設定要與 Configuration Manager 搭配使用的 Azure 服務
適用於:Configuration Manager (目前的分支)
使用 Azure 服務精靈來簡化設定與 Configuration Manager 搭配使用的 Azure 雲端服務的程式。 此精靈使用 web 應用程式註冊 Microsoft Entra 提供常見的設定體驗。 這些應用程式會提供訂用帳戶和設定詳細數據,並驗證與 Microsoft Entra ID 的通訊。 每次您使用 Azure 設定新的 Configuration Manager元件或服務時,應用程式就會取代輸入相同的資訊。
可用的服務
使用此精靈設定下列 Azure 服務:
雲端管理:此服務可讓月臺和用戶端使用 Microsoft Entra ID 進行驗證。 此驗證可啟用其他案例,例如:
Log Analytics 連接器: 連線到 Azure Log Analytics。 將收集數據同步至 Log Analytics。
重要事項
本文指的是 Log Analytics連接器,其先前稱為 OMS連接器。 這項功能在 2020 年 11 月已被取代。 它會從 2107 版的 Configuration Manager 中移除。 如需詳細資訊,請參閱 已移除和已淘汰的功能。
商務用 Microsoft Store:連線到 商務用 Microsoft Store。 為您的組織取得可使用 Configuration Manager 部署的市集應用程式。
管理服務管理:設定 Azure 服務時,若要增強安全性,您可以選取 [管理服務管理] 選項。 選取此選項可讓系統管理員在 雲端管理 與 系統管理服務之間分割其系統管理員許可權。 藉由啟用此選項,只能存取系統管理服務端點。 設定管理用戶端會使用 Microsoft Entra ID 向站台進行驗證。 (2207 版或更新版本)
注意事項
只有 CMG VMSS 客戶可以啟用系統管理服務管理選項。 此選項不適用於傳統 CMG 客戶。
服務詳細數據
下表列出每個服務的詳細數據。
租使用者:您可以設定的服務實例數目。 每個實例都必須是不同的 Microsoft Entra 租使用者。
雲端:所有服務都支援全域 Azure 雲端,但並非所有服務都支援私人雲端,例如 Azure 美國政府雲端。
Web 應用程式:服務是否使用 Web 應用程式/API 類型的 Microsoft Entra 應用程式,也稱為 Configuration Manager 中的伺服器應用程式。
原生應用程式:服務是否使用原生類型的 Microsoft Entra 應用程式,也稱為 Configuration Manager 中的用戶端應用程式。
動作:您是否可以在 [Configuration Manager Azure 服務精靈] 中匯入或建立這些應用程式。
| 服務 | 租用戶 | 雲 | Web 應用程式 | 原生應用程式 | 動作 |
|---|---|---|---|---|---|
| 雲端管理 Microsoft Entra 探索 |
多個 | 公用、私人 |
|
|
匯入、建立 |
| Log Analytics 連接器 | 一 | 公用、私人 |
|
|
匯入 |
| Microsoft市集 Business |
一 | 公用 |
|
|
匯入、建立 |
關於 Microsoft Entra 應用程式
不同的 Azure 服務需要您在 Azure 入口網站 中進行不同的設定。 此外,每個服務的應用程式都需要 Azure 資源的個別許可權。
您可以針對多個服務使用單一應用程式。 在 Configuration Manager 和 Microsoft Entra ID 中只有一個要管理的物件。 當應用程式上的安全性金鑰到期時,您只需要重新整理一個金鑰。
當您在精靈中建立其他 Azure 服務時,Configuration Manager 是設計來重複使用服務之間常見的資訊。 此行為可協助您不需要多次輸入相同的資訊。
如需每個服務所需應用程式許可權和設定的詳細資訊,請參閱可用服務中的相關 Configuration Manager 文章。
如需 Azure 應用程式的詳細資訊,請從下列文章開始:
開始之前
在您決定要連線的服務之後,請參閱 服務詳細數據中的表格。 下表提供完成 Azure 服務精靈所需的資訊。 事先與您的 Microsoft Entra 系統管理員討論。 決定要採取的下列動作:
在 Azure 入口網站 中事先手動建立應用程式。 然後將應用程式詳細數據匯入 Configuration Manager。
提示
