Ключи установки клиента KMS KMS client setup keys

Применяется к: Windows Server 2019, Windows Server Semi-Annual Channel, Windows Server 2016, Windows 10 Applies to: Windows Server 2019, Windows Server Semi-Annual Channel, Windows Server 2016, Windows 10

Компьютеры, работающие под управлением лицензируемых версий Windows Server, Windows 10, Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista, и Windows Server 2008, по умолчанию являются клиентами KMS, для которых не требуется дополнительная настройка. Computers that are running volume licensed editions of Windows Server, Windows 10, Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008 are, by default, KMS clients with no additional configuration needed.

В приведенных далее таблицах LTSC означает Long-Term Servicing Channel, а LTSB — Long-Term Servicing Branch. In the tables that follow, «LTSC» stands for «Long-Term Servicing Channel,» while «LTSB» refers to the «Long-Term Servicing Branch.»

Чтобы использовать перечисленные здесь ключи (универсальные ключи многократной установки), в своей среде сначала нужно запустить узел KMS. To use the keys listed here (which are GVLKs), you must first have a KMS host running in your deployment. Если узел KMS еще не настроен, обратитесь к разделу Deploy KMS Activation (Развертывание активации KMS), в котором рассматривается процедура установки. If you haven’t already configured a KMS host, see Deploy KMS Activation for steps to set one up.

При преобразовании узла KMS, компьютера, использующего ключ MAK или работающего под управлением розничной лицензионной версии Windows, в клиент KMS необходимо установить соответствующий ключ установки (GVLK) из приведенных ниже таблиц. If you are converting a computer from a KMS host, MAK, or retail edition of Windows to a KMS client, install the applicable setup key (GVLK) from the following tables. Чтобы установить ключ установки клиента, откройте командную строку администратора в клиенте, введите slmgr /ipk и нажмите клавишу ВВОД. To install a client setup key, open an administrative command prompt on the client, type slmgr /ipk and then press Enter.

Действие If you want to…	Ресурс …use these resources
При активации Windows вне сценария активации корпоративных лицензий (то есть при активации розничной версии Windows) эти ключи работать не будут. Activate Windows outside of a volume-activation scenario (that is, you’re trying to activate a retail version of Windows), these keys will not work.	Для розничных версий Windows используйте следующие ссылки: Use these links for retail versions of Windows:
Исправьте ошибку, которую вы получили при попытке активации системы Windows 8.1, Windows Server 2012 R2 или более новой системы. «Error: 0xC004F050 The Software Licensing Service reported that the product key is invalid…» Fix this error that you get when you try to activate a Windows 8.1, Windows Server 2012 R2 or newer system: “Error: 0xC004F050 The Software Licensing Service reported that the product key is invalid”…	Установите это обновление на узле KMS, если он работает под управлением Windows 8.1, Windows Server 2012 R2, Windows 8 или Windows Server 2012. Install this update on the KMS host if it is running Windows 8.1, Windows Server 2012 R2, Windows 8, or Windows Server 2012.

Если вы используете Windows Server 2008 R2 или Windows 7, необходимо внимательно отслеживать обновления для поддержки использования этих систем в качестве узлов KMS для клиентов Windows 10. If you are running Windows Server 2008 R2 or Windows 7, be on the lookout for an update to support using those as KMS hosts for Windows 10 clients.

Версии Semi-Annual Channel для Windows Server Windows Server Semi-Annual Channel versions

Windows Server версий 1909, 1903 и 1809 Windows Server, version 1909, version 1903, and version 1809

Версия операционной системы Operating system edition	Ключ установки клиента KMS KMS Client Setup Key
Windows Server Datacenter Windows Server Datacenter	6NMRW-2C8FM-D24W7-TQWMY-CWH2D 6NMRW-2C8FM-D24W7-TQWMY-CWH2D
Windows Server Standard Windows Server Standard	N2KJX-J94YW-TQVFB-DG9YT-724CC N2KJX-J94YW-TQVFB-DG9YT-724CC

