Установка и назначение клиентов Configuration Manager с помощью Azure AD для проверки подлинности

Чтобы установить клиент Configuration Manager на Windows с помощью проверки подлинности Azure Active Directory Azure AD, интегрируете Configuration Manager с Azure AD. Клиенты могут быть на интрасети, напрямую общаясь с точкой управления с поддержкой HTTPS или любой точкой управления на сайте, включенной для расширенного HTTP. Они также могут быть интернет-коммуникации через CMG или с точкой управления на основе Интернета. Этот процесс использует Azure AD для проверки подлинности клиентов на сайте Configuration Manager. Azure AD заменяет необходимость настройки и использования сертификатов проверки подлинности клиентов.

Настройка Azure AD может быть проще для некоторых клиентов, чем создание инфраструктуры общедоступных ключей для проверки подлинности на основе сертификатов. Существуют функции, которые требуют от вас на борту сайта Azure AD, но не обязательно требуют, чтобы клиенты присоединились к Azure AD. Дополнительные сведения см. в следующих статьях:

Перед началом работы

  • Обязательным условием является клиент Azure AD

  • Требования к устройству:

    • Поддерживаемая версия Windows 10 или более поздней версии

    • Присоединились к Azure AD, либо к чистому облачному домену, либо к гибридной Azure AD-присоединились

  • Требования пользователей:

  • Помимо существующих обязательных условий для роли системы сайта точки управления также в ASP.NET 4.5 на этом сервере. Включай все другие параметры, автоматически выбранные при ASP.NET 4.5.

  • Определите, нужна ли вашей точке управления HTTPS. Дополнительные сведения см. в пункте Включить пункт управления для HTTPS.

  • Необязательно настроить шлюз облачного управления (CMG) для развертывания интернет-клиентов. Для локального клиента, который аутентификация с помощью Azure AD не требуется CMG.

Совет

Configuration Manager расширяет поддержку устройств на основе Интернета, которые не часто подключаются к внутренней сети, не могут присоединиться к Azure Active Directory (Azure AD) и не имеют метода установки сертификата, выданного PKI. Дополнительные сведения см. в деле проверки подлинности на основе маркеров для CMG.

Настройка служб Azure для управления облаками

Подключение на сайте Configuration Manager в Azure AD в качестве первого шага. Подробные сведения об этом процессе см. в материале Configure Azure services. Создание подключения к службе облачного управления.

Включить обнаружение пользователей Azure AD в рамках работы с облачным управлением.

После выполнения этих действий сайт диспетчера конфигурации подключен к Azure AD.

Примечание

Если ваши устройства находятся в клиенте Azure AD, отдельном от клиента с подпиской на вычислительные ресурсы CMG, начиная с версии 2010 года можно отключить проверку подлинности для клиентов, не связанных с пользователями и устройствами. Дополнительные сведения см. в перенастройке служб Azure.

Настройка параметров клиента

Эти параметры клиента помогают настроить Windows устройства для гибридной связи. Они также позволяют интернет-клиентам использовать CMG.

  1. Настройка следующих параметров клиента в группе облачных служб . Дополнительные сведения см. в дополнительных сведениях о настройке параметров клиента.

    • Разрешить доступ к точке распространения облаков. В этом параметре можно помочь устройствам, основанным на Интернете, получить необходимое содержимое для установки клиента Configuration Manager. Устройства могут получать содержимое из CMG.

    • Автоматически зарегистрировать новые Windows 10 или более поздние устройства с Azure Active Directory: Установите да или нет. Параметр по умолчанию — Да. Это поведение также является по умолчанию в Windows.

      Совет

      Гибридные устройства присоединяются к локальному домену Active Directory и регистрируются в Azure AD. Дополнительные сведения см. в видеоролике Hybrid Azure AD joined devices.

    • Включить клиенты для использования шлюза управления облаками: Значение "Да " (по умолчанию) или "Нет".

  2. Развертывание параметров клиента в требуемом наборе устройств. Не развертывайте эти параметры в коллекциях пользователей.

Чтобы подтвердить, что устройство гибридное, запустите dsregcmd.exe /status в командной подсказке. Если устройство является лазурным или гибридным, поле AzureAdjoined в результатах показывает ДА. Дополнительные сведения см. в командной команде dsregcmd - состояние устройства.

Установка и регистрация клиента с помощью удостоверения Azure AD

Чтобы вручную установить клиента с помощью удостоверения Azure AD, сначала просмотрите общий процесс установки клиентов вручную.

Примечание

Устройству необходим доступ к Интернету, чтобы связаться с Azure AD, но он не должен быть основан на Интернете.

В следующем примере показана общая структура командной строки: ccmsetup.exe /mp:<source management point> CCMHOSTNAME=<internet-based management point> SMSSITECODE=<site code> SMSMP=<initial management point> AADTENANTID=<Azure AD tenant identifier> AADCLIENTAPPID=<Azure AD client app identifier> AADRESOURCEURI=<Azure AD server app identifier>

Дополнительные сведения см. в дополнительных сведениях о свойствах установки клиента.

Параметр /mp и свойство CCMHOSTNAME указывают один из следующих вариантов в зависимости от сценария:

  • Точка управления на месте. Только укажите параметр /mp . Свойство CCMHOSTNAME не требуется.
  • Шлюз управления облаком
  • Точка управления на основе Интернета

Свойство SMSMP указывает точку локального управления. Это не обязательно. Рекомендуется использовать устройства Azure AD, которые перемещаются по интрасети, чтобы они могли найти локальное управление.

В этом примере используется шлюз облачного управления. Заменяет примерные значения: ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC SMSMP=https://mp1.contoso.com AADTENANTID=daf4a1c2-3a0c-401b-966f-0b855d3abd1a AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver

Сайт публикует дополнительные сведения Azure AD в шлюз управления облаком (CMG). Клиент Azure AD получает эти сведения из CMG во время процесса ccmsetup с помощью того же клиента, к которому он присоединился. Это поведение упрощает установку клиента в среде с более чем одним клиентом Azure AD. Только два необходимых свойства ccmsetup являются и CCMHOSTNAME SMSSITECODE.

Чтобы автоматизировать установку клиента с помощью удостоверения Azure AD с помощью Microsoft Intune, см. в пункте How to prepare internet-based devices for co-management.

Дальнейшие действия

После завершения можно продолжать отслеживать и управлять клиентами.