Instalación y asignación de clientes de Configuration Manager mediante el identificador de Microsoft Entra para la autenticación

Para instalar el cliente de Configuration Manager en dispositivos Windows mediante la autenticación de Microsoft Entra, integre Configuration Manager con Microsoft Entra id. Los clientes pueden estar en la intranet comunicándose directamente con un punto de administración habilitado para HTTPS o con cualquier punto de administración de un sitio habilitado para HTTP mejorado. También se pueden comunicar por Internet a través de CMG o con un punto de administración basado en Internet. Este proceso usa Microsoft Entra identificador para autenticar clientes en el sitio de Configuration Manager. Microsoft Entra identificador reemplaza la necesidad de configurar y usar certificados de autenticación de cliente.

Configurar Microsoft Entra identificador puede ser más fácil para algunos clientes que configurar una infraestructura de clave pública para la autenticación basada en certificados. Hay características que requieren que incorpore el sitio para Microsoft Entra identificador, pero no requieren necesariamente que los clientes estén Microsoft Entra unidos. Para obtener más información, consulte los artículos siguientes:

• Planear el identificador de Microsoft Entra
• Uso del identificador de Microsoft Entra para la administración conjunta

Antes de empezar

• Un inquilino de Microsoft Entra es un requisito previo

• Requisitos del dispositivo:

  • Una versión compatible de Windows 10 o posterior

  • Unido a Microsoft Entra identificador, unido a un dominio de nube pura o Microsoft Entra unido a un dominio híbrido

• Requisitos de usuario:

  • El usuario que ha iniciado sesión debe ser una identidad Microsoft Entra.

  • Si el usuario es una identidad federada o sincronizada, configure Configuration Manager detección de usuarios de Active Directory y Microsoft Entra detección de usuarios. Para obtener más información sobre las identidades híbridas, consulte Definición de una estrategia de adopción de identidades híbridas.

• Además de los requisitos previos existentes para el rol de sistema de sitio de punto de administración, habilite también ASP.NET 4.5 en este servidor. Incluya cualquier otra opción que se seleccione automáticamente al habilitar ASP.NET 4.5.

• Determine si el punto de administración necesita HTTPS. Para obtener más información, consulte Habilitación del punto de administración para HTTPS.

• Opcionalmente, configure una puerta de enlace de administración en la nube (CMG) para implementar clientes basados en Internet. En el caso de los clientes locales que se autentican con Microsoft Entra identificador, no necesita un CMG.

Sugerencia

Configuration Manager amplía su compatibilidad con dispositivos basados en Internet que no suelen conectarse a la red interna, no pueden unirse a Microsoft Entra id. y no tienen un método para instalar un certificado emitido por PKI. Para obtener más información, consulte Autenticación basada en tokens para CMG.

Configuración de Azure Services for Cloud Management

Conecte el sitio Configuration Manager a Microsoft Entra id. como primer paso. Para más información sobre este proceso, consulte Configuración de servicios de Azure. Cree una conexión con el servicio Cloud Management .

Habilite Microsoft Entra detección de usuarios como parte de la incorporación a Cloud Management.

Después de completar estas acciones, el sitio de Configuration Manager se conecta a Microsoft Entra identificador.

Nota:

Si los dispositivos están en un inquilino de Microsoft Entra que es independiente del inquilino con una suscripción para los recursos de proceso de CMG, a partir de la versión 2010 puede deshabilitar la autenticación para inquilinos no asociados a usuarios y dispositivos. Para más información, consulte Configuración de servicios de Azure.

Configurar las opciones de cliente

Esta configuración de cliente ayuda a configurar los dispositivos Windows para que estén unidos a un entorno híbrido. También permiten a los clientes basados en Internet usar cmg.

1. Configure las siguientes opciones de cliente en el grupo de Cloud Services. Para obtener más información, consulte Configuración de cliente.

   • Permitir el acceso al punto de distribución de nube: habilite esta configuración para ayudar a los dispositivos basados en Internet a obtener el contenido necesario para instalar el cliente de Configuration Manager. Los dispositivos pueden obtener el contenido de CMG.

   • Registre automáticamente nuevos dispositivos unidos a un dominio Windows 10 o posteriores con Microsoft Entra id. : establezca en Sí o No. La configuración predeterminada es Sí. Este comportamiento también es el predeterminado en Windows.

     Sugerencia

     Los dispositivos unidos a híbridos se unen a un dominio Active Directory local y se registran con Microsoft Entra identificador. Para obtener más información, consulte Microsoft Entra dispositivos unidos a híbridos.

   • Permitir que los clientes usen una puerta de enlace de administración en la nube: establezca en Sí (valor predeterminado) o No.

2. Implemente la configuración de cliente en la colección necesaria de dispositivos. No implemente esta configuración en colecciones de usuarios.

Para confirmar que el dispositivo está unido a un sistema híbrido, ejecute dsregcmd.exe /status en un símbolo del sistema. Si el dispositivo está Microsoft Entra unido o unido a híbridos, el campo AzureAdjoined de los resultados muestra SÍ. Para obtener más información, vea comando dsregcmd: estado del dispositivo.

Instalación y registro del cliente mediante Microsoft Entra identidad

Para instalar manualmente el cliente mediante Microsoft Entra identidad, revise primero el proceso general sobre cómo instalar clientes manualmente.

Nota:

El dispositivo necesita acceso a Internet para ponerse en contacto con Microsoft Entra identificador, pero no es necesario que esté basado en Internet.

En el ejemplo siguiente se muestra la estructura general de la línea de comandos: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Para obtener más información, consulte Propiedades de instalación de cliente.

El /mp parámetro y CCMHOSTNAME la propiedad especifican uno de los siguientes, en función del escenario:

• Punto de administración local. Especifique solo el /mp parámetro . La CCMHOSTNAME propiedad no es necesaria.
• Puerta de enlace de administración en la nube
• Punto de administración basado en Internet

La SMSMP propiedad especifica el punto de administración local. No es necesario. Se recomienda para Microsoft Entra dispositivos unidos que se desplazan por la intranet para que puedan encontrar un punto de administración local.

En este ejemplo se usa una puerta de enlace de administración en la nube. Reemplaza los valores de ejemplo: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

El sitio publica información adicional Microsoft Entra en la puerta de enlace de administración en la nube (CMG). Un cliente unido a Microsoft Entra obtiene esta información de CMG durante el proceso de ccmsetup, con el mismo inquilino al que está unido. Este comportamiento simplifica aún más la instalación del cliente en un entorno con más de un inquilino Microsoft Entra. Las dos únicas propiedades de ccmsetup necesarias son CCMHOSTNAME y SMSSITECODE.

Para automatizar la instalación del cliente mediante Microsoft Entra identidad a través de Microsoft Intune, consulte Preparación de dispositivos basados en Internet para la administración conjunta.

Siguientes pasos

Una vez completado, puede seguir supervisando y administrando clientes.