Instalación y asignación de clientes Windows 10 para Configuration Manager mediante la autenticación basada en Azure ADInstall and assign Configuration Manager Windows 10 clients using Azure AD for authentication

Para instalar el cliente de Configuration Manager en dispositivos Windows 10 mediante la autenticación de Azure AD, integre Configuration Manager con Azure Active Directory (Azure AD).To install the Configuration Manager client on Windows 10 devices using Azure AD authentication, integrate Configuration Manager with Azure Active Directory (Azure AD). Los clientes pueden estar en la intranet y comunicarse directamente con un punto de administración habilitado para HTTPS en un sitio habilitado para HTTP mejorado.Clients can be on the intranet communicating directly with an HTTPS-enabled management point or any management point in a site enabled for Enhanced HTTP. También pueden estar basados en Internet y comunicarse a través de CMG o con un punto de administración basado en Internet.They can also be internet-based communicating through the CMG or with an Internet-based management point. Este proceso usa Azure AD para autenticar los clientes en el sitio de Configuration Manager.This process uses Azure AD to authenticate clients to the Configuration Manager site. Azure AD reemplaza la necesidad de configurar y usar certificados de autenticación del cliente.Azure AD replaces the need to configure and use client authentication certificates.

La configuración de Azure AD puede ser más fácil para algunos clientes que la configuración de una infraestructura de clave pública para la autenticación basada en certificados.Setting up Azure AD may be easier for some customers than setting up a public key infrastructure for certificate-based authentication. Hay características que requieren la incorporación del sitio a Azure AD, pero no requieren necesariamente que los clientes estén unidos a Azure AD.There are features that require you onboard the site to Azure AD, but don't necessarily require the clients to be Azure AD-joined. Vea los siguientes artículos para más información:For more information, see the following articles:

Antes de comenzarBefore you begin

  • Es imprescindible contar con un inquilino de Azure AD.An Azure AD tenant is a prerequisite

  • Requisitos del dispositivo:Device requirements:

    • Windows 10Windows 10

    • Estar unido a Azure AD, tanto unido a un dominio en la nube pura como unido a Azure AD híbridoJoined to Azure AD, either pure cloud domain-joined, or hybrid Azure AD-joined

  • Requisitos del usuario:User requirements:

  • Además de los requisitos previos existentes para el rol de sistema de sitio del punto de administración, habilite también ASP.NET 4.5 en este servidor.In addition to the existing prerequisites for the management point site system role, also enable ASP.NET 4.5 on this server. Incluya las demás opciones que se seleccionen automáticamente al habilitar ASP.NET 4.5.Include any other options that are automatically selected when enabling ASP.NET 4.5.

  • Determine si su punto de administración necesita HTTPS.Determine whether your management point needs HTTPS. Para obtener más información, vea Enable management point for HTTPS (Habilitar el punto de administración para HTTPS).For more information, see Enable management point for HTTPS.

  • Opcionalmente, configure una instancia de Cloud Management Gateway (CMG) para implementar clientes basados en Internet.Optionally set up a cloud management gateway (CMG) to deploy internet-based clients. Para los clientes locales que se autentican con Azure AD, no necesita CMG.For on-premises clients that authenticate with Azure AD, you don't need a CMG.

Sugerencia

A partir de la versión 2002,Starting in version 2002, Configuration Manager amplía su compatibilidad con dispositivos basados en Internet que no se suelen conectar a la red interna, no consiguen conectar con Azure Active Directory (Azure AD) y no disponen de ningún método para instalar un certificado emitido con PKI.Configuration Manager extends its support for internet-based devices that don't often connect to the internal network, aren't able to join Azure Active Directory (Azure AD), and don't have a method to install a PKI-issued certificate. Para obtener más información, vea Autenticación basada en tokens para CMG.For more information, see Token-based authentication for CMG.

Configurar Azure Services para la administración en la nubeConfigure Azure Services for Cloud Management

Como primer paso, conecte el sitio de Configuration Manager a Azure AD.Connect your Configuration Manager site to Azure AD as the first step. Para obtener detalles de este proceso, vea Configuración de servicios de Azure.For details of this process, see Configure Azure services. Cree una conexión al servicio de administración en la nube.Create a connection to the Cloud Management service.

Habilite la detección de usuarios de Azure AD como parte de la incorporación a la administración en la nube.Enable Azure AD User Discovery as part of onboarding to Cloud Management.

Cuando termine estas acciones, el sitio de Configuration Manager estará conectado con Azure AD.After you complete these actions, your Configuration Manager site is connected to Azure AD.

Configuración del clienteConfigure client settings

Esta configuración de cliente ayuda a configurar los dispositivos Windows 10 para que estén unidos a híbrido.These client settings help configure Windows 10 devices to be hybrid-joined. También permiten que los clientes basados en Internet usen CMG y el punto de distribución en la nube.They also enable internet-based clients to use the CMG and cloud distribution point.

  1. Establezca la configuración de cliente siguiente en el grupo Cloud Services.Configure the following client settings in the Cloud Services group. Para obtener más información, vea Cómo configurar el cliente.For more information, see How to configure client settings.

