Instalowanie i przypisywanie klientów Configuration Manager przy użyciu identyfikatora Microsoft Entra na potrzeby uwierzytelniania
Aby zainstalować klienta Configuration Manager na urządzeniach z systemem Windows przy użyciu uwierzytelniania Microsoft Entra, zintegruj Configuration Manager z identyfikatorem Microsoft Entra. Klienci mogą znajdować się w intranecie komunikującym się bezpośrednio z punktem zarządzania z obsługą protokołu HTTPS lub dowolnym punktem zarządzania w lokacji włączonym dla rozszerzonego protokołu HTTP. Mogą one również komunikować się w Internecie za pośrednictwem cmg lub internetowego punktu zarządzania. Ten proces używa identyfikatora Microsoft Entra do uwierzytelniania klientów w lokacji Configuration Manager. Microsoft Entra identyfikator zastępuje konieczność konfigurowania i używania certyfikatów uwierzytelniania klienta.
Konfigurowanie Microsoft Entra identyfikatora może być łatwiejsze dla niektórych klientów niż skonfigurowanie infrastruktury kluczy publicznych na potrzeby uwierzytelniania opartego na certyfikatach. Istnieją funkcje, które wymagają dołączenia lokacji do Microsoft Entra identyfikatora, ale niekoniecznie wymagają, aby klienci Microsoft Entra przyłączone. Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Planowanie identyfikatora Microsoft Entra
- Używanie identyfikatora Microsoft Entra do współzarządzania
Przed rozpoczęciem
Dzierżawa Microsoft Entra jest warunkiem wstępnym
Wymagania dotyczące urządzeń:
Obsługiwana wersja Windows 10 lub nowszej
Przyłączone do Microsoft Entra identyfikatora, przyłączone do domeny w chmurze lub przyłączone hybrydowo Microsoft Entra
Wymagania użytkownika:
Zalogowany użytkownik musi być tożsamością Microsoft Entra.
Jeśli użytkownik jest tożsamością federacyjną lub zsynchronizowaną, skonfiguruj zarówno Configuration Manager odnajdywania użytkowników usługi Active Directory, jak i Microsoft Entra odnajdywania użytkowników. Aby uzyskać więcej informacji na temat tożsamości hybrydowych, zobacz Definiowanie strategii wdrażania tożsamości hybrydowej.
Oprócz istniejących wymagań wstępnych dotyczących roli systemu lokacji punktu zarządzania włącz również ASP.NET 4.5 na tym serwerze. Uwzględnij wszystkie inne opcje, które są automatycznie wybierane podczas włączania ASP.NET 4.5.
Określ, czy punkt zarządzania wymaga protokołu HTTPS. Aby uzyskać więcej informacji, zobacz Włączanie punktu zarządzania dla protokołu HTTPS.
Opcjonalnie skonfiguruj bramę zarządzania chmurą (CMG) do wdrażania klientów internetowych. W przypadku klientów lokalnych, którzy uwierzytelniają się przy użyciu Microsoft Entra identyfikatora, nie potrzebujesz cmg.
Porada
Configuration Manager rozszerza obsługę urządzeń internetowych, które często nie łączą się z siecią wewnętrzną, nie mogą dołączyć do Microsoft Entra identyfikatora i nie mają metody instalowania certyfikatu wystawionego przez infrastrukturę PKI. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie oparte na tokenach dla usługi CMG.
Konfigurowanie usług platformy Azure na potrzeby zarządzania chmurą
Połącz witrynę Configuration Manager z identyfikatorem Microsoft Entra jako pierwszy krok. Aby uzyskać szczegółowe informacje na temat tego procesu, zobacz Konfigurowanie usług platformy Azure. Utwórz połączenie z usługą Cloud Management .
Włącz Microsoft Entra odnajdywanie użytkowników w ramach dołączania do usługi Cloud Management.
Po wykonaniu tych akcji witryna Configuration Manager jest połączona z Microsoft Entra identyfikatorem.
Uwaga
Jeśli urządzenia znajdują się w dzierżawie Microsoft Entra, która jest oddzielona od dzierżawy z subskrypcją zasobów obliczeniowych cmg, począwszy od wersji 2010, możesz wyłączyć uwierzytelnianie dla dzierżaw, które nie są skojarzone z użytkownikami i urządzeniami. Aby uzyskać więcej informacji, zobacz Konfigurowanie usług platformy Azure.