Версии Windows Server LTSC и LTSB Windows Server LTSC/LTSB versions

Windows Server 2019 Windows Server 2019

Версия операционной системы Operating system edition	Ключ установки клиента KMS KMS Client Setup Key
Windows Server 2019 Datacenter Windows Server 2019 Datacenter	WMDGN-G9PQG-XVVXX-R3X43-63DFG WMDGN-G9PQG-XVVXX-R3X43-63DFG
Windows Server 2019 Standard Windows Server 2019 Standard	N69G4-B89J2-4G8F4-WWYCC-J464C N69G4-B89J2-4G8F4-WWYCC-J464C
Windows Server 2019 Essentials Windows Server 2019 Essentials	WVDHN-86M7X-466P6-VHXV7-YY726 WVDHN-86M7X-466P6-VHXV7-YY726

Windows Server 2016 Windows Server 2016

Версия операционной системы Operating system edition	Ключ установки клиента KMS KMS Client Setup Key
Windows Server 2016 Datacenter Windows Server 2016 Datacenter	CB7KF-BWN84-R7R2Y-793K2-8XDDG CB7KF-BWN84-R7R2Y-793K2-8XDDG
Windows Server 2016 Standard Windows Server 2016 Standard	WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
Windows Server 2016 Essentials Windows Server 2016 Essentials	JCKRF-N37P4-C2D82-9YXRT-4M63B JCKRF-N37P4-C2D82-9YXRT-4M63B

Windows 10, все поддерживаемые версии Semi-Annual Channel Windows 10, all supported Semi-Annual Channel versions

См. в разделе Справочные материалы по жизненному циклу Windows сведения о поддерживаемых версиях и конечных датах обслуживания. See the Windows lifecycle fact sheet for information about supported versions and end of service dates.

Необходимые условия для развертывания клиентов на компьютерах с Windows в Configuration Manager Prerequisites for deploying clients to Windows computers in Configuration Manager

Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)

Развертыванию клиентов Configuration Manager в среде организации свойственны перечисленные ниже внешние зависимости и зависимости в пределах продукта. Deploying Configuration Manager clients in your environment has the following external dependencies and dependencies within the product. Кроме того, каждый метод развертывания клиентов имеет собственные зависимости, которые необходимо принимать во внимание при установке клиентов. Additionally, each client deployment method has its own dependencies that must be met for client installations to be successful.

Дополнительные сведения о минимальных требованиях к оборудованию и операционной системе для клиента Configuration Manager см. в разделе Поддерживаемые конфигурации. For more information on the minimum hardware and OS requirements for the Configuration Manager client, see Supported configurations.

Указанные в данной статье номера версий программного обеспечения являются минимальными требованиями. The software version numbers shown in this article only list the minimum version numbers required.

Необходимые условия для клиентов Windows Prerequisites for Windows clients

Используйте приведенные ниже сведения, чтобы определить необходимые условия для установки клиента Configuration Manager на устройствах с ОС Windows. Use the following information to determine the prerequisites for when you install the Configuration Manager client on Windows devices.

Внешние зависимости Configuration Manager Dependencies external to Configuration Manager

Многие из этих компонентов являются службами или функциями, которые включены в Windows по умолчанию. Many of these components are services or features that Windows enables by default. Не отключайте эти компоненты на клиентах Configuration Manager. Don’t disable these components on Configuration Manager clients.

Компонент Component	Описание: Description
Установщик Windows Windows Installer	Требуется для использования файлов установщика Windows для приложений и обновлений программного обеспечения. Required to support the use of Windows Installer files for applications and software updates.
Фоновая интеллектуальная служба передачи, BITS (Майкрософт) Microsoft Background Intelligent Transfer Service (BITS)	Необходима для регулируемой передачи данных между клиентским компьютером и системами сайта Configuration Manager. Required to allow throttled data transfers between the client computer and Configuration Manager site systems.
Планировщик задач Microsoft Microsoft Task Scheduler	Требуется для таких операций клиента, как регулярная оценка работоспособности клиента Configuration Manager. Required for client operations, such as regularly evaluating the health of the Configuration Manager client.
Библиотека удаленного разностного сжатия Microsoft (RDC) Microsoft Remote Differential Compression (RDC)	Необходима для оптимизации передачи данных по сети. Required to optimize data transmission over the network.
Поддержка подписывания кода с использованием алгоритма SHA-2 SHA-2 code signing support	Начиная с версии 1906 клиенты нуждаются в поддержке алгоритма подписывания кода SHA-2. Starting in version 1906, clients require support for the SHA-2 code signing algorithm. Дополнительные сведения см. в разделе Поддержка подписывания кода с использованием алгоритма SHA-2. For more information, see SHA-2 code signing support.

