分享方式:

設定 CMG 的Microsoft Entra識別碼

  • 文章

適用於:Configuration Manager (目前的分支)

在 CMG) (設定雲端管理閘道的第二個主要步驟是整合Configuration Manager月臺與您的Microsoft Entra租使用者。 此整合可讓月臺使用Microsoft Entra識別碼進行驗證,以用來部署和監視 CMG 服務。 如果您在下一個步驟中為用戶端選擇Microsoft Entra驗證方法,則此整合是該驗證方法的必要條件。

提示

本文提供專用於雲端管理閘道整合網站的規範性指引。 如需此程式的詳細資訊,以及 Configuration Manager 主控台中Azure 服務節點的其他用途,請參閱設定 Azure 服務

在整合網站時,您會以Microsoft Entra識別碼建立應用程式註冊。 CMG 需要兩個應用程式註冊:

  • Web 應用程式 (也稱為 Configuration Manager) 中的伺服器應用程式
  • 原生應用程式 (也稱為 Configuration Manager) 中的客戶端應用程式

建立這些應用程式的方法有兩種,兩者都需要Microsoft Entra識別碼中的全域管理員角色:

  • 當您整合網站時,請使用Configuration Manager自動建立應用程式。
  • 事先手動建立應用程式,然後在整合網站時匯入它們。

本文主要遵循第一個方法。 如需其他方法的詳細資訊,請參閱為 CMG 手動註冊Microsoft Entra應用程式

開始之前,請確定您有可用的Microsoft Entra標識符全域管理員

注意事項

如果您打算匯入預先建立的應用程式註冊,您必須先在Microsoft Entra識別碼中建立它們。 從手動註冊 CMG 應用程式Microsoft Entra文章開始。 然後返回本文以執行 Azure 服務精靈,並將應用程式匯入Configuration Manager。

應用程式註冊的目的

這兩個Microsoft Entra應用程式註冊代表 CMG 的伺服器和用戶端。

  • 用戶端應用程式代表連線到 CMG 的 Managed 用戶端和使用者。 它會定義他們可以在 Azure 記憶體取哪些資源,包括 CMG 本身。

  • 伺服器應用程式代表裝載于 Azure 中的 CMG 元件。 它會定義他們可以在 Azure 記憶體取的資源。 伺服器應用程式可用來協助從受控用戶端、使用者和 CMG 連接點到 Azure 型 CMG 元件的驗證和授權。 此通訊包括連至內部部署管理點和軟體更新點的流量、Azure 中的初始 CMG 布建,以及Microsoft Entra探索。

如果用戶端使用 PKI 發出的用戶端驗證憑證,則兩個用戶端應用程式不會用於以裝置為中心的活動。 例如,以裝置集合為目標的軟體發佈。 以使用者為中心的活動一律會使用這兩個應用程式註冊來進行驗證和授權。

啟動 Azure 服務精靈

  1. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區,展開[雲端服務],然後選取[Azure 服務]節點。

  2. 在功能區 [ 常用 ] 索引標籤的 [Azure 服務] 群組中,選取 [ 設定 Azure 服務]

  3. [Azure 服務 精靈] 的 [Azure 服務] 頁面上:

    1. 在 Configuration Manager 中指定物件的[名稱]。 此名稱僅用來識別Configuration Manager中的連線。

    2. 指定選擇性的 [描述 ] 以進一步識別此服務連線。

    3. 選取 [雲端管理 ] 服務。

  4. 在 [Azure 服務精靈] 的 [應用程式] 頁面上,選取租使用者的Azure 環境

    • AzurePublicCloud:您的租使用者位於全域 Azure 雲端。
    • AzureUSGovernmentCloud:您的租使用者位於 Azure 美國政府雲端。

建立 Web (伺服器) 應用程式註冊

  1. 在 [Azure 服務精靈] 視窗的 [應用程式] 頁面上,針對Web 應用程式選取 [流覽]

  2. 在 [伺服器應用程式]視窗中,選取[建立] 以使用Configuration Manager自動建立應用程式。

  3. 在 [ 建立伺服器應用程式 ] 視窗中,指定下列資訊:

    • 應用程式名稱:應用程式的易記名稱。

    • HomePage URL:Configuration Manager不會使用此值,但Microsoft Entra識別碼需要此值。 根據預設,此值為 https://ConfigMgrService

    • 應用程式識別碼 URI:此值在您的Microsoft Entra租使用者中必須是唯一的。 它位於Configuration Manager用戶端用來要求存取服務的存取權杖中。 根據預設,此值為 https://ConfigMgrService 。 將預設值變更為下列其中一種建議格式:

      • api://{tenantId}/{string}例如, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}例如, https://contoso.onmicrosoft.com/ConfigMgrService

    • 秘密金鑰有效期間:從下拉式清單中選擇 1 年2 年 。 預設值為一年。

    • Microsoft Entra系統管理員帳戶:選取 [登入] 以全域管理員身分驗證Microsoft Entra識別碼。 Configuration Manager不會儲存這些認證。 此角色不需要Configuration Manager中的許可權,也不需要是執行 Azure 服務精靈的相同帳戶。 成功向 Azure 驗證之後,頁面會顯示Microsoft Entra租使用者名稱以供參考。

