Installare e assegnare client Configuration Manager usando Microsoft Entra ID per l'autenticazione
Per installare il client Configuration Manager nei dispositivi Windows usando l'autenticazione Microsoft Entra, integrare Configuration Manager con Microsoft Entra ID. I client possono trovarsi nella Intranet che comunicano direttamente con un punto di gestione abilitato per HTTPS o con qualsiasi punto di gestione in un sito abilitato per HTTP avanzato. Possono anche essere comunicazioni basate su Internet tramite cmg o con un punto di gestione basato su Internet. Questo processo usa Microsoft Entra ID per autenticare i client nel sito Configuration Manager. Microsoft Entra ID sostituisce la necessità di configurare e usare i certificati di autenticazione client.
La configurazione dell'ID Microsoft Entra può essere più semplice per alcuni clienti rispetto alla configurazione di un'infrastruttura a chiave pubblica per l'autenticazione basata su certificato. Esistono funzionalità che richiedono l'onboarding del sito per Microsoft Entra ID, ma non richiedono necessariamente che i client vengano Microsoft Entra aggiunti. Per altre informazioni, vedere gli articoli seguenti:
Prima di iniziare
Un tenant Microsoft Entra è un prerequisito
Requisiti del dispositivo:
Una versione supportata di Windows 10 o versioni successive
Aggiunta all'ID Microsoft Entra, aggiunto a un dominio cloud puro o Microsoft Entra aggiunto a un ambiente ibrido
Requisiti utente:
L'utente connesso deve essere un'identità Microsoft Entra.
Se l'utente è un'identità federata o sincronizzata, configurare sia Configuration Manager individuazione utente di Active Directory che Microsoft Entra individuazione utente. Per altre informazioni sulle identità ibride, vedere Definire una strategia di adozione ibrida delle identità.
Oltre ai prerequisiti esistenti per il ruolo del sistema del sito del punto di gestione, abilitare anche ASP.NET 4.5 nel server. Includere tutte le altre opzioni selezionate automaticamente quando si abilita ASP.NET 4.5.
Determinare se il punto di gestione necessita di HTTPS. Per altre informazioni, vedere Abilitare il punto di gestione per HTTPS.
Facoltativamente, configurare un gateway di gestione cloud (CMG) per distribuire client basati su Internet. Per i client locali che eseguono l'autenticazione con Microsoft Entra ID, non è necessario un cmg.
Consiglio
Configuration Manager estende il supporto per i dispositivi basati su Internet che spesso non si connettono alla rete interna, non sono in grado di aggiungere Microsoft Entra ID e non dispongono di un metodo per installare un certificato rilasciato da PKI. Per altre informazioni, vedere Autenticazione basata su token per CMG.
Configurare Servizi di Azure per la gestione cloud
Connettere il sito Configuration Manager a Microsoft Entra ID come primo passaggio. Per informazioni dettagliate su questo processo, vedere Configurare i servizi di Azure. Creare una connessione al servizio Di gestione cloud .
Abilitare Microsoft Entra individuazione utente come parte dell'onboarding in Gestione cloud.
Dopo aver completato queste azioni, il sito Configuration Manager è connesso all Microsoft Entra ID.
Nota
Se i dispositivi si trovano in un tenant Microsoft Entra separato dal tenant con una sottoscrizione per le risorse di calcolo di CMG, a partire dalla versione 2010 è possibile disabilitare l'autenticazione per i tenant non associati a utenti e dispositivi. Per altre informazioni, vedere Configurare i servizi di Azure.
Configurare le impostazioni dei client
Queste impostazioni client consentono di configurare i dispositivi Windows per l'aggiunta ibrida. Consentono inoltre ai client basati su Internet di usare cmg.
Configurare le impostazioni client seguenti nel gruppo di Servizi cloud. Per altre informazioni, vedere Come configurare le impostazioni client.
Consenti l'accesso al punto di distribuzione cloud: abilitare questa impostazione per consentire ai dispositivi basati su Internet di ottenere il contenuto necessario per installare il client Configuration Manager. I dispositivi possono ottenere il contenuto dal cmg.
Registrare automaticamente nuovi dispositivi Windows 10 o successivi aggiunti a un dominio con ID Microsoft Entra: impostato su Sì o No. L'impostazione predefinita è Sì. Questo comportamento è anche l'impostazione predefinita in Windows.
Consiglio
I dispositivi aggiunti a un ibrido vengono aggiunti a un dominio Active Directory locale e registrati con Microsoft Entra ID. Per altre informazioni, vedere Microsoft Entra dispositivi aggiunti ibridi.
Abilitare i client per l'uso di un gateway di gestione cloud: impostare su Sì (impostazione predefinita) o No.
Distribuire le impostazioni client nella raccolta di dispositivi necessaria. Non distribuire queste impostazioni nelle raccolte utenti.
Per verificare che il dispositivo sia aggiunto a un ambiente ibrido, eseguire dsregcmd.exe /status in un prompt dei comandi. Se il dispositivo è Microsoft Entra aggiunto o aggiunto a un ibrido, il campo AzureAdjoined nei risultati mostra SÌ. Per altre informazioni, vedere comando dsregcmd - stato del dispositivo.
Installare e registrare il client usando l'identità Microsoft Entra
Per installare manualmente il client usando l'identità Microsoft Entra, esaminare prima di tutto il processo generale in Come installare manualmente i client.
Nota
Il dispositivo deve accedere a Internet per contattare Microsoft Entra ID, ma non deve essere basato su Internet.
Nell'esempio seguente viene illustrata la struttura generale della riga di comando: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
Per altre informazioni, vedere Proprietà di installazione client.
Il /mp parametro e CCMHOSTNAME la proprietà specificano uno dei valori seguenti, a seconda dello scenario:
- Punto di gestione locale. Specificare solo il
/mpparametro . LaCCMHOSTNAMEproprietà non è obbligatoria. - Gateway di gestione cloud
- Punto di gestione basato su Internet
La SMSMP proprietà specifica il punto di gestione locale. Non è obbligatorio. È consigliabile per Microsoft Entra dispositivi aggiunti che si spostano nella intranet, in modo che possano trovare un punto di gestione locale.
Questo esempio usa un gateway di gestione cloud. Sostituisce i valori di esempio: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
Il sito pubblica informazioni Microsoft Entra aggiuntive nel gateway di gestione cloud.The site publishes additional Microsoft Entra information to the cloud management gateway (CMG). Un client aggiunto Microsoft Entra ottiene queste informazioni dal cmg durante il processo ccmsetup, usando lo stesso tenant a cui è stato aggiunto. Questo comportamento semplifica ulteriormente l'installazione del client in un ambiente con più di un tenant Microsoft Entra. Le uniche due proprietà ccmsetup necessarie sono CCMHOSTNAME e SMSSITECODE.
Per automatizzare l'installazione del client usando l'identità Microsoft Entra tramite Microsoft Intune, vedere Come preparare i dispositivi basati su Internet per la co-gestione.
Passaggi successivi
Al termine, è possibile continuare a monitorare e gestire i client.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per