Tokenbasierte Authentifizierung für Cloudverwaltungsgateway

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Das Cloudverwaltungsgateway (CLOUD Management Gateway, CMG) unterstützt viele Arten von Clients, aber auch mit erweitertem HTTP erfordern diese Clients ein Clientauthentifizierungszertifikat. Diese Zertifikatanforderung kann schwierig sein, auf internetbasierten Clients bereitzustellen, die nicht häufig eine Verbindung mit dem internen Netzwerk herstellen, Microsoft Entra ID nicht verknüpfen können und keine Methode zum Installieren eines von der PKI ausgestellten Zertifikats haben.

Um diese Herausforderungen zu meistern, erweitert Configuration Manager seine Geräteunterstützung, indem eigene Authentifizierungstoken für Geräte ausgegeben werden. Um dieses Feature in vollem Umfang nutzen zu können, aktualisieren Sie nach dem Aktualisieren des Standorts auch Clients auf die neueste Version. Das vollständige Szenario ist erst funktionsfähig, wenn die Clientversion ebenfalls die neueste ist. Stellen Sie bei Bedarf sicher, dass Sie die neue Clientversion in die Produktion hochstufen.

Clients registrieren sich zunächst mit einer der folgenden beiden Methoden für diese Token:

  • Internes Netzwerk

  • Massenregistrierung

Der Configuration Manager Client und der Verwaltungspunkt verwalten dieses Token, sodass keine Abhängigkeit der Betriebssystemversion besteht. Dieses Feature ist für jede unterstützte Clientbetriebssystemversion verfügbar.

Hinweis

Diese Methoden unterstützen nur geräteorientierte Verwaltungsszenarien.

Microsoft empfiehlt, Geräte mit Microsoft Entra-ID zu verknüpfen. Internetbasierte Geräte können Microsoft Entra-ID verwenden, um sich bei Configuration Manager zu authentifizieren. Es ermöglicht auch Geräte- und Benutzerszenarien, unabhängig davon, ob das Gerät im Internet oder mit dem internen Netzwerk verbunden ist. Weitere Informationen finden Sie unter Installieren und Registrieren des Clients mithilfe Microsoft Entra Identität.

Stellen Sie sicher, dass Clients die Verwendung eines Cloudverwaltungsgateways in der Gruppe Clouddienste der Clienteinstellungen aktivieren. Selbst mit einem Standorttoken können Clients nicht mit einem CMG kommunizieren, wenn die Clienteinstellungen dies nicht zulassen. Weitere Informationen finden Sie unter Informationen zu Clienteinstellungen: Clouddienste.

Interne Netzwerkregistrierung

Diese Methode erfordert, dass sich der Client zuerst beim Verwaltungspunkt im internen Netzwerk registriert. Die Clientregistrierung erfolgt in der Regel direkt nach der Installation. Der Verwaltungspunkt gibt dem Client ein eindeutiges Token, das zeigt, dass er ein selbstsigniertes Zertifikat verwendet. Wenn der Client über das Internet roamingt, koppelt er sein selbstsigniertes Zertifikat mit dem vom Verwaltungspunkt ausgestellten Token, um mit dem CMG zu kommunizieren.

Die Website aktiviert dieses Verhalten standardmäßig.

Hinweis

Bei einem HTTPS-Verwaltungspunkt muss sich der Client zunächst unabhängig vom Internet-/Intranet-Verwaltungspunkt registrieren. Der Client muss ein gültiges von der PKI ausgestelltes Zertifikat, ein Microsoft Entra token oder ein Massenregistrierungstoken vorlegen.

Massenregistrierungstoken

Wenn Sie Clients im internen Netzwerk nicht installieren und registrieren können, erstellen Sie ein Massenregistrierungstoken. Verwenden Sie dieses Token, wenn der Client auf einem internetbasierten Gerät installiert und über das CMG registriert wird. Das Massenregistrierungstoken hat eine kurze Gültigkeitsdauer und wird nicht auf dem Client oder der Website gespeichert. Es ermöglicht dem Client, ein eindeutiges Token zu generieren, das mit seinem selbstsignierten Zertifikat gekoppelt ist und die Authentifizierung mit dem CMG ermöglicht.

Hinweis

Verwechseln Sie Massenregistrierungstoken nicht mit token, die Probleme für einzelne Clients Configuration Manager. Das Massenregistrierungstoken ermöglicht es dem Client, zunächst den Standort zu installieren und mit diesem zu kommunizieren. Diese anfängliche Kommunikation ist so lang, dass der Standort dem Client ein eigenes, eindeutiges Clientauthentifizierungstoken ausgibt. Der Client verwendet dann sein Authentifizierungstoken für die gesamte Kommunikation mit dem Standort, während er sich im Internet befindet. Über die anfängliche Registrierung hinaus verwendet oder speichert der Client das Massenregistrierungstoken nicht.

Führen Sie die folgenden Aktionen aus, um ein Massenregistrierungstoken für die Clientinstallation auf internetbasierten Geräten zu erstellen:

  1. Melden Sie sich beim Standortserver der obersten Ebene in der Hierarchie mit lokalen Administratorrechten an.

  2. Öffnen Sie eine Eingabeaufforderung als Administrator.

