次の方法で共有

CMG のMicrosoft Entra アプリを手動で登録する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

クラウド管理ゲートウェイ (CMG) を設定する 2 番目の主要な手順は、Configuration Manager サイトをMicrosoft Entra テナントと統合することです。 この統合により、サイトは CMG サービスの展開と監視に使用するMicrosoft Entra IDで認証できます。 Azure サービス ウィザード中にConfiguration Managerを使用してアプリの作成を自動化できない場合は、ウィザードを使用して、以前に作成したアプリをインポートできます。 たとえば、Azure 管理者が、すべてのMicrosoft Entraアプリ登録を手動で作成する必要がある場合は、このプロセスを使用します。

ヒント

この記事では、クラウド管理ゲートウェイ専用のサイトを統合するための規範的なガイダンスを提供します。 このプロセスと、Configuration Manager コンソールでの Azure Services ノードのその他の使用方法の詳細については、「Azure サービスの構成」を参照してください。

サイトを統合すると、Microsoft Entra IDでアプリの登録を作成します。 CMG には、次の 2 つのアプリ登録が必要です。

  • Web アプリ (Configuration Manager のサーバー アプリとも呼ばれます)
  • ネイティブ アプリ (Configuration Manager ではクライアント アプリとも呼ばれます)

これらのアプリを作成する方法は 2 つありますが、どちらもMicrosoft Entra IDでグローバル管理者ロールが必要です。

  • Configuration Managerを使用して、サイトを統合するときにアプリの作成を自動化します。
  • 事前にアプリを手動で作成し、サイトを統合するときにアプリをインポートします。

この記事では、2 番目のメソッドの具体的な詳細について説明します。 これらの手順と CMG のMicrosoft Entra IDの構成に関する記事の手順を組み合わせて、プロセスを完了します。

テナントの詳細を取得する

ヒント

このプロセスでは、後で使用するためにいくつかの値をメモする必要があります。 Windows メモ帳などのアプリを開き、Azure Portal からコピーする値を貼り付けます。

まず、Microsoft Entraテナント名テナント ID を書き留める必要があります。 これらの値は、Configuration Managerでアプリの登録をインポートするために必要な最初の 2 つの情報です。

  1. Azure portalで、[Microsoft Entra ID] を選択します

  2. [Microsoft Entra ID] メニューの [カスタム ドメイン名] を選択します。

  3. テナント名をメモします。 たとえば、「 contoso.onmicrosoft.com 」のように入力します。

  4. [Microsoft Entra ID] メニューの [プロパティ] を選択します

  5. [テナント ID GUID] の値をコピーします。

Web (サーバー) アプリを登録する

  1. [Microsoft Entra ID] メニューの [アプリの登録] を選択します。 [ 新しい登録 ] を選択して、新しいアプリを作成します。

  2. [ アプリケーションの登録 ] ウィンドウで、次の情報を指定します。

    • 名前: アプリのフレンドリ名。 たとえば、「 CMG-ServerApp 」のように入力します。
    • サポートされているアカウントの種類: この設定は既定のオプションのままにします。 この組織ディレクトリ内のアカウントのみ
    • リダイレクト URI: [パブリック クライアント/ネイティブ (モバイル &デスクトップ)] を選択し、URI として入力しますhttp://localhost

  3. [ 登録 ] を選択してアプリを作成します。

  4. 新しいアプリのプロパティで、次の値をコピーします。

    • 表示名: この値は、後でアプリケーション名として使用するこのアプリ登録のフレンドリ 名です
    • アプリケーション (クライアント) ID: この GUID 値は、後で クライアント ID として使用します。

  5. アプリのプロパティのメニューで、[ 証明書 & シークレット] を選択し、[ 新しいクライアント シークレット] を選択します。

    • 説明: シークレットには任意の名前を使用することも、空白のままにすることもできます。
    • 有効期限: 12 か月 または 24 か月を選択します。

    [追加] を選択します。 クライアント シークレット文字列 ValueExpires をすぐにコピーします。 このウィンドウを離れた場合、同じシークレットを再度取得することはできません。 これらの値は、後で 秘密キーと秘密キー有効期限 の値として使用します。