如需雲端管理的詳細資訊,請參閱手動註冊雲端管理網關的 Microsoft Entra 應用程式。
使用 Configuration Manager 在 Microsoft Entra ID 中直接建立應用程式。 若要從 Microsoft Entra ID 收集必要的數據,請檢閱本文其他章節中的資訊。
某些服務需要 Microsoft Entra 應用程式具有特定許可權。 檢閱每個服務的資訊,以判斷任何必要的許可權。 例如,Azure 系統管理員必須先在 Azure 入口網站 中建立 Web 應用程式,才能匯入 Web 應用程式。
設定 Log Analytics 連接器時,請在包含相關工作區的資源群組上,授與新註冊的 Web 應用程式 參與者 許可權。 此許可權可讓 Configuration Manager 存取該工作區。 指派許可權時,請在 Azure 入口網站 的 [新增使用者] 區域中搜尋應用程式註冊的名稱。 此程式與為 Configuration Manager 提供 Log Analytics 許可權時相同。 Azure 系統管理員必須先指派這些許可權,才能將應用程式匯入 Configuration Manager。
啟動 Azure 服務精靈
在 Configuration Manager 控制台中,移至 [系統管理] 工作區,展開 [雲端服務],然後選取 [Azure 服務] 節點。
在功能區的 [ 常用] 索引標籤上,於 [Azure 服務 ] 群組中,選取 [ 設定 Azure 服務]。
在 [Azure 服務 精靈] 的 [Azure 服務] 頁面上:
在 Configuration Manager 中指定物件的 [名稱]。
指定選擇性的 [描述 ] 以協助您識別服務。
選取您想要與 Configuration Manager 連線的 Azure 服務。
選 取 [下一步 ] 以繼續前往 [Azure 服務精靈] 的 [Azure 應用程式屬性 ] 頁面。
Azure 應用程式屬性
在 [Azure 服務精靈] 的 [ 應用程式 ] 頁面上,先從清單中選取 Azure 環境 。 請參閱 服務詳細數據 中的表格,以瞭解服務目前可用的環境。
應用程式頁面的其餘部分會根據特定服務而有所不同。 請參閱 服務詳細 數據中的表格,以瞭解服務使用的應用程式類型,以及您可以使用的動作。
如果應用程式同時支援匯入和建立動作,請選取 [流覽]。 此動作會開啟 [伺服器應用程式] 對話框 或 [ 用戶端應用程式] 對話方塊。
如果應用程式只支援匯入動作,請選取 [ 匯入]。 此動作會開啟 [匯入應用程式] 對話 (伺服器) 或 [匯入 應用程式] 對話 (用戶端) 。
在此頁面上指定應用程式之後,請選取 [ 下一步 ] 繼續前往 [Azure 服務精靈] 的 [設定 ] 或 [探索 ] 頁面。
Web 應用程式
此應用程式是 web 應用程式/API Microsoft Entra ID 類型,也稱為 Configuration Manager 中的伺服器應用程式。
[伺服器應用程式] 對話框
當您在 [Azure 服務精靈] 的 [應用程式] 頁面上選取 [ 瀏覽Web 應用程式 ] 時,它會開啟 [伺服器應用程式] 對話框。 它會顯示清單,其中顯示任何現有 Web 應用程式的下列屬性:
- 租用戶易記名稱
- 應用程式易記名稱
- 服務類型
您可以從 [伺服器應用程式] 對話框採取三個動作:
- 若要重複使用現有的 Web 應用程式,請從清單中選取它。
- 選 取 [匯入 ] 以開啟 [ 匯入應用程式] 對話框。
- 選 取 [建立 ] 以開啟 [ 建立伺服器應用程式] 對話框。
選取、匯入或建立 Web 應用程式之後,請選取 [ 確定 ] 以關閉 [伺服器應用程式] 對話框。 此動作會返回 [Azure 服務精靈] 的 [ 應用程式] 頁面 。
(伺服器) 匯入應用程式對話框
當 您從 [ 伺服器應用程式] 對話框或 [Azure 服務精靈] 的 [應用程式] 頁面選取 [匯入] 時,它會開啟 [匯入應用程式] 對話框。 此頁面可讓您輸入已在 Azure 入口網站 中建立之 Microsoft Entra Web 應用程式的相關信息。 它會將該 Web 應用程式的相關元數據匯入 Configuration Manager。 指定以下資訊:
- Microsoft Entra 租用戶名稱:您 Microsoft Entra 租用戶的名稱。
- Microsoft Entra 租使用者標識碼:您 Microsoft Entra 租使用者的 GUID。
- 應用程式名稱:應用程式的易記名稱,應用程式註冊中的顯示名稱。
