手動註冊 CMG Microsoft Entra 應用程式
適用於:Configuration Manager (目前的分支)
設定雲端管理閘道 (CMG) 的第二個主要步驟是整合 Configuration Manager 月臺與您的 Microsoft Entra 租使用者。 此整合可讓月臺向 Microsoft Entra ID 進行驗證,以用來部署和監視CMG服務。 如果您無法使用 Configuration Manager 在 Azure 服務精靈期間自動建立應用程式,您可以使用精靈匯入先前建立的應用程式。 例如,如果您的 Azure 系統管理員要求他們手動建立所有 Microsoft Entra 應用程式註冊,請使用此程式。
提示
本文提供專用於雲端管理網關整合網站的規範性指引。 如需此程式的詳細資訊,以及 Configuration Manager 控制台中 Azure 服務節點的其他用途,請參閱設定 Azure 服務。
在整合網站時,您會在 Microsoft Entra ID 中建立應用程式註冊。 CMG 需要兩個應用程式註冊:
- Web 應用程式 (也稱為 Configuration Manager) 中的伺服器應用程式
- 原生應用程式 (也稱為 Configuration Manager) 中的客戶端應用程式
建立這些應用程式的方法有兩種,兩者都需要 Microsoft Entra ID 中的全域管理員角色:
- 當您整合網站時,請使用 Configuration Manager 自動建立應用程式。
- 事先手動建立應用程式,然後在整合網站時匯入它們。
本文提供第二個方法的特定詳細數據。 將這些指示與設定 CMG Microsoft Entra ID 一文中的程式配對,以完成程式。
取得租用戶詳細數據
提示
在此程式期間,您必須記下數個值以供稍後使用。 開啟 Windows 記事本之類的應用程式,以貼上您將從 Azure 入口網站複製的值。
首先,您必須記下 Microsoft Entra 租使用者名稱和租用戶識別碼。 這些值是您在 Configuration Manager 中匯入應用程式註冊所需的前兩項資訊。
在 Azure 入口網站 中,選取 [Microsoft Entra ID]。
在 [Microsoft Entra ID] 功能表中,選取 [自定義功能變數名稱]。
請記下租用戶名稱。 例如,
contoso.onmicrosoft.com
。在 [Microsoft Entra ID] 功能表中,選取 [屬性]。
複製 租用戶標識碼 GUID 值。
註冊 Web (伺服器) 應用程式
在 [Microsoft Entra ID] 功能表中,選取 [應用程式註冊]。 選 取 [新增註冊 ] 以建立新的應用程式。
在 [ 註冊應用程式] 窗格中,指定下列資訊:
-
名稱:應用程式的易記名稱。 例如,
CMG-ServerApp
。 - 支持的帳戶類型:將此設定保留為預設選項, 僅限此組織目錄中的帳戶。
- 重新導向 URI:選取: 公用用戶端/原生 (行動裝置 &桌面) ,然後輸入 http://localhost 為 URI
-
名稱:應用程式的易記名稱。 例如,
選 取 [註冊 ] 以建立應用程式。
在新應用程式的屬性中,複製下列值:
- 顯示名稱:此值是此應用程式註冊的易記名稱,您稍後會使用此名稱作為 應用程式名稱。
- 應用程式 (用戶端) 識別碼:您稍後會使用此 GUID 值作為 用戶端識別碼。
在應用程式屬性的功能表中,選 取 [憑證 & 秘密],然後選取 [ 新增客戶端密碼]。
- 描述:您可以針對秘密使用任何名稱,或將它保留空白。
- 到期:選取 12 個月 或 24 個月。
選取 新增。 立即複製客戶端密碼字串 [值 ] 和 [ 到期]。 如果您離開此窗格,就無法再次擷取相同的秘密。 您稍後會使用這些值作為 秘密金鑰 和 秘密金鑰到期 值。
如果您要在 Configuration Manager 中使用 Microsoft Entra 使用者探索,則必須調整此應用程式的許可權。 在應用程式屬性的功能表中,選取 [API 許可權]。 根據預設,它應該具有需要變更之 Microsoft Graph API 的 User.Read 許可權。
選取 [Microsoft Graph ] 以列舉可用的 API 許可權清單,然後選取 [ 應用程式許可權]。
展開 [目錄],然後選取 [Directory.Read.All]。
切換至 [ 委派的許可權]。
展開 [使用者],然後移除 User.Read 許可權。
選 取 [更新許可權]。
在 [API 許可權] 窗格上,選取 [ 授與管理員同意...],然後選取 [ 是]。
在應用程式屬性的功能表中,選取 [ 公開 API]。
針對 [應用程式識別碼 URI],選取 [ 新增]。 指定租使用者唯一的URI。 您稍後會使用此值作為 應用程式識別碼 URI。 使用下列其中一種建議格式:
-
api://{tenantId}/{string}
例如,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
例如,https://contoso.onmicrosoft.com/ConfigMgrService
選取 [儲存]。
-
選 取 [新增範圍],並指定下列必要資訊:
-
範圍名稱:
user_impersonation
- 誰可以同意:選 取系統管理員和使用者
-
管理員 同意顯示名稱:指定有意義的名稱。 例如,
Access CMG-ServerApp
-
管理員 同意描述:指定有意義的描述。 例如,
Allow the application to access CMG-ServerApp on behalf of the signed-in user.
