pracovní postup ověřování Microsoft Entra

Platí pro: Configuration Manager (Current Branch)

Tento článek je technickou referencí pro proces instalace a registrace klienta Configuration Manager na zařízení s Windows, které je připojené k id Microsoft Entra. Podrobně popisuje proces pracovního postupu ověřování zařízení.

Poznámka

Klienti Windows získají certifikát WPJ (Workplace Join), když se připojí k tenantovi Microsoft Entra. Pokud se certifikát nenajde, klient Configuration Manager nemůže požádat o Microsoft Entra tokeny. Bez tokenu nemůže klient použít komunikační kanál služby Configuration Manager tokenů zabezpečení (CCM_STS) pro Microsoft Entra ověřování se systémy Configuration Manager lokality.

Instalace klienta

V této ukázce pracovního postupu jste nainstalovali klienta Configuration Manager na zařízení s Windows přes internet s následujícími vlastnostmi příkazového řádku ccmsetup:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

1. žádost o Microsoft Entra informace z ccmsetup

Klienti nainstalovaní z internetu potřebují specifické vlastnosti příkazového řádku, aby mohli používat Microsoft Entra ověřování. Tyto vlastnosti můžete zahrnout do příkazového řádku pro internet ccmsetup, ale nejsou povinné. Pokud nepoužíváte vlastnosti Microsoft Entra, služba ccmsetup požádá o AADCLIENTAPPID vlastnosti a AADRESOURCEURI z brány pro správu cloudu (CMG). Jako referenci používá id tenanta Microsoft Entra zařízení. Pokud jste v Configuration Manager nenavádili ID tenanta klienta, skupina cmG neposkytuje požadované vlastnosti ccmsetup, aby bylo moct pokračovat v instalaci klienta.

Do souboru ccmsetup.log klienta se zaprotokolují následující položky:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Důležité

Během ccmsetup musí zařízení ověřit ověřovací certifikát serveru CMG. Certifikát kořenové certifikační autority (CA) pro ověřovací certifikát serveru CMG musí být v klientovi k dispozici pro ověření řetězu. Pokud používáte infrastrukturu veřejných klíčů a kořenová certifikační autorita není publikovaná na internetu, přidejte certifikát kořenové certifikační autority do úložiště kořenových certifikačních autorit zařízení.

Pokud seznam odvolaných certifikátů kořenové certifikační autority (CRL) není publikovaný na internetu, přidejte /nocrlcheck parametr do příkazového řádku ccmsetup.

2. žádost o token Microsoft Entra

Na zařízení s Windows Azure AD připojeném k doméně používá ccmsetup vlastnosti Microsoft Entra k vyžádání tokenu Microsoft Entra, který volá zprostředkovatele ADALOperation. V souboru ccmsetup.log v klientovi se zaprotokolují následující položky:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Pokud požadavek na token zařízení selže, ccmsetup se vrátí a pokusí se požádat o token uživatele Microsoft Entra. Pokud zařízení nemůže získat token Microsoft Entra zařízení nebo uživatele, ccmsetup nepokračuje.

Poznámka

Pokud má zařízení platný certifikát ověřování klienta PKI, ccmsetup vždy preferuje certifikát. V takovém případě se klient nainstaluje jako klient PKI a nepoužívá Microsoft Entra ověřování.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Configuration Manager žádost o token klienta

Klient použije token Microsoft Entra k vyžádání tokenu Configuration Manager klienta (CCM). Provozní komunikace mezi ccmsetup a lokalitou používá token CCM jako autorizační token (CcmTokenAuth=1).

3.1 Klient odešle žádost o token CCM do CMG.

V souboru ccmsetup.log v klientovi se zaprotokolují následující položky:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 CMG předává přesměrovávat do spojovacího bodu CMG

Do souboru CMGService.log v instanci virtuálního počítače CMG se zaprotokolují následující položky.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

Tip

Configuration Manager synchronizuje soubor CMGService.log do složky protokolů serveru lokality každých pět minut jako CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log.

3.3 Spojovací bod CMG transformuje požadavek klienta CMG na požadavek klienta bodu správy.

V SMS_CLOUD_PROXYCONNECTOR.log (podrobný režim) systému lokality, který je hostitelem role spojovacího bodu CMG, se zaprotokolují následující položky:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 Bod správy ověřuje token uživatele v databázi lokality.

Do protokolu CCM_STS.log systému lokality, který je hostitelem bodu správy, který zpracovává požadavek klienta, se zaprotokolují následující položky:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. Žádost o umístění obsahu

Jakmile klient získá token CCM, uloží ho do mezipaměti a použije ho k vyžádání informací o lokalitě a umístění obsahu ccmsetup.cab. Jakmile zařízení stáhne klientský obsah, spustí instalaci. V souboru ccmsetup.log v klientovi se zaprotokolují následující položky:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Poznámka

Pokud klient najde obsah z cmg s povoleným obsahem, ccmsetup stáhne obsah z cloudového úložiště. Pokud není nejnovější verze klienta dostupná v cloudu, stáhne obsah z bodu správy prostřednictvím požadavku CMG.

Registrace klienta

1. Configuration Manager registraci žádosti klienta

Jakmile ccmsetup úspěšně nainstaluje klienta Configuration Manager, inicializuje se registrace. V souboru ClientIDManagerStartup.log klienta se zaprotokolují následující položky:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. Configuration Manager žádosti Microsoft Entra token pro registraci klienta

Klient požádá o nový token Microsoft Entra k registraci pomocí ověřování Microsoft Entra. Preferuje token zařízení, ale pokud není dostupný, klient se vrátí a požádá o token uživatele Microsoft Entra. Do protokolu ADALOperationProvider.log klienta se zaprotokolují následující položky:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Žádost o registraci

Registrační komponenta v bodě správy zpracovává proces registrace klienta. Klient odešle zprávu o registraci do koncového bodu MP_ClientRegistration .

3.1 CMG předává požadavek na registraci klienta do bodu správy.

Do protokolu MP_RegistrationManager.log systému lokality, který je hostitelem bodu správy, který zpracovává požadavek klienta, se zaprotokolují následující položky:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager klient je zaregistrovaný

Pokud je registrace úspěšná, klient obdrží potvrzovací zprávu o registraci se schválením 3 pro registraci na základě id Microsoft Entra. V souboru ClientIDManagerStartup.log klienta se zaprotokolují následující položky:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. Configuration Manager žádost o token klienta

Jakmile server potvrdí registraci klienta, klient zpracuje zprávu odpovědi. Klient pak požádá o nový token CCM a ukládá ho do mezipaměti. V souboru ClientIDManagerStartup.log klienta se zaprotokolují následující položky:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG získává a předává CCM_Token požadavek do spojovacího bodu CMG

Do protokolu CMGService.log virtuálního počítače CMG a systému lokality, který je hostitelem role spojovacího bodu CMG, se zaprotokolují následující položky:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 Spojovací bod CMG transformuje požadavek klienta CMG na požadavek klienta bodu správy.

Do protokolu SMS_CLOUD_PROXYCONNECTOR.log systému lokality, který je hostitelem role spojovacího bodu CMG, se zaprotokolují následující položky:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 Bod správy ověřuje token uživatele v databázi lokality.

Do protokolu CCM_STS.log systému lokality, který je hostitelem bodu správy, který zpracovává požadavek klienta, se zaprotokolují následující položky:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

Server vrátí token CCM klientovi pro zbytek komunikace mezi klientem a lokalitou.

Poznámka

Během registrace klienta se vždy spustí ověření certifikátu. K tomuto procesu dochází i v případě, že k registraci klienta používáte metodu ověřování Microsoft Entra. Toto chování je náhradní možností pro případ, že Microsoft Entra ověření nebude úspěšné.

Prodloužení platnosti tokenu CCM

Token CCM má životnost osm hodin. Když klient zjistí, že vypršela platnost tokenu CCM nebo se blíží vypršení platnosti, odešle nový požadavek na token CCM. Tento proces obnovení zpracovává komponenta CcmMessaging. Do souboru CcmMessaging.log klienta se zaprotokolují následující položky:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Běžné problémy

• Kořenová certifikační autorita není k dispozici: Klienti potřebují certifikát kořenové certifikační autority k ověření ověřovacího certifikátu serveru CMG.

• Kontrola seznamu CRL je povolená: Publikujte seznam CRL na internetu. Jako alternativu použijte /NoCRLCheck parametr pro ccmsetup. Můžete také zakázat následující možnost: Klienti zkontrolují seznam odvolaných certifikátů (CRL) pro systémy lokality. Toto nastavení najdete na kartě Zabezpečení komunikace ve vlastnostech webu.

• Certifikát WPJ se nenašel: Ujistěte se, že je zařízení Microsoft Entra připojené. Použijte dsregcmd.exe. Podívejte se dsregcmd /status například na část Stav zařízení .

Tip

Komunikace klienta prostřednictvím CMG, spojovacího bodu CMG a bodu správy běží přes PROTOKOL HTTPS. Pokud v lokalitě nakonfigurujete rozšířený protokol HTTP, můžete přesto nakonfigurovat bod správy pro protokol HTTP.

• Klient ověří ověřovací certifikát serveru CMG:

  • Certifikát PKI: Klient vyžaduje kořenovou certifikační autoritu certifikátu CMG v místním úložišti.
  • Certifikát třetí strany: Klienti automaticky ověřují certifikát pomocí kořenové certifikační autority publikované na internetu.

• CmG, bod připojení CMG a bod správy ověřte Microsoft Entra ID a tokeny CCM.

• Komunikace mezi spojovacím bodem CMG a bodem správy je také zabezpečená na obou koncích:

  • Spojovací bod CMG používá certifikát ověřování klienta.
  • Sada MP používá pro konfiguraci HTTPS certifikát PKI nebo certifikát podepsaný svým držitelem pro rozšířený protokol HTTP.