- 用戶端識別碼:應用程式 (用戶端) 應用程式註冊的標識碼值。 格式為標準 GUID。
- 秘密金鑰:當您在 Microsoft Entra ID 中註冊應用程式時,必須複製秘密密鑰。
- 秘密金鑰到期日:從行事曆中選取未來的日期。
- 應用程式識別碼 URI:此值在您的 Microsoft Entra 租用戶中必須是唯一的。 它位於 Configuration Manager 客戶端用來要求存取服務的存取令牌中。 此值是 Microsoft Entra 系統管理中心 中應用程式註冊專案的應用程式識別碼 URI。
輸入資訊之後,選取 [ 驗證]。 然後選取 [確定 ] 以關閉 [匯入應用程式] 對話框。 此動作會返回 [Azure 服務精靈] 的 [ 應用程式] 頁面 ,或 [ 伺服器應用程式] 對話框。
重要事項
當您使用匯入的 Microsoft Entra 應用程式時,不會收到來自主控台通知的即將到期日的通知。
[建立伺服器應用程式] 對話框
當您從 [伺服器應用程式] 對話框中選取 [ 建立 ] 時,它會開啟 [建立伺服器應用程式] 對話框。 此頁面會自動在 Microsoft Entra ID 中建立 Web 應用程式。 指定以下資訊:
應用程式名稱:應用程式的易記名稱。
HomePage URL:Configuration Manager 不會使用此值,但 Microsoft Entra ID 需要此值。 根據預設,此值為
https://ConfigMgrService。應用程式識別碼 URI:此值在您的 Microsoft Entra 租用戶中必須是唯一的。 它位於 Configuration Manager 客戶端用來要求存取服務的存取令牌中。 根據預設,此值為
https://ConfigMgrService。 將預設值變更為下列其中一種建議格式:-
api://{tenantId}/{string}例如api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService -
https://{verifiedCustomerDomain}/{string}例如https://contoso.onmicrosoft.com/ConfigMgrService
-
秘密金鑰有效期間:從下拉式清單中選擇 1 年 或 2 年 。 預設值為一年。
注意事項
您可能會看到 [永不] 選項,但 Microsoft Entra 不再支援它。 如果您先前已選取此選項,則到期日現在會從您建立的日期起設定為 99 年。
選 取 [登入 ] 以系統管理使用者身分向 Azure 進行驗證。 Configuration Manager 不會儲存這些認證。 此角色不需要 Configuration Manager 中的許可權,也不需要是執行 Azure 服務精靈的相同帳戶。 成功向 Azure 驗證之後,頁面會顯示 Microsoft Entra 租使用者名稱以供參考。
選取 [確定] 以在 Microsoft Entra ID 中建立 Web 應用程式,然後關閉 [建立伺服器應用程式] 對話框。 此動作會回到 [伺服器應用程式] 對話框。
注意事項
如果您已定義 Microsoft Entra 條件式存取原則並套用至所有雲端應用程式 - 您必須從此原則中排除已建立的伺服器應用程式。 如需如何排除特定應用程式的詳細資訊,請參閱 Microsoft Entra 條件式存取檔。
Native Client 應用程式
此應用程式是原生 Microsoft Entra ID 類型,也稱為 Configuration Manager 中的用戶端應用程式。
[用戶端應用程式] 對話框
當您在 [Azure 服務精靈] 的 [應用程式] 頁面 上選取 [流覽 原生用戶端應用程式 ] 時,它會開啟 [用戶端應用程式] 對話框。 它會顯示清單,其中顯示任何現有原生應用程式的下列屬性:
- 租用戶易記名稱
- 應用程式易記名稱
- 服務類型
您可以從 [用戶端應用程式] 對話框採取三個動作:
- 若要重複使用現有的原生應用程式,請從清單中選取它。
- 選 取 [匯入 ] 以開啟 [ 匯入應用程式] 對話框。
- 選 取 [建立 ] 以開啟 [ 建立用戶端應用程式] 對話框。
選取、匯入或建立原生應用程式之後,選擇 [ 確定 ] 以關閉 [用戶端應用程式] 對話框。 此動作會返回 [Azure 服務精靈] 的 [ 應用程式] 頁面 。
(用戶端) 匯入應用程式對話框
