Installer et attribuer des clients Configuration Manager à l’aide d’Azure AD pour l’authentification

Pour installer le client Configuration Manager sur des appareils Windows à l’aide de l’authentification Azure Active Directory (Azure AD), intégrez Configuration Manager à Azure AD. Les clients peuvent être sur l’intranet et communiquer directement avec un point de gestion HTTPS ou tout point de gestion dans un site activé pour le protocole HTTP amélioré. Ils peuvent également communiquer via Internet via la passerelle de gestion cloud ou avec un point de gestion Internet. Ce processus utilise Azure AD pour authentifier les clients sur le site Configuration Manager. Azure AD remplace la nécessité de configurer et d’utiliser des certificats d’authentification client.

La configuration d’Azure AD peut être plus facile pour certains clients que la configuration d’une infrastructure à clé publique pour l’authentification basée sur les certificats. Certaines fonctionnalités vous obligent à intégrer le site à Azure AD, mais ne nécessitent pas nécessairement que les clients soient joints à Azure AD. Pour plus d’informations, consultez les articles suivants :

Avant de commencer

  • Un locataire Azure AD est un prérequis

  • Configuration requise pour l’appareil :

    • Version prise en charge de Windows 10 ou version ultérieure

    • Joint à Azure AD, joint à un domaine cloud pur ou joint à Azure AD hybride

  • Exigences de l’utilisateur :

  • En plus des prérequis existants pour le rôle de système de site de point de gestion, activez également ASP.NET 4.5 sur ce serveur. Incluez toutes les autres options sélectionnées automatiquement lors de l’activation de ASP.NET 4.5.

  • Déterminez si votre point de gestion a besoin de HTTPS. Pour plus d’informations, consultez Activer le point de gestion pour HTTPS.

  • Si vous le souhaitez, configurez une passerelle de gestion cloud (CMG) pour déployer des clients Basés sur Internet. Pour les clients locaux qui s’authentifient auprès d’Azure AD, vous n’avez pas besoin d’une passerelle de gestion cloud.

Conseil

Configuration Manager étend sa prise en charge des appareils basés sur Internet qui ne se connectent pas souvent au réseau interne, ne peuvent pas rejoindre Azure Active Directory (Azure AD) et n’ont pas de méthode pour installer un certificat émis par une infrastructure à clé publique. Pour plus d’informations, consultez Authentification basée sur les jetons pour la passerelle de gestion cloud.

Configurer les services Azure pour la gestion cloud

Connectez votre site Configuration Manager à Azure AD dans un premier temps. Pour plus d’informations sur ce processus, consultez Configurer les services Azure. Créez une connexion au service de gestion cloud .

Activez la découverte d’utilisateurs Azure AD dans le cadre de l’intégration à la gestion cloud.

Une fois ces actions effectuées, votre site Configuration Manager est connecté à Azure AD.

Remarque

Si vos appareils se trouvent dans un locataire Azure AD distinct du locataire disposant d’un abonnement pour les ressources de calcul de la passerelle de gestion cloud, à partir de la version 2010, vous pouvez désactiver l’authentification pour les locataires non associés aux utilisateurs et aux appareils. Pour plus d’informations, consultez Configurer les services Azure.

Configurer des paramètres clients

Ces paramètres client permettent de configurer les appareils Windows pour qu’ils soient joints à un environnement hybride. Ils permettent également aux clients Basés sur Internet d’utiliser la passerelle de gestion cloud.

  1. Configurez les paramètres client suivants dans le groupe Services cloud. Pour plus d’informations, consultez Guide pratique pour configurer les paramètres du client.

    • Autoriser l’accès au point de distribution cloud : activez ce paramètre pour aider les appareils Basés sur Internet à obtenir le contenu requis pour installer le client Configuration Manager. Les appareils peuvent obtenir le contenu de la passerelle de gestion cloud.

    • Inscrire automatiquement de nouveaux appareils Windows 10 ou ultérieurs joints à un domaine auprès d’Azure Active Directory : définissezsur Oui ou Non. Le paramètre par défaut est Oui. Ce comportement est également la valeur par défaut dans Windows.

      Conseil

      Les appareils joints hybrides sont joints à un domaine Active Directory local et inscrits auprès d’Azure AD. Pour plus d’informations, consultez Appareils joints Azure AD hybrides.

    • Autoriser les clients à utiliser une passerelle de gestion cloud : définissez sur Oui (par défaut) ou Non.

  2. Déployez les paramètres client sur le regroupement d’appareils requis. Ne déployez pas ces paramètres sur des regroupements d’utilisateurs.

Pour vérifier que l’appareil est joint à un hybride, exécutez dsregcmd.exe /status dans une invite de commandes. Si l’appareil est joint à Azure AD ou hybride, le champ AzureAdjoined dans les résultats indique OUI. Pour plus d’informations, consultez commande dsregcmd - état de l’appareil.

Installer et inscrire le client à l’aide de l’identité Azure AD

Pour installer manuellement le client à l’aide de l’identité Azure AD, passez d’abord en revue le processus général relatif à l’installation manuelle des clients.

Remarque

L’appareil a besoin d’accéder à Internet pour contacter Azure AD, mais il n’a pas besoin d’être basé sur Internet.

L’exemple suivant montre la structure générale de la ligne de commande : ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Pour plus d’informations, consultez Propriétés d’installation du client.

Le /mp paramètre et CCMHOSTNAME la propriété spécifient l’un des éléments suivants, en fonction du scénario :

  • Point de gestion local. Spécifiez uniquement le /mp paramètre . La CCMHOSTNAME propriété n’est pas obligatoire.
  • Passerelle de gestion cloud
  • Point de gestion basé sur Internet

La SMSMP propriété spécifie le point de gestion local. Ce n’est pas obligatoire. Il est recommandé pour les appareils joints à Azure AD qui se déplacent sur l’intranet, afin qu’ils puissent trouver un point de gestion local.

Cet exemple utilise une passerelle de gestion cloud. Il remplace les exemples de valeurs : ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

Le site publie des informations Azure AD supplémentaires sur la passerelle de gestion cloud (CMG). Un client joint à Azure AD obtient ces informations de la passerelle de gestion cloud pendant le processus ccmsetup, en utilisant le même locataire auquel elle est jointe. Ce comportement simplifie davantage l’installation du client dans un environnement avec plusieurs locataires Azure AD. Les deux seules propriétés ccmsetup requises sont CCMHOSTNAME et SMSSITECODE.

Pour automatiser l’installation du client à l’aide de l’identité Azure AD via Microsoft Intune, consultez Comment préparer des appareils Basés sur Internet pour la cogestion.

Prochaines étapes

Une fois l’opération terminée, vous pouvez continuer à surveiller et à gérer les clients.