次の方法で共有

CMG のMicrosoft Entra ID を構成する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

クラウド管理ゲートウェイ (CMG) を設定する 2 番目の主要な手順は、Configuration Manager サイトをMicrosoft Entra テナントと統合することです。 この統合により、サイトは CMG サービスの展開と監視に使用するMicrosoft Entra ID で認証できます。 次の手順でクライアントのMicrosoft Entra認証方法を選択した場合、この統合がその認証方法の前提条件となります。

ヒント

この記事では、クラウド管理ゲートウェイ専用のサイトを統合するための規範的なガイダンスを提供します。 このプロセスと、Configuration Manager コンソールでの Azure Services ノードのその他の使用方法の詳細については、「Azure サービスの構成」を参照してください。

サイトを統合すると、Microsoft Entra ID でアプリの登録が作成されます。 CMG には、次の 2 つのアプリ登録が必要です。

  • Web アプリ (Configuration Manager のサーバー アプリとも呼ばれます)
  • ネイティブ アプリ (Configuration Manager ではクライアント アプリとも呼ばれます)

これらのアプリを作成するには 2 つの方法がありますが、どちらも Microsoft Entra ID にグローバル管理者ロールが必要です。

  • Configuration Managerを使用して、サイトを統合するときにアプリの作成を自動化します。
  • 事前にアプリを手動で作成し、サイトを統合するときにアプリをインポートします。

この記事は主に最初の方法に従います。 その他の方法の詳細については、「CMG 用Microsoft Entraアプリを手動で登録する」を参照してください。

開始する前に、Microsoft Entra ID グローバル管理者が使用可能であることを確認してください。

注:

事前に作成されたアプリの登録をインポートする場合は、最初に Microsoft Entra ID で作成する必要があります。 CMG 用のMicrosoft Entra アプリを手動で登録する方法に関する記事から始めます。 次に、この記事に戻って Azure Services ウィザードを実行し、アプリをConfiguration Managerにインポートします。

アプリ登録の目的

これら 2 つのMicrosoft Entra アプリ登録は、CMG のサーバー側とクライアント側を表します。

  • クライアント アプリは、CMG に接続するマネージド クライアントとユーザーを表します。 CMG 自体を含め、Azure 内でアクセスできるリソースを定義します。

  • サーバー アプリは、Azure でホストされている CMG コンポーネントを表します。 Azure 内でアクセスできるリソースを定義します。 サーバー アプリは、マネージド クライアント、ユーザー、および Azure ベースの CMG コンポーネントへの CMG 接続ポイントからの認証と承認を容易にするために使用されます。 この通信には、オンプレミスの管理ポイントとソフトウェアの更新ポイントへのトラフィック、Azure での初期 CMG プロビジョニング、Microsoft Entra検出が含まれます。

クライアントが PKI 発行のクライアント認証証明書を使用する場合、2 つのクライアント アプリはデバイス中心のアクティビティには使用されません。 たとえば、デバイス コレクションを対象とするソフトウェア配布などです。 ユーザー中心のアクティビティでは、認証と承認のために、常にこれら 2 つのアプリ登録が使用されます。

Azure Services ウィザードを開始する

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Azure Services] ノードを選択します。

  2. リボンの [ ホーム ] タブの [ Azure Services*] グループで、[ Azure サービスの構成] を選択します。

  3. Azure サービス ウィザードの [Azure Services] ページで、次の操作を行います。

    1. Configuration Managerでオブジェクトの名前を指定します。 この名前は、Configuration Manager内の接続を識別するためにのみ使用されます。

    2. このサービス接続をさらに識別するには、省略可能な 説明 を指定します。

    3. Cloud Management サービスを選択します。

  4. Azure サービス ウィザードの [アプリ] ページで、テナントの Azure 環境を選択します。

    • AzurePublicCloud: テナントはグローバル Azure クラウドにあります。
    • AzureUSGovernmentCloud: テナントは Azure US Government クラウドにあります。