當您從 [用戶端應用程式] 對話框中選取 [ 匯 入] 時,它會開啟 [匯入應用程式] 對話方塊。 此頁面可讓您輸入已在 Azure 入口網站 中建立 Microsoft Entra 原生應用程式的相關信息。 它會將該原生應用程式的相關元數據匯入 Configuration Manager。 指定以下資訊:
- 應用程式名稱:應用程式的易記名稱。
- 用戶端識別碼:應用程式 (用戶端) 應用程式註冊的標識碼值。 格式為標準 GUID。
輸入資訊之後,選取 [ 驗證]。 然後選取 [確定 ] 以關閉 [匯入應用程式] 對話框。 此動作會回到 [ 用戶端應用程式] 對話框。
提示
當您在 Microsoft Entra ID 中註冊應用程式時,可能需要手動指定下列重新導向 URI:ms-appx-web://Microsoft.AAD.BrokerPlugin/<ClientID>。 指定應用程式的用戶端識別碼 GUID,例如: ms-appx-web://Microsoft.AAD.BrokerPlugin/a26a653e-17aa-43eb-ab36-0e36c7d29f49。
[建立用戶端應用程式] 對話框
當您從 [用戶端應用程式] 對話框中選取 [ 建立 ] 時,它會開啟 [建立用戶端應用程式] 對話框。 此頁面會自動在 Microsoft Entra ID 中建立原生應用程式。 指定以下資訊:
- 應用程式名稱:應用程式的易記名稱。
-
回復 URL:Configuration Manager 不會使用此值,但 Microsoft Entra ID 需要此值。 根據預設,此值為
https://ConfigMgrService。
選 取 [登入 ] 以系統管理使用者身分向 Azure 進行驗證。 Configuration Manager 不會儲存這些認證。 此角色在 Configuration Manager 中不需要許可權,而且不需要是執行 Azure 服務精靈的相同帳戶。 成功向 Azure 驗證之後,頁面會顯示 Microsoft Entra 租使用者名稱以供參考。
選取 [確定] 以在 Microsoft Entra ID 中建立原生應用程式,然後關閉 [建立用戶端應用程式] 對話框。 此動作會回到 [ 用戶端應用程式] 對話框。
設定或探索
在 [ 應用程式 ] 頁面上指定 Web 和原生應用程式之後,Azure 服務精靈會繼續 進行 [設定 ] 或 [ 探索 ] 頁面,視您要連線的服務而定。 此頁面的詳細數據會因服務而異。 如需詳細資訊,請參閱下列其中一篇文章:
雲端管理服務,探索頁面:設定 Microsoft Entra 使用者探索
Log Analytics 連接器服務,設定頁面:設定與 Log Analytics 的連線
商務用 Microsoft Store 服務,設定頁面:設定 商務用 Microsoft Store 同步處理
最後,透過 [摘要]、[進度] 和 [完成] 頁面完成 [Azure 服務精靈]。 您已在 Configuration Manager 中完成 Azure 服務的設定。 重複此程式以設定其他 Azure 服務。
更新應用程式設定
若要允許 Configuration Manager 用戶端要求 Microsoft Entra 裝置令牌,並啟用讀取目錄數據許可權,您必須更新 Web 伺服器應用程式設定。
- 在 Configuration Manager 控制台中,移至 [系統管理] 工作區,展開 [雲端服務],然後選取 [Microsoft Entra 租使用者] 節點。
- 針對您要更新的應用程式選取 Microsoft Entra 租使用者。
- 在 [應用程式] 區段中,選取您的 Microsoft Entra Web 伺服器應用程式,然後從功能區選取 [更新應用程式設定]。
- 當系統提示您確認時,請選取 [是 ] 以確認您想要以最新的設定更新應用程式。
更新秘密金鑰
您必須在 Microsoft Entra 應用程式的秘密金鑰有效期限結束前更新其秘密金鑰。 如果您讓金鑰過期,Configuration Manager 無法向 Microsoft Entra ID 進行驗證,這會導致連線的 Azure 服務停止運作。
從 2006 版開始,Configuration Manager 主控台會顯示下列情況的通知:
- 一或多個 Microsoft Entra 應用程式秘密金鑰即將到期
- 一或多個 Microsoft Entra 應用程式秘密金鑰已過期
若要減輕這兩種情況,請更新秘密密鑰。
如需如何與這些通知互動的詳細資訊,請參閱 Configuration Manager 主控台通知。
注意事項