Поддержка подписывания кода с использованием алгоритма SHA-2 SHA-2 code signing support

Из-за уязвимостей в алгоритме SHA-1 и для обеспечения соответствия отраслевым стандартам корпорация Майкрософт теперь подписывает двоичные файлы Configuration Manager, используя более безопасный алгоритм — SHA-2. Because of weaknesses in the SHA-1 algorithm and to align to industry standards, Microsoft now only signs Configuration Manager binaries using the more secure SHA-2 algorithm. Чтобы активировать поддержку подписывания кода с помощью алгоритма шифрования SHA-2, нужно обновить такие прежние версии ОС Windows. Legacy Windows OS versions require an update for SHA-2 code signing support. Дополнительные сведения см. в статье 2019 SHA-2 Требование подписания кода для Windows и WSUS. For more information, see 2019 SHA-2 code signing support requirement for Windows and WSUS.

Если вы не обновите эти версии ОС, вы не сможете установить клиент Configuration Manager версии 1906. If you don’t update these OS versions, you can’t install the Configuration Manager client version 1906. Это поведение применимо либо к установке нового клиента, либо к обновлению его предыдущей версии. This behavior applies to either a new client install or updating it from a previous version.

Если требуется управлять клиентом с версией Windows, которая не была обновлена, или которая старше указанных выше версий, используйте клиент расширенного взаимодействия (EIC) Configuration Manager версии 1902. If you need to manage a client on a version of Windows that’s not updated, or older than the versions listed above, use the Configuration Manager extended interoperability client (EIC) version 1902. Дополнительные сведения см. в статье Использование клиентского программного обеспечения Configuration Manager для расширения взаимодействия с будущими версиями сайта Current Branch. For more information, see Extended interoperability client.

Если вы не используете автоматическое обновление клиента и не обновляете клиенты с помощью другого механизма, обязательно обновите версию ccmsetup. If you don’t use automatic client update, and update clients with another mechanism, make sure to update the version of ccmsetup. Более старая версия файла ccmsetup может неправильно проверить новый сертификат подписывания кода SHA-2 в двоичных файлах клиента версии 1906. An older version of ccmsetup may not properly validate the new SHA-2 code signing certificate on the version 1906 client binaries. Например, если файл ccmsetup.exe копируется в общую папку или используется ccmsetup.msi с групповой политикой. For example, if you copy ccmsetup.exe to a file share, or use ccmsetup.msi with group policy.

Следующие механизмы обновления клиента затронуты не будут. The following client update mechanisms shouldn’t be affected:

• Принудительная установка клиента. Он использует клиентский пакет с этого сайта. Client push installation: It uses the client package from the site
• Установка путем обновления программного обеспечения: Обновление сайта повторно публикуется в службах WSUS Software update-based installation: The site update republishes to WSUS
• Устройства Windows под управлением Intune MDM Поддерживаемая версия этого механизма уже поддерживает подписывание кода SHA-2, но по-прежнему важно использовать последнюю версию файла ccmsetup.msi. Intune MDM-managed Windows devices: The supported version for this mechanism already supports SHA-2 code signing, but it’s still important to use the latest ccmsetup.msi

Внешние зависимости Configuration Manager, автоматически загружаемые в ходе установки Dependencies external to Configuration Manager and automatically downloaded during installation

Клиент Configuration Manager имеет внешние зависимости. The Configuration Manager client has external dependencies. Их наличие определяется тем, какая версия ОС используется на клиентском компьютере и какое программное обеспечение на нем установлено. These dependencies depend on the OS version and the installed software on the client computer.

Если эти зависимости необходимы для завершения установки клиента, они устанавливаются автоматически. If the client requires these dependencies to complete the installation, it automatically installs them.

