Configuration Manager clients installeren en toewijzen met behulp van Microsoft Entra ID voor verificatie

Als u de Configuration Manager-client wilt installeren op Windows-apparaten met behulp van Microsoft Entra-verificatie, integreert u Configuration Manager met Microsoft Entra ID. Clients kunnen zich op het intranet bevindt en rechtstreeks communiceren met een HTTPS-beheerpunt of een beheerpunt op een site die is ingeschakeld voor verbeterde HTTP. Ze kunnen ook via internet communiceren via de CMG of met een beheerpunt op internet. In dit proces wordt Microsoft Entra ID gebruikt om clients te verifiëren bij de Configuration Manager site. Microsoft Entra ID vervangt de noodzaak om clientverificatiecertificaten te configureren en te gebruiken.

Het instellen van Microsoft Entra ID kan voor sommige klanten eenvoudiger zijn dan het instellen van een infrastructuur voor openbare sleutels voor verificatie op basis van certificaten. Er zijn functies waarvoor u de site moet onboarden om te Microsoft Entra ID, maar niet noodzakelijkerwijs vereisen dat de clients worden Microsoft Entra toegevoegd. Zie de volgende artikelen voor meer informatie:

• Plannen voor Microsoft Entra ID
• Gebruik Microsoft Entra ID voor co-beheer

Voordat u begint

• Een Microsoft Entra-tenant is een vereiste

• Apparaatvereisten:

  • Een ondersteunde versie van Windows 10 of hoger

  • Toegevoegd aan Microsoft Entra ID, puur clouddomein of Microsoft Entra hybride gekoppeld

• Gebruikersvereisten:

  • De aangemelde gebruiker moet een Microsoft Entra-identiteit zijn.

  • Als de gebruiker een federatieve of gesynchroniseerde identiteit is, configureert u zowel Configuration Manager Active Directory-gebruikersdetectie als Microsoft Entra gebruikersdetectie. Zie Een strategie voor de acceptatie van hybride identiteiten definiëren voor meer informatie over hybride identiteiten.

• Schakel naast de bestaande vereisten voor de sitesysteemrol van het beheerpunt ook ASP.NET 4.5 in op deze server. Neem alle andere opties op die automatisch worden geselecteerd bij het inschakelen van ASP.NET 4.5.

• Bepaal of uw beheerpunt HTTPS nodig heeft. Zie Beheerpunt inschakelen voor HTTPS voor meer informatie.

• Stel eventueel een cloudbeheergateway (CMG) in om internetclients te implementeren. Voor on-premises clients die worden geverifieerd met Microsoft Entra ID, hebt u geen CMG nodig.

Tip

Configuration Manager breidt de ondersteuning uit voor internetapparaten die niet vaak verbinding maken met het interne netwerk, niet kunnen deelnemen aan Microsoft Entra ID en geen methode hebben voor het installeren van een door PKI uitgegeven certificaat. Zie Verificatie op basis van tokens voor CMG voor meer informatie.

Azure-services configureren voor cloudbeheer

Verbind uw Configuration Manager site met Microsoft Entra ID als eerste stap. Zie Azure-services configureren voor meer informatie over dit proces. Maak een verbinding met de Cloud Management-service .

Schakel Microsoft Entra gebruikersdetectie in als onderdeel van de onboarding naar Cloud Management.

Nadat u deze acties hebt voltooid, wordt uw Configuration Manager site verbonden met Microsoft Entra ID.

Opmerking

Als uw apparaten zich in een Microsoft Entra-tenant bevinden die gescheiden is van de tenant met een abonnement voor de CMG-rekenresources, kunt u vanaf versie 2010 verificatie uitschakelen voor tenants die niet zijn gekoppeld aan gebruikers en apparaten. Zie Azure-services configureren voor meer informatie.

Clientinstellingen configureren

Deze clientinstellingen helpen bij het configureren van Windows-apparaten voor hybride deelname. Ze stellen ook internetclients in staat om de CMG te gebruiken.

1. Configureer de volgende clientinstellingen in de groep Cloud Services. Zie Clientinstellingen configureren voor meer informatie.

   • Toegang tot clouddistributiepunt toestaan: schakel deze instelling in om internetapparaten te helpen de vereiste inhoud op te halen om de Configuration Manager-client te installeren. Apparaten kunnen de inhoud van de CMG ophalen.

   • Registreer automatisch nieuwe Windows 10 of nieuwere apparaten die lid zijn van een domein met Microsoft Entra ID: Instellen op Ja of Nee. De standaardinstelling is Ja. Dit gedrag is ook de standaardinstelling in Windows.

     Tip

     Hybride apparaten worden toegevoegd aan een on-premises Active Directory domein en geregistreerd bij Microsoft Entra ID. Zie Microsoft Entra hybride gekoppelde apparaten voor meer informatie.

   • Clients in staat stellen om een cloudbeheergateway te gebruiken: Stel in op Ja (standaard) of Nee.

2. Implementeer de clientinstellingen in de vereiste verzameling apparaten. Implementeer deze instellingen niet in gebruikersverzamelingen.

Voer uit in een opdrachtprompt om te controleren of het apparaat hybride dsregcmd.exe /status is. Als het apparaat is Microsoft Entra gekoppeld of hybride gekoppeld, wordt in het veld AzureAdjoined in de resultaten JA weergegeven. Zie de opdracht dsregcmd - apparaatstatus voor meer informatie.

De client installeren en registreren met behulp van Microsoft Entra identiteit

Als u de client handmatig wilt installeren met behulp van Microsoft Entra identiteit, raadpleegt u eerst het algemene proces op Clients handmatig installeren.

Opmerking

Het apparaat heeft toegang tot internet nodig om contact te kunnen opnemen met Microsoft Entra ID, maar hoeft niet op internet te zijn gebaseerd.

In het volgende voorbeeld ziet u de algemene structuur van de opdrachtregel: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Zie Eigenschappen van clientinstallatie voor meer informatie.

De /mp parameter en CCMHOSTNAME eigenschap opgeven een van de volgende, afhankelijk van het scenario:

• On-premises beheerpunt. Geef alleen de /mp parameter op. De CCMHOSTNAME eigenschap is niet vereist.
• Cloudbeheergateway
• Op internet gebaseerd beheerpunt

De SMSMP eigenschap geeft het on-premises beheerpunt op. Het is niet vereist. Het wordt aanbevolen voor Microsoft Entra gekoppelde apparaten die op het intranet roamen, zodat ze een on-premises beheerpunt kunnen vinden.

In dit voorbeeld wordt een cloudbeheergateway gebruikt. Het vervangt voorbeeldwaarden: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

De site publiceert aanvullende Microsoft Entra informatie naar de cloudbeheergateway (CMG). Een Microsoft Entra gekoppelde client haalt deze informatie op van de CMG tijdens het ccmsetup-proces, met behulp van dezelfde tenant waaraan deze is gekoppeld. Dit gedrag vereenvoudigt het installeren van de client in een omgeving met meer dan één Microsoft Entra tenant. De enige twee vereiste ccmsetup-eigenschappen zijn CCMHOSTNAME en SMSSITECODE.

Als u de clientinstallatie wilt automatiseren met behulp van Microsoft Entra identiteit via Microsoft Intune, raadpleegt u Internetapparaten voorbereiden voor co-beheer.

Volgende stappen

Zodra dit is voltooid, kunt u clients blijven bewaken en beheren.