Konfigurowanie ustawień klienta
Te ustawienia klienta ułatwiają konfigurowanie urządzeń z systemem Windows, które mają być przyłączone hybrydowo. Umożliwiają one również klientom internetowym korzystanie z usługi CMG.
Skonfiguruj następujące ustawienia klienta w grupie Cloud Services. Aby uzyskać więcej informacji, zobacz Jak skonfigurować ustawienia klienta.
Zezwalaj na dostęp do punktu dystrybucji w chmurze: włącz to ustawienie, aby ułatwić urządzeniom internetowym uzyskanie wymaganej zawartości do zainstalowania klienta Configuration Manager. Urządzenia mogą pobierać zawartość z usługi CMG.
Automatycznie rejestruj nowe urządzenia przyłączone Windows 10 lub nowsze do domeny przy użyciu identyfikatora Microsoft Entra: ustaw wartość Tak lub Nie. Ustawienie domyślne to Tak. To zachowanie jest również domyślne w systemie Windows.
Porada
Urządzenia przyłączone hybrydowo są przyłączone do domeny lokalna usługa Active Directory i zarejestrowane przy użyciu identyfikatora Microsoft Entra. Aby uzyskać więcej informacji, zobacz Microsoft Entra urządzeń przyłączonych hybrydowo.
Włącz klientom korzystanie z bramy zarządzania chmurą: ustaw wartość Tak (wartość domyślna) lub Nie.
Wdróż ustawienia klienta w wymaganej kolekcji urządzeń. Nie wdrażaj tych ustawień w kolekcjach użytkowników.
Aby potwierdzić, że urządzenie jest przyłączone hybrydowo, uruchom polecenie dsregcmd.exe /status
w wierszu polecenia. Jeśli urządzenie jest Microsoft Entra przyłączone lub przyłączone hybrydowo, pole AzureAdjoined w wynikach zawiera wartość TAK. Aby uzyskać więcej informacji, zobacz polecenie dsregcmd — stan urządzenia.
Instalowanie i rejestrowanie klienta przy użyciu tożsamości Microsoft Entra
Aby ręcznie zainstalować klienta przy użyciu tożsamości Microsoft Entra, najpierw przejrzyj ogólny proces dotyczący ręcznego instalowania klientów.
Uwaga
Urządzenie musi mieć dostęp do Internetu, aby skontaktować się z Microsoft Entra identyfikatorem, ale nie musi być oparte na Internecie.
W poniższym przykładzie przedstawiono ogólną strukturę wiersza polecenia: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
Aby uzyskać więcej informacji, zobacz Właściwości instalacji klienta.
Parametr /mp
i CCMHOSTNAME
właściwość określają jeden z następujących elementów w zależności od scenariusza:
- Lokalny punkt zarządzania. Określ
/mp
tylko parametr. WłaściwośćCCMHOSTNAME
nie jest wymagana. - Brama zarządzania chmurą
- Internetowy punkt zarządzania
Właściwość SMSMP
określa lokalny punkt zarządzania. Nie jest to wymagane. Jest to zalecane w przypadku urządzeń przyłączonych Microsoft Entra, które wędrują do intranetu, dzięki czemu mogą znaleźć lokalny punkt zarządzania.
W tym przykładzie użyto bramy zarządzania chmurą. Zastępuje przykładowe wartości: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
Witryna publikuje dodatkowe informacje Microsoft Entra bramie zarządzania chmurą (CMG). Klient przyłączony do Microsoft Entra pobiera te informacje z usługi CMG podczas procesu ccmsetup przy użyciu tej samej dzierżawy, do której jest przyłączony. To zachowanie dodatkowo upraszcza instalowanie klienta w środowisku z więcej niż jedną dzierżawą Microsoft Entra. Tylko dwie wymagane właściwości ccmsetup to CCMHOSTNAME
i SMSSITECODE
.
Aby zautomatyzować instalację klienta przy użyciu tożsamości Microsoft Entra za pośrednictwem Microsoft Intune, zobacz Jak przygotować urządzenia internetowe do współzarządzania.
Następne kroki
Po zakończeniu możesz nadal monitorować klientów i zarządzać nimi.