Instale e atribua o Gestor de Configuração Windows 10 clientes que utilizem a Azure AD para autenticação
Para instalar o cliente Do Gestor de Configuração em dispositivos Windows 10 utilizando a autenticação AD Azure, integre o Gestor de Configuração com Azure Ative Directory (Azure AD). Os clientes podem estar na intranet comunicando diretamente com um ponto de gestão via HTTPS ou qualquer ponto de gestão num site habilitado para HTTP Melhorado. Podem também ser comunicando com base na Internet através do CMG ou com um ponto de gestão baseado na Internet. Este processo utiliza a Azure AD para autenticar clientes no site do Gestor de Configuração. A Azure AD substitui a necessidade de configurar e utilizar certificados de autenticação do cliente.
A criação do Azure AD pode ser mais fácil para alguns clientes do que criar uma infraestrutura de chave pública para a autenticação baseada em certificados. Existem funcionalidades que o obrigam a bordo do Azure AD, mas não exigem necessariamente que os clientes sejam unidos pela Azure AD. Para obter mais informações, veja os seguintes artigos:
Antes de começar
Um inquilino da AD AZure é um pré-requisito
Requisitos do dispositivo:
Windows 10
Unidos ao Azure AD, quer puro domínio de nuvem, ou híbrido AD-a-ad-joined
Requisitos do utilizador:
O utilizador assinado no utilizador deve ser uma identidade Azure AD.
Se o utilizador for uma identidade federada ou sincronizada, configuure tanto a descoberta do utilizador do Diretor Ativo do Gestor de Configuração como a descoberta do utilizador Azure AD. Para obter mais informações sobre identidades híbridas, consulte Definir uma estratégia híbrida de adoção de identidade.
Além dos pré-requisitos existentes para a função de sistema de site de pontos de gestão, também ativar ASP.NET 4.5 neste servidor. Inclua quaisquer outras opções que sejam automaticamente selecionadas quando ativar ASP.NET 4.5.
Determine se o seu ponto de gestão precisa de HTTPS. Para obter mais informações, consulte o ponto de gestão de Enable for HTTPS.
Configurar opcionalmente um gateway de gestão de nuvem (CMG) para implementar clientes baseados na Internet. Para clientes no local que autenticam com Azure AD, você não precisa de um CMG.
Dica
A partir da versão 2002, O Gestor de Configuração alarga o seu suporte a dispositivos baseados na Internet que muitas vezes não se ligam à rede interna, não são capazes de se juntar a Azure Ative Directory (Azure AD), e não têm um método para instalar um certificado emitido por PKI. Para obter mais informações, consulte a autenticação baseada em Token para CMG.
Configure Azure Services for Cloud Management
Ligação o site do Seu Gestor de Configuração para Azure AD como primeiro passo. Para mais detalhes sobre este processo, consulte os serviços Configure Azure. Crie uma ligação ao serviço de Gestão de Nuvens.
Ativar a Azure AD User Discovery como parte do embarque na Cloud Management.
Depois de completar estas ações, o site do Seu Gestor de Configuração está ligado ao Azure AD.
Nota
Se os seus dispositivos estiverem num inquilino Azure AD que esteja separado do inquilino com uma subscrição para os recursos de computação CMG, a partir da versão 2010 pode desativar a autenticação para inquilinos não associados a utilizadores e dispositivos. Para mais informações, consulte os serviços Configure Azure.
Configurar definições do cliente
Estas configurações do cliente ajudam a configurar Windows 10 dispositivos a serem híbridos. Também permitem que os clientes baseados na Internet utilizem o CMG.
Configure as seguintes definições de clientes no grupo Cloud Services. Para obter mais informações, consulte como configurar as definições do cliente.
Permitir o acesso ao ponto de distribuição na nuvem: Ative esta definição para ajudar os dispositivos baseados na Internet a obter o conteúdo necessário para instalar o cliente Gestor de Configuração. Os dispositivos podem obter o conteúdo da CMG.
Registar automaticamente novos dispositivos de Windows 10 ligados ao domínio com Azure Ative Directory: Definir para Sim ou Não. A definição predefinida é Sim . Este comportamento é também o padrão em Windows 10, versão 1709.
Dica
Os dispositivos híbridos juntam-se a um domínio ative directy no local e registados no Azure AD. Para obter mais informações, consulte os dispositivos associados híbridos Azure AD.
Permitir que os clientes utilizem um gateway de gestão de nuvem: Definido para Sim (padrão), ou Não.
Implemente as definições do cliente para a recolha necessária de dispositivos. Não desloque estas definições para as coleções dos utilizadores.
Para confirmar que o dispositivo está híbrido, corra num pedido de dsregcmd.exe /status
comando. Se o dispositivo for aderido a Azure AD ou híbrido, o campo AzureAdjoined nos resultados mostra SIM. Para obter mais informações, consulte o comando dsregcmd - estado do dispositivo.
Instale e registe o cliente utilizando a identidade AD da Azure
Para instalar manualmente o cliente utilizando a identidade AD do Azure, reveja primeiro o processo geral sobre como instalar os clientes manualmente.
Nota
O dispositivo precisa de acesso à internet para contactar o Azure AD, mas não precisa de ser baseado na Internet.
O exemplo a seguir mostra a estrutura geral da linha de comando: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
Para mais informações, consulte as propriedades de instalação do Cliente.
O parâmetro /mp e a propriedade CCMHOSTNAME especificam um dos seguintes, dependendo do cenário:
- Ponto de gestão no local. Apenas especifique o parâmetro /mp. A propriedade CCMHOSTNAME não é necessária.
- Gateway de gestão da cloud
- Ponto de gestão baseado na Internet
A propriedade SMSMP especifica o ponto de gestão no local. Não é necessário. É recomendado para dispositivos ad-a-AD Azure que vagueiam para a intranet, para que possam encontrar um ponto de gestão no local.
Este exemplo usa uma porta de gestão de nuvens. Substitui os valores da amostra: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
O site publica informações adicionais da AD AZure para o gateway de gestão de nuvem (CMG). Um cliente aderido à Azure AD obtém esta informação da CMG durante o processo ccmsetup, utilizando o mesmo inquilino a que se juntou. Este comportamento simplifica ainda mais a instalação do cliente num ambiente com mais de um inquilino AZure AD. As duas únicas propriedades necessárias para o ccmsetup são a CCMHOSTNAME e a SMSSITECODE.
Para automatizar a instalação do cliente utilizando a identidade AD do Azure através de Microsoft Intune, consulte Como preparar dispositivos baseados na Internet para cogestão.
Passos seguintes
Uma vez concluído, pode continuar a monitorizar e gerir clientes.