配置用于 Configuration Manager 的 Azure 服务

适用于: Configuration Manager(current branch)

使用 Azure 服务向导来简化配置与 Configuration Manager 一起使用的 Azure 云服务的过程。 此向导使用 Microsoft Entra Web 应用注册提供常见的配置体验。 这些应用提供订阅和配置详细信息，并使用Microsoft Entra ID 对通信进行身份验证。 每次使用 Azure 设置新的Configuration Manager组件或服务时，应用都会替换输入相同的信息。

可用服务

使用此向导配置以下 Azure 服务：

• 云管理：此服务使站点和客户端能够使用Microsoft Entra ID 进行身份验证。 此身份验证支持其他方案，例如：

  • 使用Microsoft Entra ID 安装并分配Configuration Manager客户端进行身份验证

  • 配置Microsoft Entra用户发现

  • 配置Microsoft Entra用户组发现

  • 支持某些 云管理网关方案

    提示

    有关特定于云管理的详细信息，请参阅为云管理网关配置Microsoft Entra ID。

  • 应用审批电子邮件通知

• Log Analytics 连接器： 连接到 Azure Log Analytics。 将集合数据同步到 Log Analytics。

  重要

  本文介绍 Log Analytics 连接器，它以前称为 OMS 连接器。 此功能已于 2020 年 11 月弃用。 它已从版本 2107 中的 Configuration Manager 中删除。 有关详细信息，请参阅 已删除和已弃用的功能。

• 适用于企业的 Microsoft Store：连接到适用于企业的 Microsoft Store。 获取可以使用Configuration Manager部署的组织应用商店应用。

• 管理服务管理：配置 Azure 服务时，为了增强安全性，可以选择“管理服务管理”选项。 选择此选项允许管理员在云管理和管理服务之间划分其管理员权限。 启用此选项后，访问仅限于管理服务终结点。 配置管理客户端将使用 Microsoft Entra ID 向站点进行身份验证。 (版本 2207 或更高版本)

  注意

  只有 CMG VMSS 客户才能启用管理服务管理选项。 此选项不适用于经典 CMG 客户。

服务详细信息

下表列出了有关每个服务的详细信息。

• 租户：可以配置的服务实例数。 每个实例必须是不同的Microsoft Entra租户。

• 云：所有服务都支持全球 Azure 云，但并非所有服务都支持私有云，例如 Azure 美国政府云。

• Web 应用：服务是否使用 Web 应用/API 类型的Microsoft Entra应用，在 Configuration Manager 中也称为服务器应用。

• 本机应用：服务是否使用本机类型的Microsoft Entra应用，在 Configuration Manager 中也称为客户端应用。

• 操作：是否可以在 Azure 服务向导中导入或创建这些应用Configuration Manager。

服务	租户	云	Web 应用	本机应用	操作
使用 进行云管理 Microsoft Entra发现	多个	公共、专用			导入、创建
Log Analytics 连接器	一个	公共、专用			导入
适用于 的 Microsoft Store 商业版	一个	公共			导入、创建

关于Microsoft Entra应用

不同的 Azure 服务需要你在Azure 门户中所做的不同配置。 此外，每个服务的应用可能需要对 Azure 资源具有单独的权限。

可以将单个应用用于多个服务。 Configuration Manager和MICROSOFT ENTRA ID 中只有一个对象要管理。 当应用的安全密钥过期时，只需刷新一个密钥。

在向导中创建其他 Azure 服务时，Configuration Manager旨在重用服务之间常见的信息。 此行为有助于无需多次输入相同的信息。

有关每个服务所需的应用权限和配置的详细信息，请参阅可用服务中的相关Configuration Manager文章。

有关 Azure 应用的详细信息，请从以下文章开始：

• Azure 应用服务中的身份验证和授权
• Web 应用概述
• 使用 Microsoft Entra ID 注册应用程序的基础知识
• 将应用程序注册到Microsoft Entra租户

开始之前

确定要连接到的服务后，请参阅 服务详细信息中的表。 此表提供了完成 Azure 服务向导所需的信息。 提前与Microsoft Entra管理员进行讨论。 决定要执行以下操作中的哪一项：

• 在Azure 门户中提前手动创建应用。 然后将应用详细信息导入Configuration Manager。

  提示

  有关云管理的特定信息，请参阅手动注册云管理网关Microsoft Entra应用。

• 使用Configuration Manager直接创建Microsoft Entra ID 中的应用。 若要从Microsoft Entra ID 收集必要的数据，请查看本文其他部分中的信息。

某些服务要求Microsoft Entra应用具有特定权限。 查看每个服务的信息以确定任何所需的权限。 例如，在导入 Web 应用之前，Azure 管理员必须先在Azure 门户中创建它。

