Configuration Manager-ügyfelek telepítése és hozzárendelése Microsoft Entra-azonosító használatával a hitelesítéshez
A Configuration Manager-ügyfél windowsos eszközökre Microsoft Entra hitelesítéssel történő telepítéséhez integrálja Configuration Manager Microsoft Entra azonosítóval. Az ügyfelek lehetnek az intraneten, közvetlenül kommunikálva egy HTTPS-kompatibilis felügyeleti ponttal, vagy bármely olyan felügyeleti ponttal egy helyen, amelyen engedélyezve van a Bővített HTTP. Ezek lehetnek internetes kommunikációk is a CMG-vel vagy egy internetes felügyeleti ponttal. Ez a folyamat Microsoft Entra azonosítóval hitelesíti az ügyfeleket a Configuration Manager helyen. Microsoft Entra azonosító felváltja az ügyfél-hitelesítési tanúsítványok konfigurálásának és használatának szükségességét.
Az Microsoft Entra-azonosító beállítása egyes ügyfelek számára egyszerűbb lehet, mint a tanúsítványalapú hitelesítés nyilvános kulcsú infrastruktúrájának beállítása. Vannak olyan funkciók, amelyek megkövetelik a webhely előkészítését az azonosító Microsoft Entra, de nem feltétlenül igénylik az ügyfelek Microsoft Entra csatlakoztatását. További információt az alábbi cikkekben talál:
Az első lépések
A Microsoft Entra bérlő előfeltétele
Eszközkövetelmények:
A Windows 10 vagy újabb támogatott verziója
Csatlakozva Microsoft Entra azonosítóhoz, vagy csak felhőalapú tartományhoz csatlakozik, vagy Microsoft Entra hibrid csatlakozással
Felhasználói követelmények:
A bejelentkezett felhasználónak Microsoft Entra identitásnak kell lennie.
Ha a felhasználó összevont vagy szinkronizált identitás, konfigurálja Configuration Manager Active Directory-felhasználófelderítést és Microsoft Entra felhasználófelderítést is. A hibrid identitásokkal kapcsolatos további információkért lásd: Hibrid identitásbevezetési stratégia meghatározása.
A felügyeleti pont helyrendszerszerepkörének meglévő előfeltételei mellett engedélyezze a ASP.NET 4.5-ös verziót is ezen a kiszolgálón. Adja meg a ASP.NET 4.5 engedélyezésekor automatikusan kiválasztott egyéb beállításokat.
Állapítsa meg, hogy a felügyeleti pontnak https-ra van-e szüksége. További információ: Felügyeleti pont engedélyezése HTTPS-hez.
Igény szerint beállíthat egy felhőfelügyeleti átjárót (CMG) az internetalapú ügyfelek üzembe helyezéséhez. Az Microsoft Entra azonosítóval hitelesítendő helyszíni ügyfelek esetében nincs szükség CMG-re.
Tipp
Configuration Manager kiterjeszti az olyan internetes eszközök támogatását, amelyek gyakran nem csatlakoznak a belső hálózathoz, nem tudnak csatlakozni Microsoft Entra azonosítóhoz, és nem rendelkeznek a PKI által kibocsátott tanúsítvány telepítésének módjával. További információ: Jogkivonat-alapú hitelesítés CMG-hez.
Az Azure-szolgáltatások konfigurálása a felhőfelügyelethez
Első lépésként csatlakoztassa a Configuration Manager-webhelyet Microsoft Entra azonosítóhoz. A folyamat részleteiért lásd: Azure-szolgáltatások konfigurálása. Hozzon létre egy kapcsolatot a Cloud Management szolgáltatással.
Engedélyezze Microsoft Entra felhasználófelderítést a felhőfelügyeletbe való előkészítés részeként.
A műveletek elvégzése után a Configuration Manager webhely Microsoft Entra-azonosítóhoz csatlakozik.
Megjegyzés:
Ha az eszközei olyan Microsoft Entra bérlőben találhatók, amely elkülönül a CMG számítási erőforrások előfizetésével rendelkező bérlőtől, a 2010-es verziótól kezdődően letilthatja a felhasználókhoz és eszközökhöz nem társított bérlők hitelesítését. További információ: Azure-szolgáltatások konfigurálása.
Az ügyfélbeállítások konfigurálása
Ezek az ügyfélbeállítások segítenek a Windows-eszközök hibrid csatlakoztatásának konfigurálásában. Emellett lehetővé teszik az internetalapú ügyfelek számára a CMG használatát.
Konfigurálja a következő ügyfélbeállításokat a Cloud Services csoportban. További információ: Ügyfélbeállítások konfigurálása.
Felhőbeli terjesztési ponthoz való hozzáférés engedélyezése: Engedélyezze ezt a beállítást, hogy az internetalapú eszközök megkapják a Configuration Manager-ügyfél telepítéséhez szükséges tartalmakat. Az eszközök lekérhetik a tartalmat a CMG-ből.
Új Windows 10 vagy újabb tartományhoz csatlakoztatott eszközök automatikus regisztrálása Microsoft Entra azonosítóval: Állítsa igen vagy nem értékre. Az alapértelmezett beállítás az Igen. Ez a viselkedés a Windowsban is az alapértelmezett.
Tipp
A hibrid csatlakoztatott eszközök egy helyi Active Directory tartományhoz csatlakoznak, és Microsoft Entra azonosítóval vannak regisztrálva. További információ: hibrid csatlakoztatott eszközök Microsoft Entra.
Engedélyezze az ügyfelek számára a felhőfelügyeleti átjáró használatát: Állítsa Igen (alapértelmezett) vagy Nem értékre.
Telepítse az ügyfélbeállításokat a szükséges eszközgyűjteményben. Ezeket a beállításokat ne helyezze üzembe a felhasználói gyűjteményekben.
Az eszköz hibrid csatlakoztatásának ellenőrzéséhez futtassa a parancsot dsregcmd.exe /status
egy parancssorban. Ha az eszköz Microsoft Entra csatlakozik vagy hibrid csatlakozik, az eredmények AzureAdjoined mezőjében az IGEN érték jelenik meg. További információ: dsregcmd parancs – eszközállapot.
Az ügyfél telepítése és regisztrálása Microsoft Entra identitás használatával
Ha manuálisan szeretné telepíteni az ügyfelet Microsoft Entra identitással, először tekintse át az ügyfelek manuális telepítésének általános folyamatát.
Megjegyzés:
Az eszköznek hozzá kell férnie az internethez Microsoft Entra azonosítóhoz, de nem kell internetalapúnak lennie.
Az alábbi példa a parancssor általános szerkezetét mutatja be: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
További információ: Ügyféltelepítési tulajdonságok.
A /mp
paraméter és CCMHOSTNAME
a tulajdonság a forgatókönyvtől függően az alábbiak egyikét adja meg:
- Helyszíni felügyeleti pont. Csak a paramétert
/mp
adja meg. ACCMHOSTNAME
tulajdonságra nincs szükség. - Felhőfelügyeleti átjáró
- Internetalapú felügyeleti pont
A SMSMP
tulajdonság határozza meg a helyszíni felügyeleti pontot. Ez nem kötelező. Az intranetre barangoló Microsoft Entra csatlakoztatott eszközökhöz ajánlott, hogy megtalálják a helyszíni felügyeleti pontot.
Ez a példa egy felhőfelügyeleti átjárót használ. A mintaértékek helyébe lép: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
A webhely további Microsoft Entra információkat tesz közzé a felhőfelügyeleti átjáró (CMG) számára. A Microsoft Entra csatlakoztatott ügyfél a ccmsetup folyamat során kapja meg ezeket az információkat a CMG-ből ugyanazzal a bérlővel, amelyhez csatlakozik. Ez a viselkedés tovább egyszerűsíti az ügyfél telepítését egy több Microsoft Entra bérlővel rendelkező környezetben. A ccmsetup csak két kötelező tulajdonsága a és SMSSITECODE
aCCMHOSTNAME
.
Ha automatizálni szeretné az ügyfél telepítését Microsoft Entra identitással Microsoft Intune keresztül, tekintse meg az internetes eszközök együttes felügyeletre való előkészítését ismertető cikket.
Következő lépések
Ha végzett, továbbra is figyelheti és kezelheti az ügyfeleket.