分享方式:

手動註冊 CMG Microsoft Entra 應用程式

  • 文章

適用於:Configuration Manager (目前的分支)

設定雲端管理閘道 (CMG) 的第二個主要步驟是整合 Configuration Manager 月臺與您的 Microsoft Entra 租使用者。 此整合可讓月臺向 Microsoft Entra ID 進行驗證,以用來部署和監視CMG服務。 如果您無法使用 Configuration Manager 在 Azure 服務精靈期間自動建立應用程式,您可以使用精靈匯入先前建立的應用程式。 例如,如果您的 Azure 系統管理員要求他們手動建立所有 Microsoft Entra 應用程式註冊,請使用此程式。

提示

本文提供專用於雲端管理網關整合網站的規範性指引。 如需此程式的詳細資訊,以及 Configuration Manager 控制台中 Azure 服務節點的其他用途,請參閱設定 Azure 服務

在整合網站時,您會在 Microsoft Entra ID 中建立應用程式註冊。 CMG 需要兩個應用程式註冊:

  • Web 應用程式 (也稱為 Configuration Manager) 中的伺服器應用程式
  • 原生應用程式 (也稱為 Configuration Manager) 中的客戶端應用程式

建立這些應用程式的方法有兩種,兩者都需要 Microsoft Entra ID 中的全域管理員角色:

  • 當您整合網站時,請使用 Configuration Manager 自動建立應用程式。
  • 事先手動建立應用程式,然後在整合網站時匯入它們。

本文提供第二個方法的特定詳細數據。 將這些指示與設定 CMG Microsoft Entra ID 一文中的程式配對,以完成程式。

取得租用戶詳細數據

提示

在此程式期間,您必須記下數個值以供稍後使用。 開啟 Windows 記事本之類的應用程式,以貼上您將從 Azure 入口網站複製的值。

首先,您必須記下 Microsoft Entra 租使用者名稱租用戶識別碼。 這些值是您在 Configuration Manager 中匯入應用程式註冊所需的前兩項資訊。

  1. Azure 入口網站 中,選取 [Microsoft Entra ID]。

  2. 在 [Microsoft Entra ID] 功能表中,選取 [自定義功能變數名稱]

  3. 請記下租用戶名稱。 例如,contoso.onmicrosoft.com

  4. 在 [Microsoft Entra ID] 功能表中,選取 [屬性]

  5. 複製 租用戶標識碼 GUID 值。

註冊 Web (伺服器) 應用程式

  1. 在 [Microsoft Entra ID] 功能表中,選取 [應用程式註冊]。 選 取 [新增註冊 ] 以建立新的應用程式。

  2. 在 [ 註冊應用程式] 窗格中,指定下列資訊:

    • 名稱:應用程式的易記名稱。 例如,CMG-ServerApp
    • 支持的帳戶類型:將此設定保留為預設選項, 僅限此組織目錄中的帳戶
    • 重新導向 URI:選取: 公用用戶端/原生 (行動裝置 &桌面) ,然後輸入 http://localhost 為 URI

  3. 取 [註冊 ] 以建立應用程式。

  4. 在新應用程式的屬性中,複製下列值:

    • 顯示名稱:此值是此應用程式註冊的易記名稱,您稍後會使用此名稱作為 應用程式名稱
    • 應用程式 (用戶端) 識別碼:您稍後會使用此 GUID 值作為 用戶端識別碼

  5. 在應用程式屬性的功能表中,選 取 [憑證 & 秘密],然後選取 [ 新增客戶端密碼]

    • 描述:您可以針對秘密使用任何名稱,或將它保留空白。
    • 到期:選取 12 個月24 個月

    選取 新增。 立即複製客戶端密碼字串 [值 ] 和 [ 到期]。 如果您離開此窗格,就無法再次擷取相同的秘密。 您稍後會使用這些值作為 秘密金鑰秘密金鑰到期 值。

  6. 如果您要在 Configuration Manager 中使用 Microsoft Entra 使用者探索,則必須調整此應用程式的許可權。 在應用程式屬性的功能表中,選取 [API 許可權]。 根據預設,它應該具有需要變更之 Microsoft Graph API 的 User.Read 許可權。

    1. 選取 [Microsoft Graph ] 以列舉可用的 API 許可權清單,然後選取 [ 應用程式許可權]

    2. 展開 [目錄],然後選取 [Directory.Read.All]

    3. 切換至 [ 委派的許可權]

    4. 展開 [使用者],然後移除 User.Read 許可權。

    5. 取 [更新許可權]

    6. 在 [API 許可權] 窗格上,選取 [ 授與管理員同意...],然後選取 [ 是]

  7. 在應用程式屬性的功能表中,選取 [ 公開 API]

    1. 針對 [應用程式識別碼 URI],選取 [ 新增]。 指定租使用者唯一的URI。 您稍後會使用此值作為 應用程式識別碼 URI。 使用下列其中一種建議格式:

      • api://{tenantId}/{string}例如, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}例如, https://contoso.onmicrosoft.com/ConfigMgrService

      選取 [儲存]

    2. 取 [新增範圍],並指定下列必要資訊:

      • 範圍名稱user_impersonation
      • 誰可以同意:選 取系統管理員和使用者
      • 管理員 同意顯示名稱:指定有意義的名稱。 例如,Access CMG-ServerApp
      • 管理員 同意描述:指定有意義的描述。 例如,Allow the application to access CMG-ServerApp on behalf of the signed-in user.

