設定要與 Configuration Manager 搭配使用的 Azure 服務

適用於：Configuration Manager (目前的分支)

使用[Azure 服務精靈] 來簡化設定與Configuration Manager搭配使用之 Azure 雲端服務的程式。 此精靈使用 web 應用程式註冊Microsoft Entra提供常見的設定體驗。 這些應用程式會提供訂用帳戶和設定詳細資料，並使用Microsoft Entra識別碼來驗證通訊。 每次您使用 Azure 設定新的Configuration Manager元件或服務時，應用程式就會取代輸入相同的資訊。

可用的服務

使用此精靈設定下列 Azure 服務：

• 雲端管理：此服務可讓月臺和用戶端使用Microsoft Entra識別碼進行驗證。 此驗證可啟用其他案例，例如：

  • 使用Microsoft Entra識別碼來安裝和指派Configuration Manager用戶端以進行驗證

  • 設定Microsoft Entra使用者探索

  • 設定Microsoft Entra使用者群組探索

  • 支援特定 雲端管理閘道案例

    提示

    如需雲端管理的詳細資訊，請參閱設定雲端管理閘道的Microsoft Entra識別碼。

  • 應用程式核准電子郵件通知

• Log Analytics 連接器： 連線到 Azure Log Analytics。 將收集資料同步至 Log Analytics。

  重要事項

  本文指的是 Log Analytics 連接器，其先前稱為 OMS 連接器。 這項功能在 2020 年 11 月已被取代。 它會從 2107 版的Configuration Manager中移除。 如需詳細資訊，請參閱 已移除和已淘汰的功能。

• 商務用 Microsoft Store：連線到商務用 Microsoft Store。 為您的組織取得可使用Configuration Manager部署的市集應用程式。

• 管理服務管理：設定 Azure 服務時，若要增強安全性，您可以選取 [管理服務管理] 選項。 選取此選項可讓系統管理員在 雲端管理 與 系統管理服務之間分割其系統管理員許可權。 藉由啟用此選項，只能存取系統管理服務端點。 組態管理用戶端會使用Microsoft Entra識別碼向月臺進行驗證。 (2207 版或更新版本)

  注意事項

  只有 CMG VMSS 客戶可以啟用系統管理服務管理選項。 此選項不適用於傳統 CMG 客戶。

服務詳細資料

下表列出每個服務的詳細資料。

• 租使用者：您可以設定的服務實例數目。 每個實例都必須是不同的Microsoft Entra租使用者。

• 雲端：所有服務都支援全域 Azure 雲端，但並非所有服務都支援私人雲端，例如 Azure 美國政府雲端。

• Web 應用程式：服務是否使用 Web應用程式/API類型的Microsoft Entra應用程式，也稱為 Configuration Manager 中的伺服器應用程式。

• 原生應用程式：服務是否使用原生類型的Microsoft Entra應用程式，也稱為 Configuration Manager 中的用戶端應用程式。

• 動作：您是否可以在 [Configuration Manager Azure 服務精靈] 中匯入或建立這些應用程式。

服務	租用戶	雲	Web 應用程式	原生應用程式	動作
雲端管理 Microsoft Entra探索	多個	公用、私人			匯入、建立
Log Analytics 連接器	一個	公用、私人			匯入
適用于 的 Microsoft Store Business	一個	公用			匯入、建立

關於Microsoft Entra應用程式

不同的 Azure 服務需要您在Azure 入口網站中進行不同的設定。 此外，每個服務的應用程式都需要 Azure 資源的個別許可權。

您可以針對多個服務使用單一應用程式。 Configuration Manager和Microsoft Entra識別碼中只有一個要管理的物件。 當應用程式上的安全性金鑰到期時，您只需要重新整理一個金鑰。

當您在精靈中建立其他 Azure 服務時，Configuration Manager是設計來重複使用服務之間常見的資訊。 此行為可協助您不需要多次輸入相同的資訊。

如需每個服務所需應用程式許可權和設定的詳細資訊，請參閱可用服務中的相關Configuration Manager文章。

如需 Azure 應用程式的詳細資訊，請從下列文章開始：

• Azure App 服務中的驗證和授權
• Web Apps概觀
• 以Microsoft Entra識別碼註冊應用程式的基本概念
• 向您的Microsoft Entra租使用者註冊您的應用程式

開始之前

在您決定要連線的服務之後，請參閱 服務詳細資料中的表格。 下表提供完成 Azure 服務精靈所需的資訊。 事先與您的Microsoft Entra系統管理員討論。 決定要採取的下列動作：

• 在Azure 入口網站中事先手動建立應用程式。 然後將應用程式詳細資料匯入Configuration Manager。

  提示

  如需雲端管理的詳細資訊，請參閱手動註冊雲端管理閘道的Microsoft Entra應用程式。

• 使用Configuration Manager以Microsoft Entra識別碼直接建立應用程式。 若要從Microsoft Entra識別碼收集必要的資料，請檢閱本文其他章節中的資訊。

某些服務需要Microsoft Entra應用程式具有特定許可權。 檢閱每個服務的資訊，以判斷任何必要的許可權。 例如，在匯入 Web 應用程式之前，Azure 系統管理員必須先在Azure 入口網站中建立它。

設定 Log Analytics 連接器時，請在包含相關工作區的資源群組上，授與新註冊的 Web 應用程式 參與者 許可權。 此許可權可讓Configuration Manager存取該工作區。 指派許可權時，在Azure 入口網站的 [新增使用者] 區域中搜尋應用程式註冊的名稱。 此程式與為Configuration Manager提供 Log Analytics的許可權相同。 Azure 系統管理員必須先指派這些許可權，才能將應用程式匯入Configuration Manager。

啟動 Azure 服務精靈

1. 在 Configuration Manager 主控台中，移至 [系統管理] 工作區，展開[雲端服務]，然後選取[Azure 服務]節點。

2. 在功能區的 [ 常用] 索引標籤上，于 [Azure 服務 ] 群組中，選取 [ 設定 Azure 服務]。

3. 在 [Azure 服務 精靈] 的 [Azure 服務] 頁面上：

   1. 在 Configuration Manager 中指定物件的[名稱]。

   2. 指定選擇性的 [描述 ] 以協助您識別服務。

   3. 選取您想要與Configuration Manager連線的 Azure 服務。

4. 選 取 [下一步 ] 以繼續前往 [Azure 服務精靈] 的 [Azure 應用程式屬性 ] 頁面。

Azure 應用程式屬性

在 [Azure 服務精靈] 的 [ 應用程式 ] 頁面上，先從清單中選取 Azure 環境 。 請參閱 服務詳細資料 中的表格，以瞭解服務目前可用的環境。

應用程式頁面的其餘部分會根據特定服務而有所不同。 請參閱 服務詳細 資料中的表格，以瞭解服務使用的應用程式類型，以及您可以使用的動作。

• 如果應用程式同時支援匯入和建立動作，請選取 [流覽]。 此動作會開啟 [伺服器應用程式] 對話方塊 或 [ 用戶端應用程式] 對話方塊。

• 如果應用程式只支援匯入動作，請選取 [ 匯入]。 此動作會開啟 [匯入應用程式] 對話 (伺服器) 或 [匯入 應用程式] 對話 (用戶端) 。

在此頁面上指定應用程式之後，請選取 [ 下一步 ] 繼續前往 [Azure 服務精靈] 的 [設定 ] 或 [探索 ] 頁面。

Web 應用程式

此應用程式是 web應用程式/API Microsoft Entra識別碼類型，也稱為 Configuration Manager 中的伺服器應用程式。

[伺服器應用程式] 對話方塊

當您在 [Azure 服務精靈] 的 [應用程式] 頁面上選取 [ 流覽Web 應用程式 ] 時，它會開啟 [伺服器應用程式] 對話方塊。 它會顯示清單，其中顯示任何現有 Web 應用程式的下列屬性：

• 租使用者易記名稱
• 應用程式易記名稱
• 服務類型

您可以從 [伺服器應用程式] 對話方塊採取三個動作：

• 若要重複使用現有的 Web 應用程式，請從清單中選取它。
• 選 取 [匯入 ] 以開啟 [ 匯入應用程式] 對話方塊。
• 選 取 [建立 ] 以開啟 [ 建立伺服器應用程式] 對話方塊。

選取、匯入或建立 Web 應用程式之後，請選取 [ 確定 ] 以關閉 [伺服器應用程式] 對話方塊。 此動作會返回 [Azure 服務精靈] 的 [ 應用程式] 頁面 。

(伺服器) 匯入應用程式對話方塊

當 您從 [ 伺服器應用程式] 對話方塊或 [Azure 服務精靈] 的 [應用程式] 頁面選取 [匯入] 時，它會開啟 [匯入應用程式] 對話方塊。 此頁面可讓您輸入已在Azure 入口網站中建立之Microsoft Entra Web 應用程式的相關資訊。 它會將該 Web 應用程式的相關中繼資料匯入Configuration Manager。 指定下列資訊：

• Microsoft Entra租使用者名稱：您Microsoft Entra租使用者的名稱。
• Microsoft Entra租使用者識別碼：Microsoft Entra 租使用者的 GUID。
• 應用程式名稱：應用程式的易記名稱，應用程式註冊中的顯示名稱。
• 用戶端標識符：應用程式 (用戶端) 應用程式註冊的識別碼值。 格式為標準 GUID。
• 秘密金鑰：當您以Microsoft Entra識別碼註冊應用程式時，必須複製秘密金鑰。
• 秘密金鑰到期日：從行事曆中選取未來的日期。
• 應用程式識別碼 URI：此值在您的Microsoft Entra租使用者中必須是唯一的。 它位於Configuration Manager用戶端用來要求存取服務的存取權杖中。 此值是 Microsoft Entra 系統管理中心內應用程式註冊專案的應用程式識別碼 URI。

輸入資訊之後，選取 [ 驗證]。 然後選取 [確定 ] 以關閉 [匯入應用程式] 對話方塊。 此動作會返回 [Azure 服務精靈] 的 [ 應用程式] 頁面 ，或 [ 伺服器應用程式] 對話方塊。

重要事項

當您使用匯入的Microsoft Entra應用程式時，不會收到主控台通知即將到期的通知。

[建立伺服器應用程式] 對話方塊

當您從 [伺服器應用程式] 對話方塊中選取 [ 建立 ] 時，它會開啟 [建立伺服器應用程式] 對話方塊。 此頁面會自動在Microsoft Entra識別碼中建立 Web 應用程式。 指定下列資訊：

• 應用程式名稱：應用程式的易記名稱。

• HomePage URL：Configuration Manager不會使用此值，但Microsoft Entra識別碼需要此值。 根據預設，此值為 https://ConfigMgrService 。

• 應用程式識別碼 URI：此值在您的Microsoft Entra租使用者中必須是唯一的。 它位於Configuration Manager用戶端用來要求存取服務的存取權杖中。 根據預設，此值為 https://ConfigMgrService 。 將預設值變更為下列其中一種建議格式：

  • api://{tenantId}/{string}例如， api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}例如， https://contoso.onmicrosoft.com/ConfigMgrService

• 秘密金鑰有效期間：從下拉式清單中選擇 1 年 或 2 年 。 預設值為一年。

  注意事項

  您可能會看到 [永不] 選項，但Microsoft Entra不再支援它。 如果您先前已選取此選項，則到期日現在會從您建立的日期起設定為 99 年。

選 取 [登入 ] 以系統管理使用者身分向 Azure 進行驗證。 Configuration Manager不會儲存這些認證。 此角色不需要Configuration Manager中的許可權，也不需要是執行 Azure 服務精靈的相同帳戶。 成功向 Azure 驗證之後，頁面會顯示Microsoft Entra租使用者名稱以供參考。

選取[確定] 以Microsoft Entra識別碼建立 Web 應用程式，然後關閉 [建立伺服器應用程式] 對話方塊。 此動作會回到 [伺服器應用程式] 對話方塊。

注意事項

如果您已定義Microsoft Entra條件式存取原則並套用至所有雲端應用程式- 您必須從此原則中排除已建立的伺服器應用程式。 如需如何排除特定應用程式的詳細資訊，請參閱Microsoft Entra條件式存取檔。

Native Client 應用程式

此應用程式是原生Microsoft Entra標識符類型，也稱為 Configuration Manager 中的用戶端應用程式。

[用戶端應用程式] 對話方塊

當您在 [Azure 服務精靈] 的 [應用程式] 頁面 上選取 [流覽 原生用戶端應用程式 ] 時，它會開啟 [用戶端應用程式] 對話方塊。 它會顯示清單，其中顯示任何現有原生應用程式的下列屬性：

• 租使用者易記名稱
• 應用程式易記名稱
• 服務類型

您可以從 [用戶端應用程式] 對話方塊採取三個動作：

• 若要重複使用現有的原生應用程式，請從清單中選取它。
• 選 取 [匯入 ] 以開啟 [ 匯入應用程式] 對話方塊。
• 選 取 [建立 ] 以開啟 [ 建立用戶端應用程式] 對話方塊。

選取、匯入或建立原生應用程式之後，選擇 [ 確定 ] 以關閉 [用戶端應用程式] 對話方塊。 此動作會返回 [Azure 服務精靈] 的 [ 應用程式] 頁面 。

(用戶端) 匯入應用程式對話方塊

當您從 [用戶端應用程式] 對話方塊中選取 [ 匯 入] 時，它會開啟 [匯入應用程式] 對話方塊。 此頁面可讓您輸入已在Azure 入口網站中建立Microsoft Entra原生應用程式的相關資訊。 它會將該原生應用程式的相關中繼資料匯入Configuration Manager。 指定下列資訊：

• 應用程式名稱：應用程式的易記名稱。
• 用戶端標識符：應用程式 (用戶端) 應用程式註冊的識別碼值。 格式為標準 GUID。

輸入資訊之後，選取 [ 驗證]。 然後選取 [確定 ] 以關閉 [匯入應用程式] 對話方塊。 此動作會回到 [ 用戶端應用程式] 對話方塊。

提示

當您以Microsoft Entra識別碼註冊應用程式時，可能需要手動指定下列重新導向 URI： ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID> 。 指定應用程式的用戶端識別碼 GUID，例如： ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49 。

[建立用戶端應用程式] 對話方塊

當您從 [用戶端應用程式] 對話方塊中選取 [ 建立 ] 時，它會開啟 [建立用戶端應用程式] 對話方塊。 此頁面會自動在Microsoft Entra識別碼中建立原生應用程式。 指定下列資訊：

• 應用程式名稱：應用程式的易記名稱。
• 回復 URL：Configuration Manager不會使用此值，但Microsoft Entra識別碼需要此值。 根據預設，此值為 https://ConfigMgrService 。

選 取 [登入 ] 以系統管理使用者身分向 Azure 進行驗證。 Configuration Manager不會儲存這些認證。 此角色不需要Configuration Manager中的許可權，也不需要是執行 Azure 服務精靈的相同帳戶。 成功向 Azure 驗證之後，頁面會顯示Microsoft Entra租使用者名稱以供參考。

選取[確定] 以Microsoft Entra識別碼建立原生應用程式，然後關閉 [建立用戶端應用程式] 對話方塊。 此動作會回到 [ 用戶端應用程式] 對話方塊。

設定或探索

在 [ 應用程式 ] 頁面上指定 Web 和原生應用程式之後，Azure 服務精靈會繼續 進行 [設定 ] 或 [ 探索 ] 頁面，視您要連線的服務而定。 此頁面的詳細資料會因服務而異。 如需詳細資訊，請參閱下列其中一篇文章：

• 雲端管理服務，探索頁面：設定Microsoft Entra使用者探索

• Log Analytics 連接器服務，設定頁面：設定與 Log Analytics 的連線

• 商務用 Microsoft Store服務，設定頁面：設定商務用 Microsoft Store同步處理

最後，透過 [摘要]、[進度] 和 [完成] 頁面完成 [Azure 服務精靈]。 您已在 Configuration Manager 中完成 Azure 服務的設定。 重複此程式以設定其他 Azure 服務。

更新應用程式設定

若要允許Configuration Manager用戶端要求Microsoft Entra裝置權杖，並啟用讀取目錄資料許可權，您必須更新 Web 服務器應用程式設定。

1. 在 Configuration Manager 主控台中，移至 [系統管理] 工作區，展開[雲端服務]，然後選取 [Microsoft Entra 租使用者] 節點。
2. 針對您要更新的應用程式選取Microsoft Entra租使用者。
3. 在 [應用程式]區段中，選取您的 Microsoft Entra Web 服務器應用程式，然後從功能區選取 [更新應用程式設定]。
4. 當系統提示您確認時，請選取 [是 ] 以確認您想要以最新的設定更新應用程式。

更新秘密金鑰

您必須在Microsoft Entra應用程式的秘密金鑰有效期間結束之前，更新其秘密金鑰。 如果您讓金鑰過期，Configuration Manager無法使用Microsoft Entra識別碼進行驗證，這會導致連線的 Azure 服務停止運作。

從 2006 版開始，Configuration Manager主控台會顯示下列情況的通知：

• 一或多個Microsoft Entra應用程式秘密金鑰即將到期
• 一或多個Microsoft Entra應用程式秘密金鑰已過期

若要減輕這兩種情況，請更新秘密金鑰。

如需如何與這些通知互動的詳細資訊，請參閱Configuration Manager主控台通知。

注意事項

您必須至少指派「雲端應用程式管理員」Microsoft Entra角色，才能更新金鑰。

更新已建立應用程式的金鑰

1. 在 Configuration Manager 主控台中，移至 [系統管理] 工作區，展開[雲端服務]，然後選取 [Microsoft Entra 租使用者] 節點。

2. 在 [詳細資料] 窗格中，選取應用程式的Microsoft Entra租使用者。

3. 在功能區中，選取 [ 更新秘密金鑰]。 輸入應用程式擁有者或Microsoft Entra管理員的認證。

針對匯入的應用程式更新金鑰

如果您已在 Configuration Manager 中匯入 Azure 應用程式，請使用Azure 入口網站更新。 請注意新的秘密金鑰和到期日。 在 [ 更新秘密金鑰 精靈] 上新增此資訊。

注意事項

關閉 Azure 應用程式屬性 [金鑰] 頁面之前，請先儲存秘密 金鑰 。 當您關閉頁面時，會移除此資訊。

停用驗證

從 2010 版開始，您可以針對未與使用者和裝置相關聯的租使用者停用Microsoft Entra驗證。 當您將Configuration Manager上線以Microsoft Entra識別碼時，它可讓網站和用戶端使用新式驗證。 目前，無論所有已上線的租使用者是否有裝置，都會啟用Microsoft Entra裝置驗證。 例如，您有個別的租使用者，其中包含用於計算資源以支援雲端管理閘道的訂用帳戶。 如果沒有與租使用者相關聯的使用者或裝置，請停用Microsoft Entra驗證。

1. 在 Configuration Manager 主控台中，移至 [系統管理] 工作區。

2. 展開[雲端服務]，然後選取[Azure 服務] 節點。

3. 選取 雲端管理類型的目標連線。 在功能區中，選取 [ 屬性]。

4. 切換至 [ 應用程式] 索引 標籤。

5. 選取 [停用此租使用者的Microsoft Entra驗證] 選項。

6. 選取 [確定 ] 以儲存並關閉連線屬性。

提示

這項變更最多可能需要 25 小時才會在用戶端上生效。 若要測試以加速此行為變更，請使用下列步驟：

1. 重新開機月臺伺服器上的 sms_executive 服務。
2. 重新開機用戶端上的 ccmexec 服務。
3. 觸發用戶端排程以重新整理預設管理點。 例如，使用 傳送排程工具： SendSchedule {00000000-0000-0000-0000-000000000023}

檢視 Azure 服務的設定

檢視您已設定要使用的 Azure 服務屬性。 在 Configuration Manager 主控台中，移至 [系統管理] 工作區，展開[雲端服務]，然後選取[Azure 服務]。 選取您要檢視或編輯的服務，然後選取 [ 屬性]。

如果您選取服務，然後選擇功能區中的[刪除]，此動作會刪除Configuration Manager中的連線。 它不會移除Microsoft Entra識別碼中的應用程式。 要求您的 Azure 系統管理員在不再需要時刪除應用程式。 或執行 Azure 服務精靈以匯入應用程式。

雲端管理資料流程

下圖是Configuration Manager、Microsoft Entra識別碼和連線雲端服務之間互動的概念資料流程。 這個特定範例會使用雲端管理服務，其中包括Windows 10用戶端，以及伺服器和用戶端應用程式。 其他服務的流程很類似。

1. Configuration Manager系統管理員會以Microsoft Entra識別碼匯入或建立用戶端和伺服器應用程式。

2. Configuration Manager Microsoft Entra使用者探索方法執行。 網站會使用Microsoft Entra伺服器應用程式權杖來查詢 Microsoft Graph 中的使用者物件。

3. 月臺會儲存使用者物件的相關資料。 如需詳細資訊，請參閱Microsoft Entra使用者探索。

4. Configuration Manager用戶端會要求Microsoft Entra使用者權杖。 用戶端會使用Microsoft Entra用戶端應用程式的應用程式識別碼，以及伺服器應用程式作為物件來提出宣告。 如需詳細資訊，請參閱 Microsoft Entra 安全性權杖中的宣告。

5. 用戶端會向雲端管理閘道和已啟用內部部署 HTTPS 的管理點呈現Microsoft Entra權杖，以向網站進行驗證。

如需詳細資訊，請參閱Microsoft Entra驗證工作流程。