Autenticación de cliente de CMG

Se aplica a: Configuration Manager (rama actual)

Los clientes que se conectan a una puerta de enlace de administración en la nube (CMG) están potencialmente en internet público que no es de confianza. Debido al origen del cliente, tienen un requisito de autenticación mayor. Hay tres opciones para la identidad y la autenticación con un CMG:

  • Azure AD
  • Certificados PKI
  • Tokens emitidos por el sitio de Configuration Manager

En la tabla siguiente se resumen los factores clave de cada método:

Azure AD Certificado PKI Token de sitio
Versión de ConfigMgr Todos los admitidos Todos los admitidos Todos los admitidos
Windows de cliente Windows 10 o posterior Todos los admitidos Todos los admitidos
Compatibilidad con escenarios Usuario y dispositivo Solo dispositivo Solo dispositivo
Punto de administración E-HTTP o HTTPS E-HTTP o HTTPS E-HTTP o HTTPS

Microsoft recomienda unir dispositivos a Azure AD. Los dispositivos basados en Internet pueden usar Azure AD autenticación moderna con Configuration Manager. También permite escenarios de dispositivo y usuario si el dispositivo está en Internet o conectado a la red interna.

Puede usar uno o varios métodos. Todos los clientes no tienen que usar el mismo método.

El método que elija, es posible que también tenga que volver a configurar uno o varios puntos de administración. Para obtener más información, vea Configure client authentication for CMG.

Azure AD

Si los dispositivos basados en Internet se Windows 10 o posterior, considere la posibilidad de usar Azure AD autenticación moderna con el CMG. Este método de autenticación es el único que habilita escenarios centrados en el usuario. Por ejemplo, implementar aplicaciones en una colección de usuarios.

En primer lugar, los dispositivos deben estar unidos a un dominio en la nube o Azure AD unidos a la nube, y el usuario también necesita una Azure AD identidad. Si su organización ya usa Azure AD identidades, debe establecerse con este requisito previo. Si no es así, hable con el administrador de Azure para planear identidades basadas en la nube. Para obtener más información, consulta Azure AD identidad del dispositivo. Hasta que se complete ese proceso, considere la posibilidad de autenticación basada en tokens para clientes basados en Internet con su CMG.

Hay algunos otros requisitos, según el entorno:

  • Habilitar métodos de detección de usuarios para identidades híbridas
  • Habilitar ASP.NET 4.5 en el punto de administración
  • Configurar las opciones de cliente

Para obtener más información sobre estos requisitos previos, vea Install clients using Azure AD.

Nota

Si los dispositivos están en un inquilino de Azure AD independiente del inquilino con una suscripción para los recursos de cálculo de CMG, a partir de la versión 2010, puede deshabilitar la autenticación para inquilinos que no estén asociados con usuarios y dispositivos. Para obtener más información, vea Configure Azure services.

Certificado PKI

Si tiene una infraestructura de clave pública (PKI) que puede emitir certificados de autenticación de cliente a dispositivos, considere este método de autenticación para dispositivos basados en Internet con su CMG. No admite escenarios centrados en el usuario, pero admite dispositivos que ejecutan cualquier versión compatible de Windows.

Sugerencia

Windows dispositivos híbridos o unidos a un dominio en la nube no requieren este certificado porque usan Azure AD para autenticarse.

Este certificado también puede ser necesario en el punto de conexión de CMG.

Token de sitio

Si no puedes unir dispositivos a Azure AD o usar certificados de autenticación de cliente de PKI, usa la autenticación basada en tokens de Configuration Manager. Los tokens de autenticación de cliente emitidos por el sitio funcionan en todas las versiones del sistema operativo de cliente admitidas, pero solo admiten escenarios de dispositivo.

Si los clientes se conectan ocasionalmente a la red interna, se les emite automáticamente un token. Deben comunicarse directamente con un punto de administración local para registrarse en el sitio y obtener este token de cliente.

Si no puede registrar clientes en la red interna, puede crear e implementar un token de registro masivo. El token de registro masivo permite al cliente instalar inicialmente y comunicarse con el sitio. Esta comunicación inicial es lo suficientemente larga como para que el sitio emita al cliente su propio token de autenticación de cliente único. A continuación, el cliente usa su token de autenticación para toda la comunicación con el sitio mientras está en Internet.

Siguientes pasos

A continuación, diseñe cómo usar un CMG en la jerarquía: