Instalace a přiřazení klientů Configuration Manager pomocí ID Microsoft Entra pro ověřování
Pokud chcete nainstalovat klienta Configuration Manager na zařízení s Windows pomocí ověřování Microsoft Entra, integrujte Configuration Manager s id Microsoft Entra. Klienti můžou být v intranetu, který komunikuje přímo s bodem správy s povoleným protokolem HTTPS, nebo s jakýmkoli bodem správy v lokalitě s povoleným rozšířeným protokolem HTTP. Můžou být také internetové komunikace prostřednictvím cmg nebo s internetovým bodem správy. Tento proces používá Microsoft Entra ID k ověření klientů v lokalitě Configuration Manager. Microsoft Entra ID nahrazuje nutnost konfigurovat a používat certifikáty pro ověřování klientů.
Nastavení id Microsoft Entra může být pro některé zákazníky jednodušší než nastavení infrastruktury veřejných klíčů pro ověřování na základě certifikátů. Existují funkce, které vyžadují připojení lokality k Microsoft Entra ID, ale nemusí nutně vyžadovat připojení klientů Microsoft Entra. Další informace najdete v následujících článcích:
Než začnete
Předpokladem je Microsoft Entra tenant.
Požadavky na zařízení:
Podporovaná verze Windows 10 nebo novější
Připojeno k id Microsoft Entra, buď připojené k čistě cloudové doméně, nebo Microsoft Entra hybrid join
Požadavky uživatelů:
Přihlášený uživatel musí být identita Microsoft Entra.
Pokud je uživatel federovaná nebo synchronizovaná identita, nakonfigurujte zjišťování uživatelů služby Active Directory Configuration Manager i Microsoft Entra zjišťování uživatelů. Další informace o hybridních identitách najdete v tématu Definování strategie přijetí hybridních identit.
Kromě existujících požadavků na roli systému lokality bodu správy povolte na tomto serveru také ASP.NET 4.5 . Zahrňte všechny další možnosti, které se automaticky vyberou při povolování ASP.NET 4.5.
Určete, jestli váš bod správy potřebuje protokol HTTPS. Další informace najdete v tématu Povolení bodu správy pro HTTPS.
Volitelně můžete nastavit bránu pro správu cloudu (CMG) pro nasazení internetových klientů. Pro místní klienty, kteří se ověřují pomocí id Microsoft Entra, nepotřebujete cmg.
Tip
Configuration Manager rozšiřuje podporu internetových zařízení, která se často nepřipojují k interní síti, nemůžou se připojit Microsoft Entra ID a nemají metodu instalace certifikátu vystaveného pkI. Další informace najdete v tématu Ověřování pomocí tokenů pro CMG.
Konfigurace služeb Azure Pro správu cloudu
Jako první krok připojte web Configuration Manager k ID Microsoft Entra. Podrobnosti o tomto procesu najdete v tématu Konfigurace služeb Azure. Vytvořte připojení ke službě Správa cloudu .
Povolte zjišťování uživatelů Microsoft Entra jako součást onboardingu do správy cloudu.
Po dokončení těchto akcí se web Configuration Manager připojí k ID Microsoft Entra.
Poznámka
Pokud jsou vaše zařízení v tenantovi Microsoft Entra, který je oddělený od tenanta s předplatným pro výpočetní prostředky CMG, můžete od verze 2010 zakázat ověřování pro tenanty, kteří nejsou přidruženi k uživatelům a zařízením. Další informace najdete v tématu Konfigurace služeb Azure.
Konfigurace nastavení klienta
Tato nastavení klienta pomáhají nakonfigurovat zařízení s Windows tak, aby byla hybridní připojení. Umožňují také internetovým klientům používat cmg.
Ve skupině Cloud Services nakonfigurujte následující nastavení klienta. Další informace najdete v tématu Konfigurace nastavení klienta.
Povolit přístup ke cloudovému distribučnímu bodu: Povolením tohoto nastavení pomůžete internetovým zařízením získat požadovaný obsah k instalaci klienta Configuration Manager. Zařízení můžou získat obsah z CMG.
Automatická registrace nových Windows 10 nebo novějších zařízení připojených k doméně s ID Microsoft Entra: Nastavte na Ano nebo Ne. Výchozí nastavení je Ano. Toto chování je také výchozí ve Windows.
Tip
Zařízení připojená k hybridnímu připojení jsou připojená k doméně místní Active Directory a zaregistrovaná s ID Microsoft Entra. Další informace najdete v tématu Microsoft Entra hybridně připojená zařízení.
Povolit klientům používat bránu pro správu cloudu: Nastavte na Ano (výchozí) nebo Ne.
Nasaďte nastavení klienta do požadované kolekce zařízení. Tato nastavení nenasazujte do kolekcí uživatelů.
Pokud chcete ověřit, že je zařízení připojené k hybridnímu připojení, spusťte dsregcmd.exe /status
příkaz na příkazovém řádku. Pokud je zařízení Microsoft Entra připojené nebo hybridně připojené, zobrazí se v poli AzureAdjoined ve výsledcích ano. Další informace najdete v tématu příkaz dsregcmd – stav zařízení.
Instalace a registrace klienta pomocí Microsoft Entra identity
Pokud chcete klienta nainstalovat ručně pomocí Microsoft Entra identity, nejprve si projděte obecný postup v tématu Ruční instalace klientů.
Poznámka
Zařízení potřebuje přístup k internetu, aby bylo možné kontaktovat id Microsoft Entra, ale nemusí být internetové.
Následující příklad ukazuje obecnou strukturu příkazového řádku: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
Další informace najdete v tématu Vlastnosti instalace klienta.
Parametr /mp
a CCMHOSTNAME
vlastnost určují jednu z následujících možností v závislosti na scénáři:
- Místní bod správy. Zadejte
/mp
pouze parametr . VlastnostCCMHOSTNAME
není povinná. - Brána pro správu cloudu
- Internetový bod správy
Vlastnost SMSMP
určuje místní bod správy. Není to nutné. Doporučuje se pro Microsoft Entra připojená zařízení, která se přetahují do intranetu, aby našly místní bod správy.
V tomto příkladu se používá brána pro správu cloudu. Nahradí ukázkové hodnoty: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
Web publikuje další Microsoft Entra informace do brány pro správu cloudu (CMG). Microsoft Entra připojený klient získá tyto informace z CMG během procesu ccmsetup pomocí stejného tenanta, ke kterému je připojený. Toto chování dále zjednodušuje instalaci klienta v prostředí s více než jedním Microsoft Entra tenantem. Jediné dvě požadované vlastnosti ccmsetup jsou CCMHOSTNAME
a SMSSITECODE
.
Pokud chcete automatizovat instalaci klienta pomocí Microsoft Entra identity prostřednictvím Microsoft Intune, přečtěte si téma Příprava internetových zařízení na spolusprávu.
Další kroky
Po dokončení můžete pokračovat v monitorování a správě klientů.