Authentification basée sur les jetons pour passerelle de gestion cloudToken-based authentication for cloud management gateway

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

La passerelle de gestion cloud prend en charge de nombreux types de clients, mais même avec HTTP amélioré, ces clients demandent un certificat d’authentification client.The cloud management gateway (CMG) supports many types of clients, but even with Enhanced HTTP, these clients require a client authentication certificate. Cette demande de certificat peut être difficile à honorer sur des clients basés sur Internet qui ne se connectent pas souvent au réseau interne, qui ne peuvent pas joindre Azure Active Directory (Azure AD) et qui ne disposent pas d’une méthode pour installer un certificat émis par une infrastructure à clé publique.This certificate requirement can be challenging to provision on internet-based clients that don't often connect to the internal network, aren't able to join Azure Active Directory (Azure AD), and don't have a method to install a PKI-issued certificate.

Pour surmonter ces défis, à partir de la version 2002, Configuration Manager étend sa prise en charge des appareils en émettant ses propres jetons d’authentification aux appareils.To overcome these challenges, starting in version 2002, Configuration Manager extends its device support by issuing its own authentication tokens to devices. Pour tirer pleinement parti de cette fonctionnalité, commencez par mettre à jour les clients avec la dernière version.To take full advantage of this feature, after you update the site, also update clients to the latest version. Le scénario complet ne fonctionne pas si la version du client n’est pas la plus récente.The complete scenario isn't functional until the client version is also the latest. Si nécessaire, assurez-vous de promouvoir la nouvelle version du client en production.If necessary, make sure you promote the new client version to production.

Les clients s’inscrivent initialement pour ces jetons à l’aide de l’une des deux méthodes suivantes :Clients initially register for these tokens using one of the following two methods:

  • Réseau interneInternal network

  • Inscription en blocBulk registration

Le client Configuration Manager avec le point de gestion gèrent ce jeton, donc il n’y a aucune dépendance à la version du système d’exploitation.The Configuration Manager client together with the management point manage this token, so there's no OS version dependency. Cette fonctionnalité est disponible pour toutes les versions du système d’exploitation client prises en charge.This feature is available for any supported client OS version.

Notes

Ces méthodes prennent uniquement en charge les scénarios de gestion orientée appareil.These methods only support device-centric management scenarios.

Microsoft recommande de joindre les appareils à Azure AD.Microsoft recommends joining devices to Azure AD. Les appareils basés sur Internet peuvent utiliser Azure AD pour s’authentifier auprès de Configuration Manager.Internet-based devices can use Azure AD to authenticate with Configuration Manager. Les scénarios d’appareils et d’utilisateurs sont également gérés, que l’appareil soit sur Internet ou connecté au réseau interne.It also enables both device and user scenarios whether the device is on the internet or connected to the internal network. Pour plus d’informations, consultez Installer et inscrire le client avec l’identité Azure AD.For more information, see Install and register the client using Azure AD identity.

Inscription au réseau interneInternal network registration

Cette méthode demande au client de s’enregistrer d’abord au point de gestion sur le réseau interne.This method requires the client to first register with the management point on the internal network. L’inscription du client a généralement lieu juste après l’installation.Client registration typically happens right after installation. Le point de gestion donne au client un jeton unique qui montre qu’il utilise un certificat auto-signé.The management point gives the client a unique token that shows it's using a self-signed certificate. Lorsque le client tourne sur Internet, pour communiquer avec la passerelle de gestion cloud, il appaire son certificat auto-signé avec le jeton émis par le point de gestion.When the client roams onto the internet, to communicate with the CMG it pairs its self-signed certificate with the management point-issued token.

Le site autorise ce comportement par défaut.The site enables this behavior by default.

Jeton d'inscription en blocBulk registration token

Si vous ne pouvez pas installer et inscrire des clients sur le réseau interne, créez un jeton d’inscription en bloc.If you can't install and register clients on the internal network, create a bulk registration token. Utilisez ce jeton lorsque le client est installé sur un appareil basé sur Internet et s’inscrit à la passerelle de gestion cloud.Use this token when the client installs on an internet-based device, and registers through the CMG. Le jeton d’inscription en bloc a une période de validité courte et n’est pas stocké sur le client ou le site.The bulk registration token has a short-validity period, and isn't stored on the client or the site. Il permet au client de générer un jeton unique qui, appairé à son certificat auto-signé, lui permet de s’authentifier auprès de la passerelle de gestion cloud.It allows the client to generate a unique token, which paired with its self-signed certificate, lets it authenticate with the CMG.

