認証にMicrosoft Entra ID を使用してConfiguration Manager クライアントをインストールして割り当てる

Microsoft Entra認証を使用して Windows デバイスにConfiguration Manager クライアントをインストールするには、Microsoft Entra ID とConfiguration Managerを統合します。 クライアントは、イントラネット上で、HTTPS 対応管理ポイントまたは拡張 HTTP が有効なサイト内の任意の管理ポイントと直接通信できます。 また、CMG を介したインターネット ベースの通信や、インターネット ベースの管理ポイントとの通信も可能です。 このプロセスでは、Microsoft Entra ID を使用して、Configuration Manager サイトに対してクライアントを認証します。 Microsoft Entra ID は、クライアント認証証明書を構成して使用する必要性に代わるものになります。

Microsoft Entra ID の設定は、証明書ベースの認証用の公開キー インフラストラクチャを設定するよりも、一部のお客様にとって簡単な場合があります。 サイトを Microsoft Entra ID にオンボードする必要がある機能がありますが、必ずしもクライアントに参加Microsoft Entra必要はありません。 詳細については、次の記事を参照してください。

• Microsoft Entra ID の計画
• 共同管理にMicrosoft Entra ID を使用する

はじめに

• Microsoft Entra テナントが前提条件です

• デバイス要件:

  • サポートされているバージョンのWindows 10以降

  • Microsoft Entra ID に参加済み (純粋なクラウド ドメイン参加済み、またはハイブリッド参加済みMicrosoft Entra)

• ユーザー要件:

  • サインインしているユーザーは、Microsoft Entra ID である必要があります。

  • ユーザーがフェデレーション ID または同期 ID の場合は、Active Directory ユーザー検出とMicrosoft Entraユーザー検出の両方Configuration Manager構成します。 ハイブリッド ID の詳細については、「 ハイブリッド ID 導入戦略を定義する」を参照してください。

• 管理ポイント サイト システムの役割の 既存の前提条件 に加えて、このサーバー で ASP.NET 4.5 も有効にします。 ASP.NET 4.5 を有効にするときに自動的に選択されるその他のオプションを含めます。

• 管理ポイントに HTTPS が必要かどうかを判断します。 詳細については、「 HTTPS の管理ポイントを有効にする」を参照してください。

• 必要に応じて、インターネット ベースのクライアントをデプロイする クラウド管理ゲートウェイ (CMG) を設定します。 Microsoft Entra ID で認証するオンプレミス クライアントの場合、CMG は必要ありません。

ヒント

Configuration Manager、内部ネットワークに接続する頻度が少ないインターネット ベースのデバイスのサポートが拡張され、Microsoft Entra ID に参加できず、PKI で発行された証明書をインストールする方法がありません。 詳細については、「 CMG のトークン ベースの認証」を参照してください。

Azure Services for Cloud Management を構成する

最初の手順として、Configuration Manager サイトを Microsoft Entra ID に接続します。 このプロセスの詳細については、「 Azure サービスの構成」を参照してください。 Cloud Management サービスへの接続を作成します。

Cloud Management Microsoft Entraオンボードの一環として、ユーザー検出を有効にします。

これらの操作を完了すると、Configuration Manager サイトは Microsoft Entra ID に接続されます。

注:

デバイスが、CMG コンピューティング リソースのサブスクリプションを持つテナントとは別のMicrosoft Entra テナントにある場合は、バージョン 2010 以降、ユーザーとデバイスに関連付けられていないテナントの認証を無効にすることができます。 詳細については、「 Azure サービスの構成」を参照してください。

クライアント設定を構成する

これらのクライアント設定は、Windows デバイスをハイブリッド参加するように構成するのに役立ちます。 また、インターネット ベースのクライアントで CMG を使用することもできます。

1. Cloud Services グループで次のクライアント設定を構成します。 詳細については、「 クライアント設定を構成する方法」を参照してください。

   • クラウド配布ポイントへのアクセスを許可する: インターネット ベースのデバイスがConfiguration Manager クライアントをインストールするために必要なコンテンツを取得できるように、この設定を有効にします。 デバイスは CMG からコンテンツを取得できます。

   • 新しいWindows 10以降のドメイン参加済みデバイスを Microsoft Entra ID で自動的に登録する: [はい] または [いいえ] に設定します。 既定の設定は [はい] です。 この動作は、Windows の既定値でもあります。

     ヒント

     ハイブリッド参加済みデバイスは、オンプレミスの Active Directory ドメインに参加し、Microsoft Entra ID で登録されます。 詳細については、「ハイブリッド参加済みデバイスMicrosoft Entra」を参照してください。

   • クライアントがクラウド管理ゲートウェイを使用できるようにする: [はい ] (既定値) または [いいえ] に設定します。

2. クライアント設定をデバイスの必要なコレクションに展開します。 これらの設定をユーザー コレクションに展開しないでください。

デバイスがハイブリッド参加していることを確認するには、コマンド プロンプトで を実行 dsregcmd.exe /status します。 デバイスが参加またはハイブリッド参加Microsoft Entra場合、結果の AzureAdjoined フィールドに YES が表示されます。 詳細については、「 dsregcmd コマンド - デバイスの状態」を参照してください。

Microsoft Entra ID を使用してクライアントをインストールして登録する

Microsoft Entra ID を使用してクライアントを手動でインストールするには、まず、クライアントを手動でインストールする方法に関する一般的なプロセスを確認します。

注:

デバイスは、Microsoft Entra ID に接続するためにインターネットにアクセスする必要がありますが、インターネットベースである必要はありません。

次の例は、コマンド ラインの一般的な構造を示しています。 ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

詳細については、「 クライアント インストールのプロパティ」を参照してください。

パラメーターとCCMHOSTNAMEプロパティは/mp、シナリオに応じて、次のいずれかを指定します。

• オンプレミス管理ポイント。 パラメーターのみを指定します /mp 。 プロパティは CCMHOSTNAME 必要ありません。
• クラウド管理ゲートウェイ
• インターネット ベースの管理ポイント

プロパティは SMSMP 、オンプレミスの管理ポイントを指定します。 必須ではありません。 イントラネットにローミングする参加済みデバイスMicrosoft Entra、オンプレミスの管理ポイントを見つけられるようにすることをお勧めします。

この例では、クラウド管理ゲートウェイを使用します。 これは、サンプル値を置き換えます。 ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

サイトは、追加のMicrosoft Entra情報をクラウド管理ゲートウェイ (CMG) に発行します。 Microsoft Entra参加済みクライアントは、参加しているのと同じテナントを使用して、ccmsetup プロセス中に CMG からこの情報を取得します。 この動作により、複数のMicrosoft Entra テナントを持つ環境へのクライアントのインストールがさらに簡略化されます。 必要な ccmsetup プロパティは と SMSSITECODEの 2 つだけですCCMHOSTNAME。

Microsoft Intuneを使用してMicrosoft Entra ID を使用してクライアントのインストールを自動化するには、「共同管理のためにインターネット ベースのデバイスを準備する方法」を参照してください。

次の手順

完了したら、引き続き クライアントの監視と管理を行うことができます。