使用Microsoft Entra ID 安装并分配Configuration Manager客户端进行身份验证

若要使用Microsoft Entra身份验证在 Windows 设备上安装 Configuration Manager 客户端，请将 Configuration Manager 与 Microsoft Entra ID 集成。 客户端可以位于 Intranet 上，直接与启用 HTTPS 的管理点或启用了增强 HTTP 的站点中的任何管理点通信。 它们还可以通过 CMG 或基于 Internet 的管理点进行基于 Internet 的通信。 此过程使用Microsoft Entra ID 对Configuration Manager站点的客户端进行身份验证。 Microsoft Entra ID 取代了配置和使用客户端身份验证证书的需要。

对于某些客户来说，设置Microsoft Entra ID 可能比为基于证书的身份验证设置公钥基础结构更容易。 某些功能需要你加入站点才能Microsoft Entra ID，但不一定要求客户端Microsoft Entra加入。 有关详细信息，请参阅以下文章：

• 规划Microsoft Entra ID
• 使用Microsoft Entra ID 进行共同管理

开始之前

• Microsoft Entra租户是先决条件

• 设备要求：

  • 支持的 Windows 10 或更高版本

  • 已加入到Microsoft Entra ID，纯云域加入或Microsoft Entra混合加入

• 用户要求：

  • 登录用户必须是Microsoft Entra标识。

  • 如果用户是联合标识或同步标识，请配置Configuration Manager Active Directory 用户发现和Microsoft Entra用户发现。 有关混合标识的详细信息，请参阅 定义混合标识采用策略。

• 除了管理点站点系统角色 的现有先决条件 外，还在此服务器上启用 ASP.NET 4.5 。 包括启用 ASP.NET 4.5 时自动选择的任何其他选项。

• 确定管理点是否需要 HTTPS。 有关详细信息，请参阅 为 HTTPS 启用管理点。

• （可选） (CMG) 设置 云管理网关 以部署基于 Internet 的客户端。 对于使用 Microsoft Entra ID 进行身份验证的本地客户端，不需要 CMG。

提示

Configuration Manager扩展了对不经常连接到内部网络、无法加入Microsoft Entra ID 且没有安装 PKI 颁发的证书的方法的基于 Internet 的设备的支持。 有关详细信息，请参阅 CMG 的基于令牌的身份验证。

配置 Azure Services for Cloud Management

第一步，将Configuration Manager站点连接到Microsoft Entra ID。 有关此过程的详细信息，请参阅 配置 Azure 服务。 创建与 云管理服务 的连接。

在加入云管理过程中启用Microsoft Entra用户发现。

完成这些操作后，Configuration Manager站点将连接到Microsoft Entra ID。

注意

如果设备位于与具有 CMG 计算资源订阅的租户分开的Microsoft Entra租户中，则从版本 2010 开始，可以禁用与用户和设备不关联的租户的身份验证。 有关详细信息，请参阅 配置 Azure 服务。

配置客户端设置

这些客户端设置有助于将 Windows 设备配置为混合加入。 它们还允许基于 Internet 的客户端使用 CMG。

1. 在 云服务 组中配置以下客户端设置。 有关详细信息，请参阅 如何配置客户端设置。

   • 允许访问云分发点：启用此设置可帮助基于 Internet 的设备获取安装 Configuration Manager 客户端所需的内容。 设备可以从 CMG 获取内容。

   • 使用Microsoft Entra ID 自动注册新的Windows 10或更高版本加入域的设备：设置为“是”或“否”。 默认设置为 “是”。 此行为也是 Windows 中的默认行为。

     提示

     已加入混合的设备已加入本地 Active Directory域，并使用Microsoft Entra ID 注册。 有关详细信息，请参阅Microsoft Entra混合联接设备。

   • 允许客户端使用云管理网关：设置为“ 是 (默认) ”或“ 否”。

2. 将客户端设置部署到所需的设备集合。 不要将这些设置部署到用户集合。

若要确认设备已加入混合，请在命令提示符下运行 dsregcmd.exe /status 。 如果设备Microsoft Entra联接或混合联接，则结果中的 AzureAdjoined 字段将显示“是”。 有关详细信息，请参阅 dsregcmd 命令 - 设备状态。

使用 Microsoft Entra 标识安装和注册客户端

若要使用 Microsoft Entra 标识手动安装客户端，请先查看有关如何手动安装客户端的常规过程。

注意

设备需要访问 Internet 才能联系Microsoft Entra ID，但不需要基于 Internet。

以下示例显示了命令行的常规结构： ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

有关详细信息，请参阅 客户端安装属性。

参数 /mp 和 CCMHOSTNAME 属性指定以下选项之一，具体取决于方案：

• 本地管理点。 仅指定 /mp 参数。 不需要 CCMHOSTNAME 属性。
• 云管理网关
• 基于 Internet 的管理点

属性 SMSMP 指定本地管理点。 这不是必需的。 建议将它用于Microsoft Entra漫游到 Intranet 的已加入设备，以便它们可以找到本地管理点。

此示例使用云管理网关。 它将替换示例值： ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

站点将其他Microsoft Entra信息发布到云管理网关 (CMG) 。 Microsoft Entra联接的客户端在 ccmsetup 过程中使用其加入的同一租户从 CMG 获取此信息。 此行为进一步简化了在具有多个Microsoft Entra租户的环境中安装客户端的过程。 只有两个必需的 ccmsetup 属性是 CCMHOSTNAME 和 SMSSITECODE。

若要通过Microsoft Intune使用Microsoft Entra标识自动安装客户端，请参阅如何准备基于 Internet 的设备进行共同管理。

后续步骤

完成后，可以继续 监视和管理客户端。