Installera och tilldela Configuration Manager klienter med Microsoft Entra-ID för autentisering
Om du vill installera Configuration Manager-klienten på Windows-enheter med Microsoft Entra-autentisering integrerar du Configuration Manager med Microsoft Entra-ID. Klienter kan vara på intranätet och kommunicera direkt med en HTTPS-aktiverad hanteringsplats eller någon hanteringsplats på en plats som är aktiverad för utökad HTTP. De kan också vara internetbaserad kommunikation via CMG eller med en Internetbaserad hanteringsplats. Den här processen använder Microsoft Entra-ID för att autentisera klienter till Configuration Manager-webbplatsen. Microsoft Entra ID ersätter behovet av att konfigurera och använda certifikat för klientautentisering.
Det kan vara enklare för vissa kunder att konfigurera Microsoft Entra ID än att konfigurera en offentlig nyckelinfrastruktur för certifikatbaserad autentisering. Det finns funktioner som kräver att du registrerar webbplatsen för att Microsoft Entra ID, men som inte nödvändigtvis kräver att klienterna är Microsoft Entra anslutna. Mer information finns i följande artiklar:
Innan du börjar
En Microsoft Entra klientorganisation är en förutsättning
Enhetskrav:
En version av Windows 10 som stöds eller senare
Ansluten till Microsoft Entra-ID, antingen ren molndomänansluten eller Microsoft Entra hybridansluten
Användarkrav:
Den inloggade användaren måste vara en Microsoft Entra identitet.
Om användaren är en federerad eller synkroniserad identitet konfigurerar du både Configuration Manager Active Directory-användaridentifiering och Microsoft Entra användaridentifiering. Mer information om hybrididentiteter finns i Definiera en strategi för hybrididentitetsimplementering.
Förutom de befintliga kraven för hanteringsplatssystemrollen aktiverar du även ASP.NET 4.5 på den här servern. Inkludera andra alternativ som väljs automatiskt när du aktiverar ASP.NET 4.5.
Avgör om hanteringsplatsen behöver HTTPS. Mer information finns i Aktivera hanteringsplats för HTTPS.
Du kan också konfigurera en molnhanteringsgateway (CMG) för att distribuera Internetbaserade klienter. För lokala klienter som autentiserar med Microsoft Entra-ID behöver du ingen CMG.
Tips
Configuration Manager utökar sitt stöd för Internetbaserade enheter som inte ofta ansluter till det interna nätverket, inte kan ansluta Microsoft Entra ID och inte har någon metod för att installera ett PKI-utfärdat certifikat. Mer information finns i Tokenbaserad autentisering för CMG.
Konfigurera Azure Services for Cloud Management
Anslut din Configuration Manager webbplats till Microsoft Entra ID som första steg. Mer information om den här processen finns i Konfigurera Azure-tjänster. Skapa en anslutning till cloud management-tjänsten .
Aktivera Microsoft Entra användaridentifiering som en del av registrering till Molnhantering.
När du har slutfört de här åtgärderna är din Configuration Manager-webbplats ansluten till Microsoft Entra-ID.
Obs!
Om dina enheter finns i en Microsoft Entra klientorganisation som är separat från klientorganisationen med en prenumeration på CMG-beräkningsresurserna kan du från och med version 2010 inaktivera autentisering för klienter som inte är associerade med användare och enheter. Mer information finns i Konfigurera Azure-tjänster.
Konfigurera klientinställningar
De här klientinställningarna hjälper dig att konfigurera Att Windows-enheter ska vara hybrid-anslutna. De gör det också möjligt för Internetbaserade klienter att använda CMG:en.
Konfigurera följande klientinställningar i gruppen Cloud Services. Mer information finns i Konfigurera klientinställningar.
Tillåt åtkomst till molndistributionsplats: Aktivera den här inställningen för att hjälpa Internetbaserade enheter att få det innehåll som krävs för att installera Configuration Manager-klienten. Enheter kan hämta innehållet från CMG:en.
Registrera automatiskt nya Windows 10 eller senare domänanslutna enheter med Microsoft Entra-ID: Inställt på Ja eller Nej. Standardinställningen är Ja. Det här beteendet är också standard i Windows.
Tips
Hybridanslutna enheter är anslutna till en lokal Active Directory domän och registreras med Microsoft Entra-ID. Mer information finns i Microsoft Entra hybrid-anslutna enheter.
Gör det möjligt för klienter att använda en molnhanteringsgateway: Inställd på Ja (standard) eller Nej.
Distribuera klientinställningarna till den nödvändiga samlingen av enheter. Distribuera inte de här inställningarna till användarsamlingar.
Bekräfta att enheten är hybridansluten genom att köra dsregcmd.exe /status i en kommandotolk. Om enheten är Microsoft Entra ansluten eller hybridkopplad visas JA i fältet AzureAdjoined i resultatet. Mer information finns i dsregcmd-kommandot – enhetstillstånd.
Installera och registrera klienten med hjälp av Microsoft Entra identitet
Om du vill installera klienten manuellt med hjälp av Microsoft Entra identitet går du först igenom den allmänna processen om hur du installerar klienter manuellt.
Obs!
Enheten behöver åtkomst till Internet för att kunna kontakta Microsoft Entra-ID, men behöver inte vara internetbaserad.
I följande exempel visas kommandoradens allmänna struktur: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>
Mer information finns i Egenskaper för klientinstallation.
Parametern /mp och CCMHOSTNAME egenskapen anger något av följande, beroende på scenariot:
- Lokal hanteringsplats. Ange bara parametern
/mp. EgenskapenCCMHOSTNAMEkrävs inte. - Molnhanteringsgateway
- Internetbaserad hanteringsplats
Egenskapen SMSMP anger den lokala hanteringsplatsen. Det krävs inte. Vi rekommenderar att du Microsoft Entra anslutna enheter som migrerar till intranätet, så att de kan hitta en lokal hanteringsplats.
I det här exemplet används en molnhanteringsgateway. Den ersätter exempelvärden: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver
Webbplatsen publicerar ytterligare Microsoft Entra information till molnhanteringsgatewayen (CMG). En Microsoft Entra ansluten klient hämtar den här informationen från CMG under ccmsetup-processen med samma klient som den är ansluten till. Detta gör det enklare att installera klienten i en miljö med fler än en Microsoft Entra klientorganisation. De enda två obligatoriska ccmsetup-egenskaperna är CCMHOSTNAME och SMSSITECODE.
Information om hur du automatiserar klientinstallationen med hjälp av Microsoft Entra identitet via Microsoft Intune finns i Förbereda Internetbaserade enheter för samhantering.
Nästa steg
När det är klart kan du fortsätta att övervaka och hantera klienter.