为 CMG 配置Microsoft Entra ID
适用于: Configuration Manager(current branch)
(CMG) 设置云管理网关的第二个主要步骤是将 Configuration Manager 站点与 Microsoft Entra 租户集成。 此集成允许站点使用Microsoft Entra ID 进行身份验证,该 ID 用于部署和监视 CMG 服务。 如果在下一步中选择客户端Microsoft Entra身份验证方法,则此集成是该身份验证方法的先决条件。
提示
本文提供针对云管理网关集成站点的规范性指导。 有关此过程以及Configuration Manager控制台中 Azure 服务节点的其他用法的详细信息,请参阅配置 Azure 服务。
集成站点时,可以在Microsoft Entra ID 中创建应用注册。 CMG 需要两个应用注册:
- Web 应用 (在 Configuration Manager) 中也称为服务器应用
- 本机应用 (在 Configuration Manager) 中也称为客户端应用
有两种方法可以创建这些应用,这两种方法都需要Microsoft Entra ID 中的全局管理员角色:
- 集成网站时,使用 Configuration Manager 自动创建应用。
- 提前手动创建应用,然后在集成站点时导入它们。
本文主要遵循第一种方法。 有关其他方法的详细信息,请参阅手动注册 CMG Microsoft Entra 应用。
在开始之前,请确保有一个Microsoft Entra ID 全局管理员可用。
注意
如果计划导入预创建的应用注册,首先需要在Microsoft Entra ID 中创建它们。 从手动注册 CMG Microsoft Entra应用一文开始。 然后返回到本文,运行 Azure 服务向导并将应用导入到Configuration Manager。
应用注册的用途
这两Microsoft Entra应用注册表示 CMG 的服务器和客户端。
客户端应用表示连接到 CMG 的托管客户端和用户。 它定义他们在 Azure 中有权访问的资源,包括 CMG 本身。
服务器应用表示 Azure 中托管的 CMG 组件。 它定义他们在 Azure 中有权访问的资源。 服务器应用用于简化从托管客户端、用户和 CMG 连接点到基于 Azure 的 CMG 组件的身份验证和授权。 此通信包括流向本地管理点和软件更新点的流量、Azure 中的初始 CMG 预配以及Microsoft Entra发现。
如果客户端使用 PKI 颁发的客户端身份验证证书,则两个客户端应用不用于以设备为中心的活动。 例如,面向设备集合的软件分发。 以用户为中心的活动始终将这两个应用注册用于身份验证和授权目的。
启动 Azure 服务向导
在Configuration Manager控制台中,转到“管理”工作区,展开“云服务”,然后选择“Azure 服务”节点。
在功能区的“ 主页 ”选项卡上的“ Azure 服务”组中,选择“ 配置 Azure 服务”。
在 Azure 服务 向导的“Azure 服务”页上:
在 Configuration Manager 中为对象指定名称。 此名称仅用于标识 Configuration Manager 中的连接。
指定可选的 “说明” 以进一步标识此服务连接。
选择 “云管理服务 ”。
在 Azure 服务向导的“应用”页上,选择租户的 Azure 环境:
- AzurePublicCloud:租户位于全局 Azure 云中。
- AzureUSGovernmentCloud:租户位于 Azure 美国政府云中。
) 应用注册创建 Web (服务器
在“Azure 服务向导”窗口的“应用”页上,对于 Web 应用,选择“浏览”。
在“服务器应用”窗口中,选择“创建”以使用Configuration Manager自动创建应用。
在 “创建服务器应用程序 ”窗口中,指定以下信息:
应用程序名称:应用的友好名称。
主页 URL:Configuration Manager不使用此值,但Microsoft Entra ID 是必需的。 默认情况下,此值为
https://ConfigMgrService
。应用 ID URI:此值在Microsoft Entra租户中必须是唯一的。 它位于 Configuration Manager 客户端用于请求对服务的访问权限的访问令牌中。 默认情况下,此值为
https://ConfigMgrService
。 将默认值更改为以下建议格式之一:-
api://{tenantId}/{string}
,例如,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
,例如,https://contoso.onmicrosoft.com/ConfigMgrService
-
密钥有效期:从下拉列表中选择 1 年 或 2 年 。 默认值为一年。
Microsoft Entra管理员帐户:选择“登录”以全局管理员身份Microsoft Entra ID 进行身份验证。 Configuration Manager不会保存这些凭据。 此角色不需要 Configuration Manager 中的权限,也不需要是运行 Azure 服务向导的同一帐户。 成功对 Azure 进行身份验证后,页面会显示Microsoft Entra租户名称以供参考。
选择“确定”以Microsoft Entra ID 创建 Web 应用,并关闭“创建服务器应用程序”窗口。
