分享方式:


如何在 Configuration Manager 中將用戶端部署至 Windows 計算機

適用於:Configuration Manager (目前的分支)

本文提供如何將 Configuration Manager 用戶端部署至 Windows 計算機的詳細數據。 如需規劃和準備用戶端部署的詳細資訊,請參閱下列文章:

用戶端推入安裝

使用用戶端推送的方式有三種:

  • 當您設定月臺的用戶端推入安裝時,用戶端安裝會自動在月臺探索到的計算機上執行。 當這些界限設定為界限群組時,此方法的範圍會設定為月臺的已設定界限。

  • 針對集合內的特定集合或資源執行用戶端推入安裝精靈,以啟動用戶端推入安裝。

  • 使用 [用戶端推入安裝精靈] 安裝 Configuration Manager 用戶端,您可以使用該用戶端來 查詢 結果。 只有在查詢傳回的其中一個專案是系統資源類別的 ResourceID 屬性時,安裝才會成功。

如果站臺伺服器無法連絡用戶端電腦或啟動安裝程式,則會每小時自動重試安裝。 伺服器會繼續重試最多七天。

若要協助追蹤用戶端安裝程式,請先安裝後援狀態點,再安裝用戶端。 當您安裝後援狀態點時,當用戶端推入安裝方法安裝用戶端時,系統會自動將它指派給用戶端。 若要追蹤用戶端安裝進度,請檢視用戶端部署和指派報告。

客戶端記錄檔提供更詳細的疑難解答資訊。 記錄檔不需要後援狀態點。 例如,月臺伺服器上的CCM.log檔案會記錄月臺伺服器連線到計算機時發生的任何問題。 用戶端上的CCMSetup.log檔案會記錄安裝程式。

重要事項

只有在符合所有必要條件時,用戶端推送才會成功。 如需詳細資訊,請 參閱安裝方法相依性

將月臺設定為針對探索到的計算機自動使用用戶端推送

  1. 在 Configuration Manager 控制台中,移至 [ 系統管理 ] 工作區,展開 [ 月臺設定],然後選取 [ 月臺 ] 節點。

  2. 選取您要設定自動全月臺用戶端推入安裝的月臺。

  3. 在功能區 [ 常用] 索引標籤的 [ 設定 ] 群組中,選取 [ 用戶端安裝設定],然後選取 [ 用戶端推入安裝]

  4. 在 [用戶端推入安裝內容] 視窗的 [ 一般 ] 索引標籤上,選取 [ 啟用全網站自動用戶端推入安裝]

  5. 從 1806 版開始,當您更新月臺時,會啟用用戶端推送的 Kerberos 檢查。 默認會啟用 [ 允許連線後援到NTLM ] 選項,這與先前的行為一致。 如果站台無法使用 Kerberos 驗證用戶端,則會使用NTLM重試連線。 改善安全性的建議組態是停用此設定,這需要 Kerberos 而不需要 NTLM 後援。

    建議您儘可能在現有的環境中停用此選項,以提高安全性。

    注意事項

    當它使用用戶端推入來安裝 Configuration Manager 用戶端時,月台伺服器會建立與客戶端的遠端連線。 從 1806 版開始,月臺可以在建立連線之前不允許後援至 NTLM,以要求 Kerberos 相互驗證。 這項增強功能有助於保護伺服器與客戶端之間的通訊。

    視您的安全策略而定,您的環境可能已經偏好或需要 Kerberos,而不是舊版 NTLM 驗證。 如需這些驗證通訊協定之安全性考慮的詳細資訊,請參閱 限制NTLM的 Windows 安全策略設定

    若要使用這項功能,客戶端必須位於受信任的 Active Directory 樹系中。 Windows 中的 Kerberos 依賴 Active Directory 進行相互驗證。

  6. 從 2207 版開始,當您更新月臺時,預設會在新月臺安裝上停用 [ 允許連線後援到 NTLM ] 選項。 建議您提高安全性。

  7. 選取 Configuration Manager 應推送用戶端軟體的系統類型。 選取是否要在域控制器上安裝用戶端。

  8. 在 [ 帳戶] 索引標籤上,指定一或多個帳戶,讓 Configuration Manager 在連線到目標電腦時使用。 選取 [建立] 圖示,輸入 [ 用戶名稱 ] 和 [ 密碼 (不超過 38 個字元) ,確認密碼,然後選取 [ 確定]。 指定至少一個用戶端推入安裝帳戶。 此帳戶必須具有目標計算機的本機系統管理員許可權,才能安裝用戶端。 如果您未指定用戶端推入安裝帳戶,Configuration Manager 會嘗試使用月台系統電腦帳戶。 使用月台系統計算機帳戶時,跨網域用戶端推送失敗。