Компонент Component	Описание: Description
Службы MSXML версии 6.20.5002 или более поздней ( msxml6.msi ) Microsoft Core XML Services (MSXML) version 6.20.5002 or later ( msxml6.msi )	Необходимы для поддержки обработки XML-документов в Windows. Required to support the processing of XML documents in Windows.
Распространяемый пакет Microsoft Visual C++ 2013 версии 12.0.40660.0 ( vcredist_x*.exe ) Microsoft Visual C++ 2013 Redistributable version 12.0.40660.0 ( vcredist_x*.exe )	Требуется для поддержки операций клиента. Required to support client operations. При установке этого обновления на клиентских компьютерах для завершения установки может потребоваться перезагрузка. When you install this update on client computers, it might require a restart to complete the installation.
API-интерфейсы обработки изображений Windows 6.0.6001.18000 или более поздней версии ( wimgapi.msi ) Windows Imaging APIs 6.0.6001.18000 or later ( wimgapi.msi )	Необходимы для того, чтобы система Configuration Manager управляла файлами образа Windows (WIM). Required to allow Configuration Manager to manage Windows image (.wim) files.
Платформа политик (Майкрософт) 1.2.3514.0 или более поздней версии ( MicrosoftPolicyPlatformSetup.msi ) Microsoft Policy Platform 1.2.3514.0 or later ( MicrosoftPolicyPlatformSetup.msi )	Требуется, чтобы клиенты могли оценить параметры соответствия. Required to allow clients to evaluate compliance settings.
Microsoft .NET Framework 4.5.2 или более поздней версии ( NDP452-KB2901907-x86-x64-AllOS-ENU.exe ) Microsoft .NET Framework version 4.5.2 or later ( NDP452-KB2901907-x86-x64-AllOS-ENU.exe )	Требуется для поддержки операций клиента. Required to support client operations. Автоматически устанавливается на клиентском компьютере, если на нем не установлена платформа Microsoft .NET Framework 4.5 или более поздней версии. Automatically installed on the client computer if it doesn’t have Microsoft .NET Framework version 4.5 or later installed. См. статью Дополнительные сведения о платформе Microsoft .NET Framework версии 4.5.2. For more information, see Additional details about Microsoft .NET Framework version 4.5.2.
Компоненты Microsoft SQL Server Compact версии 4.0 с пакетом обновлений 1 (SP1) Microsoft SQL Server Compact 4.0 SP1 components	Требуется для хранения информации, относящейся к операциям клиента. Required to store information related to client operations.

Пользовательский интерфейс Silverlight каталога приложений не поддерживается в текущей ветви версии 1806. The application catalog’s Silverlight user experience isn’t supported as of current branch version 1806. Начиная с версии 1906, обновленные клиенты автоматически используют точку управления для развертываний приложений, доступных пользователю. Starting in version 1906, updated clients automatically use the management point for user-available application deployments. Но вы не можете устанавливать новые роли каталога приложений. You also can’t install new application catalog roles. Поддержка ролей каталога приложений прекращена в версии 1910. Support ends for the application catalog roles with version 1910.

Дополнительные сведения см. в следующих статьях: For more information, see the following articles:

Если вы все еще используете пользовательский интерфейс веб-сайта каталога приложений, для клиента требуется наличие Microsoft Silverlight 5.1.41212.0. If you’re still using the application catalog website user experience, the client requires Microsoft Silverlight 5.1.41212.0. Клиент не устанавливает Silverlight автоматически. The client doesn’t automatically install Silverlight. Основные функциональные возможности каталога приложений теперь реализованы в Центре программного обеспечения. The primary functionality of the application catalog is now included in Software Center.

Дополнительные сведения о платформе Microsoft .NET Framework версии 4.5.2 Additional details about Microsoft .NET Framework version 4.5.2

Версии .NET 4.0, 4.5 и 4.5.1 больше не поддерживаются. .NET 4.0, 4.5, and 4.5.1 are no longer supported. Дополнительные сведения см. в статье Часто задаваемые вопросы о политике поддержки жизненного цикла Microsoft .NET Framework. For more information, see Microsoft .NET Framework Support Lifecycle Policy FAQ.

Для завершения установки платформы Microsoft .NET Framework версии 4.5.2 может требоваться перезапуск системы. Microsoft .NET Framework version 4.5.2 may require a restart to complete the installation. Уведомление Требуется перезапуск появится в области уведомлений. The user sees a Restart required notification in the system tray. Ниже приведены общие сценарии, требующие перезапуска клиентских компьютеров. The following common scenarios require client computers to restart:

На компьютере выполняются приложения или службы .NET. .NET applications or services are running on the computer.

Отсутствует одно или несколько обновлений программного обеспечения, необходимых для установки .NET. One or more software updates required for .NET installation are missing.

Компьютер ожидает перезапуска после предыдущей установки обновлений программного обеспечения .NET Framework. The computer is pending a restart from prior installation of .NET framework software updates.

