Sicherheit und Datenschutz für Cloud Management GatewaySecurity and privacy for the cloud management gateway

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Dieser Artikel enthält Sicherheits- und Datenschutzinformationen für Configuration Manager Cloud Management Gateway (CMG).This article includes security and privacy information for the Configuration Manager cloud management gateway (CMG). Weitere Informationen finden Sie unter Übersicht über Cloud Management Gateway.For more information, see Overview of cloud management gateway.

Sicherheitsdetails zu CMGCMG security details

CMG akzeptiert und verwaltet Verbindungen von CMG-Verbindungspunkten.The CMG accepts and manages connections from CMG connection points. Es verwendet gegenseitige Authentifizierung mithilfe von Zertifikaten und Verbindungs-IDs.It uses mutual authentication using certificates and connection IDs.

CMG akzeptiert Clientanforderungen und leitet diese weiter. Dies geschieht mithilfe der folgenden Methoden:The CMG accepts and forwards client requests using the following methods:

  • Vorabauthentifizierung von Verbindungen über gegenseitiges HTTPS mithilfe des PKI-basierten Clientauthentifizierungszertifikats oder Azure ADPre-authenticates connections using mutual HTTPS with the PKI-based client authentication certificate or Azure AD.

    • Überprüfung des Zertifikatpfads auf Grundlage der vertrauenswürdigen Zertifikate der Stammzertifizierungsstelle, die in CMG hochgeladen wurden, mithilfe von Internetinformationsdiensten auf den CMG-VM-InstanzenIIS on the CMG VM instances verifies the certificate path based on the trusted root certificates that you upload to the CMG.

    • Wenn Sie die Zertifikatsperrung aktivieren, überprüft IIS auf der VM-Instanz auch die Sperrung von Clientzertifikaten.If you enable certificate revocation, IIS on the VM instance also verifies client certificate revocation. Weitere Informationen finden Sie unter Veröffentlichen der Zertifikatsperrliste.For more information, see Publish the certificate revocation list.

  • Über die Zertifikatsvertrauensliste wird der Stamm des Clientauthentifizierungszertifikats überprüft.The certificate trust list (CTL) checks the root of the client authentication certificate. Dabei erfolgen die gleichen Überprüfungen wie durch den Verwaltungspunkt für den Client.It also does the same validation as the management point for the client. Weitere Informationen finden Sie unter Prüfen der Einträge in der Zertifikatsvertrauensliste des Standorts.For more information, see Review entries in the site's certificate trust list.

  • Überprüft und filtert Clientanforderungen (URLs), um zu überprüfen, ob alle CMG-Verbindungspunkte die Anforderung erfüllen könnenValidates and filters client requests (URLs) to check if any CMG connection point can service the request.

  • Die Inhaltslänge wird für jeden veröffentlichenden Endpunkt überprüft.Checks content length for each publishing endpoint.

  • Mithilfe eines Roundrobinverfahrens wird für Lastenausgleich zwischen CMG-Verbindungspunkten des gleichen Standorts gesorgt.Uses round-robin behavior to load-balance CMG connection points in the same site.

Der CMG-Verbindungspunkt verwendet die folgenden Methoden:The CMG connection point uses the following methods:

  • Es werden konsistente HTTP/TCP-Verbindungen mit allen VM-Instanzen von CMG erstellt.Builds consistent HTTPS/TCP connections to all VM instances of the CMG. Diese Verbindungen werden minütlich überprüft und verwaltet.It checks and maintains these connections every minute.

  • Es verwendet gegenseitige Authentifizierung für CMG mithilfe von Zertifikaten.Uses mutual authentication with the CMG using certificates.

  • Clientanforderungen werden basierend auf URL-Zuordnungen weitergeleitet.Forwards client requests based on URL mappings.

  • Der Verbindungsstatus wird gemeldet, um den Dienstintegritätsstatus in der Konsole anzuzeigen.Reports connection status to show service health status in the console.

  • Der Datenverkehr auf Endpunkten wird alle fünf Minuten gemeldet.Reports traffic per endpoint every five minutes.

Ab Version 2010 führt Configuration Manager eine Rotation für den Speicherkontoschlüssel für CMG durch.Starting in version 2010, Configuration Manager rotates the storage account key for the CMG. Dieser Prozess wird automatisch alle 180 Tage durchgeführt.This process happens automatically every 180 days.