    注意事項

    若要使用次要月臺的用戶端推送,請在起始用戶端推送的次要站臺上指定帳戶。

    如需用戶端推入安裝帳戶的詳細資訊,請參閱下一個程式 :使用用戶端推入安裝精靈

  9. 在 [安裝內容] 索引標籤上指定任何必要的安裝 屬性

    如果您已擴充 Configuration Manager 的 Active Directory 架構,月臺會將指定 的用戶端安裝屬性 發佈至 Active Directory 網域服務。 當 CCMSetup 在沒有安裝屬性的情況下執行時,它會從 Active Directory 讀取這些屬性。

    注意事項

    如果您在次要站臺上啟用用戶端推入安裝,請將 SMSSITECODE 屬性設定為其父主要月臺的 Configuration Manager 月臺碼。 如果您已擴充 Configuration Manager 的 Active Directory 架構,若要自動尋找正確的月臺指派,請將此屬性設定為 AUTO

使用用戶端推入安裝精靈

  1. 在 Configuration Manager 控制台中,移至 [ 系統管理 ] 工作區,展開 [ 月臺設定],然後選取 [ 月臺 ] 節點。

  2. 選取您要設定自動全月臺用戶端推入安裝的月臺。

  3. 在功能區 [ 常用] 索引標籤的 [ 設定 ] 群組中,選取 [ 用戶端安裝設定],然後選取 [ 用戶端推入安裝]

  4. 在 [安裝內容] 索引標籤上指定任何必要的安裝 屬性

    如果您已擴充 Configuration Manager 的 Active Directory 架構,月臺會將指定 的用戶端安裝屬性 發佈至 Active Directory 網域服務。 當 CCMSetup 在沒有安裝屬性的情況下執行時,它會從 Active Directory 讀取這些屬性。

  5. 在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。

  6. 在 [ 裝置] 節點中,選取一或多部計算機。 或選取 [ 裝置集合 ] 節點中的計算機集合。

  7. 在功能區的 [ 常用] 索引標籤上,選擇下列其中一個選項:

    • 若要將用戶端推送至一或多個裝置,請在 [ 裝置 ] 群組中,選取 [ 安裝用戶端]

    • 若要將用戶端推送至裝置集合,請在 [ 集合 ] 群組中,選取 [ 安裝用戶端]

  8. 在 [安裝 Configuration Manager 用戶端精靈] 的 [ 開始之前 ] 頁面上,檢閱信息,然後選取 [ 下一步]

  9. 在 [ 安裝 選項] 頁面上選取適當的選項。

  10. 檢閱安裝設定,然後完成精靈。

注意事項

使用此精靈來安裝用戶端,即使月臺未設定為用戶端推送也一致。

以軟體更新為基礎的安裝

以軟體更新為基礎的用戶端安裝會將用戶端發佈至軟體更新點作為軟體更新。 使用此方法進行第一次安裝或升級。

如果 Configuration Manager 用戶端安裝在電腦上,計算機會從月臺接收客戶端原則。 此原則包含要從中取得軟體更新的軟體更新點伺服器名稱和埠。

重要事項

針對以軟體更新為基礎的安裝,請使用相同的 Windows Server Update Services (WSUS) 伺服器進行用戶端安裝和軟體更新。 此伺服器必須是主要站台中的作用中軟體更新點。 如需詳細資訊,請 參閱安裝軟體更新點

如果 Configuration Manager 用戶端未安裝在電腦上,請設定並指派組策略物件。 組策略會指定軟體更新點的伺服器名稱。

您無法將命令行屬性新增至以軟體更新為基礎的客戶端安裝。 如果您已擴充 Configuration Manager 的 Active Directory 架構,用戶端安裝會自動查詢 Active Directory 網域服務的安裝內容。

如果您尚未擴充 Active Directory 架構,請使用組策略來布建用戶端安裝設定。 這些設定會自動套用至任何以軟體更新為基礎的客戶端安裝。 如需詳細資訊,請參閱 如何布建用戶端安裝屬性 一節,以及 如何將用戶端指派給月臺一文。