您必須至少指派「雲端應用程式管理員」Microsoft Entra 角色,才能更新密鑰。 從 ConfigMgr 2409 開始,Microsoft圖形會取代已變更相同角色許可權的 Azure AD 圖形。 更新安全性密鑰的 Mimimum 特殊許可權安全性角色現在是特殊許可權 角色管理員
更新已建立應用程式的金鑰
在 Configuration Manager 控制台中,移至 [系統管理] 工作區,展開 [雲端服務],然後選取 [Microsoft Entra 租使用者] 節點。
在 [詳細數據] 窗格中,選取應用程式的 Microsoft Entra 租使用者。
在功能區中,選取 [ 更新秘密密鑰]。 輸入應用程式擁有者或 Microsoft Entra 管理員的認證。
針對匯入的應用程式更新金鑰
如果您已在 Configuration Manager 中匯入 Azure 應用程式,請使用 Azure 入口網站 更新。 請注意新的秘密金鑰和到期日。 在 [ 更新秘密金鑰 精靈] 上新增此資訊。
注意事項
關閉 Azure 應用程式屬性 [金鑰] 頁面之前,請先儲存秘密 密鑰 。 當您關閉頁面時,會移除此資訊。
停用驗證
從 2010 版開始,您可以針對未與使用者和裝置相關聯的租使用者停用 Microsoft Entra 驗證。 當您將 Configuration Manager 上線以 Microsoft Entra ID 時,它可讓網站和用戶端使用新式驗證。 目前,Microsoft Entra 裝置驗證會針對所有已上線的租用戶啟用,無論其是否有裝置。 例如,您有個別的租使用者,其中包含用於計算資源以支援雲端管理網關的訂用帳戶。 如果沒有與租使用者相關聯的用戶或裝置,請停用 Microsoft Entra 驗證。
在 Configuration Manager 控制台中,移至 [系統管理] 工作區。
展開 [雲端服務],然後選取 [Azure 服務] 節點。
選取 雲端管理類型的目標連線。 在功能區中,選取 [ 屬性]。
切換至 [ 應用程式] 索引 標籤。
選取 [停用 Microsoft Entra 此租用戶的驗證] 選項。
選取 [確定 ] 以儲存並關閉連線屬性。
提示
這項變更最多可能需要 25 小時才會在用戶端上生效。 若要測試以加速此行為變更,請使用下列步驟:
- 重新啟動月台伺服器上的 sms_executive 服務。
- 重新啟動用戶端上的 ccmexec 服務。
- 觸發用戶端排程以重新整理預設管理點。 例如,使用 傳送排程工具:
SendSchedule {00000000-0000-0000-0000-000000000023}
檢視 Azure 服務的設定
檢視您已設定要使用的 Azure 服務屬性。 在 Configuration Manager 控制台中,移至 [系統管理] 工作區,展開 [雲端服務],然後選取 [Azure 服務]。 選取您要檢視或編輯的服務,然後選取 [ 屬性]。
如果您選取服務,然後選擇功能區中的 [刪除],此動作會刪除 Configuration Manager 中的連線。 它不會移除 Microsoft Entra ID 中的應用程式。 要求您的 Azure 系統管理員在不再需要時刪除應用程式。 或執行 Azure 服務精靈以匯入應用程式。
雲端管理數據流
下圖是 Configuration Manager、Microsoft Entra ID 和連線雲端服務之間互動的概念數據流。 這個特定範例會使用雲端管理服務,其中包括 Windows 10 用戶端,以及伺服器和用戶端應用程式。 其他服務的流程很類似。
Configuration Manager 系統管理員會在 Microsoft Entra ID 中匯入或建立客戶端和伺服器應用程式。
Configuration Manager Microsoft Entra 使用者探索方法執行。 月臺會使用 Microsoft Entra 伺服器應用程式令牌來查詢 Graph Microsoft用戶物件。
月臺會儲存用戶對象的相關數據。 如需詳細資訊,請參閱 Microsoft Entra 使用者探索。
Configuration Manager 用戶端會要求 Microsoft Entra 使用者令牌。 用戶端會使用 Microsoft Entra 用戶端應用程式的應用程式識別碼,以及伺服器應用程式作為物件來宣告。 如需詳細資訊,請參閱 Microsoft Entra 安全性令牌中的宣告。
用戶端會向雲端管理閘道和已啟用內部部署 HTTPS 的管理點呈現 Microsoft Entra 令牌,以向站台進行驗證。
如需詳細資訊,請參閱 Microsoft Entra 驗證工作流程。