Clientseitige Configuration Manager-RollenConfiguration Manager client-facing roles

Der Verwaltungspunkt und der Softwareupdatepunkt hosten in IIS Endpunkte, um Clientanforderungen zu bedienen.The management point and software update point host endpoints in IIS to service client requests. CMG macht nicht alle internen Endpunkte verfügbar.The CMG doesn't expose all internal endpoints. Jeder in CMG veröffentlichte Endpunkt verfügt über eine URL-Zuordnung.Every endpoint published to the CMG has a URL mapping.

  • Die externe URL ist die URL, über die der Client mit Cloud Management Gateway kommuniziert.The external URL is the one the client uses to communicate with the CMG.

  • Die interne URL ist der CMG-Verbindungspunkt, der zum Weiterleiten von Anforderungen an den internen Server verwendet wird.The internal URL is the CMG connection point used to forward requests to the internal server.

Beispiel einer URL-ZuordnungURL mapping example

Wenn Sie CMG-Datenverkehr auf einem Verwaltungspunkt aktivieren, erstellt Configuration Manager interne URL-Zuordnungen für jeden Verwaltungspunktserver,When you enable CMG traffic on a management point, Configuration Manager creates an internal set of URL mappings for each management point server. zum Beispiel: ccm_system, ccm_incoming und sms_mp.For example: ccm_system, ccm_incoming, and sms_mp. Die externe URL für den ccm_system-Endpunkt des Verwaltungspunkts könnte beispielsweise folgendermaßen aussehen:The external URL for the management point ccm_system endpoint might look like:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
Die URL ist eindeutig für jede Verwaltungspunkt.The URL is unique for each management point. Der Configuration Manager-Client setzt den Namen des für CMG aktivierten Verwaltungspunkts auf die Liste der Internetverwaltungspunkte.The Configuration Manager client then puts the CMG-enabled management point name into its internet management point list. Dieser Name sieht folgendermaßen aus:This name looks like:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Der Standort lädt automatisch alle veröffentlichten externe URLs in CMG hoch.The site automatically uploads all published external URLs to the CMG. Dieses Verhalten ermöglicht es CMG, URLs zu filtern.This behavior allows the CMG to do URL filtering. Alle URL-Zuordnungen werden zum Verbindungspunkt von CMG repliziert.All URL mappings replicate to the CMG connection point. Anschließend wird die Kommunikation an die internen Server weitergeleitet, entsprechend der externen URL aus der Clientanforderung.It then forwards the communication to internal servers according to the external URL from the client request.

Sicherheitshinweise für CMGSecurity guidance for CMG

Veröffentlichen der ZertifikatsperrungslistePublish the certificate revocation list

Veröffentlichen Sie die Zertifikatsperrliste (Certificate Revocation List, CRL) Ihrer PKI, damit internetbasierte Clients darauf zugreifen können.Publish your PKI's certificate revocation list (CRL) for internet-based clients to access. Wenn Sie CMG mithilfe einer PKI bereitstellen, konfigurieren Sie den Dienst auf der Registerkarte „Einstellungen“ so, dass er die Clientzertifikatsperrung überprüft. Diese Einstellung konfiguriert den Dienst, sodass er eine veröffentlichte Zertifikatsperrliste (CRL) verwendet.When deploying a CMG using PKI, configure the service to Verify client certificate revocation on the Settings tab. This setting configures the service to use a published certificate revocation list (CRL). Weitere Informationen finden Sie unter Planen der PKI-Zertifikatsperrung.For more information, see Plan for PKI certificate revocation.

Diese CMG-Option überprüft das Clientauthentifizierungszertifikat.This CMG option verifies the client authentication certificate.

  • Wenn der Client die Azure AD-Authentifizierung verwendet, spielt die CRL keine Rolle.If the client is using Azure AD authentication, the CRL doesn't matter.

  • Wenn Sie PKI verwenden und die CRL extern veröffentlichen, sollten Sie diese Option aktivieren (empfohlen).If you use PKI, and externally publish the CRL, then enable this option (recommended).

  • Wenn Sie PKI verwenden und die CRL nicht veröffentlichen, deaktivieren Sie diese Option.If you use PKI, don't publish the CRL, then disable this option.

  • Wenn Sie diese Option falsch konfigurieren, kann dies zusätzlichen Datenverkehr von Clients zum CMG bewirken.If you misconfigure this option, it can cause additional traffic from clients to the CMG. Dieser zusätzliche Datenverkehr bringt eine Zunahme der Azure Ausgangsdaten mit sich, wodurch u. U. Ihre Azure-Kosten steigen.This additional traffic can increase the Azure egress data, which can increase your Azure costs.

