Установка и назначение клиентов Configuration Manager с помощью Microsoft Entra ID для проверки подлинности

Чтобы установить клиент Configuration Manager на устройствах Windows с помощью проверки подлинности Microsoft Entra, интегрируйте Configuration Manager с Microsoft Entra ID. Клиенты могут находиться в интрасети, напрямую взаимодействуя с точкой управления с поддержкой HTTPS или любой точкой управления на сайте с поддержкой расширенного HTTP. Они также могут взаимодействовать через Интернет через CMG или через интернет-точку управления. Этот процесс использует Microsoft Entra ID для проверки подлинности клиентов на сайте Configuration Manager. Microsoft Entra ID заменяет необходимость в настройке и использовании сертификатов проверки подлинности клиента.

Для некоторых клиентов настройка Microsoft Entra ID может оказаться проще, чем настройка инфраструктуры открытых ключей для проверки подлинности на основе сертификатов. Существуют функции, которые требуют подключения сайта для Microsoft Entra ID, но не обязательно, чтобы клиенты были Microsoft Entra присоединены. Дополнительные сведения см. в следующих статьях:

• Планирование Microsoft Entra ID
• Использование Microsoft Entra ID для совместного управления

Подготовка к работе

• Клиент Microsoft Entra является необходимым условием

• Требования к устройству:

  • Поддерживаемая версия Windows 10 или более поздняя.

  • Присоединено к Microsoft Entra ID, присоединено к чистому облачному домену или Microsoft Entra гибридное присоединение

• Требования пользователей:

  • Вошедшего пользователя должно быть Microsoft Entra удостоверение.

  • Если пользователь является федеративными или синхронизированными удостоверениями, настройте как Configuration Manager обнаружение пользователей Active Directory, так и Microsoft Entra обнаружение пользователей. Дополнительные сведения о гибридных удостоверениях см. в статье Определение стратегии внедрения гибридных удостоверений.

• В дополнение к существующим предварительным требованиям для роли системы сайта точки управления также включите ASP.NET 4.5 на этом сервере. Включите все другие параметры, которые автоматически выбираются при включении ASP.NET 4.5.

• Определите, требуется ли точка управления HTTPS. Дополнительные сведения см. в разделе Включение точки управления для HTTPS.

• При необходимости настройте шлюз управления облачными клиентами (CMG) для развертывания клиентов в Интернете. Для локальных клиентов, которые проходят проверку подлинности с помощью Microsoft Entra ID, шлюз управления облачными клиентами не требуется.

Совет

Configuration Manager расширяет поддержку интернет-устройств, которые не часто подключаются к внутренней сети, не могут присоединиться к Microsoft Entra ID и не имеют метода для установки сертификата, выданного PKI. Дополнительные сведения см. в статье Проверка подлинности на основе токенов для CMG.

Настройка служб Azure для управления облаком

В качестве первого шага подключите сайт Configuration Manager к Microsoft Entra ID. Дополнительные сведения об этом процессе см. в разделе Настройка служб Azure. Создайте подключение к службе управления облаком .

Включите обнаружение Microsoft Entra пользователей в рамках подключения к управлению облаком.

После выполнения этих действий ваш Configuration Manager сайт будет подключен к Microsoft Entra ID.

Примечание.

Если ваши устройства находятся в клиенте Microsoft Entra, который отделен от клиента с подпиской на вычислительные ресурсы CMG, начиная с версии 2010 можно отключить проверку подлинности для клиентов, не связанных с пользователями и устройствами. Дополнительные сведения см. в статье Настройка служб Azure.

Настройка параметров клиента

Эти параметры клиента помогают настроить гибридное присоединение устройств Windows. Они также позволяют интернет-клиентам использовать CMG.

1. Настройте следующие параметры клиента в группе Облачные службы. Дополнительные сведения см. в разделе Настройка параметров клиента.

   • Разрешить доступ к облачной точке распространения. Включите этот параметр, чтобы помочь интернет-устройствам получить необходимое содержимое для установки Configuration Manager клиента. Устройства могут получать содержимое из CMG.

   • Автоматическая регистрация новых устройств, присоединенных к домену Windows 10 или более поздних версий, с помощью Microsoft Entra ID: задайте значение Да или Нет. Значение по умолчанию — Да. Это поведение также используется по умолчанию в Windows.

     Совет

     Устройства с гибридным присоединением присоединяются к домену локальная служба Active Directory и регистрируются в Microsoft Entra ID. Дополнительные сведения см. в разделе Microsoft Entra устройства с гибридным присоединением.

   • Разрешить клиентам использовать шлюз управления облаком: задайте значение Да (по умолчанию) или Нет.

2. Разверните параметры клиента в требуемой коллекции устройств. Не развертывайте эти параметры в пользовательских коллекциях.

Чтобы подтвердить гибридное присоединение устройства, выполните команду dsregcmd.exe /status в командной строке. Если устройство Microsoft Entra присоединено или присоединено к гибридному соединению, в поле AzureAdjoined в результатах отображается значение ДА. Дополнительные сведения см. в разделе команда dsregcmd — состояние устройства.

Установка и регистрация клиента с помощью удостоверения Microsoft Entra

Чтобы вручную установить клиент с помощью удостоверения Microsoft Entra, сначала ознакомьтесь с общим процессом в статье Установка клиентов вручную.

Примечание.

Устройство должно иметь доступ к Интернету, чтобы связаться с Microsoft Entra ID, но не должно быть интернет-подключением.

В следующем примере показана общая структура командной строки: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Дополнительные сведения см. в разделе Свойства установки клиента.

Параметр /mp и CCMHOSTNAME свойство указывают одно из следующих значений в зависимости от сценария:

• Локальная точка управления. Укажите /mp только параметр . Свойство CCMHOSTNAME не является обязательным.
• Шлюз управления облаком
• Интернет-точка управления

Свойство SMSMP указывает локальную точку управления. Это не обязательно. Рекомендуется для Microsoft Entra присоединенных устройств, которые перемещаются в интрасети, чтобы они могли найти локальную точку управления.

В этом примере используется шлюз управления облаком. Он заменяет примеры значений: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

Сайт публикует дополнительные сведения о Microsoft Entra в шлюзе управления облаком (CMG). Клиент, присоединенный к Microsoft Entra, получает эти сведения из CMG во время процесса ccmsetup, используя тот же клиент, к которому он присоединен. Это еще больше упрощает установку клиента в среде с несколькими Microsoft Entra арендаторами. Единственными двумя обязательными свойствами ccmsetup являются CCMHOSTNAME и SMSSITECODE.

Сведения об автоматизации установки клиента с помощью Microsoft Entra удостоверения через Microsoft Intune см. в статье Подготовка интернет-устройств к совместному управлению.

Дальнейшие действия

После завершения можно продолжить мониторинг клиентов и управление ими.