在 “服务器应用” 窗口中,确保已选择新应用,然后选择“ 确定 ”以保存并关闭窗口。
注意
从 Configuration Manager Current Branch 版本 2309 开始,我们增强了用于创建 CMG 的 Web (服务器) 应用的安全性。 对于新 CMG 创建,用户可以使用Microsoft Entra租户名称选择租户和应用名称。 选择租户和应用名称后,将显示登录按钮,按照设置 CMG 执行该过程的其余部分。
预先存在的 CMG 客户必须通过导航到“Microsoft Entra租户”节点(>选择租户)>--选择服务器应用--单击“更新应用程序设置”来>更新其 Web 服务器应用。
创建本机 (客户端) 应用注册
在“Azure 服务向导”窗口的“应用”页上,对于“本机客户端”应用,选择“浏览”。
在“客户端应用”窗口中,选择“创建”以使用Configuration Manager自动创建应用。
在 “创建客户端应用程序 ”窗口中,指定以下信息:
应用程序名称:应用的友好名称。
Microsoft Entra管理员帐户:选择“登录”以全局管理员身份Microsoft Entra ID 进行身份验证。 Configuration Manager不会保存这些凭据。 此角色不需要 Configuration Manager 中的权限,也不需要是运行 Azure 服务向导的同一帐户。 成功对 Azure 进行身份验证后,页面会显示Microsoft Entra租户名称以供参考。
选择“确定”以Microsoft Entra ID 创建本机应用,并关闭“创建客户端应用程序”窗口。
在 “客户端应用 ”窗口中,确保已选择新应用,然后选择“ 确定 ”以保存并关闭窗口。
完成 Azure 服务向导
在 Azure 服务向导中,确认 Web 应用 和 Native Client 应用 值均已完成。 选择“下一步”以继续。
向导的 “发现 ”页仅在某些情况下是必需的。 当将站点载入到Microsoft Entra ID 时,它是可选的,无需创建 CMG。 如果需要它来支持环境中的特定功能,则可以稍后启用它。
有关可能需要Microsoft Entra用户发现的 CMG 方案的详细信息,请参阅配置客户端身份验证:Microsoft Entra ID 和使用Microsoft Entra ID 安装客户端。
有关此发现方法的详细信息,请参阅配置Microsoft Entra用户发现。
查看设置并完成向导。
向导关闭后,会在 Azure 服务 节点中看到新连接。 还可以在Configuration Manager控制台的“Microsoft Entra租户”节点中查看租户和应用注册。
对非设备租户或用户租户禁用Microsoft Entra身份验证
如果设备位于与具有 CMG 计算资源订阅的租户分开的Microsoft Entra租户中,则可以对与用户和设备不关联的租户禁用身份验证。
打开 云管理服务 的属性。
切换到“ 应用程序 ”选项卡。
选择“为此租户禁用Microsoft Entra身份验证”选项。
有关详细信息,请参阅 配置 Azure 服务。
配置 Azure 资源提供程序
CMG 服务要求在 Azure 订阅中注册特定的资源提供程序。 将 CMG 部署到虚拟机规模集时,请注册以下资源提供程序:
- Microsoft.KeyVault
- Microsoft.Storage
- Microsoft.Network
- Microsoft.Compute
注意
如果以前使用经典云服务部署了 CMG,则 Azure 订阅需要以下两个资源提供程序:
- Microsoft.ClassicCompute
- Microsoft.Storage
从版本 2203 开始,删除将 CMG 部署为 云服务 (经典) 的选项。 所有 CMG 部署都应使用 虚拟机规模集。 有关详细信息,请参阅 已删除和已弃用的功能。
Microsoft Entra帐户需要权限才能对资源提供程序执行/register/action
操作。 默认情况下, “参与者” 和 “所有者” 角色包含此权限。
以下步骤总结了注册资源提供程序的过程。 有关详细信息,请参阅 Azure 资源提供程序和类型。
登录 Azure 门户。
在“Azure 门户”菜单上,搜索“订阅”。 从可用选项中选择它。
选择要查看的订阅。
在左侧菜单中的 “设置”下,选择“ 资源提供程序”。
找到要注册的资源提供程序,然后选择“ 注册”。 若要在订阅中保持最低特权,请仅注册已准备好使用的资源提供程序。
使用 PowerShell 实现自动化
可以选择使用 PowerShell 自动执行这些配置的各个方面。
使用 Import-CMAADServerApplication cmdlet 在 Configuration Manager 中定义Microsoft Entra Web/服务器应用。
使用 Import-CMAADClientApplication cmdlet 在 Configuration Manager 中定义Microsoft Entra本机/客户端应用。
使用 Get-CMAADApplication cmdlet 获取导入的应用对象。
然后将应用对象传递给 New-CMCloudManagementAzureService cmdlet,以在 Configuration Manager 中创建用于云管理的 Azure 服务。
后续步骤
通过确定要使用的客户端身份验证类型,继续 CMG 设置: