Microsoft Entra-Authentifizierungsworkflow

Gilt für: Configuration Manager (Current Branch)

Dieser Artikel ist eine technische Referenz für den Configuration Manager Clientinstallations- und -registrierungsprozess auf einem Windows-Gerät, das mit Microsoft Entra ID verknüpft ist. Der Workflowprozess für die Geräteauthentifizierung wird ausführlich beschrieben.

Hinweis

Windows-Clients erhalten ein WPJ-Zertifikat (Workplace Join), wenn sie einem Microsoft Entra Mandanten beitreten. Wenn das Zertifikat nicht gefunden wird, kann der Configuration Manager Client keine Microsoft Entra Token anfordern. Ohne ein Token kann der Client den kommunikationskanal Configuration Manager Sicherheitstokendienst (CCM_STS) nicht für Microsoft Entra Authentifizierung mit Configuration Manager Standortsystemen verwenden.

Clientinstallation

In diesem Workflowbeispiel haben Sie den Configuration Manager-Client auf einem Windows-Gerät über das Internet mit den folgenden ccmsetup-Befehlszeileneigenschaften installiert:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

1. Microsoft Entra Informationsanforderung von ccmsetup

Clients, die über das Internet installiert werden, benötigen bestimmte Befehlszeileneigenschaften, um Microsoft Entra Authentifizierung verwenden zu können. Sie können diese Eigenschaften in die Befehlszeile für internet ccmsetup einschließen, aber sie sind nicht erforderlich. Wenn Sie keine Microsoft Entra Eigenschaften verwenden, fordert ccmsetup die AADCLIENTAPPID Eigenschaften und AADRESOURCEURI vom Cloudverwaltungsgateway (CMG) an. Als Referenz wird die Microsoft Entra TenantID des Geräts verwendet. Wenn Sie die Mandanten-ID des Clients nicht in Configuration Manager integriert haben, gibt das CMG ccmsetup nicht die erforderlichen Eigenschaften, um die Clientinstallation fortzusetzen.

Die folgenden Einträge werden in ccmsetup.log des Clients protokolliert:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Wichtig

Während ccmsetup muss das Gerät das CMG-Serverauthentifizierungszertifikat überprüfen. Das Zertifikat der Stammzertifizierungsstelle (Ca) für das CMG-Serverauthentifizierungszertifikat muss auf dem Client für die Kettenüberprüfung verfügbar sein. Wenn Sie die PKI verwenden und die Stammzertifizierungsstelle nicht im Internet veröffentlicht wird, fügen Sie das Zertifikat der Stammzertifizierungsstelle dem Stammzertifizierungsstellenspeicher des Geräts hinzu.

Wenn die Zertifikatsperrliste der Stammzertifizierungsstelle nicht im Internet veröffentlicht wird, fügen Sie den /nocrlcheck Parameter in der Ccmsetup-Befehlszeile hinzu.

2. Microsoft Entra Tokenanforderung

Auf einem in die Domäne eingebundenen Windows Azure AD-Gerät verwendet ccmsetup die Microsoft Entra Eigenschaften, um ein Microsoft Entra Token anzufordern, das den ADALOperation-Anbieter aufruft. Die folgenden Einträge werden auf dem Client in ccmsetup.log protokolliert:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Wenn die Gerätetokenanforderung fehlschlägt, greift ccmsetup zurück, um zu versuchen, ein Microsoft Entra Benutzertoken anzufordern. Wenn das Gerät weder ein Microsoft Entra Gerät noch ein Benutzertoken abrufen kann, wird ccmsetup nicht fortgesetzt.

Hinweis

Wenn das Gerät über ein gültiges PKI-Clientauthentifizierungszertifikat verfügt, bevorzugt ccmsetup immer das Zertifikat. In diesem Fall wird der Client als PKI-Client installiert und verwendet keine Microsoft Entra-Authentifizierung.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Configuration Manager Clienttokenanforderung

Der Client verwendet das Microsoft Entra-Token, um das Configuration Manager-Clienttoken (CCM) anzufordern. Die operative Kommunikation zwischen ccmsetup und dem Standort verwendet das CCM-Token als Autorisierungstoken (CcmTokenAuth=1).

3.1 Client sendet CCM-Tokenanforderung an CMG

Die folgenden Einträge werden auf dem Client in ccmsetup.log protokolliert:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 CMG leitet an den CMG-Verbindungspunkt weiter

Die folgenden Einträge werden in CMGService.log auf der CMG-VM instance protokolliert.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

Tipp

Configuration Manager synchronisiert cmGService.log alle fünf Minuten als mit CMG-<CMGname>-ProxyService_IN_<%>-CMGService.logdem Ordner "Protokolle" des Standortservers.

3.3 CMG-Verbindungspunkt transformiert CMG-Clientanforderung in Verwaltungspunktclientanforderung

Die folgenden Einträge werden in SMS_CLOUD_PROXYCONNECTOR.log (ausführlicher Modus) des Standortsystems protokolliert, das die CMG-Verbindungspunktrolle hostet:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 Der Verwaltungspunkt überprüft das Benutzertoken in der Standortdatenbank

Die folgenden Einträge werden in CCM_STS.log des Standortsystems protokolliert, das den Verwaltungspunkt hostet, der die Clientanforderung verarbeitet:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. Anforderung des Inhaltsspeicherorts

Sobald der Client das CCM-Token abruft, wird es zwischengespeichert und verwendet, um Standortinformationen und den Inhaltsspeicherort von ccmsetup.cab anzufordern. Sobald das Gerät den Clientinhalt herunterlädt, wird die Installation gestartet. Die folgenden Einträge werden auf dem Client in ccmsetup.log protokolliert:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Hinweis

Wenn der Client den Inhalt aus einem inhaltsfähigen CMG findet, lädt ccmsetup den Inhalt aus dem Cloudspeicher herunter. Wenn die neueste Clientversion nicht in der Cloud verfügbar ist, lädt sie den Inhalt über eine CMG-Anforderung vom Verwaltungspunkt herunter.

Client-Registrierung

1. Registrierung Configuration Manager Clientanforderung

Nachdem ccmsetup den Configuration Manager-Client erfolgreich installiert hat, wird die Registrierung initialisiert. Die folgenden Einträge werden in ClientIDManagerStartup.log des Clients protokolliert:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. Configuration Manager fordert Microsoft Entra Token an, um den Client zu registrieren.

Der Client fordert ein neues Microsoft Entra-Token an, um sich mit Microsoft Entra-Authentifizierung zu registrieren. Es bevorzugt ein Gerätetoken, aber wenn es nicht verfügbar ist, greift der Client zurück, um ein Microsoft Entra Benutzertoken anzufordern. Die folgenden Einträge werden in ADALOperationProvider.log des Clients protokolliert:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Registrierungsanforderung

Die Registrierungskomponente auf dem Verwaltungspunkt übernimmt den Clientregistrierungsprozess. Der Client sendet eine Registrierungsnachricht an den MP_ClientRegistration-Endpunkt .

3.1 CMG leitet die Clientregistrierungsanforderung an den Verwaltungspunkt weiter.

Die folgenden Einträge werden im MP_RegistrationManager.log des Standortsystems protokolliert, das den Verwaltungspunkt hostet, der die Clientanforderung verarbeitet:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager Client registriert ist

Wenn die Registrierung erfolgreich ist, erhält der Client eine Bestätigungsmeldung der Registrierung mit Genehmigung 3 für Microsoft Entra ID-basierte Registrierung. Die folgenden Einträge werden in ClientIDManagerStartup.log des Clients protokolliert:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. Configuration Manager Clienttokenanforderung

Sobald der Server die Clientregistrierung bestätigt hat, verarbeitet der Client die Antwortnachricht. Der Client fordert dann ein neues CCM-Token an und speichert es zwischen. Die folgenden Einträge werden in ClientIDManagerStartup.log des Clients protokolliert:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG ruft CCM_Token Anforderung ab und leitet sie an den CMG-Verbindungspunkt weiter.

Die folgenden Einträge werden in CMGService.log der CMG-VM und des Standortsystems protokolliert, das die CMG-Verbindungspunktrolle hostet:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 CMG-Verbindungspunkt transformiert CMG-Clientanforderung in Verwaltungspunkt-Clientanforderung

Die folgenden Einträge werden in SMS_CLOUD_PROXYCONNECTOR.log des Standortsystems protokolliert, das die CMG-Verbindungspunktrolle hostet:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 Der Verwaltungspunkt überprüft das Benutzertoken in der Standortdatenbank

Die folgenden Einträge werden in CCM_STS.log des Standortsystems protokolliert, das den Verwaltungspunkt hostet, der die Clientanforderung verarbeitet:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

Der Server gibt das CCM-Token für den Rest der Client-zu-Standort-Kommunikation an den Client zurück.

Hinweis

Während der Clientregistrierung wird die Zertifikatüberprüfung immer ausgeführt. Dieser Prozess tritt auch dann auf, wenn Sie die Microsoft Entra Authentifizierungsmethode verwenden, um den Client zu registrieren. Dieses Verhalten ist eine Fallbackoption, falls Microsoft Entra Authentifizierung nicht erfolgreich ist.

CCM-Tokenerneuerung

Das CCM-Token hat eine Lebensdauer von acht Stunden. Wenn der Client erkennt, dass das CCM-Token abgelaufen ist oder kurz vor dem Ablauf steht, sendet er eine neue CCM-Tokenanforderung. Die CcmMessaging-Komponente übernimmt diesen Erneuerungsprozess. Die folgenden Einträge werden in CcmMessaging.log des Clients protokolliert:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Häufig auftretende Probleme

• Stammzertifizierungsstelle nicht vorhanden: Clients benötigen das Zertifikat der Stammzertifizierungsstelle, um das CMG-Serverauthentifizierungszertifikat zu überprüfen.

• CRL-Überprüfung ist aktiviert: Veröffentlichen Sie die Zertifikatsperrliste im Internet. Alternativ können Sie den /NoCRLCheck Parameter für ccmsetup verwenden. Sie können auch die folgende Option deaktivieren: Clients überprüfen die Zertifikatsperrliste (Certificate Revocation List, CRL) für Standortsysteme. Suchen Sie diese Einstellung auf der Registerkarte Kommunikationssicherheit der Websiteeigenschaften.

• Das WPJ-Zertifikat wurde nicht gefunden: Stellen Sie sicher, dass das Gerät Microsoft Entra eingebunden ist. Verwenden Sie dsregcmd.exe. Sehen Sie sich beispielsweise dsregcmd /status den Abschnitt Gerätestatus an.

Tipp

Die Clientkommunikation über CMG, CMG-Verbindungspunkt und Verwaltungspunkt wird über HTTPS ausgeführt. Wenn Sie den Standort für erweitertes HTTP konfigurieren, können Sie den Verwaltungspunkt weiterhin für HTTP konfigurieren.

• Der Client überprüft das CMG-Serverauthentifizierungszertifikat:

  • PKI-Zertifikat: Der Client erfordert die Stammzertifizierungsstelle des CMG-Zertifikats im lokalen Speicher.
  • Drittanbieterzertifikat: Clients überprüfen automatisch ein Zertifikat mit der Stammzertifizierungsstelle, die im Internet veröffentlicht wurde.

• CMG, CMG-Verbindungspunkt und Verwaltungspunkt überprüfen Microsoft Entra ID und CCM-Token.

• Die Kommunikation zwischen DEM CMG-Verbindungspunkt und dem Verwaltungspunkt ist ebenfalls an beiden Enden gesichert:

  • Der CMG-Verbindungspunkt verwendet das Clientauthentifizierungszertifikat.
  • MP verwendet ein PKI-Zertifikat für die HTTPS-Konfiguration oder ein selbstsigniertes Zertifikat für erweitertes HTTP.