Установка и назначение клиентов Configuration Manager с помощью идентификатора Microsoft Entra для проверки подлинности
Чтобы установить клиент Configuration Manager на устройствах Windows с помощью проверки подлинности Microsoft Entra, интегрируйте Configuration Manager с идентификатором Microsoft Entra. Клиенты могут находиться в интрасети, напрямую взаимодействуя с точкой управления с поддержкой HTTPS или любой точкой управления на сайте с поддержкой расширенного HTTP. Они также могут взаимодействовать через Интернет через CMG или через интернет-точку управления. Этот процесс использует идентификатор Microsoft Entra для проверки подлинности клиентов на сайте Configuration Manager. Microsoft Entra идентификатор заменяет необходимость настройки и использования сертификатов проверки подлинности клиента.
Для некоторых клиентов настройка Microsoft Entra идентификатора может оказаться проще, чем настройка инфраструктуры открытых ключей для проверки подлинности на основе сертификатов. Существуют функции, которые требуют подключения сайта для Microsoft Entra идентификатора, но не обязательно, чтобы клиенты были Microsoft Entra присоединением. Дополнительные сведения см. в следующих статьях:
- Планирование идентификатора Microsoft Entra
- Использование идентификатора Microsoft Entra для совместного управления
Перед началом работы
Клиент Microsoft Entra является необходимым условием
Требования к устройству:
Поддерживаемая версия Windows 10 или более поздняя.
Присоединено к идентификатору Microsoft Entra, присоединено к чистому облачному домену или Microsoft Entra гибридное присоединение
Требования пользователей:
Вошедшего пользователя должно быть Microsoft Entra удостоверение.
Если пользователь является федеративными или синхронизированными удостоверениями, настройте как Configuration Manager обнаружение пользователей Active Directory, так и Microsoft Entra обнаружение пользователей. Дополнительные сведения о гибридных удостоверениях см. в статье Определение стратегии внедрения гибридных удостоверений.
В дополнение к существующим предварительным требованиям для роли системы сайта точки управления также включите ASP.NET 4.5 на этом сервере. Включите все другие параметры, которые автоматически выбираются при включении ASP.NET 4.5.
Определите, требуется ли точка управления HTTPS. Дополнительные сведения см. в разделе Включение точки управления для HTTPS.
При необходимости настройте шлюз управления облачными клиентами (CMG) для развертывания клиентов в Интернете. Для локальных клиентов, которые проходят проверку подлинности с помощью идентификатора Microsoft Entra, шлюз управления облачными клиентами не требуется.
Совет
Configuration Manager расширяет поддержку интернет-устройств, которые не часто подключаются к внутренней сети, не могут присоединиться к идентификатору Microsoft Entra и не имеют метода для установки сертификата, выданного PKI. Дополнительные сведения см. в статье Проверка подлинности на основе токенов для CMG.
Настройка служб Azure для управления облаком
В качестве первого шага подключите сайт Configuration Manager к идентификатору Microsoft Entra. Дополнительные сведения об этом процессе см. в разделе Настройка служб Azure. Создайте подключение к службе управления облаком .
Включите обнаружение Microsoft Entra пользователей в рамках подключения к управлению облаком.
После выполнения этих действий ваш сайт Configuration Manager будет подключен к идентификатору Microsoft Entra.
Примечание.
Если ваши устройства находятся в клиенте Microsoft Entra, который отделен от клиента с подпиской на вычислительные ресурсы CMG, начиная с версии 2010 можно отключить проверку подлинности для клиентов, не связанных с пользователями и устройствами. Дополнительные сведения см. в статье Настройка служб Azure.
Настройка параметров клиента
Эти параметры клиента помогают настроить гибридное присоединение устройств Windows. Они также позволяют интернет-клиентам использовать CMG.
Настройте следующие параметры клиента в группе Облачные службы. Дополнительные сведения см. в разделе Настройка параметров клиента.
Разрешить доступ к облачной точке распространения. Включите этот параметр, чтобы помочь интернет-устройствам получить необходимое содержимое для установки Configuration Manager клиента. Устройства могут получать содержимое из CMG.
Автоматическая регистрация новых устройств, присоединенных к домену Windows 10 или более поздних версий, с идентификатором Microsoft Entra: задайте значение Да или Нет. Значение по умолчанию — Да. Это поведение также используется по умолчанию в Windows.
Совет
Устройства с гибридным присоединением присоединяются к домену локальная служба Active Directory и регистрируются с помощью идентификатора Microsoft Entra. Дополнительные сведения см. в разделе Microsoft Entra устройства с гибридным присоединением.
Разрешить клиентам использовать шлюз управления облаком: задайте значение Да (по умолчанию) или Нет.
Разверните параметры клиента в требуемой коллекции устройств. Не развертывайте эти параметры в пользовательских коллекциях.
Чтобы подтвердить гибридное присоединение устройства, выполните команду dsregcmd.exe /status в командной строке. Если устройство Microsoft Entra присоединено или присоединено к гибридному соединению, в поле AzureAdjoined в результатах отображается значение ДА. Дополнительные сведения см. в разделе команда dsregcmd — состояние устройства.
Установка и регистрация клиента с помощью удостоверения Microsoft Entra
Чтобы вручную установить клиент с помощью удостоверения Microsoft Entra, сначала ознакомьтесь с общим процессом в статье Установка клиентов вручную.
Примечание.
Устройство должно иметь доступ к Интернету, чтобы связаться с Microsoft Entra идентификатором, но не должно быть интернет-подключением.
В следующем примере показана общая структура командной строки: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
Дополнительные сведения см. в разделе Свойства установки клиента.
Параметр /mp и CCMHOSTNAME свойство указывают одно из следующих значений в зависимости от сценария:
- Локальная точка управления. Укажите
/mpтолько параметр . СвойствоCCMHOSTNAMEне является обязательным. - Шлюз управления облаком
- Интернет-точка управления
Свойство SMSMP указывает локальную точку управления. Это не обязательно. Рекомендуется для Microsoft Entra присоединенных устройств, которые перемещаются в интрасети, чтобы они могли найти локальную точку управления.
В этом примере используется шлюз управления облаком. Он заменяет примеры значений: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
Сайт публикует дополнительные сведения о Microsoft Entra в шлюзе управления облаком (CMG). Клиент, присоединенный к Microsoft Entra, получает эти сведения из CMG во время процесса ccmsetup, используя тот же клиент, к которому он присоединен. Это еще больше упрощает установку клиента в среде с несколькими Microsoft Entra арендаторами. Единственными двумя обязательными свойствами ccmsetup являются CCMHOSTNAME и SMSSITECODE.
Сведения об автоматизации установки клиента с помощью Microsoft Entra удостоверения через Microsoft Intune см. в статье Подготовка интернет-устройств к совместному управлению.
Дальнейшие действия
После завершения можно продолжить мониторинг клиентов и управление ими.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по