  3. Führen Sie das Tool im \bin\X64 Ordner des installationsverzeichnisses Configuration Manager auf dem Standortserver aus: BulkRegistrationTokenTool.exe. Erstellen Sie ein neues Token mit dem /new Parameter. Beispiel: BulkRegistrationTokenTool.exe /new. Weitere Informationen finden Sie unter Verwendung von Massenregistrierungstoken.

  4. Kopieren Sie das Token, und speichern Sie es an einem sicheren Speicherort.

  5. Installieren Sie den Configuration Manager-Client auf einem internetbasierten Gerät. Schließen Sie den Clientinstallationsparameter ein: /regtoken. Die folgende Beispielbefehlszeile enthält die anderen erforderlichen Setupparameter und -eigenschaften:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Tipp

    Weitere Informationen zu dieser Befehlszeile finden Sie unter Installieren und Registrieren des Clients mithilfe Microsoft Entra Identität. Dieser Prozess ist ähnlich, verwendet nur nicht die Microsoft Entra Eigenschaften.

Überprüfen Sie zur Überprüfung die folgende Protokolldatei auf einen ähnlichen Eintrag:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Informationen zur Problembehandlung bei der Installation finden Sie %WinDir%\ccmsetup\logs\ccmsetup.log auf dem Client. Überprüfen Sie %WinDir%\ccm\logs\ClientIDManagerStartup.lognach der Installation .

Überprüfen Sie auf dem Server die folgenden Protokolle:

  • CMG-Protokolle
  • Verwaltungspunkt
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Verwendung von Massenregistrierungstoken

Das BulkRegistrationTokenTool.exe Tool befindet sich im \bin\X64 Ordner des installationsverzeichnisses Configuration Manager auf dem Standortserver. Melden Sie sich beim Standortserver an, und führen Sie ihn als Administrator aus. Sie unterstützt die folgenden Befehlszeilenparameter:

  • /?
  • /new
  • /lifetime

/?

Zeigen Sie diese Nutzungsinformationen an.

Beispiel: BulkRegistrationTokenTool.exe /?

/new

Erstellen Sie ein neues Massenregistrierungstoken.

Beispiel: BulkRegistrationTokenTool.exe /new

Das Tool zeigt die folgenden Informationen an:

  • Eine GUID, die von der Website zum Nachverfolgen ausgestellter Token verwendet wird
  • Der Gültigkeitszeitraum des Tokens, der standardmäßig drei Tage beträgt.
  • Das Massenregistrierungstoken.

Das Token wird nicht auf dem Client oder am Standort gespeichert. Stellen Sie sicher, dass Sie das Token an der Eingabeaufforderung kopieren und an einem sicheren Speicherort speichern.

/lifetime

Verwenden Sie mit /new dem -Parameter, um den Gültigkeitszeitraum des Tokens anzugeben. Geben Sie einen ganzzahligen Wert in Minuten an. Der Standardwert ist 4.320 (drei Tage). Der Höchstwert beträgt 10.080 (sieben Tage).

Beispiel: BulkRegistrationTokenTool.exe /lifetime 4320

Verwaltung von Massenregistrierungstoken

Sie können zuvor erstellte Massenregistrierungstoken und deren Lebensdauer in der Configuration Manager-Konsole anzeigen und deren Verwendung bei Bedarf blockieren. Die Standortdatenbank speichert jedoch keine Massenregistrierungstoken.

Überprüfen eines Massenregistrierungstokens

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung.

  2. Erweitern Sie Sicherheit, und wählen Sie den Knoten Zertifikate aus. Die Konsole listet alle websitebezogenen Zertifikate und Massenregistrierungstoken im Detailbereich auf.

  3. Wählen Sie das zu überprüfende Massenregistrierungstoken aus.

Sie können nach der Spalte Typ filtern oder sortieren. Identifizieren Sie bestimmte Massenregistrierungstoken basierend auf ihrer GUID. Wenn Sie ein Massenregistrierungstoken erstellen, zeigt das Tool die GUID an.

Blockieren eines Massenregistrierungstokens

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung.

  2. Erweitern Sie Sicherheit, wählen Sie den Knoten Zertifikate aus, und wählen Sie das zu blockierende Massenregistrierungstoken aus.

  3. Wählen Sie auf der Registerkarte Start der Menübandleiste oder im Kontextmenü mit der rechten Maustaste die Option Blockieren aus. Um die Blockierung zuvor blockierter Massenregistrierungstoken aufzuheben, wählen Sie die Aktion Blockierung aufheben aus.

Tokenerneuerung

Der Client erneuert sein eindeutiges, Configuration Manager ausgestelltes Token einmal im Monat und ist 90 Tage lang gültig. Ein Client muss keine Verbindung mit dem internen Netzwerk herstellen, um sein Token zu erneuern. Solange das Token noch gültig ist, ist die Verbindung mit der Website über ein CMG ausreichend. Wenn das Token nicht innerhalb von 90 Tagen erneuert wird, muss der Client eine direkte Verbindung mit einem Verwaltungspunkt in einem internen Netzwerk herstellen, um ein neues Token zu erhalten.

Sie können ein Massenregistrierungstoken nicht verlängern. Sobald ein Massenregistrierungstoken abläuft, generieren Sie mithilfe eines CMG ein neues Token für die internetbasierte Geräteregistrierung.

Siehe auch