  6. Configuration Managerでユーザー探索Microsoft Entra使用する場合は、このアプリのアクセス許可を調整する必要があります。 アプリのプロパティのメニューで、[ API のアクセス許可] を選択します。 既定では、変更する必要がある Microsoft Graph API の User.Read アクセス許可が必要です。

    1. [Microsoft Graph] を選択して使用可能な API アクセス許可の一覧を列挙し、[アプリケーションのアクセス許可] を選択します。

    2. [ ディレクトリ] を展開し、[ Directory.Read.All] を選択します。

    3. [委任されたアクセス許可] に切り替えます。

    4. [ ユーザー] を展開し、 User.Read アクセス許可を削除します。

    5. [ アクセス許可の更新] を選択します

    6. [API のアクセス許可] ウィンドウで、[ 管理者の同意を付与する] を選択し、[ はい] を選択します。

  7. アプリのプロパティのメニューで、[API の 公開] を選択します。

    1. [アプリケーション ID URI] で、[ 追加] を選択します。 テナントに対して一意の URI を指定します。 この値は、後で アプリ ID URI として使用します。 次のいずれかの推奨形式を使用します。

      • api://{tenantId}/{string}、たとえば、api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}、たとえば、https://contoso.onmicrosoft.com/ConfigMgrService

      [保存] を選択します。

    2. [ スコープの追加] を選択し、次の必要な情報を指定します。

      • スコープ名: user_impersonation
      • 同意できるユーザー: [管理者とユーザー] を選択します
      • 同意表示名管理: わかりやすい名前を指定します。 たとえば、Access CMG-ServerApp のように指定します。
      • 同意の説明管理: わかりやすい説明を指定します。 たとえば、Allow the application to access CMG-ServerApp on behalf of the signed-in user. のように指定します。

    3. [ スコープの追加] を選択して保存します。

  8. アプリのプロパティのメニューで、[マニフェスト] を選択 しますoauth2AllowIdTokenImplicitFlow エントリを true に設定します。 以下に例を示します。

    "oauth2AllowIdTokenImplicitFlow": true,

    [保存] を選択します。

CMG 用の Web (サーバー) アプリがMicrosoft Entra IDに登録されました。

ネイティブ (クライアント) アプリを登録する

  1. [Microsoft Entra ID] メニューの [アプリの登録] を選択します。 [ 新しい登録 ] を選択して、新しいアプリを作成します。

  2. [ アプリケーションの登録 ] ウィンドウで、次の情報を指定します。

    • 名前: アプリのフレンドリ名。 たとえば、「 CMG-ClientApp 」のように入力します。
    • サポートされているアカウントの種類: この設定は既定のオプションのままにします。 この組織ディレクトリ内のアカウントのみ
    • リダイレクト URI: この省略可能な値は空白のままにします。

  3. [ 登録 ] を選択してアプリを作成します。

  4. 新しいアプリのプロパティで、次の値をコピーします。

    • 表示名: この値は、後でアプリケーション名として使用するこのアプリ登録のフレンドリ 名です
    • アプリケーション (クライアント) ID: この GUID 値は、後で クライアント ID として使用します。

  5. アプリのプロパティのメニューで、[認証] を選択 します

    1. [プラットフォームの構成] で、[ プラットフォームの追加] を選択します。

      1. [プラットフォームの構成] ウィンドウで、[ モバイル アプリケーションとデスクトップ アプリケーション] を選択します。

      2. [ デスクトップ + デバイスの構成 ] ウィンドウの [カスタム リダイレクト URI] で、 を指定します ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>。 アプリのクライアント ID GUID (例: ) を使用します ms-appx-web://Microsoft.AAD.BrokerPlugin/2afe572e-d268-4c77-a22d-fdca617e2255

