配置 Azure Active Directory 应用程序注册
本文档介绍如何在 Microsoft Azure Active Directory (AAD) 实例上创建应用程序注册,并允许将 User Workspace Manager 控制台和代理连接至 AAD 实例。
说明
端点和控制台要求完成应用程序注册,以便在 AAD 域中进行设置。该应用程序使用客户端证书来允许端点在没有任何用户交互的情况下访问 AAD。使用具有适当权限的帐户在 AAD 门户网站中执行应用程序创建步骤,如下所示:
-
转至租户的“Azure Active Directory”页面。点击左侧窗格中的“应用程序注册”,然后点击右侧的“新注册”。
-
输入注册的名称以及帐户类型的“单个租户”。此阶段无需重定向 URI。点击“注册”。
-
点击左侧窗格中的“身份验证”。在右侧窗格中,点击“添加平台”,然后点击“移动和桌面应用程序”。勾选第一个重定向 URL:
https://login.microsoftonline.com/common/oauth2/nativeclient -
创建或获取由端点使用的证书。要在门户网站上进行应用程序注册,只需要提供公钥。每个端点都需要安装在本地计算机 - 个人存储区中且带私钥的证书。如有需要,证书应进行自签名。可通过 PowerShell 'New-SelfSignedCertificate' cmdlet 轻松地创建证书(请参阅后文)。
-
要为应用程序添加证书,请转至概述页面,点击“添加证书或密码”,然后上传 .cer 文件。门户网站将显示证书指纹,在添加 AAD 条件时控制台需要该证书指纹。
-
点击“API 权限”,然后按照下方所示添加权限。如有需要,向其授予管理员许可。
Microsoft Graph 应用程序权限(端点)
-
Device.Readall
-
Group.Readall
-
User.Readall
Microsoft Graph 委派权限(控制台)
-
Offline_access
(openid) -
Openid
(openid) -
配置文件
(openid) -
组
Readall -
用户
readall
创建自签名证书
从提升的 PowerShell 提示符,输入:
$certname = "My UWM Certificate"
$cert = New-SelfSignedCertificate -Subject "CN=$certname"
-CertStoreLocation "Cert:\CurrentUser\My"
-KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048
-KeyAlgorithm RSA -HashAlgorithm SHA256
这将在当前用户个人存储区中创建带有可导出私钥的证书。如要将其导出,可使用 certmgr.msc,或者借助下列 PowerShell 命令(使用上述 $cert 变量):
Export-Certificate -Cert $cert -FilePath "$certname.cer"
-
导出 .cer 文件以上传至门户网站
$pwd = ConvertTo-SecureString -String "myPassword" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath "$certname.pfx"
-Password $pwd
-
导出由指定密码保护的 .pfx 文件。其中包含端点所需的私钥。
生成 .pfx 和 .cer 文件后,可以从当前用户个人存储区中删除证书。
控制台 AAD 条件支持
配置包含 Azure AD 租户详细信息,用以提供端点的连接信息。可以通过 Environment Manager 的“管理”选项卡,Application Control 的“全局设置”选项卡,以及 Performance Manager 的“资源设置”选项卡输入该信息。下列链接与各产品的特定 AAD 功能相关。
应用程序控件:
创建与 Azure Active Directory 的连接
Environment Manager:
创建与 Azure Active Directory 的连接
性能管理器:
创建与 Azure Active Directory 的连接