CMG のAzure Active Directoryを構成する
Configuration Manager (現在のブランチ) に適用
クラウド管理ゲートウェイ (CMG) を設定する 2 番目の主要な手順は、Configuration Manager サイトをAzure Active Directory (Azure AD) テナントと統合することです。 この統合により、サイトは CMG サービスのデプロイと監視に使用するAzure ADで認証できます。 次の手順でクライアントのAzure AD認証方法を選択した場合、この統合はその認証方法の前提条件になります。
ヒント
この記事では、クラウド管理ゲートウェイ専用のサイトを統合するための規範的なガイダンスを提供します。 このプロセスと、Configuration Manager コンソールの Azure Services ノードのその他の使用方法の詳細については、「Azure サービスの構成」を参照してください。
サイトを統合すると、Azure ADでアプリの登録が作成されます。 CMG には、次の 2 つのアプリ登録が必要です。
- Web アプリ (Configuration Managerでは サーバー アプリとも呼ばれます)
- ネイティブ アプリ (Configuration Managerでは クライアント アプリとも呼ばれます)
これらのアプリを作成するには、次の 2 つの方法があります。どちらも、Azure ADで グローバル管理者 ロールを必要とします。
- Configuration Managerを使用して、サイトを統合するときにアプリの作成を自動化します。
- アプリを事前に手動で作成し、サイトを統合するときにインポートします。
この記事は、主に最初の方法に従います。 その他の方法の詳細については、「CMG 用Azure ADアプリを手動で登録する」を参照してください。
開始する前に、Azure ADグローバル管理者 が利用可能であることを確認します。
注意
事前に作成されたアプリの登録をインポートする場合は、最初にAzure ADで作成する必要があります。 CMG 用のAzure AD アプリを手動で登録する記事から始めます。 次に、この記事に戻って Azure Services ウィザードを実行し、アプリをConfiguration Managerにインポートします。
アプリの登録の目的
これら 2 つのAzure AD アプリの登録は、CMG のサーバーとクライアント側を表します。
クライアント アプリ は、CMG に接続するマネージド クライアントとユーザーを表します。 CMG 自体を含め、Azure 内でアクセスできるリソースを定義します。
サーバー アプリ は、Azure でホストされている CMG コンポーネントを表します。 Azure 内でアクセスできるリソースを定義します。 サーバー アプリは、マネージド クライアント、ユーザー、および Azure ベースの CMG コンポーネントへの CMG 接続ポイントからの認証と承認を容易にするために使用されます。 この通信には、オンプレミスの管理ポイントとソフトウェアの更新ポイントへのトラフィック、Azure での初期 CMG プロビジョニング、Azure AD検出が含まれます。
クライアントが PKI 発行のクライアント認証証明書を使用している場合、2 つのクライアント アプリはデバイス中心のアクティビティには使用されません。 たとえば、デバイス コレクションを対象とするソフトウェア配布などです。 ユーザー中心のアクティビティでは、認証と承認の目的で、常にこれら 2 つのアプリ登録が使用されます。
Azure Services ウィザードを開始する
Configuration Manager コンソールで、[管理] ワークスペースに移動し、Cloud Services 展開して、Azure Services ノードを選択します。
リボンの [ ホーム ] タブの [Azure Services*] グループで、[ Azure Services の 構成] を選択します。
Azure Services ウィザードの [Azure Services] ページで、次の操作を行います。
Configuration Manager内のオブジェクトの名前を指定 します。 この名前は、Configuration Manager内の接続を識別するためだけに使用されます。
このサービス接続をさらに識別するには、省略可能な 説明 を指定します。
Cloud Management サービスを選択します。
Azure Services ウィザード の [アプリ] ページで、テナントの Azure 環境 を選択します。
- AzurePublicCloud: テナントはグローバル Azure クラウドにあります。
- AzureUSGovernmentCloud: テナントは Azure US Government クラウドにあります。
Web (サーバー) アプリの登録を作成する
Azure Services ウィザード ウィンドウの [アプリ] ページで、Web アプリ の [参照] を選択 します。
[サーバー アプリ] ウィンドウで[作成] を選択し、Configuration Managerを使用してアプリの作成を自動化します。
[ サーバー アプリケーションの作成 ] ウィンドウで、次の情報を指定します。
アプリケーション名: アプリのフレンドリ名。
HomePage URL: この値はConfiguration Managerでは使用されませんが、Azure ADで必要です。 既定では、この値は
https://ConfigMgrService.アプリ ID URI: この値は、Azure AD テナントで一意である必要があります。 これは、Configuration Manager クライアントがサービスへのアクセスを要求するために使用するアクセス トークンに含まれます。 既定では、この値は
https://ConfigMgrService. 既定値を次のいずれかの推奨形式に変更します。api://{tenantId}/{string}、たとえば、api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrServicehttps://{verifiedCustomerDomain}/{string}、たとえば、https://contoso.onmicrosoft.com/ConfigMgrService
シークレット キーの有効期間: ドロップダウン リストから 1 年 または 2 年 のいずれかを選択します。 1 年が既定値です。
Azure AD管理者アカウント: [サインイン] を選択して、グローバル管理者としてAzure AD認証します。 Configuration Managerこれらの資格情報は保存されません。 このペルソナは、Configuration Managerのアクセス許可を必要とせず、Azure Services ウィザードを実行するのと同じアカウントである必要はありません。 Azure への認証が正常に完了すると、ページに参照用の Azure ADテナント名 が表示されます。
