Tokenbasierte Authentifizierung für Cloud Management GatewayToken-based authentication for cloud management gateway

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Cloud Management Gateway (CMG) unterstützt zwar viele Clienttypen, aber auch mit Erweitertem HTTP erfordern diese Clients ein Clientauthentifizierungszertifikat.The cloud management gateway (CMG) supports many types of clients, but even with Enhanced HTTP, these clients require a client authentication certificate. Diese Zertifikatanforderung kann beim Bereitstellen auf internetbasierten Clients Probleme bereiten, die nicht häufig eine Verbindung mit dem internen Netzwerk herstellen, mit Azure Active Directory (Azure AD) verknüpft werden können und über keine Methode zum Installieren eines von der PKI ausgestellten Zertifikats verfügen.This certificate requirement can be challenging to provision on internet-based clients that don't often connect to the internal network, aren't able to join Azure Active Directory (Azure AD), and don't have a method to install a PKI-issued certificate.

Zur Bewältigung dieser Anforderungen erweitert Configuration Manager ab Version 2002 seine Geräteunterstützung, indem eigene Authentifizierungstoken für Geräte ausgestellt werden.To overcome these challenges, starting in version 2002, Configuration Manager extends its device support by issuing its own authentication tokens to devices. Wenn Sie dieses Feature nach der Aktualisierung des Standorts voll nutzen möchten, müssen Sie auch Clients auf die neueste Version aktualisieren.To take full advantage of this feature, after you update the site, also update clients to the latest version. Das gesamte Szenario funktioniert erst, wenn auch die Clientversion aktuell ist.The complete scenario isn't functional until the client version is also the latest. Stellen Sie ggf. sicher, dass Sie die neue Clientversion zur Produktion heraufstufen.If necessary, make sure you promote the new client version to production.

Clients registrieren sich für diese Token anfänglich mit einer der beiden folgenden Methoden:Clients initially register for these tokens using one of the following two methods:

  • Internes NetzwerkInternal network

  • MassenregistrierungBulk registration

Der Configuration Manager-Client verwaltet dieses Token zusammen mit dem Verwaltungspunkt, daher besteht keine Abhängigkeit von der Betriebssystemversion.The Configuration Manager client together with the management point manage this token, so there's no OS version dependency. Dieses Feature ist für alle unterstützten Versionen von Clientbetriebssystemen verfügbar.This feature is available for any supported client OS version.

Hinweis

Diese Methoden unterstützen nur geräteorientierte Verwaltungsszenarios.These methods only support device-centric management scenarios.

Microsoft empfiehlt, Geräte zu Azure AD hinzuzufügen.Microsoft recommends joining devices to Azure AD. Internetbasierte Geräte können Azure AD verwenden, um sich mit Configuration Manager zu authentifizieren.Internet-based devices can use Azure AD to authenticate with Configuration Manager. Außerdem werden sowohl Geräte- als auch Benutzerszenarios ermöglicht, unabhängig davon, ob das Gerät mit dem Internet oder dem internen Netzwerk verbunden ist.It also enables both device and user scenarios whether the device is on the internet or connected to the internal network. Weitere Informationen finden Sie unter Installieren und Registrieren des Clients mithilfe einer Azure AD-Identität.For more information, see Install and register the client using Azure AD identity.

Stellen Sie sicher, dass in den Clienteinstellungen für die Gruppe Clouddienste die Option Ermöglichen Sie Clients die Verwendung eines Cloudverwaltungsgateways aktiviert ist.Make sure to Enable clients to use a cloud management gateway in the Cloud services group of client settings. Selbst wenn Clients über ein Standorttoken verfügen, können sie nur mit einem Cloudverwaltungsgateway kommunizieren, wenn die Clienteinstellungen dies zulassen.Even with a site token, clients can't communicate with a CMG if client settings don't allow it. Weitere Informationen finden Sie unter Informationen zu Clienteinstellungen: Clouddienste.For more information, see About client settings: Cloud services.

Interne NetzwerkregistrierungInternal network registration

Diese Methode erfordert, dass der Client zuerst beim Verwaltungspunkt im internen Netzwerk registriert wird.This method requires the client to first register with the management point on the internal network. Die Clientregistrierung erfolgt in der Regel direkt nach der Installation.Client registration typically happens right after installation. Der Verwaltungspunkt gibt dem Client ein eindeutiges Token, das anzeigt, dass es ein selbst signiertes Zertifikat verwendet.The management point gives the client a unique token that shows it's using a self-signed certificate. Wenn der Client mit dem Internet verbunden ist, wird für die Kommunikation mit dem CMG das selbst signierte Zertifikat mit dem vom Verwaltungspunkt ausgestellten Token verknüpft.When the client roams onto the internet, to communicate with the CMG it pairs its self-signed certificate with the management point-issued token.

Dieses Verhalten wird von der Website standardmäßig aktiviert.The site enables this behavior by default.

Hinweis

Bei einem HTTPS-Verwaltungspunkt muss sich der Client unabhängig vom Internet/Intranet-Verwaltungspunkt zuerst registrieren.With an HTTPS management point, the client needs to first register regardless of internet/intranet management point. Der Client muss ein gültiges, von der PKI ausgestelltes Zertifikat, ein Azure AD-Token oder ein Massenregistrierungstoken vorlegen.The client needs to present a valid PKI-issued certificate, an Azure AD token, or a bulk registration token.

MassenregistrierungstokenBulk registration token

Wenn Sie Clients im internen Netzwerk nicht installieren und registrieren können, erstellen Sie jetzt ein Token für die Massenregistrierung.If you can't install and register clients on the internal network, create a bulk registration token. Verwenden Sie dieses Token, wenn der Client auf einem internetbasierten Gerät installiert und über das CMG registriert wird.Use this token when the client installs on an internet-based device, and registers through the CMG. Das Token für die Massenregistrierung hat eine kurze Gültigkeitsdauer und ist nicht auf dem Client oder der Website gespeichert.The bulk registration token has a short-validity period, and isn't stored on the client or the site. Es ermöglicht es dem Client, ein eindeutiges Token zu generieren, das mit dem selbst signierten Zertifikat gekoppelt ist, damit es sich beim CMG authentifizieren kann.It allows the client to generate a unique token, which paired with its self-signed certificate, lets it authenticate with the CMG.

Hinweis

Verwechseln Sie Massenregistrierungstoken nicht mit Token, die Configuration Manager einzelnen Clients ausstellt.Don't confuse bulk registration tokens with those that Configuration Manager issues to individual clients. Das Massenregistrierungstoken ermöglicht dem Client anfänglich die Installation und Kommunikation mit der Website.The bulk registration token enables the client to initially install and communicate with the site. Diese anfängliche Kommunikation ist lang genug, damit die Website dem Client ein eigenes, eindeutiges Clientauthentifizierungstoken ausstellen kann.This initial communication is long enough for the site to issue the client its own, unique client authentication token. Der Client verwendet dann sein Authentifizierungstoken für die gesamte Kommunikation mit der Website, während er mit dem Internet verbunden ist.The client then uses its authentication token for all communication with the site while it's on the internet. Über die anfängliche Registrierung hinaus verwendet oder speichert der Client das Massenregistrierungstoken nicht.Beyond the initial registration, the client doesn't use or store the bulk registration token.

Um ein Massenregistrierungstoken zur Verwendung während der Clientinstallation auf internetbasierten Geräten zu erstellen, führen Sie die folgenden Schritte aus:To create a bulk registration token for use during client installation on internet-based devices, complete the following actions:

  1. Melden Sie sich am Standortserver der obersten Ebene in der Hierarchie mit lokalen Administratorrechten an.Sign in to the top-level site server in the hierarchy with local administrator privileges.

  2. Öffnen Sie eine Eingabeaufforderung als Administrator.Open a command prompt as an administrator.

  3. Führen Sie das Tool aus dem Ordner \bin\X64 des Configuration Manager-Installationsverzeichnisses auf dem Standortserver aus: BulkRegistrationTokenTool.exe.Run the tool from the \bin\X64 folder of the Configuration Manager installation directory on the site server: BulkRegistrationTokenTool.exe. Erstellen Sie ein neues Token mit dem Parameter /new.Create a new token with the /new parameter. Beispiel: BulkRegistrationTokenTool.exe /new.For example, BulkRegistrationTokenTool.exe /new. Weitere Informationen finden Sie unter Nutzung des Massenregistrierungstokens.For more information, see Bulk registration token tool usage.

  4. Kopieren Sie das Token, und speichern Sie es an einem sicheren Ort.Copy the token and save it in a secure location.

  5. Installieren Sie den Konfigurations-Manager-Client auf einem internetbasierten Gerät.Install the Configuration Manager client on an internet-based device. Fügen Sie den Clientinstallationsparameter /regtoken ein.Include the client installation parameter: /regtoken. Die folgende Beispielbefehlszeile enthält die anderen erforderlichen Setupparameter und -eigenschaften:The following example command line includes the other required setup parameters and properties:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Tipp

    Weitere Informationen zu dieser Befehlszeile finden Sie unter Installieren und Registrieren des Clients mithilfe einer Azure AD-Identität.For more information on this command line, see Install and register the client using Azure AD identity. Dieser Prozess ist ähnlich, und es werden nur die Azure AD-Eigenschaften nicht verwendet.This process is similar, just doesn't use the Azure AD properties.

Überprüfen Sie die folgende Protokolldatei auf einen ähnlichen Eintrag, um dies zu überprüfen:To verify, review the following log file for a similar entry:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Überprüfen Sie auf dem Client %WinDir%\ccmsetup\logs\ccmsetup.log, um Installationsprobleme zu beheben.To troubleshoot installation, review %WinDir%\ccmsetup\logs\ccmsetup.log on the client. Überprüfen Sie nach der Installation %WinDir%\ccm\logs\ClientIDManagerStartup.log.After installation, review %WinDir%\ccm\logs\ClientIDManagerStartup.log.

Überprüfen Sie auf dem Server die folgenden Protokolle:On the server, review the following logs:

  • CMG-ProtokolleCMG logs
  • VerwaltungspunktManagement point
    • CCM_STS.logCCM_STS.log
    • MP_RegistrationManager.logMP_RegistrationManager.log
    • ClientAuth.logClientAuth.log

Bekannte ProblemeKnown issues

Gilt für Version 2002Applies to version 2002

Sie können kein Massenregistrierungstoken an einem Standort erstellen, der über einen Standortserver im passiven Modus verfügt.You can't create a bulk registration token on a site that has a site server in passive mode.

Nutzung des MassenregistrierungstokensBulk registration token tool usage

Das Tool BulkRegistrationTokenTool.exe befindet sich im Ordner \bin\X64 des Configuration Manager-Installationsverzeichnisses auf dem Standortserver.The BulkRegistrationTokenTool.exe tool is in the \bin\X64 folder of the Configuration Manager installation directory on the site server. Melden Sie sich beim Standortserver an, und führen Sie es als Administrator aus.Sign in to the site server, and run it as an administrator. Es unterstützt die folgenden Befehlszeilenparameter:It supports the following command-line parameters:

  • /?
  • /new
  • /lifetime

/?/?

Diese Informationen zur Verwendung anzeigen.Display this usage information.

Beispiel: BulkRegistrationTokenTool.exe /?Example: BulkRegistrationTokenTool.exe /?

/new/new

Erstellen eines neuen Massenregistrierungstokens.Create a new bulk registration token.

Beispiel: BulkRegistrationTokenTool.exe /newExample: BulkRegistrationTokenTool.exe /new

In dem Tool werden die folgenden Informationen angezeigt:The tool displays the following information:

  • eine GUID, die die Website zum Nachverfolgen von ausgestellten Tokens verwendetA GUID that the site uses to track issued tokens
  • Der Gültigkeitszeitraum des Tokens, der standardmäßig drei Tage beträgt.The token validity period, which is three days by default.
  • Das Massenregistrierungstoken.The bulk registration token.

Das Token wird nicht auf dem Client oder am Standort gespeichert.The token isn't stored on the client or the site. Kopieren Sie das Token unbedingt von der Eingabeaufforderung, und speichern Sie es an einem sicheren Speicherort.Make sure to copy the token from the command prompt, and store in a secure location.