После установки платформы .NET Framework 4.5.2 могут потребоваться дополнительные обновления. After .NET Framework 4.5.2 is installed, it may require additional updates. После их установки могут требоваться дополнительные перезагрузки компьютера. These later updates may require additional computer restarts.

Зависимости Configuration Manager Configuration Manager dependencies

Компонент Component	Описание: Description
Точка управления Management point	Для развертывания клиента Configuration Manager точка управления не требуется. To deploy the Configuration Manager client, you don’t require a management point. Точка управления необходима клиентам для передачи данных на сайт. Clients require a management point to transfer information with the site. Без точки управления управлять клиентскими компьютерами невозможно. Without a management point, you can’t manage client computers.
Точка распространения Distribution point	Точка распространения — необязательная, но рекомендуемая роль системы сайта для развертывания клиентов и управления ими. The distribution point is an optional, but recommended site system role for client deployment and management. Во всех точках распространения размещаются исходные файлы клиентов. All distribution points host the client source files. Клиенты находят ближайшую точку распределения, с которой можно скачать исходные файлы во время развертывания или обновления клиентов. Clients find the nearest distribution point from which to download the source files during client deployment or update. Если сайт не содержит точек распространения, компьютеры скачивают клиентские исходные файлы из точки управления. If the site doesn’t have a distribution point, computers download the client source files from their management point.
Резервная точка состояния Fallback status point	Резервная точка состояния — необязательная, но рекомендуемая роль системы сайта для развертывания клиентов. The fallback status point is an optional, but recommended site system role for client deployment. Резервная точка состояния отслеживает развертывание клиентов и позволяет компьютерам на сайте Configuration Manager отправлять сообщения о состоянии, когда они не могут установить связь с точкой управления. The fallback status point tracks client deployment and enables computers in the Configuration Manager site to send state messages when they can’t communicate with a management point.
Точка служб отчетов Reporting services point	Точка служб отчетов — необязательная, однако рекомендуемая роль системы сайта. The reporting services point is an optional, but recommended site system role. Она отображает отчеты, связанные с развертыванием клиентов и управлением ими. It displays reports related to client deployment and management. Дополнительные сведения см. в разделе Общие сведения об отчетах. For more information, see Introduction to reporting.

Зависимости, связанные с конкретными методами установки Installation method dependencies

Ниже перечислены необходимые условия, характерные для различных методов установки клиента. The following prerequisites are specific to the various methods of client installation.

Принудительная установка клиента Client push installation

Сайт использует учетные записи для принудительной установки клиента с целью подключения к компьютерам для установки клиента. The site uses client push installation accounts to connect to computers to install the client. Укажите эти учетные записи на вкладке Учетные записи диалогового окна «Свойства принудительной установки клиента». Specify these accounts on the Accounts tab of the Client Push Installation Properties. Учетная запись должна входить в локальную группу администраторов на конечном компьютере. The account must be a member of the local Administrators group on the destination computer.

Если не указать учетную запись для принудительной установки клиента, для сервера сайта будет использоваться учетная запись компьютера. If you don’t specify a client push installation account, the site server uses its computer account.

Сайту необходимо обнаружить компьютер, на котором устанавливается клиент. The site needs to discover the computer on which you’re installing the client. Требуется по крайней мере один метод обнаружения Configuration Manager. At least one Configuration Manager discovery method is needed.

Компьютер имеет общий ресурс ADMIN$. The computer has an ADMIN$ share.

Чтобы автоматически выполнить принудительную установку клиента Configuration Manager в обнаруженных ресурсах, в диалоговом окне «Свойства принудительной установки клиента» выберите параметр Включить принудительную установку клиента для назначенных ресурсов. To automatically push the Configuration Manager client to discovered resources, select the option to Enable client push installation to assigned resources in the Client Push Installation Properties.

Клиентский компьютер должен иметь возможность установить связь с точкой распространения или точкой управления для скачивания исходных файлов. The client computer needs to communicate with a distribution point or a management point to download the source files.

Если требуется взаимная проверка подлинности Kerberos, клиенты должны находиться в доверенном лесу Active Directory. When you require Kerberos mutual authentication, clients must be in a trusted Active Directory forest. Kerberos в Windows использует Active Directory для взаимной проверки подлинности. Kerberos in Windows relies upon Active Directory for mutual authentication.

Для принудительной установки клиентов требуются указанные ниже разрешения безопасности. To use client push, you need the following security permissions:

Чтобы настроить учетную запись принудительной установки клиентов: разрешения Изменить и Чтение для объекта Сайт. To configure the client push installation account: Modify and Read permission for the Site object.

