CMG에 대한 Microsoft Entra ID 구성

  • 아티클

적용 대상: Configuration Manager(현재 분기)

CMG(클라우드 관리 게이트웨이)를 설정하는 두 번째 기본 단계는 Configuration Manager 사이트를 Microsoft Entra 테넌트와 통합하는 것입니다. 이 통합을 통해 사이트는 CMG 서비스를 배포하고 모니터링하는 데 사용하는 Microsoft Entra ID로 인증할 수 있습니다. 다음 단계에서 클라이언트에 대한 Microsoft Entra 인증 방법을 선택하는 경우 이 통합은 해당 인증 방법의 필수 구성 요소입니다.

이 문서에서는 클라우드 관리 게이트웨이용으로 사이트를 통합하기 위한 규범적인 지침을 제공합니다. 이 프로세스 및 Configuration Manager 콘솔에서 Azure Services 노드의 다른 사용에 대한 자세한 내용은 Azure 서비스 구성을 참조하세요.

사이트를 통합하면 Microsoft Entra ID로 앱 등록을 만듭니다. CMG에는 두 개의 앱 등록이 필요합니다.

  • 웹앱(Configuration Manager 서버 앱이라고도 함)
  • 네이티브 앱(Configuration Manager 클라이언트 앱이라고도 함)

이러한 앱을 만드는 방법에는 두 가지가 있으며, 둘 다 Microsoft Entra ID에서 전역 관리자 역할이 필요합니다.

  • Configuration Manager 사용하여 사이트를 통합할 때 앱 만들기를 자동화합니다.
  • 앱을 미리 수동으로 만든 다음 사이트를 통합할 때 가져옵니다.

이 문서는 주로 첫 번째 메서드를 따릅니다. 다른 방법에 대한 자세한 내용은 CMG용 Microsoft Entra 앱 수동 등록을 참조하세요.

시작하기 전에 Microsoft Entra ID 전역 관리자를 사용할 수 있는지 확인합니다.

참고

미리 생성된 앱 등록을 가져오려면 먼저 Microsoft Entra ID로 만들어야 합니다. CMG용 Microsoft Entra 앱을 수동으로 등록하는 문서부터 시작합니다. 그런 다음 이 문서로 돌아가서 Azure 서비스 마법사를 실행하고 앱을 가져와 Configuration Manager.

앱 등록의 목적

이러한 두 Microsoft Entra 앱 등록은 CMG의 서버 및 클라이언트 쪽을 나타냅니다.

  • 클라이언트 앱은 CMG에 연결하는 관리되는 클라이언트 및 사용자를 나타냅니다. CMG 자체를 포함하여 Azure 내에서 액세스할 수 있는 리소스를 정의합니다.

  • 서버 앱은 Azure에서 호스트되는 CMG 구성 요소를 나타냅니다. Azure 내에서 액세스할 수 있는 리소스를 정의합니다. 서버 앱은 관리되는 클라이언트, 사용자 및 CMG 연결 지점에서 Azure 기반 CMG 구성 요소에 대한 인증 및 권한 부여를 용이하게 하는 데 사용됩니다. 이 통신에는 온-프레미스 관리 지점 및 소프트웨어 업데이트 지점으로의 트래픽, Azure의 초기 CMG 프로비전 및 Microsoft Entra 검색이 포함됩니다.

클라이언트가 PKI 발급 클라이언트 인증 인증서를 사용하는 경우 두 클라이언트 앱은 디바이스 중심 작업에 사용되지 않습니다. 예를 들어 디바이스 컬렉션을 대상으로 하는 소프트웨어 배포입니다. 사용자 중심 활동은 항상 인증 및 권한 부여를 위해 이러한 두 앱 등록을 사용합니다.

Azure 서비스 마법사 시작

  1. Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 Cloud Services 확장하고 Azure Services 노드를 선택합니다.

  2. 리본의 탭에 있는 Azure Services* 그룹에서 Azure 서비스 구성을 선택합니다.

  3. Azure 서비스 마법사의 Azure 서비스 페이지에서 다음을 수행합니다.

    1. Configuration Manager 개체의 이름을 지정합니다. 이 이름은 Configuration Manager 연결을 식별하기 위한 것입니다.

    2. 선택적 설명을 지정하여 이 서비스 연결을 추가로 식별합니다.

    3. 클라우드 관리 서비스를 선택합니다.

