Konfigurieren der Azure Active Directory-App-Registrierung

Dieses Dokument enthhält Anweisungen zum Erstellen einer Anwendungsregistrierung auf Ihrer Instanz von Microsoft Azure Active Directory (AAD) und beschreibt, wie Sie die Verbindung von User Workspace Manager-Konsolen und -Agenten zu der AAD-Instanz zulassen.

Anweisungen

Für den Endpunkt und die Konsole muss eine Anwendungsregistrierung in der AAD-Domäne eingerichtet werden. Diese Anwendung verwendet ein Clientzertifikat, damit der Endpunkt ohne Benutzereingriff Zugang zu AAD erhält. Führen Sie im AAD-Portal unter Verwendung eines Kontos mit ausreichenden Berechtigungen folgende Schritte aus, um die Anwendung zu erstellen:

  1. Wechseln Sie zur Seite "Azure Active Directory" des Mandanten. Klicken Sie im linken Bereich auf "App-Registrierungen" und dann rechts auf "Neue Registrierung".

  2. Geben Sie einen Namen für die Registrierung ein und dann als Kontotyp "Einzelmandant". In dieser Phase ist keine Umleitungs-URI erforderlich. Klicken Sie auf "Registrieren".

  3. Klicken Sie links auf "Authentifizierung". Klicken Sie im rechten Bereich auf "Plattform hinzufügen" und dann auf "Mobile Anwendungen und Desktop-Anwendungen". Markieren Sie die erste Umleitungs-URI:

    https://login.microsoftonline.com/common/oauth2/nativeclient

  4. Erstellen oder besorgen Sie ein Zertifikat für die Verwendung durch den Endpunkt. Für die Anwendungsregistrierung im Portal ist lediglich der öffentliche Schlüssel erforderlich. Auf jedem Endpunkt muss das Zertifikat mit dem privaten Schlüssel im Speicher "Lokaler Computer – Persönlich" installiert sein. Das Zertifikat kann ggf. ein selbstsigniertes Zertifikat sein. Eine einfache Methode zum Erstellen des Zertifikats ist die Verwendung des PowerShell-Cmdlets 'New-SelfSignedCertificate' (mehr dazu im weiteren Verlauf).

  5. Fügen Sie das Zertifikat hinzu, indem Sie zur Übersichtsseite wechseln und dort auf "Zertifikat oder geheimen Schlüssel hinzufügen" klicken und die .cer-Datei hochladen. Das Portal zeigt den Zertifikatfingerabdruck an, den die Konsole zum Hinzufügen von ADD-Bedingungen benötigt.

  6. Klicken Sie auf "Berechtigungen hinzufügen" und fügen Sie die unten aufgeführten Berechtigungen hinzu. Gewähren Sie Administratorzustimmung, soweit erforderlich.

  • Device.Readall

  • Group.Readall

  • User.Readall

  • Offline_access
    (openid)

  • Openid
    (openid)

  • Profile
    (openid)

  • Group
    Readall

  • User
    readall

Erstellen eines selbstsignierten Zertifikats

Geben Sie an einer PowerShell-Befehlseingabe mit erweiterten Rechten Folgendes ein:

$certname = "My UWM Certificate"

$cert = New-SelfSignedCertificate -Subject "CN=$certname"

-CertStoreLocation "Cert:\CurrentUser\My"

-KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048

-KeyAlgorithm RSA -HashAlgorithm SHA256

Daraufhin wird das Zertifikat im persönlichen Speicher des aktuellen Benutzers mit einem exportierfähigen privaten Schlüssel erstellt. Dieser kann entweder über certmgr.msc oder mithilfe der folgenden PowerShell-Befehle (unter Verwendung der obigen $cert-Variable) exportiert werden:

Export-Certificate -Cert $cert -FilePath "$certname.cer"

  • Exportiert die .cer-Datei zum Hochladen in das Portal

$pwd = ConvertTo-SecureString -String "myPassword" -Force -AsPlainText

Export-PfxCertificate -Cert $cert -FilePath "$certname.pfx"

-Password $pwd

  • Exportiert eine mit dem angegebenen Kennwort geschützte .pfx-Datei. Diese enthält den von den Endpunkten benötigten privaten Schlüssel.

Das Zertifikat kann aus dem Speicher des aktuellen Benutzers gelöscht werden, nachdem die .pfx-Datei und die .cer-Datei generiert wurden.

Unterstützung von AAD-Bedingungen über die Konsole

Die Konfiguration enthält Details zum Azure AD-Mandanten, die den Endpunkten Verbindungsinformationen liefern. Die Informationen können bei Verwendung von Environment Manager über die Registerkarte "Verwalten", bei Application Control über die Registerkarte "Globale Einstellungen" und bei Performance Manager über die Registerkarte "Ressourceneinrichtung" eingegeben werden. Die folgenden Links beziehen sich auf spezifische AAD-Funktionen für jedes Produkt.

Application Control:

Erstellen einer Verbindung zu Azure Active Directory

Gruppenregeln

Benutzerregeln

Environment Manager:

Erstellen einer Verbindung zu Azure Active Directory

Performance Manager:

Erstellen einer Verbindung zu Azure Active Directory