Чтобы установить клиент в коллекциях, на устройствах и в запросах путем принудительной установки: разрешения Изменить ресурс и Чтение для объекта Коллекция. To use client push to install the client to collections, devices and queries: Modify Resource and Read permission for the Collection object.

Роль безопасности по умолчанию Администратор инфраструктуры включает разрешения, необходимые для управления принудительной установкой клиента. The Infrastructure Administrator default security role includes the required permissions to manage client push installations.

Установка через точку обновления программного обеспечения Software update point-based installation

Если схема Active Directory не расширена или если клиенты устанавливаются из другого леса, укажите параметры установки для файла CCMSetup.exe с помощью групповой политики. If you haven’t extended the Active Directory schema, or you’re installing clients from another forest, use group policy to provision installation parameters for CCMSetup.exe. Дополнительные сведения см. в статье Настройка свойств установки клиента. For more information, see How to provision client installation properties.

Опубликуйте клиент Configuration Manager в точке обновления программного обеспечения. Publish the Configuration Manager client to the software update point.

Для скачивания исходных файлов клиентский компьютер должен иметь возможность установить связь с точкой распространения или точкой управления. To download the source files, the client computer needs to communicate with a distribution point or a management point.

Сведения о разрешениях безопасности, необходимых для управления обновлениями программного обеспечения Configuration Manager, см. в статье Необходимые условия для обновлений программного обеспечения. For the security permissions required to manage Configuration Manager software updates, see Prerequisites for software updates.

Установка с использованием групповой политики Group policy-based installation

Если схема Active Directory не расширена или если клиенты устанавливаются из другого леса, укажите параметры установки для файла CCMSetup.exe с помощью групповой политики. If you haven’t extended the Active Directory schema, or you’re installing clients from another forest, use group policy to provision installation parameters for CCMSetup.exe. Дополнительные сведения см. в статье Настройка свойств установки клиента. For more information, see How to provision client installation properties.

Для скачивания исходных файлов клиентский компьютер должен иметь возможность установить связь с точкой распространения или точкой управления. To download the source files, the client computer needs to communicate with a distribution point or a management point.

Установка с использованием сценария входа Logon script-based installation

Для скачивания исходных файлов клиентский компьютер должен иметь возможность установить связь с точкой распространения или точкой управления. To download the source files, the client computer needs to communicate with a distribution point or a management point. Это поведение не применяется, если CCMSetup.exe был запущен со следующим параметром командной строки: ccmsetup /source Unless you specified CCMSetup.exe with the following command-line parameter: ccmsetup /source

Установка вручную Manual installation

Для скачивания исходных файлов клиентский компьютер должен иметь возможность установить связь с точкой распространения или точкой управления. To download the source files, the client computer needs to communicate with a distribution point or a management point. Это поведение не применяется, если CCMSetup.exe был запущен со следующим параметром командной строки: ccmsetup /source Unless you specified CCMSetup.exe with the following command-line parameter: ccmsetup /source

Установка Microsoft Intune MDM Microsoft Intune MDM installation

Требуется подписка Microsoft Intune и соответствующие лицензии. Requires a Microsoft Intune subscription and appropriate licenses.

Устройство должно быть подключено к Интернету, даже если обычно оно не подключено к нему. Requires the device has internet access, even if it isn’t internet-based.

В зависимости от варианта использования может потребоваться использование одной или обеих следующих технологий: Depending upon the use case, you may also require one or both of the following technologies:

Azure Active Directory Azure Active Directory

Шлюз управления облаком Cloud management gateway

Установка компьютера рабочей группы Workgroup computer installation

Чтобы получить доступ к ресурсам в домене сервера сайта Configuration Manager, настройте для этого сайта учетную запись доступа к сети. To access resources in the Configuration Manager site server’s domain, configure a network access account for the site.

Дополнительные сведения о настройке учетной записи доступа к сети см. в разделе Основные принципы управления содержимым. For more information about how to configure the network access account, see the Fundamental concepts for content management.

Установка посредством распространения программного обеспечения (только для обновлений) Software distribution-based installation (for upgrades only)

Если схема Active Directory не расширена или если клиенты устанавливаются из другого леса, укажите параметры установки для файла CCMSetup.exe с помощью групповой политики. If you haven’t extended the Active Directory schema, or you’re installing clients from another forest, use group policy to provision installation parameters for CCMSetup.exe. Дополнительные сведения см. в статье Настройка свойств установки клиента. For more information, see How to provision client installation properties.