  4. Azure 서비스 마법사 페이지에서 테넌트용 Azure 환경을 선택합니다.

    • AzurePublicCloud: 테넌트는 글로벌 Azure 클라우드에 있습니다.
    • AzureUSGovernmentCloud: 테넌트는 Azure 미국 정부 클라우드에 있습니다.

웹(서버) 앱 등록 만들기

  1. Azure 서비스 마법사 창의 페이지에서 웹앱에 대해 찾아보기를 선택합니다.

  2. 서버 앱 창에서 만들기를 선택하여 Configuration Manager 사용하여 앱 만들기를 자동화합니다.

  3. 서버 애플리케이션 만들기 창에서 다음 정보를 지정합니다.

    • 애플리케이션 이름: 앱의 이름입니다.

    • 홈페이지 URL: 이 값은 Configuration Manager 사용되지 않지만 Microsoft Entra ID에 필요합니다. 기본적으로 이 값은 입니다 https://ConfigMgrService.

    • 앱 ID URI: 이 값은 Microsoft Entra 테넌트에서 고유해야 합니다. Configuration Manager 클라이언트가 서비스에 대한 액세스를 요청하는 데 사용하는 액세스 토큰에 있습니다. 기본적으로 이 값은 입니다 https://ConfigMgrService. 기본값을 다음 권장 형식 중 하나로 변경합니다.

      • api://{tenantId}/{string}, 예를 들어, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}, 예를 들어 https://contoso.onmicrosoft.com/ConfigMgrService

    • 비밀 키 유효 기간: 드롭다운 목록에서 1년 또는 2년을 선택합니다. 1년은 기본값입니다.

    • Microsoft Entra 관리자 계정: 로그인을 선택하여 인증하여 Microsoft Entra ID를 전역 관리자로 인증합니다. Configuration Manager 이러한 자격 증명을 저장하지 않습니다. 이 가상 사용자는 Configuration Manager 권한이 필요하지 않으며 Azure 서비스 마법사를 실행하는 동일한 계정일 필요는 없습니다. Azure에 성공적으로 인증되면 페이지에 참조를 위한 Microsoft Entra 테넌트 이름이 표시됩니다.

  4. 확인을 선택하여 Microsoft Entra ID로 웹앱을 만들고 서버 애플리케이션 만들기 창을 닫습니다.

  5. 서버 앱 창에서 새 앱이 선택되어 있는지 확인한 다음 확인을 선택하여 창을 저장하고 닫습니다.

참고

Configuration Manager 현재 분기 버전 2309부터 CMG를 만들기 위한 웹(서버) 앱의 보안이 향상되었습니다. 새 CMG 만들기의 경우 사용자는 Microsoft Entra 테넌트 이름을 사용하여 테넌트 및 앱 이름을 선택할 수 있습니다. 테넌트 및 앱 이름을 선택하면 로그인 단추가 나타나고 설치 CMG에 따라 프로세스의 나머지 부분을 따릅니다.

기존 CMG 고객은 Microsoft Entra 테넌트 노드>로 이동하여 웹 서버 앱을 업데이트해야 합니다. 테넌트 선택 -> 서버 앱 선택 -> "애플리케이션 설정 업데이트"를 클릭합니다.

네이티브(클라이언트) 앱 등록 만들기

  1. Azure 서비스 마법사 창의 페이지에서 Native Client 앱에 대해 찾아보기를 선택합니다.

  2. 클라이언트 앱 창에서 만들기를 선택하여 Configuration Manager 사용하여 앱 만들기를 자동화합니다.

  3. 클라이언트 애플리케이션 만들기 창에서 다음 정보를 지정합니다.

    • 애플리케이션 이름: 앱의 이름입니다.

    • Microsoft Entra 관리자 계정: 로그인을 선택하여 인증하여 Microsoft Entra ID를 전역 관리자로 인증합니다. Configuration Manager 이러한 자격 증명을 저장하지 않습니다. 이 가상 사용자는 Configuration Manager 권한이 필요하지 않으며 Azure 서비스 마법사를 실행하는 동일한 계정일 필요는 없습니다. Azure에 성공적으로 인증되면 페이지에 참조를 위한 Microsoft Entra 테넌트 이름이 표시됩니다.

  4. 확인을 선택하여 Microsoft Entra ID에서 네이티브 앱을 만들고 클라이언트 애플리케이션 만들기 창을 닫습니다.

  5. 클라이언트 앱 창에서 새 앱이 선택되어 있는지 확인한 다음 확인을 선택하여 창을 저장하고 닫습니다.