Web (サーバー) アプリの登録を作成する

  1. [Azure サービス ウィザード] ウィンドウの [アプリ] ページで、Web アプリの [参照] を選択します。

  2. [サーバー アプリ] ウィンドウで、[作成] を選択してConfiguration Managerを使用してアプリの作成を自動化します。

  3. [ サーバー アプリケーションの作成 ] ウィンドウで、次の情報を指定します。

    • アプリケーション名: アプリのフレンドリ名。

    • HomePage URL: この値はConfiguration Managerでは使用されませんが、Microsoft Entra ID で必要です。 既定では、この値は です https://ConfigMgrService

    • アプリ ID URI: この値は、Microsoft Entra テナントで一意である必要があります。 これは、Configuration Manager クライアントがサービスへのアクセスを要求するために使用するアクセス トークン内にあります。 既定では、この値は です https://ConfigMgrService。 既定値を次のいずれかの推奨形式に変更します。

      • api://{tenantId}/{string}、たとえば、api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}、たとえば、https://contoso.onmicrosoft.com/ConfigMgrService

    • シークレット キーの有効期間: ドロップダウン リストから 1 年 または 2 年 を選択します。 既定値は 1 年です。

    • Microsoft Entra管理者アカウント: [サインイン] を選択して、グローバル管理者として ID Microsoft Entra認証します。 Configuration Managerでは、これらの資格情報は保存されません。 このペルソナは、Configuration Managerのアクセス許可を必要とせず、Azure サービス ウィザードを実行するアカウントと同じである必要はありません。 Azure への認証に成功すると、ページに参照用のMicrosoft Entraテナント名が表示されます。

  4. [OK] を選択してMicrosoft Entra ID で Web アプリを作成し、[サーバー アプリケーションの作成] ウィンドウを閉じます。

  5. [ サーバー アプリ] ウィンドウで、新しいアプリが選択されていることを確認し、[ OK] を 選択してウィンドウを保存して閉じます。

注:

現在のブランチ バージョン 2309 Configuration Manager以降、CMG を作成するための Web (サーバー) アプリのセキュリティが強化されました。 新しい CMG の作成では、ユーザーはMicrosoft Entraテナント名を使用してテナントとアプリ名を選択できます。 テナントとアプリ名を選択すると、サインイン ボタンが表示され、セットアップ CMG に従って残りのプロセスに従います。

既存の CMG のお客様は、Microsoft Entra テナント ノードに移動して Web サーバー アプリを更新する必要があります。>テナントを選択し、>サーバー アプリを選択します。>"アプリケーション設定の更新" をクリックします。

ネイティブ (クライアント) アプリの登録を作成する

  1. [Azure サービス ウィザード] ウィンドウの [アプリ] ページで、ネイティブ クライアント アプリの [参照] を選択します。

  2. [クライアント アプリ] ウィンドウで、[作成] を選択してConfiguration Managerを使用してアプリの作成を自動化します。

  3. [ クライアント アプリケーションの作成 ] ウィンドウで、次の情報を指定します。

    • アプリケーション名: アプリのフレンドリ名。

    • Microsoft Entra管理者アカウント: [サインイン] を選択して、グローバル管理者として ID Microsoft Entra認証します。 Configuration Managerでは、これらの資格情報は保存されません。 このペルソナは、Configuration Managerのアクセス許可を必要とせず、Azure サービス ウィザードを実行するアカウントと同じである必要はありません。 Azure への認証に成功すると、ページに参照用のMicrosoft Entraテナント名が表示されます。

  4. [OK] を選択してMicrosoft Entra ID でネイティブ アプリを作成し、[クライアント アプリケーションの作成] ウィンドウを閉じます。

  5. [ クライアント アプリ] ウィンドウで、新しいアプリが選択されていることを確認し、[ OK] を 選択してウィンドウを保存して閉じます。

Azure Services ウィザードを完了する

  1. Azure Services ウィザードで、Web アプリネイティブ クライアント アプリの両方の値が完了していることを確認します。 [次へ] を選んで続行します。

  2. ウィザードの [検出 ] ページは、一部のシナリオでのみ必要です。 サイトを Microsoft Entra ID にオンボードする場合は省略可能であり、CMG を作成する必要はありません。 環境内の特定の機能をサポートするために必要な場合は、後で有効にすることができます。