Для скачивания исходных файлов клиентский компьютер должен иметь возможность установить связь с точкой распространения или точкой управления. To download the source files, the client computer needs to communicate with a distribution point or a management point.

Сведения о разрешениях безопасности, необходимых для обновления клиента Configuration Manager с помощью компонента управления приложениями, см. в разделе Безопасность и конфиденциальность управления приложениями. For the security permissions required to upgrade the Configuration Manager client using application management, see Security and privacy for application management.

Автоматическое обновление клиента Automatic client upgrades

Чтобы настраивать автоматическое обновление клиента, необходимо быть участником роли безопасности Полный администратор . You must be a member of the Full Administrator security role to configure automatic client upgrades.

Требования к брандмауэру Firewall requirements

Если между серверами системы сайта и компьютерами, на которые устанавливается клиент Configuration Manager, есть брандмауэр, см. раздел Параметры брандмауэра Windows и портов для клиентов. If there’s a firewall between the site system servers and the computers onto which you want to install the Configuration Manager client, see Windows Firewall and port settings for clients.

Необходимые условия для клиентов на мобильных устройствах Prerequisites for mobile device clients

При установке клиента Configuration Manager на мобильных устройствах и их регистрации используйте следующие сведения для определения необходимых условий. When you install the Configuration Manager client on mobile devices and enroll them, use this information to determine the prerequisites.

Внешние зависимости Configuration Manager Dependencies external to Configuration Manager

Для установки сертификатов, необходимых для мобильных устройств, а также управления этими сертификатами необходим центр сертификации предприятия Майкрософт (ЦС) с шаблонами сертификатов. A Microsoft enterprise certification authority (CA) with certificate templates to deploy and manage the certificates required for mobile devices.

ЦС, выдающий сертификат, должен автоматически утверждать запросы сертификатов от пользователей мобильных устройств во время регистрации. The issuing CA must automatically approve certificate requests from the mobile device users during the enrollment process.

Дополнительные сведения о требованиях к сертификатам см. в статье Безопасность и конфиденциальность профилей сертификатов. For more information about the certificate requirements, see Security and privacy for certificate profiles.

Группа безопасности с пользователями, которые могут регистрировать свои мобильные устройства. A security group that contains the users that can enroll their mobile devices.

Эта группа безопасности используется для настройки шаблона сертификата, используемого во время регистрации мобильных устройств. This security group is used to configure the certificate template that is used during mobile device enrollment.

Необязательно, но рекомендуется использовать псевдоним DNS (запись CNAME) с именем ConfigMgrEnroll. Optional but recommended: a DNS alias (CNAME record) named ConfigMgrEnroll. Настройте этот псевдоним для имени сервера прокси-точки регистрации. Configure this alias for the server name of the enrollment proxy point.

Этот псевдоним DNS необходим для поддержки автоматического обнаружения службы регистрации. This DNS alias is required to support automatic discovery for the enrollment service. Если не настроить эту запись DNS, то пользователи должны будут вручную указать имя прокси-точки регистрации во время регистрации. If you don’t configure this DNS record, users must manually specify the name of the enrollment proxy point as part of the enrollment process.

Зависимости ролей систем сайта для компьютеров, на которых выполняются роли системы сайта «точка регистрации» и «прокси-точка регистрации». Site system role dependencies for the computers that run the enrollment point and the enrollment proxy point site system roles.

Зависимости Configuration Manager Configuration Manager dependencies

Точка управления, настроенная для подключений клиентов по протоколу HTTPS и поддерживающая мобильные устройства Management point that’s configured for HTTPS client connections and enabled for mobile devices

При установке клиента Configuration Manager на мобильных устройствах всегда требуется точка управления. A management point is always required to install the Configuration Manager client on mobile devices. Помимо требований к настройке HTTPS и поддержки мобильных устройств, для точки управления необходимо настроить полное доменное имя в Интернете, и она должна принимать подключения из Интернета. In addition to the configuration requirements of HTTPS and enabled for mobile devices, the management point must be configured with an internet FQDN and accept client connections from the internet.

