Installieren und Zuweisen Configuration Manager Clients mit Microsoft Entra-ID für die Authentifizierung
Um den Configuration Manager-Client auf Windows-Geräten mit Microsoft Entra-Authentifizierung zu installieren, integrieren Sie Configuration Manager mit Microsoft Entra-ID. Clients können im Intranet direkt mit einem HTTPS-fähigen Verwaltungspunkt oder einem beliebigen Verwaltungspunkt an einem Standort kommunizieren, der für erweitertes HTTP aktiviert ist. Sie können auch internetbasiert über das CMG oder mit einem internetbasierten Verwaltungspunkt kommunizieren. Bei diesem Prozess wird Microsoft Entra-ID verwendet, um Clients beim Configuration Manager Standort zu authentifizieren. Microsoft Entra ID ersetzt die Notwendigkeit, Clientauthentifizierungszertifikate zu konfigurieren und zu verwenden.
Das Einrichten Microsoft Entra ID ist für einige Kunden möglicherweise einfacher als das Einrichten einer Public Key-Infrastruktur für die zertifikatbasierte Authentifizierung. Es gibt Features, für die Sie das Onboarding des Standorts in Microsoft Entra ID erfordern, aber nicht unbedingt, dass die Clients Microsoft Entra eingebunden sind. Weitere Informationen finden Sie in den folgenden Artikeln:
Bevor Sie beginnen:
Voraussetzung ist ein Microsoft Entra Mandant.
Geräteanforderungen:
Eine unterstützte Version von Windows 10 oder höher
Mit Microsoft Entra ID verknüpft, entweder rein in die Clouddomäne eingebunden oder Microsoft Entra hybrid eingebunden
Benutzeranforderungen:
Der angemeldete Benutzer muss eine Microsoft Entra Identität sein.
Wenn der Benutzer eine Verbund- oder synchronisierte Identität ist, konfigurieren Sie sowohl Configuration Manager Active Directory-Benutzerermittlung als auch Microsoft Entra Benutzerermittlung. Weitere Informationen zu Hybrididentitäten finden Sie unter Definieren einer Strategie für die Einführung von Hybrididentitäten.
Aktivieren Sie zusätzlich zu den vorhandenen Voraussetzungen für die Standortsystemrolle "Verwaltungspunkt" auch ASP.NET 4.5 auf diesem Server. Schließen Sie alle anderen Optionen ein, die beim Aktivieren von ASP.NET 4.5 automatisch ausgewählt werden.
Bestimmen Sie, ob Ihr Verwaltungspunkt HTTPS benötigt. Weitere Informationen finden Sie unter Aktivieren des Verwaltungspunkts für HTTPS.
Richten Sie optional ein Cloudverwaltungsgateway (CLOUD Management Gateway , CMG) ein, um internetbasierte Clients bereitzustellen. Für lokale Clients, die sich mit Microsoft Entra-ID authentifizieren, benötigen Sie kein CMG.
Tipp
Configuration Manager erweitert die Unterstützung für internetbasierte Geräte, die nicht häufig eine Verbindung mit dem internen Netzwerk herstellen, Microsoft Entra-ID nicht verknüpfen können und keine Methode zum Installieren eines von der PKI ausgestellten Zertifikats haben. Weitere Informationen finden Sie unter Tokenbasierte Authentifizierung für CMG.
Konfigurieren von Azure-Diensten für die Cloudverwaltung
Verbinden Sie Ihren Configuration Manager Standort im ersten Schritt mit Microsoft Entra ID. Ausführliche Informationen zu diesem Prozess finden Sie unter Konfigurieren von Azure-Diensten. Erstellen Sie eine Verbindung mit dem Cloud Management-Dienst .
Aktivieren Sie Microsoft Entra Benutzerermittlung im Rahmen des Onboardings in die Cloudverwaltung.
Nachdem Sie diese Aktionen ausgeführt haben, wird Ihre Configuration Manager-Website mit Microsoft Entra ID verbunden.
Hinweis
Wenn sich Ihre Geräte in einem Microsoft Entra Mandanten befinden, der vom Mandanten mit einem Abonnement für die CMG-Computeressourcen getrennt ist, können Sie ab Version 2010 die Authentifizierung für Mandanten deaktivieren, die nicht Benutzern und Geräten zugeordnet sind. Weitere Informationen finden Sie unter Konfigurieren von Azure-Diensten.