      3. [構成] を選択します。

    2. [詳細設定] で、[ パブリック クライアント フローを許可する][はい] に設定します。 [保存] を選択します。

  6. このアプリのアクセス許可を調整します。 アプリのプロパティのメニューで、[ API のアクセス許可] を選択します。 既定では、Microsoft Graph API の User.Read 委任されたアクセス許可が必要です。

    1. [API のアクセス許可] ウィンドウで、[ アクセス許可の追加] を選択します。

    2. [ マイ API ] タブに切り替え、Web (サーバー) アプリを選択します。 たとえば、 CMG-ServerApp ですuser_impersonationアクセス許可を選択し、[アクセス許可の追加] を選択して保存します。

    3. [API のアクセス許可] ウィンドウで、[ 管理者の同意を付与する] を選択し、[ はい] を選択します。

  7. アプリのプロパティのメニューで、[マニフェスト] を選択 しますoauth2AllowIdTokenImplicitFlow エントリを true に設定します。 以下に例を示します。

    "oauth2AllowIdTokenImplicitFlow": true,

    [保存] を選択します。

CMG のネイティブ (クライアント) アプリがMicrosoft Entra IDに登録されるようになりました。 この手順では、Azure portalのプロセスも終了します。 Azure グローバル管理者のロールが完了します。

アプリをConfiguration Managerにインポートする

Azure portalで 2 つのアプリを手動で登録した後、「CMG のMicrosoft Entra IDを構成する」の記事のプロセスを使用しますが、[各アプリをインポートする] オプションを選択します。

これらのプロセスは、Microsoft Entra アプリに関するメタデータをConfiguration Managerにインポートします。 これらのアプリをインポートするためにMicrosoft Entraアクセス許可は必要ありません。

Web (サーバー) アプリをインポートする

[サーバー アプリ] ウィンドウから [インポート] を選択すると、[アプリのインポート] ウィンドウが開きます。 Azure portalに既に登録されているMicrosoft Entra Web アプリに関する次の情報を入力します。

  • Microsoft Entra テナント名: Microsoft Entra テナントの名前。
  • Microsoft Entra テナント ID: Microsoft Entra テナントの GUID。
  • アプリケーション名: アプリのフレンドリ名。アプリ登録の表示名。
  • クライアント ID: アプリ登録の アプリケーション (クライアント) ID の値。 形式は標準の GUID です。
  • 秘密キー: Microsoft Entra IDにアプリを登録し、秘密キーを作成するときに秘密キーをコピーします。
  • 秘密キーの有効期限: Azure portalと同じ日付を指定します。
  • アプリ ID URI: 値は、Microsoft Entra 管理センターのアプリ登録エントリのアプリケーション ID URI です。 形式は に https://ConfigMgrService似ています。

情報を入力したら、[確認] を選択 します。 次に、[ OK] を 選択して [ アプリのインポート ] ウィンドウを閉じます。

重要

インポートされたMicrosoft Entra アプリを使用する場合、コンソール通知から今後の有効期限の日付は通知されません。

ネイティブ (クライアント) アプリをインポートする

[クライアント アプリ] ウィンドウから [インポート] を選択すると、[アプリのインポート] ウィンドウが開きます。 Azure portalに既に登録されているMicrosoft Entraネイティブ アプリに関する次の情報を入力します。

  • ウィザードは、既に指定した Web (サーバー) アプリに基づいて、Microsoft Entraテナント名とテナント ID を自動入力します。
  • アプリケーション名: アプリのフレンドリ名。
  • クライアント ID: アプリ登録の アプリケーション (クライアント) ID の値。 形式は標準の GUID です。

情報を入力したら、[確認] を選択 します。 次に、[ OK] を 選択して [ アプリのインポート ] ウィンドウを閉じます。

次の手順

Azure portalで 2 つのアプリを手動で登録した後、次の記事のプロセスを使用してアプリをインポートします。

CMG のMicrosoft Entra IDを構成する