    3. 取 [新增範圍 ] 以儲存。

  8. 在應用程式屬性的功能表中,選取 [ 指令清單]。 將 oauth2AllowIdTokenImplicitFlow 項目設定為 true。 例如:

    "oauth2AllowIdTokenImplicitFlow": true,

    選取 [儲存]

適用於 CMG 的 Web (伺服器) 應用程式現在已在 Microsoft Entra ID 中註冊。

註冊原生 (用戶端) 應用程式

  1. 在 [Microsoft Entra ID] 功能表中,選取 [應用程式註冊]。 選 取 [新增註冊 ] 以建立新的應用程式。

  2. 在 [ 註冊應用程式] 窗格中,指定下列資訊:

    • 名稱:應用程式的易記名稱。 例如,CMG-ClientApp
    • 支持的帳戶類型:將此設定保留為預設選項, 僅限此組織目錄中的帳戶
    • 重新導向 URI:將此選擇性值保留空白。

  3. 取 [註冊 ] 以建立應用程式。

  4. 在新應用程式的屬性中,複製下列值:

    • 顯示名稱:此值是此應用程式註冊的易記名稱,您稍後會使用此名稱作為 應用程式名稱
    • 應用程式 (用戶端) 識別碼:您稍後會使用此 GUID 值作為 用戶端識別碼

  5. 在應用程式屬性的功能表中,選取 [ 驗證]

    1. 在 [平台組態] 下,選取 [ 新增平臺]

      1. 在 [設定平臺] 窗格中,選取 [ 行動和桌面應用程式]

      2. 在 [ 設定桌面 + 裝置] 窗格的 [自訂重新導向 URI] 底下,指定 ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>。 使用應用程式的用戶端識別碼 GUID,例如: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255

      3. 取 [設定]

    2. 在 [進階設定] 下,將 [ 允許公用用戶端流程 ] 設定為 [是]。 選取 [儲存]

  6. 調整此應用程式的許可權。 在應用程式屬性的功能表中,選取 [API 許可權]。 根據預設,它應該具有 Microsoft Graph API 的 User.Read 委派許可權。

    1. 在 [API 許可權] 窗格中,選取 [ 新增許可權]

    2. 切換至 [ 我的 API] 索引 標籤,然後選取您的 Web (伺服器) 應用程式。 例如, CMG-ServerApp。 選 取user_impersonation 許可權,然後選取 [ 新增許可權 ] 以儲存。

    3. 在 [API 許可權] 窗格上,選取 [ 授與管理員同意...],然後選取 [ 是]

  7. 在應用程式屬性的功能表中,選取 [ 指令清單]。 將 oauth2AllowIdTokenImplicitFlow 項目設定為 true。 例如:

    "oauth2AllowIdTokenImplicitFlow": true,

    選取 [儲存]

CMG 的原生 (用戶端) 應用程式現在已在 Microsoft Entra ID 中註冊。 此步驟也會結束 Azure 入口網站 中的程式。 Azure 全域管理員的角色已完成。

將應用程式匯入至 Configuration Manager

在 Azure 入口網站 手動註冊這兩個應用程式之後,請使用設定 CMG Microsoft Entra ID 一文中的程式,但選取 [入每個應用程式] 選項。

這些程式會將 Microsoft Entra 應用程式的相關元數據匯入 Configuration Manager。 您不需要任何 Microsoft Entra 許可權即可匯入這些應用程式。

匯入 Web (伺服器) 應用程式

當您從 [伺服器應用程式] 視窗選取 [入] 時,它會開啟 [匯入應用程式] 視窗。 輸入已在 Azure 入口網站 中註冊之 Microsoft Entra Web 應用程式的下列資訊:

  • Microsoft Entra 租用戶名稱:您 Microsoft Entra 租用戶的名稱。
  • Microsoft Entra 租使用者標識碼:您 Microsoft Entra 租使用者的 GUID。
  • 應用程式名稱:應用程式的易記名稱,應用程式註冊中的顯示名稱。
  • 用戶端識別碼:應用程式 (用戶端) 應用程式註冊的標識碼值。 格式為標準 GUID。
  • 秘密金鑰:當您在 Microsoft Entra ID 中註冊應用程式並建立秘密金鑰時,請複製秘密金鑰。
  • 秘密金鑰到期日:指定與 Azure 入口網站 相同的日期。
  • 應用程式識別碼 URI:值是 Microsoft Entra 系統管理中心 中應用程式註冊專案的應用程式識別碼 URI。 格式類似於 https://ConfigMgrService

輸入資訊之後,選取 [ 驗證]。 然後選取 [確定 ] 以關閉 [ 匯入應用程式] 視窗。

重要事項

當您使用匯入 Microsoft Entra 應用程式時,不會收到主控台通知即將到期的通知。

匯入原生 (用戶端) 應用程式

當您從 [用戶端應用程式] 視窗選取 [入] 時,它會開啟 [匯入應用程式] 視窗。 輸入已在 Azure 入口網站 中註冊之 Microsoft Entra 原生應用程式的下列資訊:

  • 精靈會根據您已指定的 Web (伺服器) 應用程式,自動填入 Microsoft Entra 租使用者名稱和租使用者識別碼。
  • 應用程式名稱:應用程式的易記名稱。
  • 用戶端識別碼:應用程式 (用戶端) 應用程式註冊的標識碼值。 格式為標準 GUID。

輸入資訊之後,選取 [ 驗證]。 然後選取 [確定 ] 以關閉 [ 匯入應用程式] 視窗。

後續步驟

在 Azure 入口網站 中手動註冊這兩個應用程式之後,請使用下列文章中的程式來匯入應用程式:

設定 CMG 的 Microsoft Entra ID