Installer et attribuer des clients Configuration Manager à l’aide de l’ID Microsoft Entra pour l’authentification

Pour installer le client Configuration Manager sur des appareils Windows à l’aide de l’authentification Microsoft Entra, intégrez Configuration Manager avec l’ID Microsoft Entra. Les clients peuvent être sur l’intranet et communiquer directement avec un point de gestion HTTPS ou tout point de gestion dans un site activé pour le protocole HTTP amélioré. Ils peuvent également communiquer via Internet via la passerelle de gestion cloud ou avec un point de gestion Internet. Ce processus utilise l’ID Microsoft Entra pour authentifier les clients sur le site Configuration Manager. Microsoft Entra’ID remplace la nécessité de configurer et d’utiliser des certificats d’authentification client.

La configuration de Microsoft Entra ID peut être plus facile pour certains clients que la configuration d’une infrastructure à clé publique pour l’authentification basée sur les certificats. Certaines fonctionnalités vous obligent à intégrer le site à Microsoft Entra ID, mais ne nécessitent pas nécessairement que les clients soient Microsoft Entra joints. Pour plus d’informations, consultez les articles suivants :

Avant de commencer

  • Un locataire Microsoft Entra est un prérequis

  • Configuration requise pour l’appareil :

    • Une version prise en charge de Windows 10 ou version ultérieure

    • Joint à Microsoft Entra ID, joint à un domaine cloud pur ou joint à Microsoft Entra hybride

  • Exigences de l’utilisateur :

  • En plus des prérequis existants pour le rôle de système de site de point de gestion, activez également ASP.NET 4.5 sur ce serveur. Incluez toutes les autres options sélectionnées automatiquement lors de l’activation de ASP.NET 4.5.

  • Déterminez si votre point de gestion a besoin de HTTPS. Pour plus d’informations, consultez Activer le point de gestion pour HTTPS.

  • Configurez éventuellement une passerelle de gestion cloud (CMG) pour déployer des clients Basés sur Internet. Pour les clients locaux qui s’authentifient avec Microsoft Entra ID, vous n’avez pas besoin d’une passerelle de gestion cloud.

Conseil

Configuration Manager étend sa prise en charge des appareils Basés sur Internet qui ne se connectent pas souvent au réseau interne, ne sont pas en mesure de joindre Microsoft Entra ID et n’ont pas de méthode pour installer un certificat émis par une infrastructure à clé publique. Pour plus d’informations, consultez Authentification basée sur les jetons pour la passerelle de gestion cloud.

Configurer les services Azure pour la gestion cloud

Connectez votre site Configuration Manager à Microsoft Entra ID dans un premier temps. Pour plus d’informations sur ce processus, consultez Configurer les services Azure. Créez une connexion au service de gestion cloud .

Activez Microsoft Entra découverte d’utilisateurs dans le cadre de l’intégration à la gestion cloud.

Une fois ces actions effectuées, votre site Configuration Manager est connecté à Microsoft Entra’ID.

Remarque

Si vos appareils se trouvent dans un locataire Microsoft Entra distinct du locataire disposant d’un abonnement pour les ressources de calcul de la passerelle de gestion cloud, à compter de la version 2010, vous pouvez désactiver l’authentification pour les locataires non associés aux utilisateurs et aux appareils. Pour plus d’informations, consultez Configurer les services Azure.

Configurer des paramètres clients

Ces paramètres client permettent de configurer les appareils Windows pour qu’ils soient joints à un environnement hybride. Ils permettent également aux clients Basés sur Internet d’utiliser la passerelle de gestion cloud.

  1. Configurez les paramètres client suivants dans le groupe Services cloud. Pour plus d’informations, consultez Guide pratique pour configurer les paramètres du client.

    • Autoriser l’accès au point de distribution cloud : activez ce paramètre pour aider les appareils Basés sur Internet à obtenir le contenu requis pour installer le client Configuration Manager. Les appareils peuvent obtenir le contenu de la passerelle de gestion cloud.

    • Inscrivez automatiquement les nouveaux appareils Windows 10 ou ultérieurs joints à un domaine avec l’ID de Microsoft Entra : défini sur Oui ou Non. Le paramètre par défaut est Oui. Ce comportement est également la valeur par défaut dans Windows.

      Conseil

      Les appareils joints hybrides sont joints à un domaine Active Directory local et inscrits avec l’ID de Microsoft Entra. Pour plus d’informations, consultez Microsoft Entra appareils joints hybrides.

    • Autoriser les clients à utiliser une passerelle de gestion cloud : définissez sur Oui (valeur par défaut) ou Non.

  2. Déployez les paramètres client sur le regroupement d’appareils requis. Ne déployez pas ces paramètres sur des regroupements d’utilisateurs.

Pour vérifier que l’appareil est joint à un hybride, exécutez dsregcmd.exe /status dans une invite de commandes. Si l’appareil est Microsoft Entra joint ou hybride, le champ AzureAdjoined dans les résultats indique OUI. Pour plus d’informations, consultez commande dsregcmd - état de l’appareil.

Installer et inscrire le client à l’aide de l’identité Microsoft Entra

Pour installer manuellement le client à l’aide de Microsoft Entra’identité, passez d’abord en revue le processus général sur Comment installer les clients manuellement.

Remarque

L’appareil a besoin d’accéder à Internet pour contacter Microsoft Entra ID, mais il n’a pas besoin d’être basé sur Internet.

L’exemple suivant montre la structure générale de la ligne de commande : ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Pour plus d’informations, consultez Propriétés d’installation du client.

Le /mp paramètre et CCMHOSTNAME la propriété spécifient l’un des éléments suivants, en fonction du scénario :

  • Point de gestion local. Spécifiez uniquement le /mp paramètre . La CCMHOSTNAME propriété n’est pas obligatoire.
  • Passerelle de gestion cloud
  • Point de gestion basé sur Internet

La SMSMP propriété spécifie le point de gestion local. Ce n’est pas obligatoire. Il est recommandé pour Microsoft Entra appareils joints qui se déplacent sur l’intranet, afin qu’ils puissent trouver un point de gestion local.

Cet exemple utilise une passerelle de gestion cloud. Il remplace les exemples de valeurs : ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

Le site publie des informations de Microsoft Entra supplémentaires sur la passerelle de gestion cloud (CMG). Un client joint Microsoft Entra obtient ces informations de la passerelle de gestion cloud pendant le processus ccmsetup, en utilisant le même locataire auquel elle est jointe. Ce comportement simplifie davantage l’installation du client dans un environnement avec plusieurs Microsoft Entra locataire. Les deux seules propriétés ccmsetup requises sont CCMHOSTNAME et SMSSITECODE.

Pour automatiser l’installation du client à l’aide de Microsoft Entra identité via Microsoft Intune, consultez Comment préparer des appareils Basés sur Internet pour la cogestion.

Prochaines étapes

Une fois l’opération terminée, vous pouvez continuer à surveiller et à gérer les clients.