Notes

Ne confondez pas les jetons d’inscription en bloc avec ceux que Configuration Manager émet pour des clients individuels.Don't confuse bulk registration tokens with those that Configuration Manager issues to individual clients. Le jeton d’inscription en bloc permet au client d’installer et de communiquer initialement avec le site.The bulk registration token enables the client to initially install and communicate with the site. Cette communication initiale est suffisamment longue pour que le site émette vers le client son propre jeton d’authentification client unique.This initial communication is long enough for the site to issue the client its own, unique client authentication token. Le client utilise ensuite son jeton d’authentification pour toutes les communications avec le site sur Internet.The client then uses its authentication token for all communication with the site while it's on the internet. Au-delà de l’inscription initiale, le client n’utilise pas ou ne stocke pas le jeton d’inscription en bloc.Beyond the initial registration, the client doesn't use or store the bulk registration token.

Pour créer un jeton d’inscription en bloc à utiliser lors de l’installation du client sur des appareils basés sur Internet, effectuez les actions suivantes :To create a bulk registration token for use during client installation on internet-based devices, complete the following actions:

  1. Connectez-vous au serveur de site de niveau supérieur dans la hiérarchie avec des privilèges d’administrateur local.Sign in to the top-level site server in the hierarchy with local administrator privileges.

  2. Ouvrez une invite de commandes en tant qu’administrateur.Open a command prompt as an administrator.

  3. Exécutez l’outil à partir du dossier \bin\X64 du répertoire d’installation de Configuration Manager sur le serveur de site : BulkRegistrationTokenTool.exe.Run the tool from the \bin\X64 folder of the Configuration Manager installation directory on the site server: BulkRegistrationTokenTool.exe. Créez un nouveau jeton avec le paramètre /new.Create a new token with the /new parameter. Par exemple, BulkRegistrationTokenTool.exe /new.For example, BulkRegistrationTokenTool.exe /new. Pour plus d’informations, consultez Utilisation de l’outil de jeton d’inscription en bloc.For more information, see Bulk registration token tool usage.

  4. Copiez le jeton et enregistrez-le dans un endroit sécurisé.Copy the token and save it in a secure location.

  5. Installez le client Configuration Manager sur un appareil basé sur Internet.Install the Configuration Manager client on an internet-based device. Incluez le paramètre d’installation du client : /regtoken.Include the client installation parameter: /regtoken. L’exemple de ligne de commande suivant contient les autres paramètres et propriétés de configuration requis :The following example command line includes the other required setup parameters and properties:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Conseil

    Pour plus d’informations sur cette ligne de commande, consultez Installer et inscrire le client avec l’identité Azure AD.For more information on this command line, see Install and register the client using Azure AD identity. Ce processus est similaire, c’est juste qu’il n’utilise pas les propriétés Azure AD.This process is similar, just doesn't use the Azure AD properties.

Pour le vérifier, examinez le fichier journal suivant en recherchant une entrée similaire :To verify, review the following log file for a similar entry:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Pour résoudre les problèmes d’installation, passez en revue %WinDir%\ccmsetup\logs\ccmsetup.log sur le client.To troubleshoot installation, review %WinDir%\ccmsetup\logs\ccmsetup.log on the client. Après l’installation, vérifiez %WinDir%\ccm\logs\ClientIDManagerStartup.log.After installation, review %WinDir%\ccm\logs\ClientIDManagerStartup.log.

Sur le serveur, consultez les journaux suivants :On the server, review the following logs:

Problèmes connusKnown issues

Vous ne pouvez pas créer de jeton d’inscription en bloc sur un site qui a un serveur de site en mode passif.You can't create a bulk registration token on a site that has a site server in passive mode.

Utilisation de l’outil de jeton d’inscription en blocBulk registration token tool usage

L’outil BulkRegistrationTokenTool.exe se trouve dans le dossier \bin\X64 du répertoire d’installation de Configuration Manager sur le serveur de site.The BulkRegistrationTokenTool.exe tool is in the \bin\X64 folder of the Configuration Manager installation directory on the site server. Connectez-vous au serveur de site, puis exécutez-le en tant qu’administrateur.Sign in to the site server, and run it as an administrator. Il prend en charge les paramètres de ligne de commande suivants :It supports the following command-line parameters:

  • /?
  • /new
  • /lifetime

/?/?

Affichez les informations sur son utilisation.Display this usage information.

Exemple : BulkRegistrationTokenTool.exe /?Example: BulkRegistrationTokenTool.exe /?

/new/new

Créez un jeton d’inscription en bloc.Create a new bulk registration token.