Konfigurieren von Clienteinstellungen
Mithilfe dieser Clienteinstellungen können Sie Windows-Geräte so konfigurieren, dass sie hybrid eingebunden sind. Außerdem ermöglichen sie internetbasierten Clients die Verwendung des CMG.
Konfigurieren Sie die folgenden Clienteinstellungen in der gruppe Cloud Services. Weitere Informationen finden Sie unter Konfigurieren von Clienteinstellungen.
Zugriff auf Cloudverteilungspunkt zulassen: Aktivieren Sie diese Einstellung, damit internetbasierte Geräte den erforderlichen Inhalt abrufen können, um den Configuration Manager-Client zu installieren. Geräte können den Inhalt aus dem CMG abrufen.
Automatisches Registrieren neuer Windows 10 oder höher in die Domäne eingebundener Geräte mit Microsoft Entra ID: Auf Ja oder Nein festgelegt. Die Standardeinstellung ist Ja. Dieses Verhalten ist auch das Standardverhalten in Windows.
Tipp
Hybrid eingebundene Geräte werden mit einer lokales Active Directory Domäne verknüpft und mit Microsoft Entra ID registriert. Weitere Informationen finden Sie unter Microsoft Entra hybrid eingebundenen Geräten.
Clients die Verwendung eines Cloudverwaltungsgateways ermöglichen: Legen Sie auf Ja (Standard) oder Nein fest.
Stellen Sie die Clienteinstellungen für die erforderliche Sammlung von Geräten bereit. Stellen Sie diese Einstellungen nicht für Benutzersammlungen bereit.
Führen dsregcmd.exe /status
Sie in einer Eingabeaufforderung aus, um zu bestätigen, dass das Gerät hybrid eingebunden ist. Wenn das Gerät Microsoft Entra oder hybrid eingebunden ist, wird im Feld AzureAdjoined in den Ergebnissen JA angezeigt. Weitere Informationen finden Sie unter befehl dsregcmd – Gerätestatus.
Installieren und Registrieren des Clients mit Microsoft Entra Identität
Wenn Sie den Client mithilfe Microsoft Entra Identität manuell installieren möchten, lesen Sie zunächst den allgemeinen Prozess unter Manuelles Installieren von Clients.
Hinweis
Das Gerät benötigt Zugriff auf das Internet, um Microsoft Entra-ID zu kontaktieren, muss aber nicht internetbasiert sein.
Das folgende Beispiel zeigt die allgemeine Struktur der Befehlszeile: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
Weitere Informationen finden Sie unter Clientinstallationseigenschaften.
Der /mp
Parameter und CCMHOSTNAME
die Eigenschaft geben je nach Szenario eine der folgenden Optionen an:
- Lokaler Verwaltungspunkt. Geben Sie nur den Parameter an
/mp
. DieCCMHOSTNAME
-Eigenschaft ist nicht erforderlich. - Cloudverwaltungsgateway
- Internetbasierter Verwaltungspunkt
Die SMSMP
-Eigenschaft gibt den lokalen Verwaltungspunkt an. Dies ist nicht erforderlich. Dies wird für Microsoft Entra eingebundene Geräte empfohlen, die über das Intranet übertragen werden, damit sie einen lokalen Verwaltungspunkt finden können.
In diesem Beispiel wird ein Cloudverwaltungsgateway verwendet. Es ersetzt Beispielwerte: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
Die Website veröffentlicht zusätzliche Microsoft Entra Informationen für das Cloudverwaltungsgateway (CMG). Ein Microsoft Entra eingebundener Client ruft diese Informationen während des ccmsetup-Prozesses vom CMG ab und verwendet dabei denselben Mandanten, mit dem er verknüpft ist. Dieses Verhalten vereinfacht die Installation des Clients in einer Umgebung mit mehr als einem Microsoft Entra Mandanten. Die einzigen beiden erforderlichen ccmsetup-Eigenschaften sind CCMHOSTNAME
und SMSSITECODE
.
Informationen zum Automatisieren der Clientinstallation mithilfe Microsoft Entra Identität über Microsoft Intune finden Sie unter Vorbereiten von internetbasierten Geräten für die Co-Verwaltung.
Nächste Schritte
Nach Abschluss des Vorgangs können Sie clients weiterhin überwachen und verwalten.