Zabezpečení a ochrana osobních údajů pro bránu pro správu cloudu

  • Článek

Platí pro: Configuration Manager (Current Branch)

Tento článek obsahuje informace o zabezpečení a ochraně osobních údajů pro Configuration Manager bránu pro správu cloudu (CMG). Další informace najdete v tématu Přehled brány pro správu cloudu.

Podrobnosti o zabezpečení

CmG přijímá a spravuje připojení z spojovacích bodů CMG. Používá vzájemné ověřování pomocí certifikátů a ID připojení.

CmG přijímá a předává požadavky klientů pomocí následujících metod:

  • Předběžně ověřuje připojení pomocí vzájemného protokolu HTTPS s certifikátem ověřování klienta založeným na infrastruktuře veřejných klíčů nebo id Microsoft Entra.

    • Služba IIS na instancích cmg virtuálních počítačů ověřuje cestu k certifikátu na základě důvěryhodných kořenových certifikátů, které do cmg nahrajete.

    • Pokud povolíte odvolání certifikátu, služba IIS na instanci virtuálního počítače také ověří odvolání klientského certifikátu. Další informace najdete v tématu Publikování seznamu odvolaných certifikátů.

  • Seznam důvěryhodnosti certifikátů (CTL) kontroluje kořen certifikátu ověřování klienta. Také pro klienta provede stejné ověření jako bod správy. Další informace najdete v tématu Kontrola položek v seznamu důvěryhodných certifikátů webu.

  • Ověří a vyfiltruje požadavky klientů (adresy URL) a zkontroluje, jestli některý spojovací bod CMG může požadavek vyhotovat.

  • Zkontroluje délku obsahu pro každý koncový bod publikování.

  • Používá chování kruhového dotazování k vyrovnávání zatížení spojovacích bodů CMG ve stejné lokalitě.

Spojovací bod CMG používá následující metody:

  • Vytváří konzistentní připojení HTTPS/TCP ke všem instancím virtuálních počítačů cmg. Tato připojení kontroluje a udržuje každou minutu.

  • Používá vzájemné ověřování s cmg pomocí certifikátů.

  • Předává požadavky klientů na základě mapování adres URL.

  • Hlásí stav připojení, aby se v konzole zobrazil stav služby.

  • Každých pět minut hlásí provoz na koncový bod.

Configuration Manager obmění klíč účtu úložiště pro cmg. Tento proces probíhá automaticky každých 180 dnů.

Mechanismy a ochrana zabezpečení

Prostředky CMG v Azure jsou součástí platformy Azure jako služby (PaaS). Jsou chráněné stejným způsobem a se stejnou výchozí ochranou jako všechny ostatní prostředky v Azure. V Azure se nepodporuje změna žádné konfigurace prostředků cmg ani architektury. Mezi tyto změny patří použití jakéhokoli druhu brány firewall před cmg k zachycení, filtrování nebo jinému zpracování provozu před tím, než dorazí do CMG. Veškerý provoz určený pro CMG se zpracovává prostřednictvím nástroje pro vyrovnávání zatížení Azure. Nasazení CMG jako škálovací sady virtuálních počítačů jsou chráněná službou Microsoft Defender for Cloud.

Instanční objekty a ověřování

Instanční objekty se ověřují registrací serverové aplikace ve Microsoft Entra ID. Tato aplikace se také označuje jako webová aplikace. Tuto registraci aplikace vytvoříte automaticky při vytváření CMG nebo předem ručně správcem Azure. Další informace najdete v tématu Ruční registrace aplikací Microsoft Entra pro CMG.

Tajné klíče pro aplikace Azure jsou šifrované a uložené v databázi Configuration Manager lokality. V rámci procesu instalace má serverová aplikace oprávnění Číst data adresáře pro Microsoft Graph API. Má také roli přispěvatele ve skupině prostředků, která hostuje CMG. Pokaždé, když aplikace potřebuje přístup k prostředkům, jako je Microsoft Graph, získá z Azure přístupový token, který používá pro přístup ke cloudovému prostředku.

Microsoft Entra ID může tajný klíč těchto aplikací automaticky obměňovat, nebo to můžete udělat ručně. Když se tajný klíč změní, musíte tajný klíč obnovit v Configuration Manager.

Další informace najdete v tématu Účel registrace aplikací.

Configuration Manager klientských rolí

Koncové body bodu správy a bodu aktualizace softwaru ve službě IIS obsluhují požadavky klientů. CmG nezpřístupňuje všechny interní koncové body. Každý koncový bod publikovaný v CMG má mapování adres URL.

  • Externí adresa URL je adresa, pomocí které klient komunikuje s cmg.

  • Interní adresa URL je spojovací bod CMG, který se používá k předávání požadavků na interní server.

