使用Microsoft Entra識別碼來安裝和指派Configuration Manager用戶端以進行驗證

若要使用Microsoft Entra驗證在 Windows 裝置上安裝Configuration Manager用戶端，請將Configuration Manager與Microsoft Entra識別碼整合。 用戶端可以在內部網路上，直接與已啟用 HTTPS 的管理點或啟用增強式 HTTP 之月臺中的任何管理點通訊。 它們也可以是透過 CMG 或以網際網路為基礎的管理點進行以網際網路為基礎的通訊。 此程式會使用Microsoft Entra識別碼向Configuration Manager月臺驗證用戶端。 Microsoft Entra識別碼取代設定和使用用戶端驗證憑證的需求。

對某些客戶而言，設定Microsoft Entra識別碼可能比設定憑證式驗證的公開金鑰基礎結構更容易。 有一些功能需要您將網站上線以Microsoft Entra識別碼，但不一定需要Microsoft Entra加入用戶端。 如需詳細資訊，請參閱下列文章：

• 規劃Microsoft Entra識別碼
• 使用Microsoft Entra識別碼進行共同管理

開始之前

• Microsoft Entra租使用者是必要條件

• 裝置需求：

  • 支援的 Windows 10 或更新版本

  • 加入Microsoft Entra識別碼、純雲端網域加入或Microsoft Entra混合式加入

• 使用者需求：

  • 登入的使用者必須是Microsoft Entra身分識別。

  • 如果使用者是同盟或同步身分識別，請設定Configuration Manager Active Directory 使用者探索和Microsoft Entra使用者探索。 如需混合式身分識別的詳細資訊，請 參閱定義混合式身分識別採用策略。

• 除了管理點月臺系統角色 的現有必要條件 之外，也請在此伺服器上啟 用 ASP.NET 4.5 。 包含啟用 ASP.NET 4.5 時自動選取的任何其他選項。

• 判斷您的管理點是否需要 HTTPS。 如需詳細資訊，請參閱 啟用 HTTPS 的管理點。

• 選擇性地 (CMG) 設定 雲端管理閘道 ，以部署以網際網路為基礎的用戶端。 對於使用Microsoft Entra識別碼進行驗證的內部部署用戶端，您不需要 CMG。

提示

Configuration Manager擴充其對不常連線到內部網路、無法加入Microsoft Entra識別碼，而且沒有安裝 PKI 發行憑證之以網際網路為基礎的裝置的支援。 如需詳細資訊，請參閱 CMG 的權杖型驗證。

設定適用于雲端管理的 Azure 服務

將您的Configuration Manager網站連線到Microsoft Entra識別碼作為第一個步驟。 如需此程式的詳細資訊， 請參閱設定 Azure 服務。 建立 雲端管理 服務的連線。

啟用Microsoft Entra使用者探索，作為上線至雲端管理的一部分。

完成這些動作之後，您的Configuration Manager網站會連線到Microsoft Entra識別碼。

注意事項

如果您的裝置位於與具有 CMG 計算資源訂用帳戶的租使用者不同的Microsoft Entra租使用者中，則從 2010 版開始，您可以針對未與使用者和裝置相關聯的租使用者停用驗證。 如需詳細資訊， 請參閱設定 Azure 服務。

設定用戶端設定

這些用戶端設定可協助將 Windows 裝置設定為混合式聯結。 它們也可讓以網際網路為基礎的用戶端使用 CMG。

1. 在雲端服務群組中設定下列客戶端設定。 如需詳細資訊，請參閱 如何設定用戶端設定。

   • 允許存取雲端發佈點：啟用此設定可協助以網際網路為基礎的裝置取得安裝Configuration Manager用戶端所需的內容。 裝置可以從 CMG 取得內容。

   • 使用Microsoft Entra識別碼自動註冊已加入網域的新Windows 10裝置：設定為[是]或 [否]。 預設設定為 [是]。 此行為也是 Windows 中的預設行為。

     提示

     已加入混合式的裝置會加入內部部署的 Active Directory網域，並以Microsoft Entra識別碼註冊。 如需詳細資訊，請參閱Microsoft Entra混合式聯結裝置。

   • 讓用戶端能夠使用雲端管理閘道：設定為 [ 是 (預設) 或 [否]。

2. 將用戶端設定部署至所需的裝置集合。 請勿將這些設定部署至使用者集合。

若要確認裝置已混合加入，請 dsregcmd.exe /status 在命令提示字元中執行 。 如果裝置Microsoft Entra加入或混合式加入，結果中的[AzureAdjoined] 欄位會顯示[是]。 如需詳細資訊，請參 閱 dsregcmd 命令 - 裝置狀態。

使用Microsoft Entra身分識別來安裝和註冊用戶端

若要使用Microsoft Entra身分識別手動安裝用戶端，請先檢閱如何手動安裝用戶端的一般程式。

注意事項

裝置需要存取網際網路，才能連絡Microsoft Entra識別碼，但不需要以網際網路為基礎。

下列範例顯示命令列的一般結構： ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

如需詳細資訊，請 參閱用戶端安裝屬性。

參數 /mp 和 CCMHOSTNAME 屬性會根據案例指定下列其中一項：

• 內部部署管理點。 僅指定 /mp 參數。 CCMHOSTNAME不需要 屬性。
• 雲端管理閘道
• 以網際網路為基礎的管理點

屬性 SMSMP 會指定內部部署管理點。 這不是必要專案。 建議Microsoft Entra聯結的裝置漫遊到內部網路，以便找到內部部署管理點。

此範例使用雲端管理閘道。 它會取代範例值： ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

月臺會將其他Microsoft Entra資訊發佈至雲端管理閘道 (CMG) 。 已加入Microsoft Entra用戶端會在 ccmsetup 程式期間，使用其加入的相同租使用者，從 CMG 取得此資訊。 此行為可進一步簡化在具有多個Microsoft Entra租使用者的環境中安裝用戶端。 只有兩個必要的 ccmsetup 屬性是 CCMHOSTNAME 和 SMSSITECODE 。

若要透過Microsoft Intune使用Microsoft Entra身分識別將用戶端安裝自動化，請參閱如何準備以網際網路為基礎的裝置以進行共同管理。

後續步驟

完成後，您可以繼續 監視和管理用戶端。