Exemple : BulkRegistrationTokenTool.exe /newExample: BulkRegistrationTokenTool.exe /new

Cet outil montre les informations suivantes :The tool displays the following information:

  • GUID utilisé par le site pour suivre les jetons émisA GUID that the site uses to track issued tokens
  • Période de validité du jeton, qui est de trois jours par défautThe token validity period, which is three days by default.
  • Jeton d’inscription en blocThe bulk registration token.

Le jeton n’est pas stocké sur le client ou le site.The token isn't stored on the client or the site. Veillez à copier le jeton à partir de l’invite de commandes et à le stocker en lieu sûr.Make sure to copy the token from the command prompt, and store in a secure location.

/lifetime/lifetime

Utilisez ce paramètre avec le paramètre /new pour spécifier la période de validité du jeton.Use with /new parameter to specify the token validity period of the token. Spécifiez une valeur entière en minutes.Specify an integer value in minutes. La valeur par défaut est 4 320 (trois jours).The default value is 4,320 (three days). La valeur maximale est 10 080 (7 jours).The maximum value is 10,080 (seven days).

Exemple : BulkRegistrationTokenTool.exe /lifetime 4320Example: BulkRegistrationTokenTool.exe /lifetime 4320

Gestion du jeton d’inscription en blocBulk registration token management

Vous pouvez voir les jetons d’inscription en bloc créés précédemment et leur durée de vie dans la console Configuration Manager et bloquer leur utilisation si nécessaire.You can see previously created bulk registration tokens and their lifetimes in the Configuration Manager console and block their usage if necessary. Toutefois, la base de données de site ne stocke pas les jetons d’inscription en bloc.The site database doesn't, however, store bulk registration tokens.

Vérifier un jeton d’inscription en blocReview a bulk registration token

  1. Dans la console de Configuration Manager, accédez à l’espace de travail Administration.In the Configuration Manager console, go to the Administration workspace.

  2. Développez Sécurité, puis sélectionnez le nœud Certificats.Expand Security, and select the Certificates node. La console répertorie tous les certificats liés au site et les jetons d’inscription en bloc dans le volet d’informations.The console lists all site-related certificates and bulk registration tokens in the details pane.

  3. Sélectionnez le jeton d’inscription en bloc à vérifier.Select the bulk registration token to review.

Vous pouvez filtrer ou trier sur la colonne Type.You can filter or sort on the Type column. Identifiez des jetons d’inscription en bloc spécifiques en fonction de leur GUID.Identify specific bulk registration tokens based on their GUID. Quand vous créez un jeton d’inscription en bloc, l’outil indique le GUID.When you create a bulk registration token, the tool displays the GUID.

Bloquer un jeton d’inscription en blocBlock a bulk registration token

  1. Dans la console de Configuration Manager, accédez à l’espace de travail Administration.In the Configuration Manager console, go to the Administration workspace.

  2. Développez Sécurité, sélectionnez le nœud Certificats, puis sélectionnez le jeton d’inscription en bloc à bloquer.Expand Security, select the Certificates node, and select the bulk registration token to block.

  3. Sous l’onglet Accueil de la barre du ruban ou du menu contextuel, sélectionnez Bloquer.On the Home tab of the ribbon bar or the right-click context menu, select Block. Pour débloquer les jetons d’inscription en bloc précédemment bloqués, sélectionnez l’action Débloquer.To unblock previously blocked bulk registration tokens, select the Unblock action.

Renouvellement des jetonsToken renewal

Le client renouvelle son jeton unique, émis par Configuration Manager une fois par mois, et il est valide pendant 90 jours.The client renews its unique, Configuration Manager-issued token once a month, and it's valid for 90 days. Un client n’a pas besoin de se connecter au réseau interne pour renouveler son jeton.A client doesn't need to connect to the internal network to renew its token. Tant que le jeton est toujours valide, la connexion au site à l’aide d’une passerelle de gestion cloud est suffisante.As long as the token is still valid, connecting to the site using a CMG is sufficient. Si le jeton n’est pas renouvelé dans un délai de 90 jours, le client doit se connecter directement à un point de gestion sur un réseau interne pour recevoir un nouveau jeton.If the token isn't renewed within 90 days, the client must directly connect to a management point on an internal network to receive a new token.

Vous ne pouvez pas renouveler un jeton d’inscription en bloc.You can't renew a bulk registration token. Une fois qu’un jeton d’inscription en bloc expire, générez-en un nouveau pour l’inscription de l’appareil basé sur Internet à l’aide d’une passerelle.Once a bulk registration token expires, generate a new one for internet-based device registration using a CMG.

Voir aussiSee also