[OK] を 選択してAzure ADで Web アプリを作成し、[サーバー アプリケーションの作成] ウィンドウを閉じます。
[ サーバー アプリ ] ウィンドウで、新しいアプリが選択されていることを確認し、[ OK] を 選択してウィンドウを保存して閉じます。
ネイティブ (クライアント) アプリの登録を作成する
Azure Services ウィザード ウィンドウの [アプリ] ページで、ネイティブ クライアント アプリ の [参照] を選択 します。
[クライアント アプリ] ウィンドウで[作成] を選択し、Configuration Managerを使用してアプリの作成を自動化します。
[ クライアント アプリケーションの作成 ] ウィンドウで、次の情報を指定します。
アプリケーション名: アプリのフレンドリ名。
Azure AD管理者アカウント: [サインイン] を選択して、グローバル管理者としてAzure AD認証します。 Configuration Managerこれらの資格情報は保存されません。 このペルソナは、Configuration Managerのアクセス許可を必要とせず、Azure Services ウィザードを実行するのと同じアカウントである必要はありません。 Azure への認証が正常に完了すると、ページに参照用の Azure ADテナント名 が表示されます。
[OK] を 選択して、Azure ADでネイティブ アプリを作成し、[クライアント アプリケーションの作成] ウィンドウを閉じます。
[ クライアント アプリ ] ウィンドウで、新しいアプリが選択されていることを確認し、[ OK] を 選択してウィンドウを保存して閉じます。
Azure Services ウィザードを完了する
Azure Services ウィザード で、Web アプリ と ネイティブ クライアント アプリ の両方の値が完了していることを確認します。 [次へ] を選んで続行します。
ウィザードの [検出] ページは、一部のシナリオでのみ必要です。 サイトをAzure ADにオンボードする場合は省略可能であり、CMG を作成する必要はありません。 環境内の特定の機能をサポートするために必要な場合は、後で有効にすることができます。
Azure ADユーザー検出が必要になる可能性がある CMG シナリオの詳細については、「クライアント認証の構成: Azure ADを使用したクライアントのAzure ADとインストール」を参照してください。
この検出方法の詳細については、「ユーザー検出Azure AD構成する」を参照してください。
設定を確認し、ウィザードを完了します。
ウィザードが閉じると、 Azure Services ノードに新しい接続が表示されます。 Configuration Manager コンソールの Azure Active Directory Tenants ノードでテナントとアプリの登録を表示することもできます。
非デバイステナントまたはユーザー テナントのAzure AD認証を無効にする
デバイスが、CMG コンピューティング リソースのサブスクリプションを持つテナントとは別のAzure AD テナントにある場合は、ユーザーとデバイスに関連付けられていないテナントの認証を無効にすることができます。
Cloud Management サービスのプロパティを開きます。
[ アプリケーション ] タブに切り替えます。
このテナントのAzure Active Directory認証を無効にするオプションを選択します。
詳細については、「 Azure サービスの構成」を参照してください。
Azure リソース プロバイダーを構成する
CMG サービスでは、Azure サブスクリプションに特定のリソース プロバイダーを登録する必要があります。 CMG を仮想マシン スケール セットにデプロイするときは、次のリソース プロバイダーを登録します。
- Microsoft.KeyVault
- マイクロソフト。Storage
- Microsoft.Network
- Microsoft.Compute
注意
以前にクラシック クラウド サービスを使用して CMG をデプロイした場合、Azure サブスクリプションには次の 2 つのリソース プロバイダーが必要です。
- Microsoft.ClassicCompute
- マイクロソフト。Storage
バージョン 2203 以降では、 クラウド サービス (クラシック) として CMG をデプロイするオプションが削除されます。 すべての CMG デプロイでは、 仮想マシン スケール セットを使用する必要があります。 詳細については、「 削除された機能と非推奨の機能」を参照してください。
Azure AD アカウントには、リソース プロバイダーの操作を/register/action実行するためのアクセス許可が必要です。 既定では、 共同作成者 ロールと 所有者 ロールには、このアクセス許可が含まれます。
次の手順では、リソース プロバイダーを登録するプロセスの概要を示します。 詳細については、 Azure リソース プロバイダーと種類に関するページを参照してください。
Azure portal にサインインします。
[Azure portal] メニューで、[サブスクリプション] を検索します。 使用可能なオプションから選択します。
表示するサブスクリプションを選択します。
左側のメニューの [設定] で [リソース プロバイダー] を選択します。
登録するリソース プロバイダーを見つけて、[登録] を選択 します。 サブスクリプションで最小限の特権を維持するには、使用できるリソース プロバイダーのみを登録します。
PowerShell を使用して自動化する
必要に応じて、PowerShell を使用してこれらの構成の側面を自動化できます。
Import-CMAADServerApplication コマンドレットを使用して、Configuration ManagerでAzure AD Web/サーバー アプリを定義します。
Import-CMAADClientApplication コマンドレットを使用して、Configuration ManagerでAzure ADネイティブ/クライアント アプリを定義します。
Get-CMAADApplication コマンドレットを使用して、インポートされたアプリ オブジェクトを取得します。
次に、アプリ オブジェクトを New-CMCloudManagementAzureService コマンドレットに渡して、Configuration Managerで Cloud Management 用の Azure サービスを作成します。
次のステップ
使用するクライアント認証の種類を決定して、CMG のセットアップを続行します。