Configuration Manager-clients installeren en toewijzen met behulp van Microsoft Entra-id voor verificatie
Als u de Configuration Manager-client wilt installeren op Windows-apparaten met behulp van Microsoft Entra-verificatie, integreert u Configuration Manager met Microsoft Entra-id. Clients kunnen zich op het intranet bevindt en rechtstreeks communiceren met een HTTPS-beheerpunt of een beheerpunt op een site die is ingeschakeld voor verbeterde HTTP. Ze kunnen ook via internet communiceren via de CMG of met een beheerpunt op internet. In dit proces wordt Microsoft Entra id gebruikt om clients te verifiëren bij de Configuration Manager site. Microsoft Entra-id vervangt de noodzaak om clientverificatiecertificaten te configureren en te gebruiken.
Het instellen van Microsoft Entra-id is voor sommige klanten mogelijk eenvoudiger dan het instellen van een openbare-sleutelinfrastructuur voor verificatie op basis van certificaten. Er zijn functies waarvoor u de site moet onboarden om de id te Microsoft Entra, maar niet noodzakelijkerwijs vereisen dat de clients worden Microsoft Entra toegevoegd. Zie de volgende artikelen voor meer informatie:
Voordat u begint
Een Microsoft Entra-tenant is een vereiste
Apparaatvereisten:
Een ondersteunde versie van Windows 10 of hoger
Gekoppeld aan Microsoft Entra-id, puur clouddomein of Microsoft Entra hybride gekoppeld
Gebruikersvereisten:
De aangemelde gebruiker moet een Microsoft Entra-identiteit zijn.
Als de gebruiker een federatieve of gesynchroniseerde identiteit is, configureert u zowel Configuration Manager Active Directory-gebruikersdetectie als Microsoft Entra gebruikersdetectie. Zie Een strategie voor de acceptatie van hybride identiteiten definiëren voor meer informatie over hybride identiteiten.
Schakel naast de bestaande vereisten voor de sitesysteemrol van het beheerpunt ook ASP.NET 4.5 in op deze server. Neem alle andere opties op die automatisch worden geselecteerd bij het inschakelen van ASP.NET 4.5.
Bepaal of uw beheerpunt HTTPS nodig heeft. Zie Beheerpunt inschakelen voor HTTPS voor meer informatie.
Stel eventueel een cloudbeheergateway (CMG) in om internetclients te implementeren. Voor on-premises clients die worden geverifieerd met Microsoft Entra-id, hebt u geen CMG nodig.
Tip
Configuration Manager breidt de ondersteuning uit voor internetapparaten die niet vaak verbinding maken met het interne netwerk, niet kunnen deelnemen aan Microsoft Entra id en geen methode hebben om een door PKI uitgegeven certificaat te installeren. Zie Verificatie op basis van tokens voor CMG voor meer informatie.
Azure-services configureren voor cloudbeheer
Verbind uw Configuration Manager site als eerste stap met Microsoft Entra-id. Zie Azure-services configureren voor meer informatie over dit proces. Maak een verbinding met de Cloud Management-service .
Schakel Microsoft Entra gebruikersdetectie in als onderdeel van de onboarding naar Cloud Management.
Nadat u deze acties hebt voltooid, wordt uw Configuration Manager site verbonden met Microsoft Entra-id.
Opmerking
Als uw apparaten zich in een Microsoft Entra-tenant bevinden die gescheiden is van de tenant met een abonnement voor de CMG-rekenresources, kunt u vanaf versie 2010 verificatie uitschakelen voor tenants die niet zijn gekoppeld aan gebruikers en apparaten. Zie Azure-services configureren voor meer informatie.
Clientinstellingen configureren
Deze clientinstellingen helpen bij het configureren van Windows-apparaten voor hybride deelname. Ze stellen ook internetclients in staat om de CMG te gebruiken.
Configureer de volgende clientinstellingen in de groep Cloud Services. Zie Clientinstellingen configureren voor meer informatie.
Toegang tot clouddistributiepunt toestaan: schakel deze instelling in om internetapparaten te helpen de vereiste inhoud op te halen om de Configuration Manager-client te installeren. Apparaten kunnen de inhoud van de CMG ophalen.
Registreer automatisch nieuwe Windows 10 of nieuwere apparaten die lid zijn van een domein met Microsoft Entra-id: stel in op Ja of Nee. De standaardinstelling is Ja. Dit gedrag is ook de standaardinstelling in Windows.
Tip
Hybride apparaten worden toegevoegd aan een on-premises Active Directory-domein en geregistreerd met Microsoft Entra-id. Zie Microsoft Entra hybride gekoppelde apparaten voor meer informatie.
Clients in staat stellen om een cloudbeheergateway te gebruiken: Stel in op Ja (standaard) of Nee.
Implementeer de clientinstellingen in de vereiste verzameling apparaten. Implementeer deze instellingen niet in gebruikersverzamelingen.
Voer uit in een opdrachtprompt om te controleren of het apparaat hybride dsregcmd.exe /status
is. Als het apparaat is Microsoft Entra gekoppeld of hybride gekoppeld, wordt in het veld AzureAdjoined in de resultaten JA weergegeven. Zie de opdracht dsregcmd - apparaatstatus voor meer informatie.
De client installeren en registreren met behulp van Microsoft Entra identiteit
Als u de client handmatig wilt installeren met behulp van Microsoft Entra identiteit, raadpleegt u eerst het algemene proces op Clients handmatig installeren.
Opmerking
Het apparaat heeft toegang tot internet nodig om contact op te kunnen maken met Microsoft Entra-id, maar hoeft niet op internet te zijn gebaseerd.
In het volgende voorbeeld ziet u de algemene structuur van de opdrachtregel: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
Zie Eigenschappen van clientinstallatie voor meer informatie.
De /mp
parameter en CCMHOSTNAME
eigenschap opgeven een van de volgende, afhankelijk van het scenario:
- On-premises beheerpunt. Geef alleen de
/mp
parameter op. DeCCMHOSTNAME
eigenschap is niet vereist. - Cloudbeheergateway
- Op internet gebaseerd beheerpunt
De SMSMP
eigenschap geeft het on-premises beheerpunt op. Het is niet vereist. Het wordt aanbevolen voor Microsoft Entra gekoppelde apparaten die op het intranet roamen, zodat ze een on-premises beheerpunt kunnen vinden.
In dit voorbeeld wordt een cloudbeheergateway gebruikt. Het vervangt voorbeeldwaarden: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
De site publiceert aanvullende Microsoft Entra informatie naar de cloudbeheergateway (CMG). Een Microsoft Entra gekoppelde client haalt deze informatie op van de CMG tijdens het ccmsetup-proces, met behulp van dezelfde tenant waaraan deze is gekoppeld. Dit gedrag vereenvoudigt het installeren van de client in een omgeving met meer dan één Microsoft Entra tenant. De enige twee vereiste ccmsetup-eigenschappen zijn CCMHOSTNAME
en SMSSITECODE
.
Als u de clientinstallatie wilt automatiseren met behulp van Microsoft Entra identiteit via Microsoft Intune, raadpleegt u Internetapparaten voorbereiden voor co-beheer.
Volgende stappen
Zodra dit is voltooid, kunt u clients blijven bewaken en beheren.