    • Permitir acceso al punto de distribución de nube: habilite esta opción para ayudar a los dispositivos basados en Internet a obtener el contenido requerido para instalar el cliente de Configuration Manager.Allow access to cloud distribution point: Enable this setting to help internet-based devices get the required content to install the Configuration Manager client. Si el contenido no está disponible en el punto de distribución en la nube, los dispositivos pueden recuperar el contenido de CMG.If the content isn't available on the cloud distribution point, devices can retrieve the content from the CMG. El arranque de la instalación del cliente reintenta el punto de distribución en la nube durante cuatro horas antes de recurrir a CMG.The client installation bootstrap retries the cloud distribution point for four hours before it falls back to the CMG.

    • Registrar automáticamente los nuevos dispositivos de Windows 10 unidos a un dominio con Azure Active Directory: establézcalo en o No.Automatically register new Windows 10 domain joined devices with Azure Active Directory: Set to Yes or No. El valor predeterminado es .The default setting is Yes. Este comportamiento también es el valor predeterminado de Windows 10, versión 1709.This behavior is also the default in Windows 10, version 1709.

      Sugerencia

      Los dispositivos unidos híbridos se unen a un dominio local de Active Directory y se registran con Azure AD.Hybrid-joined devices are joined to an on-premises Active Directory domain and registered with Azure AD. Para más información, consulte Dispositivos híbridos unidos a Azure AD.For more information, see Hybrid Azure AD joined devices.

    • Permitir que los clientes usen una instancia de Cloud Management Gateway: establezca esta opción en (valor predeterminado) o en No.Enable clients to use a cloud management gateway: Set to Yes (default), or No.

  2. Implemente la configuración del cliente en la recopilación de dispositivo requerida.Deploy the client settings to the required collection of devices. No implemente esta configuración en las colecciones de usuarios.Don't deploy these settings to user collections.

Para confirmar que el dispositivo está unido a híbrido, ejecute dsregcmd.exe /status en un símbolo del sistema.To confirm the device is hybrid-joined, run dsregcmd.exe /status in a command prompt. Si el dispositivo está unido a Azure AD o unido a híbrido, el campo AzureAdjoined de los resultados muestra .If the device is Azure AD-joined or hybrid-joined, the AzureAdjoined field in the results shows YES. Para más información, consulte el comando dsregcmd: estado del dispositivo.For more information, see dsregcmd command - device state.

Instalar y registrar el cliente con la identidad de Azure ADInstall and register the client using Azure AD identity

Para instalar manualmente el cliente con la identidad de Azure AD, primero revise el proceso general en Cómo instalar clientes manualmente.To manually install the client using Azure AD identity, first review the general process on How to install clients manually.

Nota

El dispositivo necesita tener acceso a Internet para ponerse en contacto con Azure AD, pero no hace falta que esté basado en Internet.The device needs access to the internet to contact Azure AD, but doesn't need to be internet-based.

En el ejemplo siguiente se muestra la estructura general de la línea de comandos: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSiteCode=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>.The following example shows the general structure of the command line: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSiteCode=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Para obtener más información, vea Acerca de las propiedades de instalación de clientes.For more information, see Client installation properties.

El parámetro /mp y la propiedad CCMHOSTNAME especifican uno de los valores siguientes en función del escenario:The /mp parameter and CCMHOSTNAME property specify one of the following, depending upon the scenario:

  • El punto de administración local.On-premises management point. Especifique solo el parámetro /mp.Only specify the /mp parameter. La propiedad CCMHOSTNAME no es necesaria.The CCMHOSTNAME property isn't required.
  • Puerta de enlace de administración en la nubeCloud management gateway
  • Punto de administración basado en InternetInternet-based management point

La propiedad SMSMP especifica el punto de administración local.The SMSMP property specifies the on-premises management point. No es necesario.It's not required. Se recomienda para dispositivos unidos a Azure AD que se mueven a la intranet, para que puedan encontrar un punto de administración local.It's recommended for Azure AD-joined devices that roam onto the intranet, so they can find an on-premises management point.

En este ejemplo se usa una instancia de Cloud Management Gateway.This example uses a cloud management gateway. Reemplaza los valores de ejemplo: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerverIt replaces sample values: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

El sitio publica información adicional de Azure AD para Cloud Management Gateway (CMG).The site publishes additional Azure AD information to the cloud management gateway (CMG). Un cliente unido a Azure AD obtiene esta información de la instancia de CMG durante el proceso de ccmsetup, mediante el mismo inquilino al que está unido.An Azure AD-joined client gets this information from the CMG during the ccmsetup process, using the same tenant to which it's joined. Este comportamiento simplifica más la instalación del cliente en un entorno con más de un inquilino de Azure AD.This behavior further simplifies installing the client in an environment with more than one Azure AD tenant. Las dos únicas propiedades de ccmsetup requeridas son CCMHOSTNAME y SMSSiteCode.The only two required ccmsetup properties are CCMHOSTNAME and SMSSiteCode.

Para automatizar la instalación del cliente mediante la identidad de Azure AD a través de Microsoft Intune, consulte el artículo sobre la preparación de dispositivos basados en Internet para la administración conjunta.To automate the client install using Azure AD identity via Microsoft Intune, see How to prepare internet-based devices for co-management.

Pasos siguientesNext steps

Cuando termine, puede seguir supervisando y administrando clientes.Once complete, you can continue to monitor and manage clients.