Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows Admin Center unterstützt mehrere optionale Features, die in Azure-Dienste integriert werden können. Erfahren Sie mehr über die Azure-Integrationsoptionen, die in Windows Admin Center verfügbar sind.
Damit das Windows Admin Center-Gateway mit Azure kommunizieren kann, um die Microsoft Entra-Authentifizierung für den Gatewayzugriff zu nutzen oder Azure-Ressourcen für Sie zu erstellen (z. B. zum Schützen von VMs, die in Windows Admin Center unter Verwendung von Azure Site Recovery verwaltet werden), müssen Sie zuerst das Windows Admin Center-Gateway bei Azure registrieren. Sie müssen diese Aktion nur einmal für das Windows Admin Center-Gateway ausführen – die Einstellung wird beibehalten, wenn Sie das Gateway auf eine neuere Version aktualisieren.
Registrieren Ihres Gateways bei Azure
Wenn Sie zum ersten Mal versuchen, eine Azure-Integrationsfunktion in Windows Admin Center zu verwenden, werden Sie aufgefordert, das Gateway bei Azure zu registrieren. Sie können das Gateway auch registrieren, indem Sie in den Windows Admin Center-Einstellungen zur Azure-Registerkarte wechseln. Nur Windows Admin Center-Gatewayadministratoren können das Windows Admin Center-Gateway bei Azure registrieren. Weitere Informationen zu Windows Admin Center-Benutzer- und Administratorberechtigungen.
Die geführten Produktschritte erstellen eine Microsoft Entra-App im Verzeichnis, mit der Windows Admin Center mit Azure kommunizieren kann. Um die automatisch erstellte Microsoft Entra-App anzuzeigen, wechseln Sie zur Azure-Registerkarte der Windows Admin Center-Einstellungen. Mit dem Link "In Azure anzeigen " können Sie die Microsoft Entra-App im Azure-Portal anzeigen.
Die erstellte Microsoft Entra-App wird für alle Azure-Integrationspunkte in Windows Admin Center verwendet, einschließlich der Microsoft Entra-Authentifizierung für das Gateway. Windows Admin Center konfiguriert automatisch die Berechtigungen, die zum Erstellen und Verwalten von Azure-Ressourcen in Ihrem Namen erforderlich sind:
- Microsoft Graph
- Application.Read.All
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.Read.All
- Directory.ReadWrite.All
- User.Read
- Azure Service Management
- user_impersonation
Manuelle Konfiguration der Microsoft Entra-App
Wenn Sie eine Microsoft Entra-App manuell konfigurieren möchten, anstatt die Microsoft Entra-App zu verwenden, die während des Gatewayregistrierungsprozesses automatisch von Windows Admin Center erstellt wurde, führen Sie die folgenden Schritte aus:
Erteilen Sie der Microsoft Entra-App die oben aufgeführten erforderlichen API-Berechtigungen. Navigieren Sie dazu im Azure-Portal zu Ihrer Microsoft Entra-App. Wechseln Sie zum Azure-Portal >Microsoft Entra ID>App-Registrierungen> , wählen Sie Ihre Microsoft Entra-App aus, die Sie verwenden möchten. Fügen Sie dann auf der Registerkarte "API-Berechtigungen " die oben aufgeführten API-Berechtigungen hinzu.
Fügen Sie die URL des Windows Admin Center-Gateways den Antwort-URLs (auch als Umleitungs-URIs bezeichnet) hinzu. Navigieren Sie zu Ihrer Microsoft Entra-App, und wechseln Sie dann zum Manifest. Suchen Sie den Schlüssel „replyUrlsWithType“ im Manifest. Fügen Sie innerhalb des Schlüssels ein Objekt hinzu, das zwei Schlüssel enthält: „url“ und „type“. Der Schlüssel „URL“ sollte den Wert der Windows Admin Center-Gateway-URL aufweisen, wobei am Ende ein Platzhalter angefügt wird. Der Schlüssel „type” sollte den Wert „Web” aufweisen. Zum Beispiel:
"replyUrlsWithType": [ { "url": "http://localhost:6516/*", "type": "Single-Page Application" } ],
Note
Wenn Sie Microsoft Defender Application Guard für Ihren Browser aktiviert haben, können Sie Windows Admin Center nicht bei Azure registrieren oder sich bei Azure anmelden.
Fehlerbehebung bei Azure-Anmeldefehlern
Der Umleitungs-URI stimmt nicht mit den URIs überein, die für diese Anwendung konfiguriert sind.
Wenn Sie Ihre Daten kürzlich von einer älteren Version von Windows Admin Center zu Windows Admin Center Version 2410 migriert haben, sind Ihre Umleitungs-URIs möglicherweise falsch konfiguriert. Dies kann passieren, wenn Sie den Azure-Registrierungsschritt im Migrations-Assistenten nicht abgeschlossen haben. Diese Fehlkonfiguration liegt daran, dass Windows Admin Center die Art und Weise geändert hat, wie wir die Authentifizierung basierend auf allgemeinen Microsoft-Anleitungen durchführen. Wo wir zuvor den impliziten Genehmigungs-Flow verwendet haben, verwenden wir jetzt den Autorisierungscode-Flow.
Es gibt zwei Umleitungs-URIs, die der Single-Page Application (SPA)-Plattform hinzugefügt werden müssen. Ein Beispiel für diese Umleitungs-URIs wäre:
https://myMachineName.domain.com:6600
https://myMachineName.domain.com:6600/signin-oidc
In diesem Beispiel bezieht sich der numerische Wert auf den Port, auf den in Ihrer Windows Admin Center-Installation verwiesen wird.
Alle Umleitungs-URIs für Windows Admin Center müssen Folgendes enthalten:
- Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) oder Hostname Ihres Gatewaycomputers, keine Erwähnung von localhost
- Das HTTPS-Präfix, nicht HTTP
Erfahren Sie, wie Sie Ihre Umleitungs-URIs neu konfigurieren.
Nachdem Sie die richtigen Umleitungs-URIs hinzugefügt haben, empfiehlt es sich, alte, nicht verwendete Umleitungs-URIs zu bereinigen.
Die ursprungsübergreifende Tokeneinlösung ist nur für Single-Page Application zulässig.
Wenn Sie Ihre Windows Admin Center-Instanz kürzlich auf eine neuere Version aktualisiert haben und Ihr Gateway zuvor bei Azure registriert wurde, tritt bei der Anmeldung bei Azure möglicherweise die folgende Fehlermeldung auf: „Die ursprungsübergreifende Tokeneinlösung ist nur für den Clienttyp ‚Single-Page-Webanwendung’ zulässig“. Dies wird angezeigt, da Windows Admin Center die Art und Weise geändert hat, wie wir die Authentifizierung basierend auf allgemeinen Microsoft-Richtlinien durchführen. Wo wir zuvor den impliziten Genehmigungs-Flow verwendet haben, verwenden wir jetzt den Autorisierungscode-Flow.
Wenn Sie ihre vorhandene App-Registrierung für Ihre Windows Admin Center-Anwendung weiterhin verwenden möchten, verwenden Sie das Microsoft Entra Admin Center , um die Umleitungs-URIs der Registrierung auf die Plattform Single-Page Application (SPA) zu aktualisieren. Dadurch wird der Autorisierungscode-Flow mit PKCE(Proof Key for Code Exchange)- und CORS(Cross-Origin Resource Sharing)-Unterstützung für Anwendungen aktiviert, die diese Registrierung verwenden.
Führen Sie die folgenden Schritte für Anwendungsregistrierungen aus, die derzeit mit Webplattformumleitungs-URIs konfiguriert sind:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Identitätsanwendungen-App-Registrierungen >>, wählen Sie Ihre Anwendung und dann Authentifizierung aus.
- Wählen Sie in der Webplattformkachel unter Umleitungs-URIs das Warnbanner aus, das angibt, dass Sie Ihre URIs migrieren sollten.
- Wählen Sie den Umleitungs-URI für Ihre Anwendung und dann "Konfigurieren" aus. Diese Umleitungs-URIs sollten nun auf der Kachel der Plattform für die Einzelseitenanwendung angezeigt werden und zeigen, dass CORS-Unterstützung mit dem Autorisierungscodefluss und PKCE für diese URIs aktiviert ist.
Sie können auch eine neue Anwendungsregistrierung erstellen, anstatt die Umleitungs-URIs zu aktualisieren. App-Registrierungen, die neu für Windows Admin Center über den Gateway-Registrierungs-Flow erstellt wurden, erstellen Umleitungs-URIs für die Single-Page-Webanwendungsplattform.
Wenn Sie die Umleitungs-URIs Ihrer Anwendungsregistrierung nicht migrieren können, um den Authentifizierungscode-Flow zu verwenden, können Sie die vorhandene Anwendungsregistrierung weiterhin unverändert verwenden. Dazu müssen Sie die Registrierung Ihres Windows Admin Center-Gateways aufheben und mit derselben Anwendungsregistrierungs-ID erneut registrieren.