.
- Expira: selecione 12 meses ou 24 meses.
Selecione Adicionar. Copie imediatamente o valor da cadeia de caracteres de segredo do cliente e expire. Se você deixar este painel, não poderá recuperar o mesmo segredo novamente. Você usará esses valores mais tarde como a chave secreta e os valores de expiração da chave secreta .
Se você usar Microsoft Entra descoberta de usuário no Configuration Manager, precisará ajustar as permissões neste aplicativo. No menu das propriedades do aplicativo, selecione permissões de API. Por padrão, ele deve ter a permissão User.Read para a API do Microsoft Graph , que precisa ser alterada.
Selecione Microsoft Graph para enumerar a lista de permissões de API disponíveis e selecione Permissões de aplicativo.
Expanda Diretório e selecione Directory.Read.All.
Alterne para permissões delegadas.
Expanda Usuário e remova a permissão User.Read .
Selecione Atualizar permissões.
No painel Permissões de API, selecione Conceder consentimento do administrador para...e selecione Sim.
No menu das propriedades do aplicativo, selecione Expor uma API.
Para o URI da ID do Aplicativo, selecione Adicionar. Especifique um URI exclusivo para o locatário. Você usará esse valor mais tarde como o URI da ID do Aplicativo. Use um dos seguintes formatos recomendados:
-
api://{tenantId}/{string}
, por exemplo,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, por exemplo,https://contoso.onmicrosoft.com/ConfigMgrService
Selecione Salvar.
-
Selecione Adicionar um escopo e especifique as seguintes informações necessárias:
-
Nome do escopo:
user_impersonation
- Quem pode consentir: selecione Administradores e usuários
-
Administração nome de exibição de consentimento: especifique um nome significativo. Por exemplo,
Access CMG-ServerApp
-
Administração descrição do consentimento: especifique uma descrição significativa. Por exemplo,
Allow the application to access CMG-ServerApp on behalf of the signed-in user.
-
Nome do escopo:
Selecione Adicionar escopo para salvar.
No menu das propriedades do aplicativo, selecione Manifesto. Defina a entrada oauth2AllowIdTokenImplicitFlow como true. Por exemplo:
"oauth2AllowIdTokenImplicitFlow": true,
Selecione Salvar.
O aplicativo Web (servidor) para CMG agora está registrado em Microsoft Entra ID.
Registrar o aplicativo nativo (cliente)
No menu Microsoft Entra ID, selecione Registros de aplicativo. Selecione Novo registro para criar um novo aplicativo.
No painel Registrar um aplicativo , especifique as seguintes informações:
-
Nome: um nome amigável para o aplicativo. Por exemplo,
CMG-ClientApp
. - Tipos de conta com suporte: deixe essa configuração como a opção padrão, somente contas neste diretório organizacional.
- URI de redirecionamento: deixe esse valor opcional em branco.
-
Nome: um nome amigável para o aplicativo. Por exemplo,
Selecione Registrar para criar o aplicativo.
Nas propriedades do novo aplicativo, copie os seguintes valores:
- Nome de exibição: esse valor é o nome amigável para este registro de aplicativo que você usará posteriormente como o nome do aplicativo.
- ID do aplicativo (cliente): você usará esse valor GUID mais tarde como a ID do cliente.
No menu das propriedades do aplicativo, selecione Autenticação.
Em Configurações de plataforma, selecione Adicionar uma plataforma.
No painel Configurar plataformas, selecione Aplicativos móveis e de área de trabalho.
No painel Configurar Desktop + dispositivos , em URIs de redirecionamento personalizado, especifique
ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>
. Use o GUID da ID do cliente do aplicativo, por exemplo:ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255
.Selecione Configurar.
Em Configurações avançadas, defina Permitir fluxos de cliente público comoSim. Selecione Salvar.
Ajuste as permissões neste aplicativo. No menu das propriedades do aplicativo, selecione permissões de API. Por padrão, ele deve ter a permissão delegada User.Read para a API do Microsoft Graph .
No painel Permissões de API, selecione Adicionar uma permissão.
Alterne para a guia Minhas APIs e selecione seu aplicativo Web (servidor). Por exemplo, CMG-ServerApp. Selecione a permissão user_impersonation e selecione Adicionar permissões para salvar.
No painel Permissões de API, selecione Conceder consentimento do administrador para...e selecione Sim.
No menu das propriedades do aplicativo, selecione Manifesto. Defina a entrada oauth2AllowIdTokenImplicitFlow como true. Por exemplo:
"oauth2AllowIdTokenImplicitFlow": true,
Selecione Salvar.
O aplicativo nativo (cliente) para CMG agora está registrado em Microsoft Entra ID. Essa etapa também conclui o processo no portal do Azure. A função do administrador global do Azure é feita.
Importar os aplicativos para Configuration Manager
Depois de registrar manualmente os dois aplicativos no portal do Azure, use o processo no artigo para Configurar Microsoft Entra ID para CMG, mas selecione a opção importar cada um dos aplicativos.
Esses processos importam metadados sobre os aplicativos Microsoft Entra para Configuration Manager. Você não precisa de permissões de Microsoft Entra para importar esses aplicativos.
Importar aplicativo Web (servidor)
Quando você seleciona Importar na janela do aplicativo Server , ele abre a janela Importar aplicativos . Insira as seguintes informações sobre o aplicativo Web Microsoft Entra que já está registrado no portal do Azure:
- Microsoft Entra nome do locatário: o nome do locatário Microsoft Entra.
- Microsoft Entra ID do locatário: o GUID do seu locatário Microsoft Entra.
- Nome do aplicativo: um nome amigável para o aplicativo, o nome de exibição no registro do aplicativo.
- ID do cliente: o valor da ID do aplicativo (cliente) do registro do aplicativo. O formato é um GUID padrão.
- Chave Secreta: copie a chave secreta ao registrar o aplicativo no Microsoft Entra ID e crie a chave secreta.
- Expiração da Chave Secreta: especifique a mesma data do portal do Azure.
-
URI da ID do aplicativo: o valor é o URI de ID do Aplicativo da entrada de registro do aplicativo no centro de administração do Microsoft Entra. O formato é semelhante a
https://ConfigMgrService
.
Depois de inserir as informações, selecione Verificar. Em seguida, selecione OK para fechar a janela Importar aplicativos .
Importante
Quando você usa um aplicativo de Microsoft Entra importado, não é notificado de uma data de validade futura das notificações do console.
Importar aplicativo nativo (cliente)
Quando você seleciona Importar na janela Do aplicativo Cliente , ele abre a janela Importar aplicativos . Insira as seguintes informações sobre o aplicativo nativo Microsoft Entra que já está registrado no portal do Azure:
- O assistentepopula automaticamente o Microsoft Entra nome do locatário e a ID do locatário com base no aplicativo Web (servidor) que você já especificou.
- Nome do aplicativo: um nome amigável para o aplicativo.
- ID do cliente: o valor da ID do aplicativo (cliente) do registro do aplicativo. O formato é um GUID padrão.
Depois de inserir as informações, selecione Verificar. Em seguida, selecione OK para fechar a janela Importar aplicativos .
Próximas etapas
Depois de registrar manualmente os dois aplicativos no portal do Azure, use o processo no artigo a seguir para importar os aplicativos: