Instalar e atribuir clientes Configuration Manager usando Microsoft Entra ID para autenticação

Para instalar o cliente Configuration Manager em dispositivos Windows usando Microsoft Entra autenticação, integre Configuration Manager com Microsoft Entra ID. Os clientes podem estar na intranet se comunicando diretamente com um ponto de gerenciamento habilitado para HTTPS ou qualquer ponto de gerenciamento em um site habilitado para HTTP aprimorado. Eles também podem ser comunicações baseadas na Internet por meio do CMG ou com um ponto de gerenciamento baseado na Internet. Esse processo usa Microsoft Entra ID para autenticar clientes no site Configuration Manager. Microsoft Entra ID substitui a necessidade de configurar e usar certificados de autenticação do cliente.

Configurar Microsoft Entra ID pode ser mais fácil para alguns clientes do que configurar uma infraestrutura de chave pública para autenticação baseada em certificado. Há recursos que exigem que você integre o site para Microsoft Entra ID, mas não exigem necessariamente que os clientes sejam Microsoft Entra ingressados. Para obter mais informações, confira os seguintes artigos:

Antes de começar

  • Um locatário Microsoft Entra é um pré-requisito

  • Requisitos do dispositivo:

    • Uma versão com suporte de Windows 10 ou posterior

    • Ingressado em Microsoft Entra ID, ingressado no domínio de nuvem pura ou Microsoft Entra híbrido ingressado

  • Requisitos do usuário:

  • Além dos pré-requisitos existentes para a função do sistema do site de pontos de gerenciamento, também habilite ASP.NET 4.5 neste servidor. Inclua todas as outras opções selecionadas automaticamente ao habilitar ASP.NET 4.5.

  • Determine se seu ponto de gerenciamento precisa de HTTPS. Para obter mais informações, consulte Habilitar ponto de gerenciamento para HTTPS.

  • Opcionalmente, configure um CMG ( gateway de gerenciamento de nuvem ) para implantar clientes baseados na Internet. Para clientes locais que se autenticam com Microsoft Entra ID, você não precisa de um CMG.

Dica

Configuration Manager estende seu suporte para dispositivos baseados na Internet que muitas vezes não se conectam à rede interna, não podem ingressar Microsoft Entra ID e não têm um método para instalar um certificado emitido por PKI. Para obter mais informações, consulte Autenticação baseada em token para CMG.

Configurar os Serviços do Azure para Gerenciamento de Nuvem

Conecte seu site Configuration Manager a Microsoft Entra ID como a primeira etapa. Para obter detalhes desse processo, consulte Configurar serviços do Azure. Crie uma conexão com o serviço de Gerenciamento de Nuvem .

Habilite Microsoft Entra descoberta de usuário como parte da integração ao Gerenciamento de Nuvem.

Depois de concluir essas ações, seu site Configuration Manager será conectado à ID Microsoft Entra.

Observação

Se seus dispositivos estiverem em um locatário Microsoft Entra separado do locatário com uma assinatura para os recursos de computação CMG, a partir da versão 2010, você poderá desabilitar a autenticação para locatários não associados a usuários e dispositivos. Para obter mais informações, consulte Configurar serviços do Azure.

Definir configurações do cliente

Essas configurações de cliente ajudam a configurar dispositivos Windows para serem conectados ao híbrido. Eles também permitem que clientes baseados na Internet usem o CMG.

  1. Configure as seguintes configurações de cliente no grupo Serviços de Nuvem. Para obter mais informações, consulte Como configurar as configurações do cliente.

    • Permitir acesso ao ponto de distribuição de nuvem: habilite essa configuração para ajudar os dispositivos baseados na Internet a obter o conteúdo necessário para instalar o Configuration Manager cliente. Os dispositivos podem obter o conteúdo do CMG.

    • Registre automaticamente novos dispositivos ingressados no domínio Windows 10 ou posterior com Microsoft Entra ID: Definido como Sim ou Não. A configuração padrão é Sim. Esse comportamento também é o padrão no Windows.

      Dica

      Os dispositivos de junção híbrida são unidos a um domínio Active Directory local e registrados com Microsoft Entra ID. Para obter mais informações, consulte Microsoft Entra dispositivos híbridos ingressados.

    • Permitir que os clientes usem um gateway de gerenciamento de nuvem: Definir como Sim (padrão) ou Não.

  2. Implante as configurações do cliente na coleção necessária de dispositivos. Não implante essas configurações em coleções de usuários.

Para confirmar se o dispositivo está conectado ao híbrido, execute dsregcmd.exe /status em um prompt de comando. Se o dispositivo estiver Microsoft Entra ingressado ou híbrido, o campo AzureAdjoined nos resultados mostrará SIM. Para obter mais informações, consulte comando dsregcmd – estado do dispositivo.

Instalar e registrar o cliente usando Microsoft Entra identidade

Para instalar manualmente o cliente usando Microsoft Entra identidade, primeiro examine o processo geral sobre Como instalar clientes manualmente.

Observação

O dispositivo precisa de acesso à Internet para entrar em contato com Microsoft Entra ID, mas não precisa ser baseado na Internet.

O exemplo a seguir mostra a estrutura geral da linha de comando: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Para obter mais informações, consulte Propriedades de instalação do cliente.

O /mp parâmetro e CCMHOSTNAME a propriedade especificam um dos seguintes, dependendo do cenário:

  • Ponto de gerenciamento local. Especifique apenas o /mp parâmetro. A CCMHOSTNAME propriedade não é necessária.
  • Gateway de gerenciamento de nuvem
  • Ponto de gerenciamento baseado na Internet

A SMSMP propriedade especifica o ponto de gerenciamento local. Não é necessário. É recomendado para Microsoft Entra dispositivos ingressados que vagam até a intranet, para que possam encontrar um ponto de gerenciamento local.

Este exemplo usa um gateway de gerenciamento de nuvem. Ele substitui os valores de exemplo: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

O site publica informações adicionais Microsoft Entra para o CMG (gateway de gerenciamento de nuvem). Um cliente ingressado Microsoft Entra obtém essas informações do CMG durante o processo ccmsetup, usando o mesmo locatário ao qual ele está ingressado. Esse comportamento simplifica ainda mais a instalação do cliente em um ambiente com mais de um locatário Microsoft Entra. As duas únicas propriedades ccmsetup necessárias são CCMHOSTNAME e SMSSITECODE.

Para automatizar a instalação do cliente usando Microsoft Entra identidade por meio de Microsoft Intune, consulte Como preparar dispositivos baseados na Internet para cogerenciamento.

Próximas etapas

Depois de concluído, você pode continuar monitorando e gerenciando clientes.