Tenancy dividido
Solo SCEPman Enterprise Edition
Descripción general
SCEPman se puede configurar para funcionar desde un inquilino de Azure distinto al inquilino de Azure/Intune para el cual emite certificados a usuarios y/o dispositivos. Esta configuración, conocida como tenencia dividida, es especialmente útil para MSPs que desean consolidar los costos de infraestructura de Azure entre sus clientes mientras mantienen un backend dedicado y una CA única para cada uno de esos clientes.
La tenencia dividida conlleva una desventaja importante: Identidades administradas ya no puede utilizarse. Esto significa que la autenticación contra la Graph API (Azure AD e Intune) se gestiona utilizando un registro de aplicación y un secreto de cliente, que debe ser gestionado (por el MSP) cuando caduque.
En lo siguiente, nos referimos al inquilino que aloja como inquilino de origen, mientras que al inquilino del cliente como inquilino de destino. Los recursos de SCEPman existirán en el inquilino de origen, y los dispositivos gestionados en el inquilino de destino como en el gráfico abajo:
Pasos de configuración
En la inquilino de origen, realice una implementación estándar de SCEPman/Certificate Master como se describe en nuestra Guía de inicio.
En SCEPman (Inquilino de origen)
Navegue al servicio de aplicaciones y luego a "Configuración" --> "Variables de entorno". Localice los siguientes parámetros y elimínelos los siguientes:
AppConfig:AuthConfig:ManagedIdentityEnabledForWebsiteHostname
AppConfig:AuthConfig:ManagedIdentityEnabledOnUnixTime
AppConfig:AuthConfig:ManagedIdentityPermissionLevel
Cambie el nombre de las siguientes configuraciones (no cambie sus valores):
AppConfig:AuthConfig:ApplicationId
AppConfig:AuthConfig:HomeApplicationId
AppConfig:AuthConfig:TenantId
AppConfig:AuthConfig:HomeTenantId
Cree un registro de aplicación en el inquilino de destino como se describe aquí: Registro de aplicación de Azure. Esto registro de aplicación permitirá que SCEPman acceda a los directorios de Azure AD e Intune en el inquilino de destino.
El secreto de cliente generado como parte de este registro de aplicación tiene una expiración y debe renovarse antes de que caduque. Por favor establezca un recordatorio para la renovación.
Crear las siguientes nuevas variables de entorno si no lo ha hecho ya durante la creación del registro de la aplicación:
AppConfig:AuthConfig:ApplicationId
GUID del registro de aplicación que fue creado anteriormente (inquilino de destino).
AppConfig:AuthConfig:TenantId
ID de inquilino del inquilino de destino.
AppConfig:AuthConfig:ApplicationKey
Valor de la Secreto de cliente que fue creado como parte del registro de aplicación en el inquilino de destino.
Aplique los cambios.
Reinicie el SCEPman servicio de aplicaciones.
Administrador de certificados
Navegue al Certificate Master servicio de aplicaciones y luego a "Configuración" > "Variables de entorno".
Ahora tiene dos opciones:
Si desea que usuarios de su inquilino de origen inicien sesión en Certificate Master y emitan certificados, lo que incluye usuarios invitados en su inquilino de origen, p. ej. desde su inquilino de destino.
Si ese es el caso, cambie el nombre de las siguientes configuraciones (no cambie sus valores):
AppConfig:AuthConfig:TenantId
AppConfig:AuthConfig:HomeTenantId
AppConfig:AuthConfig:ApplicationId
AppConfig:AuthConfig:HomeApplicationId
b. Desea que usuarios de su inquilino de destino inicien sesión en Certificate Master y emitan certificados, lo que incluye usuarios invitados en su inquilino de destino, p. ej. desde su inquilino de origen.
