为 CMG 手动注册Microsoft Entra应用

  • 项目

适用于: Configuration Manager(current branch)

(CMG) 设置云管理网关的第二个主要步骤是将 Configuration Manager 站点与Microsoft Entra租户集成。 此集成允许站点使用Microsoft Entra ID进行身份验证,该Microsoft Entra ID用于部署和监视 CMG 服务。 如果在 Azure 服务向导期间无法使用Configuration Manager自动创建应用,可以使用向导导入以前创建的应用。 例如,如果 Azure 管理员要求手动创建所有Microsoft Entra应用注册,请使用此过程。

提示

本文提供针对云管理网关集成站点的规范性指导。 有关此过程以及Configuration Manager控制台中 Azure 服务节点的其他用法的详细信息,请参阅配置 Azure 服务

集成站点时,可以在 Microsoft Entra ID 中创建应用注册。 CMG 需要两个应用注册:

  • Web 应用 (在 Configuration Manager) 中也称为服务器应用
  • 本机应用 (在 Configuration Manager) 中也称为客户端应用

有两种方法可以创建这些应用,这两种方法都需要Microsoft Entra ID中的全局管理员角色:

  • 集成网站时,使用 Configuration Manager 自动创建应用。
  • 提前手动创建应用,然后在集成站点时导入它们。

本文提供第二种方法的具体详细信息。 将这些说明与为 CMG 配置Microsoft Entra ID一文中的过程配对,以完成该过程。

获取租户详细信息

提示

在此过程中,需要记下多个值,以便稍后使用。 打开 Windows 记事本等应用,粘贴将从 Azure 门户复制的值。

首先,需要记下Microsoft Entra租户名称和租户 ID。 这些值是导入 Configuration Manager 中的应用注册所需的前两条信息。

  1. Azure 门户,选择“Microsoft Entra ID”。

  2. 在“Microsoft Entra ID”菜单中,选择“自定义域名”。

  3. 记下租户名称。 例如,contoso.onmicrosoft.com

  4. 在“Microsoft Entra ID”菜单中,选择“属性”。

  5. 复制 租户 ID GUID 值。

) 应用注册 Web (服务器

  1. 在“Microsoft Entra ID”菜单中,选择“应用注册”。 选择“ 新建注册 ”以创建新应用。

  2. “注册应用程序 ”窗格中,指定以下信息:

    • 名称:应用的友好名称。 例如,CMG-ServerApp
    • 支持的帐户类型:将此设置保留为默认选项“ 仅限此组织目录中的帐户”。
    • 重定向 URI:选择: 公共客户端/本机 (移动 &桌面) 并键入 http://localhost 为 URI

  3. 选择“ 注册 ”以创建应用。

  4. 在新应用的属性中,复制以下值:

    • 显示名称:此值是此应用注册的友好名称,稍后将用作 应用程序名称
    • 应用程序 (客户端) ID:稍后将使用此 GUID 值作为 客户端 ID

  5. 在应用属性菜单中,选择“ 证书 & 机密”,然后选择“ 新建客户端密码”。

    • 说明:可以为机密使用任何名称,也可以将其留空。
    • 过期:选择 12 个月24 个月

    选择“添加”。 立即复制客户端机密字符串 ValueExpires。 如果离开此窗格,则无法再次检索同一机密。 稍后将使用这些值作为 密钥密钥过期 值。

  6. 如果要在 Configuration Manager 中使用 Microsoft Entra 用户发现,则需要调整此应用的权限。 在应用属性菜单中,选择“ API 权限”。 默认情况下,它应具有 Microsoft Graph API 的 User.Read 权限,这需要更改。

    1. 选择 “Microsoft Graph ”以枚举可用 API 权限的列表,然后选择“ 应用程序权限”。

    2. 展开 “目录”,然后选择“ 目录.Read.All”。

    3. 切换到 委托的权限

    4. 展开 “用户”,然后删除 “User.Read ”权限。

    5. 选择“ 更新权限”。

    6. 在“API 权限”窗格中,选择“ 授予管理员同意...”,然后选择“ ”。

  7. 在应用属性菜单中,选择“ 公开 API”。

    1. 对于“应用程序 ID URI”,请选择“ 添加”。 指定租户唯一的 URI。 稍后将使用此值作为 应用 ID URI。 使用以下建议格式之一:

      • api://{tenantId}/{string},例如,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string},例如,https://contoso.onmicrosoft.com/ConfigMgrService

      选择“保存”

    2. 选择“ 添加范围”,并指定以下必需信息:

      • 范围名称user_impersonation
      • 谁可以同意:选择 管理员和用户
      • 管理员同意显示名称:指定有意义的名称。 例如,Access CMG-ServerApp
      • 管理员同意说明:指定有意义的说明。 例如,Allow the application to access CMG-ServerApp on behalf of the signed-in user.