Azure 서비스 마법사 완료

  1. Azure 서비스 마법사에서 웹앱Native Client 앱 값이 모두 완료되었는지 확인합니다. 다음을 선택하여 계속합니다.

  2. 마법사의 검색 페이지는 일부 시나리오에서만 필요합니다. MICROSOFT ENTRA ID에 사이트를 온보딩할 때 선택 사항이며 CMG를 만들 필요가 없습니다. 사용자 환경에서 특정 기능을 지원하기 위해 필요한 경우 나중에 사용하도록 설정할 수 있습니다.

    Microsoft Entra 사용자 검색이 필요할 수 있는 CMG 시나리오에 대한 자세한 내용은 클라이언트 인증 구성: Microsoft Entra ID 및 Microsoft Entra ID를 사용하여 클라이언트 설치를 참조하세요.

    이 검색 방법에 대한 자세한 내용은 Microsoft Entra 사용자 검색 구성을 참조하세요.

  3. 설정을 검토하고 마법사를 완료합니다.

마법사가 닫히면 Azure 서비스 노드에 새 연결이 표시됩니다. Configuration Manager 콘솔의 Microsoft Entra 테넌트 노드에서 테넌트 및 앱 등록을 볼 수도 있습니다.

비 디바이스 또는 사용자 테넌트에서 Microsoft Entra 인증 사용 안 함

디바이스가 CMG 컴퓨팅 리소스에 대한 구독이 있는 테넌트와 별개인 Microsoft Entra 테넌트인 경우 사용자 및 디바이스와 연결되지 않은 테넌트에서 인증을 사용하지 않도록 설정할 수 있습니다.

  1. 클라우드 관리 서비스의 속성을 엽니다.

  2. 애플리케이션 탭으로 전환 합니다 .

  3. 이 테넌트에서 Microsoft Entra 인증을 사용하지 않도록 설정하는 옵션을 선택합니다.

자세한 내용은 Azure 서비스 구성을 참조하세요.

Azure 리소스 공급자 구성

CMG 서비스를 사용하려면 Azure 구독에 특정 리소스 공급자를 등록해야 합니다. 가상 머신 확장 집합에 CMG를 배포하는 경우 다음 리소스 공급자를 등록합니다.

  • Microsoft.KeyVault
  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute

참고

이전에 클래식 클라우드 서비스를 사용하여 CMG를 배포한 경우 Azure 구독에는 다음 두 개의 리소스 공급자가 필요합니다.

  • Microsoft.ClassicCompute
  • Microsoft.Storage

버전 2203부터 CMG를 클라우드 서비스(클래식) 로 배포하는 옵션이 제거됩니다. 모든 CMG 배포는 가상 머신 확장 집합을 사용해야 합니다. 자세한 내용은 제거 및 사용되지 않는 기능을 참조하세요.

Microsoft Entra 계정에는 리소스 공급자에 대한 작업을 수행할 수 있는 /register/action 권한이 필요합니다. 기본적으로 기여자소유자 역할에는 이 권한이 포함됩니다.

다음 단계에서는 리소스 공급자를 등록하는 프로세스를 요약합니다. 자세한 내용은 Azure 리소스 공급자 및 유형을 참조하세요.

  1. Azure 포털에 로그인합니다.

  2. Azure Portal 메뉴에서 구독을 검색합니다. 사용 가능한 옵션에서 선택합니다.

  3. 보려는 구독을 선택합니다.

  4. 왼쪽 메뉴의 설정에서 리소스 공급자를 선택합니다.

  5. 등록할 리소스 공급자를 찾고 등록을 선택합니다. 구독에서 최소 권한을 유지하려면 사용할 준비가 된 리소스 공급자만 등록합니다.

PowerShell을 사용하여 자동화

필요에 따라 PowerShell을 사용하여 이러한 구성의 측면을 자동화할 수 있습니다.

  1. Import-CMAADServerApplication cmdlet을 사용하여 Configuration Manager Microsoft Entra 웹/서버 앱을 정의합니다.

  2. Import-CMAADClientApplication cmdlet을 사용하여 Configuration Manager Microsoft Entra 네이티브/클라이언트 앱을 정의합니다.

  3. Get-CMAADApplication cmdlet을 사용하여 가져온 앱 개체를 가져옵니다.

  4. 그런 다음 앱 개체를 New-CMCloudManagementAzureService cmdlet에 전달하여 Configuration Manager 클라우드 관리를 위한 Azure 서비스를 만듭니다.

다음 단계

사용할 클라이언트 인증 유형을 결정하여 CMG 설정을 계속합니다.

클라이언트 인증 구성