/lifetime/lifetime

Verwenden Sie dies mit dem /new-Parameter, um den Gültigkeitszeitraum des Tokens anzugeben.Use with /new parameter to specify the token validity period of the token. Geben Sie einen ganzzahligen Wert in Minuten ein.Specify an integer value in minutes. Der Standardwert beträgt 4.320 (drei Tage).The default value is 4,320 (three days). Der Höchstwert liegt bei 10.080 (7 Tage).The maximum value is 10,080 (seven days).

Beispiel: BulkRegistrationTokenTool.exe /lifetime 4320Example: BulkRegistrationTokenTool.exe /lifetime 4320

Verwaltung des MassenregistrierungstokensBulk registration token management

Sie können zuvor erstellte Massenregistrierungstoken und deren Lebensdauer in der Configuration Manager-Konsole anzeigen und ihre Verwendung bei Bedarf blockieren.You can see previously created bulk registration tokens and their lifetimes in the Configuration Manager console and block their usage if necessary. In der Standortdatenbank werden Massenregistrierungstoken jedoch nicht gespeichert.The site database doesn't, however, store bulk registration tokens.

Überprüfen eines MassenregistrierungstokensReview a bulk registration token

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung.In the Configuration Manager console, go to the Administration workspace.

  2. Erweitern Sie Sicherheit, und klicken Sie auf den Knoten Zertifikate.Expand Security, and select the Certificates node. In der-Konsole werden alle standortbezogenen Zertifikate und Massenregistrierungstoken im Detailbereich aufgelistet.The console lists all site-related certificates and bulk registration tokens in the details pane.

  3. Wählen Sie das zu überprüfende Massenregistrierungstoken aus.Select the bulk registration token to review.

Sie können bei nach der Spalte Typ filtern oder sortieren.You can filter or sort on the Type column. Identifizieren Sie bestimmte Massenregistrierungstoken basierend auf ihrer GUID.Identify specific bulk registration tokens based on their GUID. Wenn Sie ein Massenregistrierungstoken erstellen, zeigt das Tool die GUID an.When you create a bulk registration token, the tool displays the GUID.

Blockieren eines MassenregistrierungstokensBlock a bulk registration token

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung.In the Configuration Manager console, go to the Administration workspace.

  2. Erweitern Sie Sicherheit, klicken Sie auf den Knoten Zertifikate, und wählen Sie das zu blockierende Massenregistrierungstoken aus.Expand Security, select the Certificates node, and select the bulk registration token to block.

  3. Wählen Sie auf der Registerkarte Start des Menübands oder im Kontextmenü die Option Blockieren aus.On the Home tab of the ribbon bar or the right-click context menu, select Block. Wenn Sie die Blockierung von zuvor blockierten Massenregistrierungstoken aufheben möchten, klicken Sie auf die Aktion Blockierung aufheben.To unblock previously blocked bulk registration tokens, select the Unblock action.

TokenverlängerungToken renewal

Der Client verlängert sein eindeutiges, von Configuration Manager ausgestelltes Token einmal im Monat. Es ist 90 Tage gültig.The client renews its unique, Configuration Manager-issued token once a month, and it's valid for 90 days. Ein Client muss sich nicht mit dem internen Netzwerk verbinden, um sein Token zu verlängern.A client doesn't need to connect to the internal network to renew its token. Solange das Token gültig ist, reicht es aus, sich über ein CMG mit der Website zu verbinden.As long as the token is still valid, connecting to the site using a CMG is sufficient. Wenn das Token nicht binnen 90 Tagen verlängert wird, muss sich der Client direkt mit einem Verwaltungspunkt in einem internen Netzwerk verbinden, um ein neues Token zu erhalten.If the token isn't renewed within 90 days, the client must directly connect to a management point on an internal network to receive a new token.

Ein Massenregistrierungstoken kann nicht verlängert werden.You can't renew a bulk registration token. Sobald ein Token für die Massenregistrierung abläuft, generieren Sie mithilfe eines CMG ein neues Token zur Registrierung internetbasierter Geräte.Once a bulk registration token expires, generate a new one for internet-based device registration using a CMG.

Weitere Informationen:See also