  4. 選取[確定] 以Microsoft Entra識別碼建立 Web 應用程式,然後關閉 [建立伺服器應用程式] 視窗。

  5. 在 [ 伺服器應用程式] 視窗中,確定已選取新的應用程式,然後選取 [ 確定 ] 以儲存並關閉視窗。

注意事項

從最新分支版本 2309 Configuration Manager開始,我們已增強 Web (伺服器) 應用程式的安全性,以建立 CMG。 若要建立新的 CMG,使用者可以使用Microsoft Entra租使用者名稱來選取租使用者和應用程式名稱。 選取租使用者和應用程式名稱之後,[登入] 按鈕隨即出現,請依照設定 CMG 遵循其餘程式。

預先存在的 CMG 客戶必須流覽至 [Microsoft Entra 租使用者] 節點來更新其 Web 服務器應用程式 -- > 選取租使用者 -- > 選取伺服器應用程式 -- > 按一下 [更新應用程式設定]。

建立原生 (用戶端) 應用程式註冊

  1. 在 [Azure 服務精靈] 視窗的 [應用程式] 頁面上,針對[Native Client] 應用程式,選取 [流覽]

  2. 在 [用戶端應用程式]視窗中,選取[建立] 以使用Configuration Manager自動建立應用程式。

  3. 在 [ 建立用戶端應用程式 ] 視窗中,指定下列資訊:

    • 應用程式名稱:應用程式的易記名稱。

    • Microsoft Entra系統管理員帳戶:選取 [登入] 以全域管理員身分驗證Microsoft Entra識別碼。 Configuration Manager不會儲存這些認證。 此角色不需要Configuration Manager中的許可權,也不需要是執行 Azure 服務精靈的相同帳戶。 成功向 Azure 驗證之後,頁面會顯示Microsoft Entra租使用者名稱以供參考。

  4. 選取[確定] 以Microsoft Entra識別碼建立原生應用程式,然後關閉 [建立用戶端應用程式] 視窗。

  5. 在 [ 用戶端應用程式] 視窗中,確定已選取新的應用程式,然後選取 [ 確定 ] 以儲存並關閉視窗。

完成 Azure 服務精靈

  1. [Azure 服務精靈] 中,確認 Web 應用程式Native Client 應用程式 值都已完成。 選取 [下一步] 繼續。

  2. 只有在某些情況下,精靈的 [ 探索 ] 頁面才是必要的。 當您將月臺上線以Microsoft Entra識別碼時,這是選擇性的,不需要建立 CMG。 如果您需要它來支援環境中的特定功能,您可以稍後啟用它。

    如需可能需要Microsoft Entra使用者探索之 CMG 案例的詳細資訊,請參閱設定用戶端驗證:Microsoft Entra標識符和使用Microsoft Entra識別碼安裝用戶端

    如需此探索方法的詳細資訊,請參閱設定Microsoft Entra使用者探索

  3. 檢閱設定並完成精靈。

當精靈關閉時,您會在 Azure 服務 節點中看到新的連線。 您也可以在 Configuration Manager 主控台的[Microsoft Entra 租使用者] 節點中檢視租使用者和應用程式註冊。

停用非裝置或使用者租使用者的Microsoft Entra驗證

如果您的裝置位於與具有 CMG 計算資源訂用帳戶的租使用者不同的Microsoft Entra租使用者中,您可以針對未與使用者和裝置相關聯的租使用者停用驗證。

  1. 開啟 雲端管理 服務的屬性。

  2. 切換至 [ 應用程式] 索引 標籤。

  3. 選取 [停用此租使用者的Microsoft Entra驗證] 選項。

如需詳細資訊, 請參閱設定 Azure 服務

設定 Azure 資源提供者

CMG 服務會要求您在 Azure 訂用帳戶中註冊特定資源提供者。 當您將 CMG 部署至虛擬機器擴展集時,請註冊下列資源提供者:

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

注意事項

如果您先前使用傳統雲端服務部署 CMG,您的 Azure 訂用帳戶需要下列兩個資源提供者:

  • Microsoft.ClassicCompute
  • Microsoft.Storage

從 2203 版開始,會移除將 CMG 部署為雲端 服務 (傳統) 的選項。 所有 CMG 部署都應該使用 虛擬機器擴展集 如需詳細資訊,請參閱 已移除和已淘汰的功能

您的Microsoft Entra帳戶需要對資源提供者執行 /register/action 作業的許可權。 根據預設, 參與者擁有者 角色包含此許可權。

下列步驟摘要說明註冊資源提供者的程式。 如需詳細資訊,請參閱 Azure 資源提供者和類型

  1. 登入 Azure 入口網站

  2. 在 [Azure 入口網站] 功能表上,搜尋 [訂用帳戶]。 從可用的選項中選取它。

  3. 選取您要檢視的訂用帳戶。

  4. 在左側功能表的 [ 設定] 下,選取 [ 資源提供者]

  5. 尋找您想要註冊的資源提供者,然後選取 [ 註冊]。 若要在您的訂用帳戶中維護最低許可權,請只註冊您已準備好要使用的資源提供者。

使用 PowerShell 自動化

您可以選擇性地使用 PowerShell 將這些組態的各個層面自動化。

  1. 使用Import-CMAADServerApplication Cmdlet 在 Configuration Manager 中定義Microsoft Entra Web/伺服器應用程式。

  2. 使用Import-CMAADClientApplication Cmdlet 在 Configuration Manager 中定義Microsoft Entra原生/用戶端應用程式。

  3. 使用 Get-CMAADApplication Cmdlet 來取得匯入的應用程式物件。

  4. 然後將應用程式物件傳遞至New-CMCloudManagementAzureService Cmdlet,以在 Configuration Manager 中建立雲端管理的 Azure 服務。

後續步驟

決定要使用哪種類型的用戶端驗證,以繼續您的 CMG 設定:

設定用戶端驗證