使用下列程式,將沒有 Configuration Manager 用戶端的電腦設定為使用軟體更新點。 另外還有一個程式可將用戶端軟體發佈至軟體更新點。

提示

如果計算機在先前的軟體安裝之後處於擱置重新啟動狀態,則以軟體更新為基礎的用戶端安裝可能會導致計算機重新啟動。

設定組策略物件以指定軟體更新點

  1. 使用 組策略管理主控台 開啟新的或現有的組策略物件。

  2. 展開 [計算機設定]、[ 系統管理範本] 和 [ Windows 元件],然後選取 [ Windows Update]

  3. 開啟 [ 指定內部網络Microsoft更新服務位置] 設定的屬性,然後選取 [ 已啟用]

  4. 設定用於偵測更新的內部網路更新服務:指定軟體更新點伺服器的名稱和埠。

    • 如果您已將 Configuration Manager 月台系統設定為使用完整域名 (FQDN) ,請使用該格式。

    • 如果 Configuration Manager 月台系統未設定為使用 FQDN,請使用簡短名稱格式。

    提示

    若要判斷埠號碼,請參閱 如何判斷 WSUS 所使用的埠設定

    FQDN 格式的範例: http://server1.contoso.com:8530

  5. 設定內部網路統計數據伺服器:此設定通常使用相同的伺服器名稱進行設定。

  6. 將組策略物件指派給您要安裝用戶端並接收軟體更新的計算機。

將 Configuration Manager 用戶端發佈至軟體更新點

  1. 在 Configuration Manager 控制台中,移至 [ 系統管理 ] 工作區,展開 [ 月臺設定],然後選取 [ 月臺 ] 節點。

  2. 選取您要設定軟體更新型用戶端安裝的月臺。

  3. 在功能區的 [ 首頁 ] 索引標籤上,選取 [ 設定 ] 群組中的 [ 用戶端安裝設定],然後選取 [ 軟體 Update-Based 用戶端安裝]

  4. 取 [啟用軟體更新型用戶端安裝]

  5. 如果月臺的用戶端版本比軟體更新點上的版本還新,則會開啟 [ 偵測到用戶端套件的更新版本 ] 對話方塊。 選取 [是 ] 以發佈最新版本。

    注意事項

    如果您尚未將用戶端軟體發佈至軟體更新點,此對話框會是空白的。

當有新版本時,不會自動更新 Configuration Manager 用戶端的軟體更新。 當您更新月臺時,請重複此程式來更新用戶端。

組策略安裝

使用 Active Directory 網域服務中的組策略來發佈或指派 Configuration Manager 用戶端。 用戶端會在電腦啟動時安裝。 當您使用組策略時,用戶端會出現在 [控制面板] 的 [ 新增或移除程式 ] 中。 用戶可以從該處安裝它。

針對組策略型安裝使用 Windows Installer 套件 CCMSetup.msi。 此檔案位於 <ConfigMgr installation directory>\bin\i386 月臺伺服器的資料夾中。 您無法將屬性新增至此檔案以變更安裝行為。

重要事項

您必須具有系統管理員許可權,才能存取用戶端安裝檔案。

  • 如果您已擴充 Configuration Manager 的 Active Directory 架構,且您已在 [台內容] 對話框的 [發佈] 索引卷標上選取網域,用戶端計算機會自動搜尋 Active Directory 網域服務以取得安裝內容。 如需詳細資訊, 請參閱關於發佈至 Active Directory 網域服務的用戶端安裝屬性

  • 如果您尚未擴充 Active Directory 架構,請參閱布建用戶端 安裝屬性 一節,以取得在計算機的 Windows 登錄中儲存安裝屬性的相關信息。 用戶端會在安裝時使用這些安裝屬性。

如需詳細資訊,請 參閱如何使用組策略從遠端安裝軟體

手動安裝

使用 CCMSetup.exe,在計算機上手動安裝客戶端軟體。 您可以在月台伺服器上 Configuration Manager 安裝資料夾的 [用戶端] 資料夾中找到此程式及其支援檔案。 月臺會將此資料夾共用至網路,如下所示:

\\<site server name>\SMS_<site code>\Client\

<site server name> 是主要站台伺服器名稱。 <site code> 是指派用戶端的主要月臺碼。 若要從用戶端上的命令行執行 CCMSetup.exe,請連線到此網路位置,然後執行命令。