Prüfen der Einträge in der Zertifikatsvertrauensliste des StandortsReview entries in the site's certificate trust list

Jeder Configuration Manager-Standort enthält eine Liste der vertrauenswürdigen Stammzertifizierungsstellen, die Zertifikatsvertrauensliste (Certificate Trust List, CTL).Each Configuration Manager site includes a list of trusted root certification authorities, the certificate trust list (CTL). Sie können die Liste anzeigen und anpassen, indem Sie zum Arbeitsbereich Verwaltung navigieren, den Bereich Standortkonfiguration erweitern und Standorte auswählen.View and modify the list by going to the Administration workspace, expand Site Configuration, and select Sites. Wählen Sie einen Standort und dann auf dem Menüband Eigenschaften aus.Select a site, and then select Properties in the ribbon. Wechseln Sie zur Registerkarte Kommunikationssicherheit, und wählen Sie unter „Vertrauenswürdige Stammzertifizierungsstellen“ Festlegen aus.Switch to the Communication Security tab, and then select Set under Trusted Root Certification Authorities.

Verwenden Sie für einen Standort mit CMG und PKI-Clientauthentifizierung eine restriktivere CTL.Use a more restrictive CTL for a site with a CMG using PKI client authentication. Andernfalls werden Clients mit Clientauthentifizierungszertifikaten, die von einem vertrauenswürdigen Stamm ausgestellt werden, der bereits auf dem Verwaltungspunkt vorhanden ist, für die Clientregistrierung automatisch akzeptiert.Otherwise, clients with client authentication certificates issued by any trusted root that already exists on the management point are automatically accepted for client registration.

Mithilfe dieser Teilmenge können Administratoren die Sicherheit besser kontrollieren.This subset provides administrators with more control over security. Die CTL schränkt den Server ein, sodass dieser nur Clientzertifikate annimmt, die von den Zertifizierungsstellen in der CTL ausgegeben werden.The CTL restricts the server to only accept client certificates that are issued from the certification authorities in the CTL. Beispiel: Windows wird mit einigen Zertifikaten von bekannten Drittanbieter-Zertifizierungsstellen (Certification Authority, CA) geliefert, z.B. VeriSign und Thawte.For example, Windows ships with a number of well-known third-party certification authority (CA) certificates, such as VeriSign and Thawte. Standardmäßig stufen Computer mit ISS Zertifikate dieser bekannten CAs als vertrauenswürdig ein.By default, the computer running IIS trusts certificates that chain to these well-known CAs. Wenn Sie ISS nicht mit einer CTL konfigurieren, werden alle Computer mit Clientzertifikaten, die von diesen CAs ausgestellt wurden, als gültige Configuration Manager-Clients zugelassen.Without configuring IIS with a CTL, any computer that has a client certificate issued from these CAs are accepted as a valid Configuration Manager client. Wenn Sie IIS mit einer CTL konfigurieren, die diese CAs nicht enthält, werden Clientverbindungen mit Zertifikaten dieser CAs abgelehnt.If you configure IIS with a CTL that didn't include these CAs, client connections are refused if the certificate chained to these CAs.

TLS 1.2 erzwingenEnforce TLS 1.2

Verwenden Sie die CMG-Einstellung, um TLS 1.2 zu erzwingen.Use the CMG setting to Enforce TLS 1.2. Sie betrifft nur die Azure Cloud-Dienst-VM.It only applies to the Azure cloud service VM. Sie gilt nicht für lokale Configuration Manager-Standortserver oder -Clients.It doesn't apply to any on-premises Configuration Manager site servers or clients. Weitere Informationen zu TLS 1.2 finden Sie unter Aktivieren von TLS 1.2.For more information on TLS 1.2, see How to enable TLS 1.2.

Verwenden der tokenbasierten AuthentifizierungUse token-based authentication

Ab Version 2002 gilt Folgendes:Starting in version 2002, Configuration Manager weitet seine Unterstützung auf internetbasierte Geräte aus, die nur selten eine Verbindung mit dem internen Netzwerk herstellen, die Azure AD nicht beitreten können und die über keine Methode zum Installieren eines von der PKI ausgestellten Zertifikats verfügen.Configuration Manager extends its support for internet-based devices that don't often connect to the internal network, aren't able to join Azure AD, and don't have a method to install a PKI-issued certificate. Der Standort stellt automatisch Token für Geräte aus, die sich im internen Netzwerk registrieren.The site automatically issues tokens for devices that register on the internal network. Sie können für internetbasierte Geräte ein Token für die Massenregistrierung erstellen.You can create a bulk registration token for internet-based devices. Weitere Informationen finden Sie unter Tokenbasierte Authentifizierung für CMG.For more information, see Token-based authentication for CMG.