配置 Log Analytics 连接器时，请授予新注册的 Web 应用参与者包含相关工作区的资源组的权限。 此权限允许Configuration Manager访问该工作区。 分配权限时，请在Azure 门户的“添加用户”区域中搜索应用注册的名称。 此过程与向 Configuration Manager提供 Log Analytics 权限时相同。 在将应用导入Configuration Manager之前，Azure 管理员必须分配这些权限。

启动 Azure 服务向导

1. 在Configuration Manager控制台中，转到“管理”工作区，展开“云服务”，然后选择“Azure 服务”节点。

2. 在功能区的“ 主页 ”选项卡上的“ Azure 服务 ”组中，选择“ 配置 Azure 服务”。

3. 在 Azure 服务 向导的“Azure 服务”页上：

   1. 在 Configuration Manager 中为对象指定名称。

   2. 指定可选的 “说明” 以帮助标识服务。

   3. 选择要与 Configuration Manager 连接的 Azure 服务。

4. 选择“ 下一步 ”，转到 Azure 服务向导的“Azure 应用属性 ”页。

Azure 应用属性

在 Azure 服务向导的“ 应用 ”页上，首先从列表中选择 Azure 环境 。 请参阅 服务详细信息 中的表，了解服务当前可用的环境。

应用页的其余部分因特定服务而异。 请参阅 服务详细信息 中的表，了解服务使用的应用类型以及可以使用的操作。

• 如果应用同时支持导入和创建操作，请选择“ 浏览”。 此操作将打开 “服务器应用”对话框 或“ 客户端应用”对话框。

• 如果应用仅支持导入操作，请选择“ 导入”。 此操作将打开 服务器) (“导入应用 ”对话框或客户端 (“导入应用”对话框，) 。

在此页上指定应用后，选择“ 下一步 ”以继续转到 Azure 服务向导的 “配置”或“发现 ”页。

Web 应用

此应用是Microsoft Entra ID 类型 Web 应用/API，在 Configuration Manager 中也称为服务器应用。

“服务器应用”对话框

在 Azure 服务向导的“应用”页上选择“浏览 Web 应用”时，将打开“服务器应用”对话框。 它显示一个列表，其中显示了任何现有 Web 应用的以下属性：

• 租户友好名称
• 应用友好名称
• 服务类型

可以从“服务器应用”对话框执行三项操作：

• 若要重用现有 Web 应用，请从列表中选择它。
• 选择“ 导入 ”以打开“ 导入应用”对话框。
• 选择“ 创建 ”以打开 “创建服务器应用程序”对话框。

选择、导入或创建 Web 应用后，选择“ 确定 ”以关闭“服务器应用”对话框。 此操作将返回到 Azure 服务向导的 “应用”页 。

“导入应用”对话框 (服务器)

从 Azure 服务向导的“服务器应用”对话框或“应用”页中选择“ 导入 ”时，会打开“导入应用”对话框。 通过此页面，可以输入有关已在Azure 门户中创建的Microsoft Entra Web 应用的信息。 它将有关该 Web 应用的元数据导入Configuration Manager。 指定以下信息：

• Microsoft Entra租户名称：Microsoft Entra租户的名称。
• Microsoft Entra租户 ID：Microsoft Entra租户的 GUID。
• 应用程序名称：应用的友好名称，应用注册中的显示名称。
• 客户端 ID： 应用程序 (客户端) 应用注册的 ID 值。 格式是标准 GUID。
• 密钥：在Microsoft Entra ID 中注册应用时，必须复制密钥。
• 密钥过期：从日历中选择将来的日期。
• 应用 ID URI：此值在Microsoft Entra租户中必须是唯一的。 它位于 Configuration Manager 客户端用于请求对服务的访问权限的访问令牌中。 该值是Microsoft Entra管理中心中的应用注册条目的应用程序 ID URI。

输入信息后，选择“ 验证”。 然后选择“ 确定 ”关闭“导入应用”对话框。 此操作将返回到 Azure 服务向导的 “应用”页 或“ 服务器应用”对话框。

重要

使用导入的 Microsoft Entra 应用时，控制台通知不会通知即将到期的日期。

“创建服务器应用程序”对话框

从“服务器应用”对话框中选择“ 创建 ”时，将打开“创建服务器应用程序”对话框。 此页面自动创建Microsoft Entra ID 中的 Web 应用。 指定以下信息：

• 应用程序名称：应用的友好名称。

• 主页 URL：Configuration Manager不使用此值，但Microsoft Entra ID 是必需的。 默认情况下，此值为 https://ConfigMgrService。

• 应用 ID URI：此值在Microsoft Entra租户中必须是唯一的。 它位于 Configuration Manager 客户端用于请求对服务的访问权限的访问令牌中。 默认情况下，此值为 https://ConfigMgrService。 将默认值更改为以下建议格式之一：