Příklad mapování adres URL

Když povolíte provoz CMG v bodě správy, Configuration Manager vytvoří interní sadu mapování adres URL pro každý server bodu správy. Příklad: ccm_system, ccm_incoming a sms_mp. Externí adresa URL bodu správy ccm_system koncového bodu může vypadat takto:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
Adresa URL je pro každý bod správy jedinečná. Klient Configuration Manager pak vloží název bodu správy s podporou CMG do svého internetového seznamu bodů správy. Tento název vypadá takto:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Web automaticky nahraje všechny publikované externí adresy URL do CMG. Toto chování umožňuje cmg provádět filtrování adres URL. Všechna mapování adres URL se replikují do spojovacího bodu CMG. Pak předá komunikaci interním serverům podle externí adresy URL z požadavku klienta.

Doprovodné materiály k zabezpečení

Publikování seznamu odvolaných certifikátů

Publikujte seznam odvolaných certifikátů (CRL) vaší infrastruktury veřejných klíčů, ke které mají přístup internetoví klienti. Při nasazování CMG pomocí infrastruktury veřejných klíčů nakonfigurujte službu tak, aby na kartě Nastavení ověřte odvolání klientského certifikátu . Toto nastavení nakonfiguruje službu tak, aby používala publikovaný seznam CRL. Další informace najdete v tématu Plánování odvolání certifikátu PKI.

Tato možnost CMG ověřuje certifikát ověřování klienta.

  • Pokud klient používá Microsoft Entra ID nebo Configuration Manager ověřování na základě tokenu, na seznamu CRL nezáleží.

  • Pokud používáte infrastrukturu veřejných klíčů a externě publikujete seznam CRL, povolte tuto možnost (doporučeno).

  • Pokud používáte infrastrukturu veřejných klíčů, nepublikujte seznam CRL a pak tuto možnost zakažte.

  • Pokud tuto možnost nakonfigurujete chybně, může to způsobit větší provoz z klientů do CMG. Tento provoz může zvýšit výchozí data Azure, což může zvýšit náklady na Azure.

Kontrola položek v seznamu důvěryhodných certifikátů webu

Každý Configuration Manager web obsahuje seznam důvěryhodných kořenových certifikačních autorit , seznam důvěryhodných certifikátů (CTL). Seznam zobrazte a upravte tak, že přejdete do pracovního prostoru Správa , rozbalíte Konfigurace lokality a vyberete Lokality. Vyberte web a pak na pásu karet vyberte Vlastnosti . Přepněte na kartu Zabezpečení komunikace a pak v části Důvěryhodné kořenové certifikační autority vyberte Nastavit .

Použijte přísnější hodnotu CTL pro lokalitu s CMG pomocí ověřování klienta PKI. V opačném případě se k registraci klienta automaticky přijmou klienti s ověřovacími certifikáty vydanými důvěryhodným kořenovým adresářem, který již v bodě správy existuje.

Tato podmnožina poskytuje správcům větší kontrolu nad zabezpečením. Hodnota CTL omezuje server tak, aby přijímal pouze klientské certifikáty vydané certifikačními autoritami v seznamu CTL. Systém Windows se například dodává s certifikáty pro mnoho veřejných a globálně důvěryhodných poskytovatelů certifikátů. Ve výchozím nastavení počítač se službou IIS důvěřuje certifikátům, které se zřetězí s těmito známými certifikačními autoritami (CA). Bez konfigurace služby IIS s hodnotou CTL se každý počítač, který má klientský certifikát vystavený z těchto certifikačních autorit, přijímá jako platný Configuration Manager klienta. Pokud nakonfigurujete službu IIS s hodnotou CTL, která tyto certifikační autority neobsahuje, připojení klientů se zamítnou, pokud je certifikát zřetězený s těmito certifikačními autoritami.

Vynucení protokolu TLS 1.2

Pomocí nastavení CMG vynucujte protokol TLS 1.2. Vztahuje se pouze na virtuální počítač cloudové služby Azure. Nevztahuje se na žádné místní servery nebo klienty Configuration Manager lokalit.

Od verze 2107 s kumulativní aktualizací platí toto nastavení také pro účet úložiště CMG.

Další informace o protokolu TLS 1.2 najdete v tématu Povolení protokolu TLS 1.2.

Použití ověřování na základě tokenů

Pokud máte zařízení, která mají jednu nebo více následujících podmínek, zvažte použití Configuration Manager ověřování na základě tokenů:

  • Internetové zařízení, které se často nepřipojí k interní síti
  • Zařízení se nemůže připojit k ID Microsoft Entra
  • Nemáte metodu instalace certifikátu vystaveného pki.

V případě ověřování na základě tokenů lokalita automaticky vydává tokeny pro zařízení, která se registrují v interní síti. Můžete vytvořit token hromadné registrace pro internetová zařízení. Další informace najdete v tématu Ověřování pomocí tokenů pro CMG.