認証にMicrosoft Entra IDを使用してConfiguration Manager クライアントをインストールして割り当てる

Microsoft Entra認証を使用して Windows デバイスにConfiguration Manager クライアントをインストールするには、Configuration ManagerとMicrosoft Entra IDを統合します。 クライアントは、イントラネット上で、HTTPS 対応管理ポイントまたは拡張 HTTP が有効なサイト内の任意の管理ポイントと直接通信できます。 また、CMG を介したインターネット ベースの通信や、インターネット ベースの管理ポイントとの通信も可能です。 このプロセスでは、Microsoft Entra IDを使用して、Configuration Manager サイトに対してクライアントを認証します。 Microsoft Entra IDは、クライアント認証証明書を構成して使用する必要性を置き換えます。

Microsoft Entra IDの設定は、証明書ベースの認証用の公開キー インフラストラクチャを設定するよりも、一部のお客様にとって簡単な場合があります。 サイトをMicrosoft Entra IDにオンボードする必要があるが、必ずしもクライアントを参加Microsoft Entra必要としない機能があります。 詳細については、次の記事を参照してください。

• Microsoft Entra IDの計画
• 共同管理にMicrosoft Entra IDを使用する

開始する前に

• Microsoft Entra テナントが前提条件です

• デバイス要件:

  • サポートされているバージョンのWindows 10以降

  • 純粋なクラウド ドメイン参加済みまたはハイブリッド参加済みMicrosoft Entra、Microsoft Entra IDに参加

• ユーザー要件:

  • サインインしているユーザーは、Microsoft Entra ID である必要があります。

  • ユーザーがフェデレーション ID または同期 ID の場合は、Active Directory ユーザー検出とMicrosoft Entraユーザー検出の両方Configuration Manager構成します。 ハイブリッド ID の詳細については、「 ハイブリッド ID 導入戦略を定義する」を参照してください。

• 管理ポイント サイト システムの役割の 既存の前提条件 に加えて、このサーバー で ASP.NET 4.5 も有効にします。 ASP.NET 4.5 を有効にするときに自動的に選択されるその他のオプションを含めます。

• 管理ポイントに HTTPS が必要かどうかを判断します。 詳細については、「 HTTPS の管理ポイントを有効にする」を参照してください。

• 必要に応じて、インターネット ベースのクライアントをデプロイする クラウド管理ゲートウェイ (CMG) を設定します。 Microsoft Entra IDで認証するオンプレミス クライアントの場合、CMG は必要ありません。

ヒント

Configuration Managerは、内部ネットワークに接続しないインターネット ベースのデバイスのサポートを拡張し、Microsoft Entra IDに参加できず、PKI が発行した証明書をインストールする方法がありません。 詳細については、「 CMG のトークン ベースの認証」を参照してください。

Azure Services for Cloud Management を構成する

Configuration Manager サイトを最初の手順としてMicrosoft Entra IDに接続します。 このプロセスの詳細については、「 Azure サービスの構成」を参照してください。 Cloud Management サービスへの接続を作成します。

Cloud Management Microsoft Entraオンボードの一環として、ユーザー検出を有効にします。

これらの操作を完了すると、Configuration Manager サイトがMicrosoft Entra IDに接続されます。

注:

デバイスが、CMG コンピューティング リソースのサブスクリプションを持つテナントとは別のMicrosoft Entra テナントにある場合は、バージョン 2010 以降、ユーザーとデバイスに関連付けられていないテナントの認証を無効にすることができます。 詳細については、「 Azure サービスの構成」を参照してください。

クライアント設定を構成する

これらのクライアント設定は、Windows デバイスをハイブリッド参加するように構成するのに役立ちます。 また、インターネット ベースのクライアントで CMG を使用することもできます。

1. Cloud Services グループで次のクライアント設定を構成します。 詳細については、「 クライアント設定を構成する方法」を参照してください。

   • クラウド配布ポイントへのアクセスを許可する: インターネット ベースのデバイスがConfiguration Manager クライアントをインストールするために必要なコンテンツを取得できるように、この設定を有効にします。 デバイスは CMG からコンテンツを取得できます。

   • 新しいWindows 10以降のドメイン参加済みデバイスをMicrosoft Entra IDに自動的に登録します。[はい] または [いいえ] に設定します。 既定の設定は [はい] です。 この動作は、Windows の既定値でもあります。

     ヒント

     ハイブリッド参加済みデバイスは、オンプレミスの Active Directory ドメインに参加し、Microsoft Entra IDに登録されます。 詳細については、「ハイブリッド参加済みデバイスMicrosoft Entra」を参照してください。

   • クライアントがクラウド管理ゲートウェイを使用できるようにする: [はい ] (既定値) または [いいえ] に設定します。

2. クライアント設定をデバイスの必要なコレクションに展開します。 これらの設定をユーザー コレクションに展開しないでください。

デバイスがハイブリッド参加していることを確認するには、コマンド プロンプトで dsregcmd.exe /status を実行します。 デバイスが参加またはハイブリッド参加Microsoft Entra場合、結果の AzureAdjoined フィールドに YES が表示されます。 詳細については、「 dsregcmd コマンド - デバイスの状態」を参照してください。

Microsoft Entra ID を使用してクライアントをインストールして登録する

Microsoft Entra ID を使用してクライアントを手動でインストールするには、まず、クライアントを手動でインストールする方法に関する一般的なプロセスを確認します。

注:

デバイスはインターネットにアクセスしてMicrosoft Entra IDに接続する必要がありますが、インターネットベースである必要はありません。

次の例は、コマンド ラインの一般的な構造を示しています。 ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

詳細については、「 クライアント インストールのプロパティ」を参照してください。

/mp パラメーターと CCMHOSTNAME プロパティでは、シナリオに応じて次のいずれかを指定します。

• オンプレミス管理ポイント。 /mp パラメーターのみを指定します。 CCMHOSTNAME プロパティは必要ありません。
• クラウド管理ゲートウェイ
• インターネット ベースの管理ポイント

SMSMP プロパティは、オンプレミスの管理ポイントを指定します。 必須ではありません。 イントラネットにローミングする参加済みデバイスMicrosoft Entra、オンプレミスの管理ポイントを見つけられるようにすることをお勧めします。

この例では、クラウド管理ゲートウェイを使用します。 これは、サンプル値を置き換えます。 ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

サイトは、追加のMicrosoft Entra情報をクラウド管理ゲートウェイ (CMG) に発行します。 Microsoft Entra参加済みクライアントは、参加しているのと同じテナントを使用して、ccmsetup プロセス中に CMG からこの情報を取得します。 この動作により、複数のMicrosoft Entra テナントを持つ環境へのクライアントのインストールがさらに簡略化されます。 必要な ccmsetup プロパティは、 CCMHOSTNAME と SMSSITECODEの 2 つだけです。

Microsoft Intuneを使用してMicrosoft Entra ID を使用してクライアントのインストールを自動化するには、「共同管理のためにインターネット ベースのデバイスを準備する方法」を参照してください。

次の手順

完了したら、引き続き クライアントの監視と管理を行うことができます。