-
範圍名稱:
選 取 [新增範圍 ] 以儲存。
在應用程式屬性的功能表中,選取 [ 指令清單]。 將 oauth2AllowIdTokenImplicitFlow 項目設定為 true。 例如:
"oauth2AllowIdTokenImplicitFlow": true,
選取 [儲存]。
適用於 CMG 的 Web (伺服器) 應用程式現在已在 Microsoft Entra ID 中註冊。
註冊原生 (用戶端) 應用程式
在 [Microsoft Entra ID] 功能表中,選取 [應用程式註冊]。 選 取 [新增註冊 ] 以建立新的應用程式。
在 [ 註冊應用程式] 窗格中,指定下列資訊:
-
名稱:應用程式的易記名稱。 例如,
CMG-ClientApp
。 - 支持的帳戶類型:將此設定保留為預設選項, 僅限此組織目錄中的帳戶。
- 重新導向 URI:將此選擇性值保留空白。
-
名稱:應用程式的易記名稱。 例如,
選 取 [註冊 ] 以建立應用程式。
在新應用程式的屬性中,複製下列值:
- 顯示名稱:此值是此應用程式註冊的易記名稱,您稍後會使用此名稱作為 應用程式名稱。
- 應用程式 (用戶端) 識別碼:您稍後會使用此 GUID 值作為 用戶端識別碼。
在應用程式屬性的功能表中,選取 [ 驗證]。
在 [平台組態] 下,選取 [ 新增平臺]。
在 [設定平臺] 窗格中,選取 [ 行動和桌面應用程式]。
在 [ 設定桌面 + 裝置] 窗格的 [自訂重新導向 URI] 底下,指定
ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>
。 使用應用程式的用戶端識別碼 GUID,例如:ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255
。選 取 [設定]。
在 [進階設定] 下,將 [ 允許公用用戶端流程 ] 設定為 [是]。 選取 [儲存]。
調整此應用程式的許可權。 在應用程式屬性的功能表中,選取 [API 許可權]。 根據預設,它應該具有 Microsoft Graph API 的 User.Read 委派許可權。
在 [API 許可權] 窗格中,選取 [ 新增許可權]。
切換至 [ 我的 API] 索引 標籤,然後選取您的 Web (伺服器) 應用程式。 例如, CMG-ServerApp。 選 取user_impersonation 許可權,然後選取 [ 新增許可權 ] 以儲存。
在 [API 許可權] 窗格上,選取 [ 授與管理員同意...],然後選取 [ 是]。
在應用程式屬性的功能表中,選取 [ 指令清單]。 將 oauth2AllowIdTokenImplicitFlow 項目設定為 true。 例如:
"oauth2AllowIdTokenImplicitFlow": true,
選取 [儲存]。
CMG 的原生 (用戶端) 應用程式現在已在 Microsoft Entra ID 中註冊。 此步驟也會結束 Azure 入口網站 中的程式。 Azure 全域管理員的角色已完成。
將應用程式匯入至 Configuration Manager
在 Azure 入口網站 手動註冊這兩個應用程式之後,請使用設定 CMG Microsoft Entra ID 一文中的程式,但選取 [匯入每個應用程式] 選項。
這些程式會將 Microsoft Entra 應用程式的相關元數據匯入 Configuration Manager。 您不需要任何 Microsoft Entra 許可權即可匯入這些應用程式。
匯入 Web (伺服器) 應用程式
當您從 [伺服器應用程式] 視窗選取 [匯入] 時,它會開啟 [匯入應用程式] 視窗。 輸入已在 Azure 入口網站 中註冊之 Microsoft Entra Web 應用程式的下列資訊:
- Microsoft Entra 租用戶名稱:您 Microsoft Entra 租用戶的名稱。
- Microsoft Entra 租使用者標識碼:您 Microsoft Entra 租使用者的 GUID。
- 應用程式名稱:應用程式的易記名稱,應用程式註冊中的顯示名稱。
- 用戶端識別碼:應用程式 (用戶端) 應用程式註冊的標識碼值。 格式為標準 GUID。
- 秘密金鑰:當您在 Microsoft Entra ID 中註冊應用程式並建立秘密金鑰時,請複製秘密金鑰。
- 秘密金鑰到期日:指定與 Azure 入口網站 相同的日期。
-
應用程式識別碼 URI:值是 Microsoft Entra 系統管理中心 中應用程式註冊專案的應用程式識別碼 URI。 格式類似於
https://ConfigMgrService
。
輸入資訊之後,選取 [ 驗證]。 然後選取 [確定 ] 以關閉 [ 匯入應用程式] 視窗。
重要事項
當您使用匯入 Microsoft Entra 應用程式時,不會收到主控台通知即將到期的通知。
匯入原生 (用戶端) 應用程式
當您從 [用戶端應用程式] 視窗選取 [匯入] 時,它會開啟 [匯入應用程式] 視窗。 輸入已在 Azure 入口網站 中註冊之 Microsoft Entra 原生應用程式的下列資訊:
- 精靈會根據您已指定的 Web (伺服器) 應用程式,自動填入 Microsoft Entra 租使用者名稱和租使用者識別碼。
- 應用程式名稱:應用程式的易記名稱。
- 用戶端識別碼:應用程式 (用戶端) 應用程式註冊的標識碼值。 格式為標準 GUID。
輸入資訊之後,選取 [ 驗證]。 然後選取 [確定 ] 以關閉 [ 匯入應用程式] 視窗。
後續步驟
在 Azure 入口網站 中手動註冊這兩個應用程式之後,請使用下列文章中的程式來匯入應用程式: