設定 Azure 整合

  • 發行項

適用於:Windows Admin Center、Windows Admin Center 預覽版

Windows Admin Center 支援數個與 Azure 服務整合的選用功能。 了解 Windows Admin Center 提供的 Azure 整合選項。

若要允許 Windows Admin Center 閘道與 Azure 通訊,以利用 Microsoft Entra 驗證進行閘道存取,或代替您建立 Azure 資源 (例如,使用 Azure Site Recovery 保護在 Windows Admin Center 中管理的 VM),您需要先向 Azure 註冊 Windows Admin Center 閘道。 您只需要針對 Windows Admin Center 閘道執行此動作一次 - 當您將閘道更新為較新版本時,就會保留此設定。

向 Azure 註冊閘道

首次嘗試在 Windows Admin Center 中使用 Azure 整合功能時,系統會提示你將閘道註冊到 Azure。 您也可以移至 Windows Admin Center [設定] 中的 [Azure] 索引標籤來註冊閘道。 只有 Windows Admin Center 閘道管理員才能將 Windows Admin Center 閘道註冊到 Azure。 深入了解 Windows Admin Center 使用者和系統管理員權限

引導式產品內步驟會在目錄中建立一個 Microsoft Entra 應用程式,該應用程式允許 Windows Admin Center 與 Azure 通訊。 若要查看自動建立的 Microsoft Entra 應用程式,請移至 Windows Admin Center 設定的 Azure 索引標籤。 透過 [在 Azure 中檢視] 超連結,可以在 Azure 入口網站中檢視 Microsoft Entra 應用程式。

建立的 Microsoft Entra 應用程式用於 Windows Admin Center 中 Azure 整合的所有點,包括閘道的 Microsoft Entra 驗證。 Windows Admin Center 會自動設定代表您建立和管理 Azure 資源所需的權限:

  • Microsoft Graph
    • Application.Read.All
    • Application.ReadWrite.All
    • Directory.AccessAsUser.All
    • Directory.Read.All
    • Directory.ReadWrite.All
    • User.Read
  • Azure 服務管理
    • user_impersonation

手動 Microsoft Entra 應用程式組態

如果要手動設定 Microsoft Entra 應用程式,而不是使用在閘道註冊過程中由 Windows Admin Center 自動建立的 Microsoft Entra 應用程式,則必須執行以下操作。

  1. 向 Microsoft Entra 應用程式授予上面列出所需的 API 權限。 為此,可以在 Azure 入口網站中導覽到 Microsoft Entra 應用程式。 移至 Azure 入口網站 >Microsoft Entra ID >應用程式註冊>選取您想要使用的 Microsoft Entra 應用程式。 接著,移至 [API 權限] 索引標籤,並新增上面所列的 API 權限。

  2. 將 Windows Admin Center 閘道 URL 新增至回覆 URL (也稱為重新導向 URI)。 覽覽至您的 Microsoft Entra 應用程式,然後移至資訊清單。 在資訊清單中尋找「replyUrlsWithType」索引鍵。 在索引鍵內新增內含以下兩個索引鍵的物件:「url」和「type」。 索引鍵「url」應具有 Windows Admin Center 閘道 URL 的值,並在結尾附加萬用字元。 索引鍵「type」索引鍵應該具有「Web」的值。 例如:

    "replyUrlsWithType": [
        {
                "url": "http://localhost:6516/*",
                "type": "Single-Page Application"
        }
],

注意

如果已啟用瀏覽器的 Microsoft Defender 應用程式防護,您將無法向 Azure 註冊 Windows Admin Center 或登入 Azure。

針對 Azure 登入的單頁應用程式錯誤進行疑難排解

如果您最近已將 Windows Admin Center 執行個體更新為較新版本,且之前已向 Azure 註冊閘道,您可能會在登入 Azure 時遇到「僅允許「單頁應用程式」用戶端類型進行跨網域權杖兌換」錯誤。 這是因為 Windows Admin Center 已根據一般 Microsoft 指導方針變更我們執行驗證的方式。 我們之前使用隱式授權流程,現在使用授權程式碼流程。

如果您想要繼續使用 Windows Admin Center 應用程式的現有應用程式註冊,請使用 Microsoft Entra 系統管理中心,將註冊的重新導向 URI 更新至單頁應用程式 (SPA) 平台。 這麼做可讓授權碼流程與使用 Proof Key for Code Exchange (PKCE) 和跨來源資源分享 (CORS) 支援使用該註冊的應用程式。

針對目前使用 Web 平台重新導向 URI 設定的應用程式註冊,請遵循下列步驟:

  1. 登入 Microsoft Entra 系統管理中心。
  2. 瀏覽至身分識別>應用程式>應用程式註冊,選取您的應用程式,然後選取 [驗證]
  3. 在 [重新導向 URI] 底下的 [Web] 平台圖標中,選取警告橫幅,指出您應該移轉 URI。 Screenshot of warning banner under web platform tile suggesting URI migration.
  4. 選取應用程式的重新導向 URI,然後選取 [設定]。 這些重新導向 URI 現在應該會出現在 [單頁應用程式] 平台圖標中,其中顯示啟用授權碼流程的 CORS 支援,並啟用這些 URI 的 PKCE。 Screenshot of migrate URIs selection page.

您可以改為閘道建立新應用程式註冊,而不是更新現有的 URI。 透過閘道註冊流程,為 Windows Admin Center 新建立的應用程式註冊會建立單頁應用程式平台重新導向 URI。

如果您無法移轉應用程式的重新導向 URI 以使用驗證碼流程,您可以繼續使用現有的應用程式註冊。 若要這樣做,您必須取消註冊 Windows Admin Center 閘道,並使用相同的應用程式註冊識別碼重新註冊。

持續更新

在 Twitter 上關注我們

閱讀我們的部落格