設定 Azure Active Directory 應用程式註冊

本文件說明如何在 Microsoft Azure Active Directory (AAD) 執行個體上建立應用程式註冊,以及允許將 User Workspace Manager 控制台和代理程式連線到 AAD 執行個體。

說明

端點和控制台需要在 AAD 網域中設定應用程式註冊。此應用程式使用用戶端憑證允許端點存取 AAD,無需透過任何使用者互動。使用具有適當權限的帳戶在 AAD 入口網站中執行建立應用程式的步驟,如下所示:

  1. 前往租用戶的「Azure Active Directory」頁面。按一下左側窗格中的「應用程式註冊」,然後按一下右側的「新註冊」。

  2. 輸入註冊的名稱和帳戶類型的「單一租用戶」。此階段不需要重定導向 URI。按一下「註冊」。

  3. 按一下左側窗格中的「驗證」。在右側窗格中,按一下「新增平台」,然後按一下「行動和桌面應用程式」。勾選第一個重新導向 URL:

    https://login.microsoftonline.com/common/oauth2/nativeclient

  4. 建立或取得供端點使用的憑證。入口網站上的應用程式註冊只需要公開金鑰。每個端點都需要安裝在本機電腦 - 個人存放區中且具有私密金鑰的憑證。若有需要,憑證可以是自我簽署。可透過 PowerShell「New-SelfSignedCertificate」cmdlet 輕鬆地建立憑證 (請參閱後文)。

  5. 前往概觀頁面,然後按一下「新增憑證或密碼」並上傳 .cer 檔案,即可將憑證新增至應用程式中。入口網站將顯示控制台在新增 AAD 條件時所需的憑證指紋。

  6. 按一下「API 權限」,然後依以下詳述步驟新增權限。在需要的情況下為其授予管理員同意。

  • Device.Readall

  • Group.Readall

  • User.Readall

  • Offline_access
    (openid)

  • Openid
    (openid)

  • 設定檔
    (openid)

  • 群組
    Readall

  • 使用者
    readall

建立自我簽署憑證

透過提升權限的 PowerShell 提示字元,輸入:

$certname = "My UWM Certificate"

$cert = New-SelfSignedCertificate -Subject "CN=$certname"

-CertStoreLocation "Cert:\CurrentUser\My"

-KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048

-KeyAlgorithm RSA -HashAlgorithm SHA256

此操作將在目前使用者個人存放區中建立帶有可匯出私密金鑰的憑證。可以使用 certmgr.msc 或以下 PowerShell 命令將其匯出 (使用上面的 $cert 變數):

Export-Certificate -Cert $cert -FilePath "$certname.cer"

  • 匯出要上傳到入口網站的 .cer 檔案

$pwd = ConvertTo-SecureString -String "myPassword" -Force -AsPlainText

Export-PfxCertificate -Cert $cert -FilePath "$certname.pfx"

-Password $pwd

  • 匯出受指定密碼保護的 .pfx 檔案。這包含端點所需的私密金鑰。

產生 .pfx 和 .cer 檔案後,可能會從目前使用者個人存放區中刪除憑證。

控制台 AAD 條件支援

組態包含 Azure AD 租用戶詳細資料,可提供端點的連線資訊。可以透過 Environment Manager 的「管理」索引標籤、Application Control 的「全域設定」索引標籤和 Performance Manager 的「資源設定」索引標籤輸入該資訊。以下連結與每個產品的特定 AAD 功能相關。

應用程式控制:

建立與 Azure Active Directory 的連線

群組規則

使用者規則

Environment Manager:

建立與 Azure Active Directory 的連線

效能管理員:

建立與 Azure Active Directory 的連線