Точка регистрации и прокси-точка регистрации Enrollment point and enrollment proxy point

Прокси-точка регистрации управляет запросами регистрации от мобильных устройств, а точка регистрации выполняет процесс регистрации. An enrollment proxy point manages enrollment requests from mobile devices and the enrollment point completes the enrollment process. Точка регистрации должна находиться в том лесу Active Directory, в котором расположен сервер сайта, а прокси-точка регистрации может находиться в другом лесу. The enrollment point must be in the same Active Directory forest as the site server, but the enrollment proxy point can be in another forest.

Параметры клиента для регистрации мобильного устройства Client settings for mobile device enrollment

Настройте параметры клиента так, чтобы разрешить пользователям регистрировать мобильные устройства, и создайте как минимум один профиль регистрации. Configure client settings to allow users to enroll mobile devices and configure at least one enrollment profile.

Точка служб отчетов Reporting services point

Точка служб отчетов не является обязательной. Тем не менее, рекомендуется использовать эту роль системы сайта для отображения отчетов, связанных с регистрацией мобильных устройств и управлением клиентом. The reporting services point is an optional, but recommended site system role that can display reports related to mobile device enrollment and client management.

Дополнительные сведения см. в разделе Общие сведения об отчетах. For more information, see Introduction to reporting.

Чтобы настроить регистрацию мобильных устройств, необходимо иметь следующие разрешения безопасности. To configure enrollment for mobile devices, you must have the following security permissions:

Для добавления, изменения и удаления ролей систем сайта, связанных с регистрацией: разрешение Изменить для объекта Сайт. To add, modify, and delete the enrollment site system roles: Modify permission for the Site object.

Для настройки параметров клиента, связанных с регистрацией: Для параметров клиента, используемых по умолчанию, требуется разрешение Изменить для объекта Сайт, а для настраиваемых параметров — разрешения Агент клиента. To configure client settings for enrollment: Default client settings require Modify permission for the Site object, and custom client settings require Client agent permissions.

Роль безопасности по умолчанию Полный администратор имеет необходимые разрешения для настройки ролей системы сайта, связанных с регистрацией. The Full Administrator default security role includes the required permissions to configure the enrollment site system roles.

Для управления зарегистрированными мобильными устройствами необходимо иметь следующие разрешения безопасности. To manage enrolled mobile devices, you must have the following security permissions:

Для снятия с учета или очистки мобильного устройства: Удалить ресурс для объекта Коллекции. To wipe or retire a mobile device: Delete resource for the Collection object.

Для отмены команды снятия с учета или очистки: Удалить ресурс для объекта Коллекции. To cancel a wipe or retire command: Delete resource for the Collection object.

Для разрешения и блокировки мобильных устройств: Изменить ресурс для объекта Коллекция. To allow and block mobile devices: Modify resource for the Collection object.

Для удаленной блокировки или сброса секретного кода на мобильном устройстве: Изменить ресурс для объекта Коллекция. To remote lock, or reset the passcode on a mobile device: Modify resource for the Collection object.

Роль безопасности по умолчанию Администратор операций имеет разрешения, необходимые для управления мобильными устройствами. The Operations Administrator default security role includes the required permissions to manage mobile devices.

Дополнительные сведения о настройке разрешений безопасности см. в разделах Основы ролевого администрирования и Настройка ролевого администрирования. For more information about how to configure security permissions, see Fundamentals of role-based administration and Configure role-based administration.

Требования к брандмауэру Firewall requirements

Промежуточные сетевые устройства, такие как маршрутизаторы и брандмауэры, а также брандмауэр Windows (если имеется), должны пропускать сетевой трафик, связанный с регистрацией мобильных устройств. Intervening network devices such as routers and firewalls, and Windows Firewall if applicable, must allow the traffic associated with mobile device enrollment:

Между мобильными устройствами и прокси-точкой регистрации: HTTPS (TCP-порт по умолчанию: 443) Between mobile devices and the enrollment proxy point: HTTPS (by default, TCP 443)

Между прокси-точкой регистрации и точкой регистрации: HTTPS (TCP-порт по умолчанию: 443) Between the enrollment proxy point and the enrollment point: HTTPS (by default, TCP 443)

Если используется сервер веб-прокси, на нем необходимо настроить туннелирование SSL. If you use a proxy web server, it must be configured for SSL tunneling. Мосты SSL не поддерживаются для мобильных устройств. SSL bridging isn’t supported for mobile devices.