重要事項

您必須具有系統管理員許可權,才能存取用戶端安裝檔案。

CCMSetup.exe 將所有必要的必要條件複製到用戶端計算機,並呼叫 Windows Installer 套件 (Client.msi) 來安裝用戶端。 您無法直接執行 Client.msi。

若要修改用戶端安裝的行為,請指定 CCMSetup.exe 和 Client.msi 的命令行選項。 在指定 Client.msi 屬性之前,請務必先指定開頭為 / 的 CCMSetup 參數。 例如:

CCMSetup.exe /mp:SMSMP01 /logon SMSSITECODE=AUTO FSP=SMSFP01

在這裡範例中,用戶端會使用下列選項進行安裝:

選項 描述
/mp:SMSMP01 此 CCMSetup 參數會指定用於下載必要用戶端安裝檔案的管理點SMSMP01。
/logon 如果在計算機上找到現有的 Configuration Manager 用戶端,這個 CCMSetup 參數會指定應該停止安裝。
SMSSITECODE=AUTO 例如,此 Client.msi 屬性會指定客戶端嘗試使用 Active Directory 網域服務來尋找要使用的 Configuration Manager 月臺碼。
FSP=SMSFP01 這個 Client.msi 屬性會指定名為 SMSFP01 的後援狀態點用來接收從用戶端電腦傳送的狀態消息。

如需詳細資訊,請 參閱關於用戶端安裝參數和屬性

提示

如需使用 Microsoft Entra 身分識別在新式 Windows 裝置上安裝 Configuration Manager 用戶端的程式,請參閱 使用 Microsoft Entra ID 安裝及指派 Configuration Manager 用戶端以進行驗證。 該程式適用於內部網路或因特網上的用戶端。

手動安裝範例

這些範例適用於內部網路上已加入 Active Directory 的用戶端。 它們會使用下列值:

  • MPSERVER:裝載管理點的伺服器
  • FSPSERVER:裝載後援狀態點的伺服器
  • ABC:月臺碼
  • contoso.com:功能變數名稱

假設您已使用內部網路 FQDN 設定所有站台系統伺服器,並將月臺資訊發佈至 Active Directory。

從客戶端電腦上的下列步驟開始:

  1. 以本機系統管理員身分登入。
  2. 將磁碟驅動器 Z 對應至 \\MPSERVER\SMS_ABC\Client
  3. 切換命令提示字元以驅動 Z。

然後執行下列其中一個命令:

手動範例 1

CCMSetup.exe

此命令會安裝沒有其他參數或屬性的用戶端。 用戶端會自動設定發佈至 Active Directory 網域服務的用戶端安裝屬性,包括下列設定:

  • 月臺碼:此設定需要用戶端的網路位置包含在您為用戶端指派所設定的界限群組中。
  • 管理點。
  • 後援狀態點。
  • 僅使用 HTTPS 進行通訊。

如需詳細資訊, 請參閱關於發佈至 Active Directory 網域服務的用戶端安裝屬性

手動範例 2

CCMSetup.exe /MP:mpserver.contoso.com /UsePKICert SMSSITECODE=ABC CCMHOSTNAME=server05.contoso.com CCMFIRSTCERT=1 FSP=server06.constoso.com

此命令會覆寫 Active Directory 網域服務提供的自動設定。 您不需要在針對用戶端指派設定的界限群組中包含客戶端的網路位置。 相反地,安裝會指定下列設定:

  • 月臺碼
  • 內部網路管理點
  • 以因特網為基礎的管理點
  • 接受來自因特網連線的後援狀態點
  • 如果) 有效期間最長,請使用用戶端公鑰基礎結構 (PKI) 憑證 (

登入腳本安裝

Configuration Manager 支援使用登入腳本來安裝 Configuration Manager 用戶端軟體。 使用登入腳本中的程式檔 CCMSetup.exe 來觸發客戶端安裝。

登入腳本安裝使用與手動用戶端安裝相同的方法。 指定 CCMSsetup.exe /logon 的安裝參數。 如果計算機上已有任何版本的用戶端,此參數會防止客戶端安裝。 此行為可防止每次執行登入腳本時重新安裝用戶端。

如果您未使用 /Source 參數指定安裝來源,而且參數未指定 /MP 要從中取得安裝的管理點,CCMSetup.exe 搜尋 Active Directory 網域服務來找出管理點。 只有在您已擴充 Configuration Manager 的架構,並將月臺發佈至 Active Directory 網域服務時,才會發生此行為。 或者,用戶端可以使用 DNS 來尋找管理點。

套件和程式安裝

使用 Configuration Manager 來建立和部署套件和程式,以升級所選裝置的客戶端軟體。 Configuration Manager 提供套件定義檔案,其中會以一般使用的值填入套件屬性。 藉由指定其他命令行參數和屬性來自定義用戶端安裝的行為。

注意事項

您無法使用此方法升級 Configuration Manager 2007 用戶端。 請改用自動用戶端升級,自動建立及部署包含最新版用戶端的套件。 如需詳細資訊,請參閱 升級用戶端

如需如何從舊版 Configuration Manager 用戶端移轉的詳細資訊,請參閱 規劃用戶端移轉策略

建立用戶端軟體的套件和程式

使用下列程式來建立 Configuration Manager 套件和程式,您可以部署至 Configuration Manager 用戶端電腦以升級客戶端軟體。

  1. 在 Configuration Manager 控制台中,移至 [ 軟體連結庫 ] 工作區,展開 [ 應用程式管理],然後選取 [ 套件] 節點

  2. 在功能區的 [ 常用] 索引標籤上,於 [ 建立 ] 群組中,選取 [ 從定義建立套件]

  3. 在精靈的 [套件定義] 頁面上,從 [發行者] 列表中選取 [Microsoft],然後從 [套件定義] 列表中選取 [Configuration Manager 客戶升級]。

  4. 在 [ 來源檔案] 頁面上,選 取 [永遠從源數據夾取得檔案]

  5. 在 [ 來源資料夾] 頁面上,選 取 [網络路徑 (UNC 名稱) 。 然後輸入包含用戶端安裝檔案之伺服器和共用的網路路徑。

    注意事項

    執行 Configuration Manager 部署的電腦必須能夠存取指定的網路資料夾。 否則,用戶端安裝會失敗。

    若要變更任何用戶端安裝屬性,請在 [Configuration Manager 代理程式無訊息升級內容] 程式對話方塊的 [一般] 索引卷標上修改 CCMSetup.exe 命令行。 預設安裝屬性為 /noservice SMSSITECODE=AUTO

  6. 將套件發佈至您想要裝載用戶端升級套件的所有發佈點。 然後將套件部署至包含您想要升級之用戶端的裝置集合。

Intune MDM 管理的 Windows 裝置

將 Configuration Manager 用戶端部署至已向 Microsoft Intune 註冊的裝置。

此程式適用於連線到內部網路的傳統用戶端。 它會使用傳統的客戶端驗證方法。 若要確定裝置在安裝客戶端之後仍處於受控狀態,它必須位於內部網路和 Configuration Manager 月台界限內。

如需使用 Microsoft Entra 身分識別在 Windows 裝置上安裝 Configuration Manager 用戶端的程式,請參閱 使用 Microsoft Entra ID 安裝及指派 Configuration Manager 用戶端以進行驗證

安裝 Configuration Manager 用戶端之後,裝置不會從 Intune 取消註冊。 他們可以同時使用 Configuration Manager 用戶端和 MDM 註冊。 如需詳細資訊,請 參閱共同管理概觀

注意事項

您可以使用其他用戶端安裝方法,在受 Intune 管理的裝置上安裝 Configuration Manager 用戶端。 例如,如果 Intune 管理的裝置位於內部網路上,並已加入 Active Directory 網域,您可以使用組策略來安裝 Configuration Manager 用戶端。

使用 Intune 安裝 Configuration Manager 用戶端

  1. 在 Intune 中,新增包含 Configuration Manager 用戶端安裝檔案 的 Windows 企業營運應用程式CCMSetup.msi。 您可以在 \bin\i386 月台伺服器上 Configuration Manager 安裝目錄的資料夾中找到此檔案。

  2. 在 Intune 軟體發行者中,輸入命令行參數。 例如,使用此命令搭配內部網路上的傳統用戶端:

    CCMSETUPCMD="/MP:<FQDN of management point> SMSMP=<FQDN of management point> SMSSITECODE=<your site code> DNSSUFFIX=<DNS suffix of management point>"

    注意事項

    如需使用 Microsoft Entra 驗證搭配 Windows 用戶端使用的命令範例,請參閱 如何準備以因特網為基礎的裝置以進行共同管理

  3. 將應用程式指派 給已註冊的 Windows 電腦群組。

OS 映像安裝

在您用來建立OS映像的參照電腦上預安裝 Configuration Manager 用戶端。

重要事項

當您使用 Configuration Manager 工作順序部署 OS 映射時, 準備 ConfigMgr 客戶 端步驟會完全移除 Configuration Manager 用戶端。

準備客戶端電腦以進行映像處理

  1. 在參照計算機上手動安裝 Configuration Manager 用戶端軟體。 如需詳細資訊,請 參閱如何手動安裝 Configuration Manager 用戶端

    重要事項

    請勿在 CCMSetup.exe 命令行屬性中指定用戶端的 Configuration Manager 月臺碼。

  2. 在命令提示字元中,輸入 net stop ccmexec 以停止參照計算機上的 SMS 代理程式主機服務 (CcmExec.exe) 。

  3. 從參照電腦上的 Windows 資料夾中刪除 SMSCFG.INI 檔案。

  4. 從本機計算機的 SMS 證書存儲移除憑證。

  5. 拿掉任何其他儲存在參照電腦本機計算機存放區中的有效客戶端驗證憑證。 例如,如果您使用 PKI 憑證,請在映像計算機之前,移除 [計算機] 和 [使用者] 之 [個人] 存放區中的憑證。

  6. 如果客戶端安裝在與參照計算機階層不同的 Configuration Manager 階層中,請從參照電腦移除受信任的根密鑰。

    注意事項

    如果客戶端無法查詢 Active Directory 網域服務以找出管理點,則會使用受信任的根密鑰來判斷受信任的管理點。 如果您將所有映像用戶端部署在與主要電腦相同的階層中,請保留受信任的根密鑰。

    如果您在不同的階層中部署用戶端,請移除受信任的根密鑰。 同時使用新的受信任根密鑰來布建這些用戶端。 如需詳細資訊,請參閱 規劃受信任的根密鑰

  7. 使用您的映像處理軟體來擷取參照計算機的映像。

  8. 將映像部署至目的地計算機。

工作組計算機

Configuration Manager 支援工作組中計算機的用戶端安裝。 使用 如何手動安裝 Configuration Manager 客戶端中指定的方法,在工作組電腦上安裝用戶端。

先決條件

  • 在每部工作組計算機上手動安裝用戶端。 在安裝期間,互動式用戶必須具有本機系統管理員許可權。

  • 若要存取 Configuration Manager 月台伺服器網域中的資源,請設定月臺的網路存取帳戶。 在軟體發佈網站元件中指定此帳戶。 如需詳細資訊,請參閱 網站元件

限制

  • 工作組客戶端無法從 Active Directory 網域服務找到管理點。 相反地,它們會使用 DNS 或其他管理點。

  • 不支援全域漫遊。 工作組客戶端無法查詢 Active Directory 網域服務的網站資訊。

  • Active Directory 發現方法無法探索工作組中的計算機。

  • 您無法將軟體部署至工作組電腦的使用者。

  • 您無法使用用戶端推入安裝方法在工作組電腦上安裝用戶端。

  • 工作組客戶端無法使用 Kerberos 進行驗證,而且可能需要手動核准。

  • 您無法將工作組用戶端設定為發佈點。 Configuration Manager 要求發布點計算機必須是網域的成員。

在工作組電腦上安裝用戶端

檢查必要條件,然後遵循 如何手動安裝 Configuration Manager 客戶端一節中的指示。

工作組範例 1

此範例會執行下列動作:

  • 安裝客戶端以進行內部網路用戶端管理
  • 指定月臺碼
  • 指定要尋找管理點的 DNS 後綴

CCMSetup.exe SMSSITECODE=ABC DNSSUFFIX=constoso.com

工作組範例 2

此範例會要求客戶端位於界限群組中設定的網路位置。 如果不符合此需求,自動月臺指派將無法運作。 命令包含伺服器 FSPSERVER 上的後援狀態點。 此屬性有助於追蹤用戶端部署,以及識別任何用戶端通訊問題。

CCMSetup.exe FSP=fspserver.constoso.com

以因特網為基礎的用戶端管理

注意事項

本節不適用於使用 雲端管理網關的用戶端。 若要使用雲端管理閘道安裝以因特網為基礎的用戶端,請參閱 使用 Microsoft Entra ID 安裝及指派 Configuration Manager 用戶端以進行驗證

當 Configuration Manager 月台針對有時在內部網路上,有時在因特網上的用戶端支援以因特網 為基礎的用戶端管理 時,當您在內部網路上安裝用戶端時,有兩個選項:

  • 例如,當您使用手動安裝或用戶端推入來安裝用戶端時,請包含 Client.msi 屬性 CCMHOSTNAME=<internet FQDN of the internet-based management point> 。 當您使用此方法時,請直接將用戶端指派給月臺。 您無法使用自動月臺指派。 請參閱 如何手動安裝 Configuration Manager 客戶 端一節,其中提供此設定方法的範例。

  • 安裝用戶端以進行內部網路用戶端管理,然後將以因特網為基礎的用戶端管理點指派給用戶端。 使用 [控制面板] 中 [ 組態 管理員] 頁面上的用戶端屬性,或使用腳本來變更管理點。 當您使用此方法時,可以使用自動用戶端指派。 如需詳細資訊,請參閱 如何在用戶端安裝之後設定以因特網為基礎的用戶端管理的客戶 端一節。

若要在因特網上安裝用戶端,請選擇下列其中一個支援的方法:

  • 提供機制,讓這些用戶端使用 VPN 暫時連線到內部網路。 然後使用任何適當的用戶端安裝方法來安裝用戶端。

  • 使用與 Configuration Manager 無關的安裝方法。 例如,將用戶端安裝來源檔案封裝到卸除式媒體,並將媒體傳送給使用者。 用戶端安裝來源檔案位於 <installation path>\Client Configuration Manager 月臺伺服器的資料夾中。 在媒體上,包含手動複製用戶端資料夾的腳稿。 從此資料夾中,使用 CCMSetup.exe 和所有適當的 CCMSetup 命令行屬性來安裝用戶端。

注意事項

Configuration Manager 不支援直接從以因特網為基礎的管理點或從以因特網為基礎的軟體更新點安裝用戶端。

透過因特網管理的客戶端必須與以因特網為基礎的月台系統通訊。 安裝用戶端之前,請確定這些用戶端也具有公鑰基礎結構 (PKI) 憑證。 從 Configuration Manager 獨立安裝這些憑證。 如需詳細資訊,請參閱 PKI 憑證需求

藉由指定 CCMSetup 命令行屬性,在因特網上安裝用戶端

  1. 遵循 如何手動安裝 Configuration Manager 客戶端一節中的指示。 一律包含下列選項:

    • CCMSetup 命令行參數 /source:<local path of the copied Client folder>

    • CCMSetup 命令行參數 /UsePKICert

    • Client.msi 屬性 CCMHOSTNAME=<FQDN of internet-based management point>

    • Client.msi 屬性 SMSSIGNCERT=<local path of exported site server signing certificate>

    • Client.msi 屬性 SMSSITECODE=<site code of internet-based management point>

    注意事項

    如果網站有多個以因特網為基礎的管理點,您為 CCMHOSTNAME 屬性指定哪一個管理點並不重要。 當 Configuration Manager 用戶端連線到指定的因特網型管理點時,它會傳送站台中可用因特網型管理點的清單給用戶端。 用戶端會從清單中隨機選取一個。

  2. 如果您不想讓客戶端檢查 CRL) (憑證撤銷清單,請指定 CCMSetup 命令列參數 /NoCRLCheck

  3. 如果您使用以因特網為基礎的後援狀態點,請指定 Client.msi 屬性 FSP=<internet FQDN of the internet-based fallback status point>

  4. 如果您要安裝僅限因特網用戶端管理的用戶端,請指定 Client.msi 屬性 CCMALWAYSINF=1

  5. 判斷您是否必須指定其他 CCMSetup 命令行參數。 例如,如果用戶端有多個有效的 PKI 憑證,您可能必須指定憑證選取準則。 如需可用屬性的清單,請 參閱關於用戶端安裝參數和屬性

以因特網為基礎的範例

CCMSetup.exe /source: D:\Clients /UsePKICert CCMHOSTNAME=server1.contoso.com SMSSIGNCERT=siteserver.cer SMSSITECODE=ABC FSP=server2.contoso.com CCMALWAYSINF=1 CCMFIRSTCERT=1

此範例會安裝具有下列行為的用戶端:

  • 從磁碟驅動器 D 上的資料夾使用來源檔案。
  • 使用用戶端 PKI 憑證。
  • 選取有效期間最長的憑證。
  • 僅限因特網的用戶端管理。
  • 指派用戶端以使用名為 SERVER1 的因特網型管理點。
  • 在 contoso.com 網域中指派以因特網為基礎的後援狀態點。
  • 將用戶端指派給 ABC 網站。

