Настройка интеграции Azure

Статья
05.04.2025
Применяется к: ✅ Windows Admin Center, ✅ Windows Admin Center Preview

Windows Admin Center поддерживает несколько дополнительных функций, которые интегрируются со службами Azure. Узнайте о вариантах интеграции Azure, доступных в Windows Admin Center.

Чтобы разрешить шлюзу Windows Admin Center взаимодействовать с Azure для использования проверки подлинности Microsoft Entra для доступа к шлюзу или создавать ресурсы Azure от вашего имени (например, для защиты виртуальных машин, управляемых в Windows Admin Center с помощью Azure Site Recovery), необходимо сначала зарегистрировать шлюз Windows Admin Center в Azure. Это действие необходимо выполнить только один раз для шлюза Windows Admin Center. Этот параметр сохраняется при обновлении шлюза до более новой версии.

Регистрация шлюза в Azure

При первом попытке использовать функцию интеграции Azure в Windows Admin Center вам будет предложено зарегистрировать шлюз в Azure. Вы также можете зарегистрировать шлюз, перейдя на вкладку Azure в параметрах Windows Admin Center. Только администраторы шлюза Windows Admin Center могут зарегистрировать шлюз Windows Admin Center в Azure. Дополнительные сведения о разрешениях пользователя и администратора Windows Admin Center.

Пошаговая инструкция внутри продукта создает приложение Microsoft Entra в вашем каталоге, что позволяет Windows Admin Center подключаться к Azure. Чтобы просмотреть приложение Microsoft Entra, созданное автоматически, перейдите на вкладку Azure параметров Центра администрирования Windows. Ссылка «Просмотр в Azure» позволяет просматривать приложение Microsoft Entra в портале Azure.

Созданное приложение Microsoft Entra используется для всех точек интеграции Azure в Windows Admin Center, включая проверку подлинности Microsoft Entra в шлюзе. Windows Admin Center автоматически настраивает разрешения, необходимые для создания ресурсов Azure и управления ими от вашего имени:

Microsoft Graph
- Application.Read.All (предоставление приложениям права на чтение всех данных)
- Application.ReadWrite.All
- Доступ.ККаталогу.КакПользователь.Все
- Доступ к чтению всех данных в каталоге (Directory.Read.All)
- Directory.ReadWrite.All
- Пользователь.Чтение
Управление службами Azure
- имитация пользователя

Настройка приложения Microsoft Entra вручную

Если вы хотите вручную настроить приложение Microsoft Entra, а не использовать приложение Microsoft Entra, созданное автоматически Windows Admin Center во время регистрации шлюза, выполните следующие действия.

Предоставьте приложению Microsoft Entra необходимые разрешения API, перечисленные выше. Это можно сделать, перейдя к приложению Microsoft Entra в портал Azure. Перейдите на портал >Microsoft Entra ID>Регистрация приложений>, выберите приложение Microsoft Entra, которое вы хотите использовать. Затем на вкладку разрешений API и добавьте указанные выше разрешения API.
Добавьте URL-адрес шлюза Windows Admin Center в URL-адреса ответа (также известные как URI перенаправления). Перейдите к приложению Microsoft Entra, а затем перейдите к манифесту. Найдите ключ "replyUrlsWithType" в манифесте. В ключ добавьте объект, содержащий два ключа: URL-адрес и тип. Ключ "URL-адрес" должен иметь значение URL-адреса шлюза Windows Admin Center, добавляя подстановочный знак в конце. Ключ "type" должен иметь значение "Web". Например:
```
"replyUrlsWithType": [
        {
                "url": "http://localhost:6516/*",
                "type": "Single-Page Application"
        }
],
```

Примечание

Если вы включили Application Guard в Microsoft Defender для браузера, вы не сможете зарегистрировать Windows Admin Center в Azure или войти в Azure.

URI перенаправления не соответствует настроенному URI для этого приложения.

Если вы недавно переносили данные из более старой версии Windows Admin Center в Windows Admin Center версии 2410, URI перенаправления могут быть неправильно настроены. Это может произойти, если вы не выполнили шаг регистрации Azure в мастере миграции. Это неправильно настроено, так как Центр администрирования Windows изменил способ проверки подлинности на основе общих рекомендаций Майкрософт. Где мы ранее использовали неявный поток предоставления, теперь мы используем поток кода авторизации.

Существует два URI перенаправления, которые необходимо добавить на платформу одностраничного приложения (SPA). Пример таких URI перенаправления:

https://myMachineName.domain.com:6600
https://myMachineName.domain.com:6600/signin-oidc

В этом примере числовое значение относится к порту, используемому в установке Windows Admin Center.

Все URI перенаправления для Windows Admin Center должны содержать:

Полное доменное имя (FQDN) или имя узла вашего компьютера-шлюза, без упоминания localhost.
Префикс HTTPS, а не HTTP

Узнайте, как перенастроить URI перенаправления.

После добавления правильных URI перенаправления рекомендуется очистить старые и неиспользуемые URI.

Обмен токена между источниками разрешен только для одностраничного приложения.

Если вы недавно обновили экземпляр Windows Admin Center до более новой версии, а ваш шлюз ранее был зарегистрирован в Azure, при входе в Azure может возникнуть ошибка с сообщением о том, что "использование токена между источниками разрешено только для клиентского типа 'одностраничное приложение'". Это появляется, так как Центр администрирования Windows изменил способ проверки подлинности на основе общих рекомендаций Майкрософт. Где мы ранее использовали неявный поток предоставления, теперь мы используем поток кода авторизации.

Если вы хотите продолжать использовать существующую регистрацию приложения для приложения Windows Admin Center, используйте Центр администрирования Microsoft Entra, чтобы обновить URI перенаправления на платформе приложения Single-Page (SPA). Это обеспечивает использование авторизационного кода с ключом подтверждения подлинности (PKCE) и поддержку совместного использования ресурсов между источниками (CORS) для приложений, использующих такую регистрацию.

Выполните следующие действия для регистрации приложений, которые в настоящее время настроены с URI перенаправления платформы Web:

Войдите в Центр администрирования Microsoft Entra.
Перейдите к приложениям удостоверений > регистрации приложений>, выберите ваше приложение, затем аутентификация.
На плитке веб-платформы в URI перенаправления выберите баннер предупреждения, указывающий, что необходимо перенести URI.
Выберите универсальный код ресурса (URI перенаправления) для приложения и нажмите кнопку "Настроить". Теперь эти URI перенаправления должны отображаться в разделе "одностраничное приложение", показывая, что поддержка CORS с потоком кода авторизации и PKCE включена для этих URI.

Вместо обновления существующих URI можно создать новую регистрацию приложения для шлюза. Регистрация новых приложений для Windows Admin Center через поток регистрации шлюза создает URI перенаправления одностраничного приложения.

Если вы не можете перенести URI перенаправления регистрации приложения для использования потока кода проверки подлинности, вы можете продолжать использовать существующую регистрацию приложения как есть. Для этого необходимо отменить регистрацию шлюза Windows Admin Center и повторно зарегистрировать его с помощью того же идентификатора регистрации приложения.

Будьте в курсе последних событий

Следите за нами в Twitter

Ознакомьтесь с нашими блогами

Дополнительные ресурсы

Обучение

Модуль

Внедрение гибридной идентификации с помощью Windows Server - Training

Внедрение гибридной идентификации с помощью Windows Server

Сертификация

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Продемонстрировать функции идентификатора Microsoft Entra для модернизации решений удостоверений, реализации гибридных решений и реализации управления удостоверениями.

Поделиться через