  • api://{tenantId}/{string}，例如，api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}，例如，https://contoso.onmicrosoft.com/ConfigMgrService

• 密钥有效期：从下拉列表中选择 1 年 或 2 年 。 默认值为一年。

  注意

  你可能会看到“从不”选项，但Microsoft Entra不再支持它。 如果以前选择此选项，则到期日期现在设置为自创建日期起的 99 年。

选择“ 登录 ”，以管理用户身份向 Azure 进行身份验证。 Configuration Manager不会保存这些凭据。 此角色不需要 Configuration Manager 中的权限，也不需要是运行 Azure 服务向导的同一帐户。 成功向 Azure 进行身份验证后，页面会显示Microsoft Entra租户名称以供参考。

选择“确定”以Microsoft Entra ID 创建 Web 应用，并关闭“创建服务器应用程序”对话框。 此操作将返回到 “服务器应用”对话框。

注意

如果定义了Microsoft Entra条件访问策略并将其应用于所有云应用，则必须从此策略中排除已创建的服务器应用程序。 有关如何排除特定应用的详细信息，请参阅Microsoft Entra条件访问文档。

Native Client 应用

此应用是Microsoft Entra ID 类型 Native，在 Configuration Manager 也称为客户端应用。

“客户端应用”对话框

在 Azure 服务向导的“应用”页上选择“浏览本机客户端”应用时，将打开“客户端应用”对话框。 它显示一个列表，其中显示了任何现有本机应用的以下属性：

• 租户友好名称
• 应用友好名称
• 服务类型

可以从“客户端应用”对话框执行三项操作：

• 若要重用现有的本机应用，请从列表中选择它。
• 选择“ 导入 ”以打开“ 导入应用”对话框。
• 选择“ 创建 ”以打开 “创建客户端应用程序”对话框。

选择、导入或创建本机应用后，选择 “确定” 以关闭“客户端应用”对话框。 此操作将返回到 Azure 服务向导的 “应用”页 。

客户端) (“导入应用”对话框

从“客户端应用”对话框中选择“ 导入 ”时，将打开“导入应用”对话框。 通过此页面，可以输入有关已在Azure 门户中创建的Microsoft Entra本机应用的信息。 它将有关该本机应用的元数据导入Configuration Manager。 指定以下信息：

• 应用程序名称：应用的友好名称。
• 客户端 ID： 应用程序 (客户端) 应用注册的 ID 值。 格式是标准 GUID。

输入信息后，选择“ 验证”。 然后选择“ 确定 ”关闭“导入应用”对话框。 此操作将返回到 “客户端应用”对话框。

提示

在 Microsoft Entra ID 中注册应用时，可能需要手动指定以下重定向 URI：ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>。 指定应用的客户端 ID GUID，例如： ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49。

“创建客户端应用程序”对话框

从“客户端应用”对话框中选择“ 创建 ”时，将打开“创建客户端应用程序”对话框。 此页面自动创建Microsoft Entra ID 中的本机应用。 指定以下信息：

• 应用程序名称：应用的友好名称。
• 回复 URL：Configuration Manager不使用此值，但Microsoft Entra ID 是必需的。 默认情况下，此值为 https://ConfigMgrService。

选择“ 登录 ”，以管理用户身份向 Azure 进行身份验证。 Configuration Manager不会保存这些凭据。 此角色不需要 Configuration Manager 中的权限，也不需要是运行 Azure 服务向导的同一帐户。 成功向 Azure 进行身份验证后，页面会显示Microsoft Entra租户名称以供参考。

选择“确定”以Microsoft Entra ID 创建本机应用，并关闭“创建客户端应用程序”对话框。 此操作将返回到 “客户端应用”对话框。

配置或发现

在“ 应用 ”页上指定 Web 和本机应用后，Azure 服务向导将转到 “配置” 或 “发现 ”页，具体取决于要连接到的服务。 此页的详细信息因服务而异。 有关详细信息，请参阅以下文章之一：

• 云管理服务，发现页：配置Microsoft Entra用户发现

• Log Analytics 连接器 服务， “配置 ”页： 配置与 Log Analytics 的连接

• 适用于企业的 Microsoft Store服务，“配置”页：配置适用于企业的 Microsoft Store同步

最后，通过“摘要”、“进度”和“完成”页完成 Azure 服务向导。 已在 Configuration Manager 中完成了 Azure 服务的配置。 重复此过程以配置其他 Azure 服务。