    Microsoft Entraユーザー検出が必要になる可能性がある CMG シナリオの詳細については、「クライアント認証の構成: Microsoft Entra ID」および「Microsoft Entra ID を使用してクライアントをインストールする」を参照してください。

    この検出方法の詳細については、「ユーザー検出Microsoft Entra構成する」を参照してください。

  3. 設定を確認し、ウィザードを完了します。

ウィザードが閉じると、 Azure Services ノードに新しい接続が表示されます。 また、Configuration Manager コンソールの [Microsoft Entra テナント] ノードでテナントとアプリの登録を表示することもできます。

デバイス以外のテナントまたはユーザー テナントのMicrosoft Entra認証を無効にする

デバイスが、CMG コンピューティング リソースのサブスクリプションを持つテナントとは別のMicrosoft Entra テナントにある場合は、ユーザーとデバイスに関連付けられていないテナントの認証を無効にすることができます。

  1. Cloud Management サービスのプロパティを開きます。

  2. [アプリケーション] タブ 切り替えます。

  3. [このテナントのMicrosoft Entra認証を無効にする] オプションを選択します

詳細については、「 Azure サービスの構成」を参照してください。

Azure リソース プロバイダーを構成する

CMG サービスでは、Azure サブスクリプションに特定のリソース プロバイダーを登録する必要があります。 仮想マシン スケール セットに CMG をデプロイする場合は、次のリソース プロバイダーを登録します。

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

注:

クラシック クラウド サービスを使用して CMG を以前にデプロイした場合、Azure サブスクリプションには次の 2 つのリソース プロバイダーが必要です。

  • Microsoft.ClassicCompute
  • Microsoft.Storage

バージョン 2203 以降では、 クラウド サービス (クラシック) として CMG をデプロイするオプションが削除されます。 すべての CMG デプロイでは 、仮想マシン スケール セットを使用する必要があります。 詳細については、「 削除された機能と非推奨の機能」を参照してください。

Microsoft Entra アカウントには、リソース プロバイダーの操作を/register/action実行するためのアクセス許可が必要です。 既定では、 共同作成者 ロールと 所有者 ロールにはこのアクセス許可が含まれます。

次の手順は、リソース プロバイダーを登録するプロセスをまとめたものです。 詳細については、「 Azure リソース プロバイダーと種類」を参照してください。

  1. Azure portal にサインインし

  2. [Azure portal] メニューで、[サブスクリプション] を検索します。 使用可能なオプションから選択します。

  3. 表示するサブスクリプションを選択します。

  4. 左側のメニューの [設定] で、[ リソース プロバイダー] を選択します。

  5. 登録するリソース プロバイダーを見つけて、[ 登録] を選択します。 サブスクリプションで最小限の特権を維持するには、使用する準備ができているリソース プロバイダーのみを登録します。

PowerShell を使用して自動化する

必要に応じて、PowerShell を使用してこれらの構成の側面を自動化できます。

  1. Import-CMAADServerApplication コマンドレットを使用して、Configuration ManagerでMicrosoft Entra Web/サーバー アプリを定義します。

  2. Import-CMAADClientApplication コマンドレットを使用して、Configuration ManagerでMicrosoft Entraネイティブ/クライアント アプリを定義します。

  3. Get-CMAADApplication コマンドレットを使用して、インポートされたアプリ オブジェクトを取得します。

  4. 次に、アプリ オブジェクトを New-CMCloudManagementAzureService コマンドレットに渡して、Configuration Managerで Cloud Management 用の Azure サービスを作成します。

次の手順

使用するクライアント認証の種類を決定して、CMG のセットアップを続行します。

クライアント認証を構成する