在用戶端安裝之後設定以因特網為基礎的用戶端管理的用戶端

若要在安裝客戶端之後指派以因特網為基礎的管理點,請使用下列其中一個程式。 第一個需要手動設定,且適用於少數用戶端。 第二個比較適合用於設定許多用戶端。

從 Configuration Manager 控制面板安裝客戶端之後,為以因特網為基礎的用戶端管理設定用戶端

  1. 開啟用戶端上的 Configuration Manager 控制面板。

  2. 在 [ 網络] 索引標籤上,輸入以因特網為基礎的管理點的完整域名 (FQDN) 作為因特網 FQDN

    注意事項

    只有當用戶端具有用戶端 PKI 憑證時,才能使用 [ 網络 ] 索引標籤。

  3. 如果用戶端使用 Proxy 伺服器存取因特網,請輸入 Proxy 伺服器設定。

使用文稿在用戶端安裝後設定以因特網為基礎的用戶端管理用戶端

PowerShell
  1. 開啟 PowerShell 內嵌編輯器,例如 PowerShell ISE 或 Visual Studio Code。 您也可以使用文字編輯器,例如記事本。

  2. 將下列幾行程式代碼複製並插入編輯器中。 將 取代 'mp.contoso.com' 為因特網型管理點的因特網 FQDN。

    $newInternetBasedManagementPointFQDN = 'mp.contoso.com'
    $client = New-Object -ComObject Microsoft.SMS.Client
    $client.SetInternetManagementPointFQDN($newInternetBasedManagementPointFQDN)
    Restart-Service CcmExec
    $client.GetInternetManagementPointFQDN()
    

    注意事項

    最後一行只會驗證新的因特網管理點值。

    若要刪除指定的因特網型管理點,請移除引號內的伺服器 FQDN 值。 這一行會變成 $newInternetBasedManagementPointFQDN = ''

  3. 儲存擴展名為 .ps1 的檔案。

  4. 在客戶端電腦上以提高的許可權執行腳本。 使用下列其中一種方法:

    • 使用套件和程式,將檔案部署至現有的 Configuration Manager 用戶端。

    • 按兩下 [檔案總管] 中的腳本檔案,在現有的 Configuration Manager 用戶端本機上執行檔案。

您可能必須重新啟動客戶端,變更才會生效。

布建用戶端安裝內容

布建組策略和軟體更新型用戶端安裝的用戶端安裝屬性。 使用 Windows 組策略來布建具有 Configuration Manager 用戶端安裝內容的電腦。 這些屬性會儲存在電腦的登錄中。 用戶端會在安裝時讀取它們。 通常不需要此程式,但某些用戶端安裝案例可能需要此程式,例如:

  • 您使用的是組策略設定或軟體更新型用戶端安裝方法。 您尚未擴充 Configuration Manager 的 Active Directory 架構。

  • 您要覆寫特定電腦上的用戶端安裝屬性。

注意事項

如果在 CCMSetup.exe 命令行上提供任何安裝屬性,則不會使用計算機上布建的安裝屬性。

Configuration Manager 安裝媒體上會提供名為 的 ConfigMgrInstallation.adm 組策略系統管理範本。 使用此範本來布建具有安裝屬性的用戶端電腦。

提示

根據預設, ConfigMgrInstallation.adm 不支援大於 255 個字元的字串。 此設定可能會影響使用長值新增多個參數或參數,例如CCMCERTISSUERS。

若要解決此問題:

  1. 在記事本中編輯 ConfigMgrInstallation.adm
  2. 針對屬性 VALUENAME SetupParameters,將值變更 MAXLEN 為較大的整數。 例如,MAXLEN 511

使用組策略物件設定及指派用戶端安裝內容

  1. 使用 Windows 組策略物件編輯器之類的編輯器,將 ConfigMgrInstallation.adm 系統管理範本匯入新的或現有的組策略物件 (GPO) 。 您可以在 Configuration Manager 安裝媒體的資料夾中 TOOLS\ConfigMgrADMTemplates 找到此檔案。

  2. 開啟匯入設定 [設定 用戶端部署設定] 的屬性。

  3. 選取 已啟用

  4. [CCMSetup] 方塊 中,輸入必要的 CCMSetup 命令行屬性。 如需所有 CCMSetup 命令行屬性及其使用範例的清單,請參閱 關於用戶端安裝參數和屬性

  5. 將 GPO 指派給您想要使用 Configuration Manager 用戶端安裝內容布建的電腦。