Installer et affecter des clients Configuration Manager à l’aide Azure AD pour l’authentification

Pour installer le client Configuration Manager sur Windows à l’aide de l’authentification Azure Active Directory (Azure AD), intégrez Configuration Manager à Azure AD. Les clients peuvent se trouver sur l’intranet communiquant directement avec un point de gestion httpS ou tout point de gestion dans un site activé pour le protocole HTTP amélioré. Ils peuvent également être basés sur Internet pour communiquer via CMG ou avec un point de gestion Basé sur Internet. Ce processus utilise Azure AD pour authentifier les clients sur le site Configuration Manager. Azure AD remplace la nécessité de configurer et d’utiliser des certificats d’authentification client.

La configuration Azure AD est peut-être plus facile pour certains clients que la configuration d’une infrastructure à clé publique pour l’authentification basée sur les certificats. Certaines fonctionnalités nécessitent l’intégration du site Azure AD, mais n’exigent pas nécessairement que les clients soient Azure AD joints. Si vous souhaitez en savoir plus, consultez les articles suivants :

Avant de commencer

  • Un Azure AD client est une condition préalable

  • Conditions requises pour l’appareil :

    • Une version prise en charge de Windows 10 ou version ultérieure

    • Joint à Azure AD, purement joint au domaine cloud ou joint à Azure AD hybride

  • Conditions requises par l’utilisateur :

  • Outre les conditions préalables existantes pour le rôle système de site de point de gestion, activez également ASP.NET 4.5 sur ce serveur. Incluez les autres options automatiquement sélectionnées lors de l’activation ASP.NET 4.5.

  • Déterminez si votre point de gestion a besoin du protocole HTTPS. Pour plus d’informations, voir Activer le point de gestion pour HTTPS.

  • Configurer éventuellement une passerelle de gestion cloud (CMG) pour déployer des clients basés sur Internet. Pour les clients locaux qui s’authentifier auprès Azure AD, vous n’avez pas besoin de CMG.

Conseil

Configuration Manager étend sa prise en charge pour les appareils basés sur Internet qui ne se connectent pas souvent au réseau interne, qui ne peuvent pas rejoindre Azure Active Directory (Azure AD) et qui n’ont pas de méthode pour installer un certificat émis par une PKI. Pour plus d’informations, voir l’authentification basée sur un jeton pour CMG.

Configurer Azure Services pour la gestion cloud

Connecter votre site Configuration Manager pour Azure AD comme première étape. Pour plus d’informations sur ce processus, voir Configurer les services Azure. Créez une connexion au service de gestion cloud.

Activez Azure AD découverte d’utilisateurs dans le cadre de l’intégration à la gestion cloud.

Une fois ces actions terminées, votre site Configuration Manager est connecté à Azure AD.

Notes

Si vos appareils sont dans un client Azure AD distinct du client avec un abonnement pour les ressources de calcul CMG, à compter de la version 2010, vous pouvez désactiver l’authentification pour les clients non associés aux utilisateurs et appareils. Pour plus d’informations, voir Configurer les services Azure.

Configurer des paramètres clients

Ces paramètres de client permettent de configurer Windows de manière à ce qu’ils soient joints à un environnement hybride. Ils permettent également aux clients basés sur Internet d’utiliser CMG.

  1. Configurez les paramètres client suivants dans le groupe Services cloud. Pour plus d’informations, voir Comment configurer les paramètres du client.

    • Autoriser l’accès au point de distribution cloud: activez ce paramètre pour aider les appareils basés sur Internet à obtenir le contenu requis pour installer le client Configuration Manager. Les appareils peuvent obtenir le contenu à partir de CMG.

    • Inscrivez automatiquement les nouveaux Windows 10 ou les appareils joints à un domaine ultérieur avec Azure Active Directory : Définir sur Oui ou Non. Le paramètre par défaut est Oui. Ce comportement est également le comportement par défaut dans Windows.

      Conseil

      Les appareils joints à un hybride sont joints à un domaine Active Directory local et enregistrés auprès Azure AD. Pour plus d’informations, voir Hybrid Azure AD joints.

    • Permettre aux clients d’utiliser une passerelle de gestion cloud: définir sur Oui (par défaut) ou Non.

  2. Déployez les paramètres du client sur la collection d’appareils requise. Ne déployez pas ces paramètres dans des collections d’utilisateurs.

Pour vérifier que l’appareil est joint à un appareil hybride, dsregcmd.exe /status exécutez-le dans une invite de commandes. Si l’appareil est Azure AD joint ou hybride, le champ AzureAdjoined dans les résultats indique OUI. Pour plus d’informations, voir la commande dsregcmd - état de l’appareil.

Installer et inscrire le client à l’aide Azure AD identité

Pour installer manuellement le client à l’Azure AD, examinez d’abord le processus général sur l’installation manuelle des clients.

Notes

L’appareil a besoin d’accéder à Internet pour Azure AD, mais n’a pas besoin d’être basé sur Internet.

L’exemple suivant montre la structure générale de la ligne de commande : ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Pour plus d’informations, voir Propriétés d’installation du client.

Le paramètre /mp et la propriété CCMHOSTNAME spécifient l’une des valeurs suivantes, selon le scénario :

  • Point de gestion local. Spécifiez uniquement le paramètre /mp. La propriété CCMHOSTNAME n’est pas obligatoire.
  • Passerelle de gestion cloud
  • Point de gestion basé sur Internet

La propriété SMSMP spécifie le point de gestion local. Elle n’est pas obligatoire. Il est recommandé pour les Azure AD joints à un réseau itinérant sur l’intranet, afin qu’ils trouvent un point de gestion local.

Cet exemple utilise une passerelle de gestion cloud. Il remplace les exemples de valeurs : ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

Le site publie des informations supplémentaires Azure AD la passerelle de gestion cloud (CMG). Un client Azure AD joint obtient ces informations auprès de CMG pendant le processus de ccmsetup, en utilisant le même client auquel il est joint. Ce comportement simplifie davantage l’installation du client dans un environnement avec plusieurs Azure AD client. Les deux seules propriétés ccmsetup requises sont CCMHOSTNAME et SMSSITECODE.

Pour automatiser l’installation du client à l’Azure AD via Microsoft Intune, voir Comment préparer des appareils internet pour la cogestion.

Prochaines étapes

Une fois terminé, vous pouvez continuer à surveiller et gérer les clients.