更新应用程序设置

若要允许Configuration Manager客户端请求Microsoft Entra设备令牌并启用读取目录数据权限，需要更新 Web 服务器应用程序设置。

1. 在Configuration Manager控制台中，转到“管理”工作区，展开“云服务”，然后选择“Microsoft Entra租户”节点。
2. 选择要更新的应用程序的Microsoft Entra租户。
3. 在“应用程序”部分，选择Microsoft Entra Web 服务器应用程序，然后从功能区中选择“更新应用程序设置”。
4. 当系统提示确认时，选择“ 是 ”以确认要使用最新设置更新应用程序。

续订密钥

需要在其有效期结束之前续订Microsoft Entra应用的密钥。 如果让密钥过期，Configuration Manager无法使用Microsoft Entra ID 进行身份验证，这将导致连接的 Azure 服务停止工作。

从版本 2006 开始，Configuration Manager控制台会显示以下情况的通知：

• 一个或多个Microsoft Entra应用密钥即将过期
• 一个或多个Microsoft Entra应用密钥已过期

若要缓解这两种情况，请续订密钥。

有关如何与这些通知交互的详细信息，请参阅Configuration Manager控制台通知。

注意

至少需要分配“云应用程序管理员”Microsoft Entra角色才能续订密钥。

续订已创建应用的密钥

1. 在Configuration Manager控制台中，转到“管理”工作区，展开“云服务”，然后选择“Microsoft Entra租户”节点。

2. 在“详细信息”窗格中，选择应用的Microsoft Entra租户。

3. 在功能区中，选择“ 续订密钥”。 输入应用所有者或Microsoft Entra管理员的凭据。

为导入的应用续订密钥

如果在 Configuration Manager 中导入了 Azure 应用，请使用Azure 门户续订。 请注意新的密钥和到期日期。 在 续订密钥 向导中添加此信息。

注意

在关闭 Azure 应用程序属性“ 密钥 ”页之前保存密钥。 关闭页面时，将删除此信息。

禁用身份验证

从版本 2010 开始，可以为与用户和设备不关联的租户禁用Microsoft Entra身份验证。 将Configuration Manager加入到Microsoft Entra ID 时，它允许站点和客户端使用新式身份验证。 目前，无论是否具有设备，Microsoft Entra都为所有已加入的租户启用设备身份验证。 例如，你有一个单独的租户，其中包含用于计算资源的订阅，以支持云管理网关。 如果没有与租户关联的用户或设备，请禁用Microsoft Entra身份验证。

1. 在Configuration Manager控制台中，转到“管理”工作区。

2. 展开云服务并选择“Azure 服务”节点。

3. 选择 “云管理”类型的目标连接。 在功能区中，选择“属性”。

4. 切换到“ 应用程序 ”选项卡。

5. 选择“为此租户禁用Microsoft Entra身份验证”选项。

6. 选择“ 确定” 以保存并关闭连接属性。

提示

此更改最长可能需要 25 小时才能在客户端上生效。 为了进行测试以加快此行为更改，请使用以下步骤：

1. 在站点服务器上重启 sms_executive 服务。
2. 在客户端上重启 ccmexec 服务。
3. 触发客户端计划以刷新默认管理点。 例如，使用 发送计划工具： SendSchedule {00000000-0000-0000-0000-000000000023}

查看 Azure 服务的配置

查看已配置要使用的 Azure 服务的属性。 在Configuration Manager控制台中，转到“管理”工作区，展开“云服务”，然后选择“Azure 服务”。 选择要查看或编辑的服务，然后选择 “属性”。

如果选择某个服务，然后在功能区中选择“删除”，此操作将删除Configuration Manager中的连接。 它不会删除Microsoft Entra ID 中的应用。 要求 Azure 管理员在不再需要应用时将其删除。 或者运行 Azure 服务向导以导入应用。

云管理数据流

下图是用于Configuration Manager、Microsoft Entra ID 和连接的云服务之间交互的概念数据流。 此特定示例使用云管理服务，其中包括Windows 10客户端以及服务器和客户端应用。 其他服务的流类似。

1. Configuration Manager管理员导入或创建Microsoft Entra ID 中的客户端和服务器应用。

2. Configuration Manager Microsoft Entra用户发现方法运行。 站点使用 Microsoft Entra 服务器应用令牌来查询 Microsoft Graph 中的用户对象。

3. 站点存储有关用户对象的数据。 有关详细信息，请参阅Microsoft Entra用户发现。

4. Configuration Manager客户端请求Microsoft Entra用户令牌。 客户端使用Microsoft Entra客户端应用的应用程序 ID 和服务器应用作为受众进行声明。 有关详细信息，请参阅Microsoft Entra安全令牌中的声明。

5. 客户端通过向云管理网关和启用 HTTPS 的本地管理点提供Microsoft Entra令牌来向站点进行身份验证。

有关详细信息，请参阅Microsoft Entra身份验证工作流。