Instalar e atribuir clientes Configuration Manager com Microsoft Entra ID para autenticação

Para instalar o cliente Configuration Manager em dispositivos Windows através da autenticação Microsoft Entra, integre Configuration Manager com Microsoft Entra ID. Os clientes podem estar na intranet a comunicar diretamente com um ponto de gestão ativado por HTTPS ou qualquer ponto de gestão num site ativado para HTTP Avançado. Também podem ser comunicações baseadas na Internet através do CMG ou com um ponto de gestão baseado na Internet. Este processo utiliza Microsoft Entra ID para autenticar clientes no site Configuration Manager. Microsoft Entra ID substitui a necessidade de configurar e utilizar certificados de autenticação de cliente.

Configurar Microsoft Entra ID pode ser mais fácil para alguns clientes do que configurar uma infraestrutura de chave pública para autenticação baseada em certificados. Existem funcionalidades que exigem que integre o site para Microsoft Entra ID, mas não exigem necessariamente que os clientes sejam Microsoft Entra associados. Para obter mais informações, consulte os seguintes artigos:

• Planear Microsoft Entra ID
• Utilizar Microsoft Entra ID para cogestão

Antes de começar

• Um inquilino Microsoft Entra é um pré-requisito

• Requisitos do dispositivo:

  • Uma versão suportada do Windows 10 ou posterior

  • Associado ao Microsoft Entra ID, associado a um domínio de cloud puro ou Microsoft Entra associado híbrido

• Requisitos do utilizador:

  • O utilizador com sessão iniciada tem de ser uma identidade Microsoft Entra.

  • Se o utilizador for uma identidade federada ou sincronizada, configure Configuration Manager deteção de utilizadores do Active Directory e Microsoft Entra deteção de utilizadores. Para obter mais informações sobre identidades híbridas, veja Definir uma estratégia de adoção de identidade híbrida.

• Além dos pré-requisitos existentes para a função de sistema de sites do ponto de gestão, também ative ASP.NET 4.5 neste servidor. Inclua quaisquer outras opções selecionadas automaticamente ao ativar o ASP.NET 4.5.

• Determine se o ponto de gestão precisa de HTTPS. Para obter mais informações, veja Ativar o ponto de gestão para HTTPS.

• Opcionalmente, configure um gateway de gestão da cloud (CMG) para implementar clientes baseados na Internet. Para clientes no local que se autenticam com Microsoft Entra ID, não precisa de um CMG.

Dica

Configuration Manager expande o suporte para dispositivos baseados na Internet que muitas vezes não se ligam à rede interna, não conseguem associar Microsoft Entra ID e não têm um método para instalar um certificado emitido por PKI. Para obter mais informações, veja Autenticação baseada em tokens para CMG.

Configurar os Serviços do Azure para a Gestão da Cloud

Ligue o seu site Configuration Manager a Microsoft Entra ID como o primeiro passo. Para obter detalhes sobre este processo, veja Configurar serviços do Azure. Crie uma ligação ao serviço de Gestão da Cloud .

Ative Microsoft Entra deteção de utilizadores como parte da integração na Gestão da Cloud.

Depois de concluir estas ações, o site Configuration Manager está ligado a Microsoft Entra ID.

Observação

Se os seus dispositivos estiverem num inquilino Microsoft Entra separado do inquilino com uma subscrição dos recursos de computação CMG, a partir da versão 2010, pode desativar a autenticação para inquilinos não associados a utilizadores e dispositivos. Para obter mais informações, veja Configurar serviços do Azure.

Definir configurações do cliente

Estas definições de cliente ajudam a configurar dispositivos Windows para associação híbrida. Também permitem que os clientes baseados na Internet utilizem o CMG.

1. Configure as seguintes definições de cliente no grupo Serviços de Nuvem. Para obter mais informações, veja Como configurar as definições do cliente.

   • Permitir o acesso ao ponto de distribuição na nuvem: ative esta definição para ajudar os dispositivos baseados na Internet a obter o conteúdo necessário para instalar o cliente Configuration Manager. Os dispositivos podem obter o conteúdo a partir do CMG.

   • Registe automaticamente novos Windows 10 ou dispositivos associados a um domínio posterior com Microsoft Entra ID: Defina como Sim ou Não. A predefinição é Sim. Este comportamento também é a predefinição no Windows.

     Dica

     Os dispositivos associados híbridos são associados a um domínio Active Directory local e registados com Microsoft Entra ID. Para obter mais informações, veja Microsoft Entra dispositivos associados híbridos.

   • Permitir que os clientes utilizem um gateway de gestão da cloud: defina como Sim (predefinição) ou Não.

2. Implemente as definições de cliente na coleção necessária de dispositivos. Não implemente estas definições em coleções de utilizadores.

Para confirmar que o dispositivo está associado a uma associação híbrida, execute dsregcmd.exe /status numa linha de comandos. Se o dispositivo estiver Microsoft Entra associado ou associado híbrido, o campo AzureAdjoined nos resultados mostra SIM. Para obter mais informações, veja dsregcmd command - device state (Comando dsregcmd – estado do dispositivo).

Instalar e registar o cliente com Microsoft Entra identidade

Para instalar manualmente o cliente com Microsoft Entra identidade, reveja primeiro o processo geral sobre Como instalar clientes manualmente.

Observação

O dispositivo precisa de acesso à Internet para contactar Microsoft Entra ID, mas não precisa de ser baseado na Internet.

O exemplo seguinte mostra a estrutura geral da linha de comandos: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Para obter mais informações, veja Propriedades de instalação do cliente.

O /mp parâmetro e CCMHOSTNAME a propriedade especificam um dos seguintes, consoante o cenário:

• Ponto de gestão no local. Especifique apenas o /mp parâmetro . A CCMHOSTNAME propriedade não é necessária.
• Gateway de gestão da cloud
• Ponto de gestão baseado na Internet

A SMSMP propriedade especifica o ponto de gestão no local. Não é necessário. É recomendado para Microsoft Entra dispositivos associados que circulam pela intranet, para que possam encontrar um ponto de gestão no local.

Este exemplo utiliza um gateway de gestão da cloud. Substitui os valores de exemplo: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

O site publica informações de Microsoft Entra adicionais no gateway de gestão da cloud (CMG). Um cliente associado Microsoft Entra obtém estas informações do CMG durante o processo ccmsetup, utilizando o mesmo inquilino ao qual está associado. Este comportamento simplifica ainda mais a instalação do cliente num ambiente com mais de um Microsoft Entra inquilino. As duas únicas propriedades ccmsetup necessárias são CCMHOSTNAME e SMSSITECODE.

Para automatizar a instalação do cliente com Microsoft Entra identidade através de Microsoft Intune, veja Como preparar dispositivos baseados na Internet para a cogestão.

Próximas etapas

Depois de concluído, pode continuar a monitorizar e gerir clientes.