    3. 选择 “添加范围 ”进行保存。

  8. 在应用属性菜单中,选择“ 清单”。 将 oauth2AllowIdTokenImplicitFlow 条目设置为 true。 例如:

    "oauth2AllowIdTokenImplicitFlow": true,

    选择“保存”

适用于 CMG 的 Web (服务器) 应用现已在 Microsoft Entra ID 中注册。

) 应用注册本机 (客户端

  1. 在“Microsoft Entra ID”菜单中,选择“应用注册”。 选择“ 新建注册 ”以创建新应用。

  2. “注册应用程序 ”窗格中,指定以下信息:

    • 名称:应用的友好名称。 例如,CMG-ClientApp
    • 支持的帐户类型:将此设置保留为默认选项“ 仅限此组织目录中的帐户”。
    • 重定向 URI:将此可选值留空。

  3. 选择“ 注册 ”以创建应用。

  4. 在新应用的属性中,复制以下值:

    • 显示名称:此值是此应用注册的友好名称,稍后将用作 应用程序名称
    • 应用程序 (客户端) ID:稍后将使用此 GUID 值作为 客户端 ID

  5. 在应用属性菜单中,选择“ 身份验证”。

    1. 在“平台配置”下,选择“ 添加平台”。

      1. 在“配置平台”窗格中,选择“ 移动和桌面应用程序”。

      2. “配置桌面 + 设备 ”窗格中的“自定义重定向 URI”下,指定 ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>。 使用应用的客户端 ID GUID,例如: ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255

      3. 选择“配置”。

    2. 在“高级设置”下,将 “允许公共客户端流 ”设置为 “是”。 选择“保存”

  6. 调整此应用的权限。 在应用属性菜单中,选择“ API 权限”。 默认情况下,它应具有 Microsoft Graph API 的 User.Read 委托权限。

    1. 在“API 权限”窗格中,选择“ 添加权限”。

    2. 切换到 “我的 API ”选项卡,然后选择 Web (服务器) 应用。 例如 CMG-ServerApp。 选择 user_impersonation 权限,然后选择 “添加 要保存的权限”。

    3. 在“API 权限”窗格中,选择“ 授予管理员同意...”,然后选择“ ”。

  7. 在应用属性菜单中,选择“ 清单”。 将 oauth2AllowIdTokenImplicitFlow 条目设置为 true。 例如:

    "oauth2AllowIdTokenImplicitFlow": true,

    选择“保存”

CMG 的本机 (客户端) 应用现已在 Microsoft Entra ID 中注册。 此步骤还结束了Azure 门户中的过程。 Azure 全局管理员的角色已完成。

将应用导入到Configuration Manager

在 Azure 门户 中手动注册这两个应用后,请使用为 CMG 配置Microsoft Entra ID一文中的过程,但选择“导入每个应用”选项。

这些进程将有关Microsoft Entra应用的元数据导入到Configuration Manager。 导入这些应用不需要任何Microsoft Entra权限。

导入 Web (服务器) 应用

“服务器应用”窗口中选择“导入”时,会打开“导入应用”窗口。 输入有关已在Azure 门户中注册的Microsoft Entra Web 应用的以下信息:

  • Microsoft Entra租户名称:Microsoft Entra租户的名称。
  • Microsoft Entra租户 ID:Microsoft Entra租户的 GUID。
  • 应用程序名称:应用的友好名称,应用注册中的显示名称。
  • 客户端 ID应用程序 (客户端) 应用注册的 ID 值。 格式是标准 GUID。
  • 密钥:在 Microsoft Entra ID 中注册应用并创建密钥时复制密钥。
  • 密钥过期时间:指定与Azure 门户相同的日期。
  • 应用 ID URI:该值是Microsoft Entra 管理中心中应用注册条目的应用程序 ID URI。 格式类似于 https://ConfigMgrService

输入信息后,选择“ 验证”。 然后选择“ 确定” 关闭“ 导入应用 ”窗口。

重要

使用导入的 Microsoft Entra 应用时,控制台通知不会通知即将到期的日期。

导入本机 (客户端) 应用

“客户端应用”窗口中选择“导入”时,会打开“导入应用”窗口。 输入有关已在Azure 门户中注册的Microsoft Entra本机应用的以下信息:

  • 向导根据已指定的 Web (服务器) 应用自动填充Microsoft Entra租户名称和租户 ID。
  • 应用程序名称:应用的友好名称。
  • 客户端 ID应用程序 (客户端) 应用注册的 ID 值。 格式是标准 GUID。

输入信息后,选择“ 验证”。 然后选择“ 确定” 关闭“ 导入应用 ”窗口。

后续步骤

在 Azure 门户 中手动注册这两个应用后,请使用以下文章中的过程导入应用:

为 CMG 配置Microsoft Entra ID