Si ese es el caso, haga lo siguiente:
Abra una PowerShell o Azure Cloud Shell en su inquilino de destino y ejecute los siguientes comandos:
Reemplace <url> con la URL de su Certificate Master
El CMDlet mostrará un Id de aplicación y un Id de inquilino (el del inquilino de destino). Introduzca estos dos valores como
AppConfig:AuthConfig:HomeApplicationIdyAppConfig:AuthConfig:HomeTenantIden la configuración de su Certificate Master.
Ahora cree las siguientes nuevas configuraciones de aplicación, posiblemente sobrescribiendo las existentes, con los mismos valores que en SCEPman:
AppConfig:AuthConfig:ApplicationId
GUID del registro de aplicación que fue creado anteriormente.
AppConfig:AuthConfig:TenantId
ID de inquilino del inquilino de destino.
AppConfig:AuthConfig:ApplicationKey
Valor de la Secreto de cliente que fue creado como parte del registro de aplicación antes. Puede crear un secreto de cliente separado nuevo para Certificate Master si lo desea.
Guarde los cambios
Reinicie el SCEPman Certificate Master servicio de aplicaciones.
Conceda los derechos para solicitar certificados a través de la Administrador de certificados aplicación web, vea aquí
Como resumen, aquí están las cuentas utilizadas por Administrador de certificados y para qué se utilizan:
Identidad administrada
Autorizar CSR enviados a SCEPman
Acceso a la cuenta de almacenamiento
N/A
Registro de aplicación con App ID de ApplicationId
Certificate Master accede a Microsoft Graph en este contexto para ver qué certificados se han inscrito a través de Intune
Si ApplicationKey no está presente, se utiliza la Identidad administrada en su lugar.
Registro de aplicación con App ID de HomeApplicationId
Los usuarios se autentican a esta aplicación. Debe estar en el inquilino donde residen los usuarios que acceden a Certificate Master (pero también se pueden autorizar usuarios invitados de otros inquilinos)
Si HomeApplicationId no está presente, ApplicationId se utiliza en su lugar.
Ahora que la configuración de tenencia dividida ha finalizado, puede continuar y configurar sus perfiles SCEP según su MDM, vea aquí
Consideraciones al tener múltiples inquilinos de destino
Si desea tener múltiples instancias de SCEPman para emitir certificados a diferentes inquilinos de destino, querrá tomar pasos de configuración adicionales para aislar estas instancias entre sí.
Un posible concepto podría incluir un grupo de recursos de administración que contenga un único Plan de Servicio de Aplicaciones que proporcionará el recurso informático para todos sus Servicios de Aplicaciones SCEPman. Los siguientes puntos deben tomarse en consideración al hacer esto para múltiples inquilinos:
Cada instancia debe tener su propio grupo de recursos para distinguirlas
Debe crear Registros de Aplicación para cada instancia para aislar los permisos
El Plan de Servicio de Aplicaciones debe crearse en un grupo de recursos de gestión independiente ya que sirve a múltiples instancias
En este diagrama, un inquilino de gestión y sus dos instancias de SCEPman proporcionan certificados a los inquilinos de Contoso y Tailwind:
Unexpected error with integration mermaid: Integration is not installed on this space
Agregar una nueva instancia de SCEPman a un Plan de Servicio de Aplicaciones existente
Al desplegar una nueva instancia de SCEPman usando el método de despliegue empresarial se le ofrece la posibilidad de introducir el id de recurso de un Plan de Servicio de Aplicaciones existente al que se debe agregar esta instancia.
Este id de recurso se puede encontrar en las propiedades del plan de servicio de aplicaciones existente:
Crear registros de aplicación específicos del cliente
Para aislar los permisos de las aplicaciones necesitará ajustar el comando posterior al despliegue para especificar Registros de Aplicación personalizados:
Este comando resultará en una instancia de SCEPman completamente configurada que está aislada de las instancias anteriores. Ahora puede proceder a configurar la tenencia dividida para esta instancia.
La sección anterior relativa al Certificate Master ahora se puede aplicar opcionalmente si desea que este servicio sea accesible desde el inquilino del cliente.
Última actualización
¿Te fue útil?