Authentification basée sur les jetons pour la passerelle de gestion cloud

S’applique à : Configuration Manager (branche actuelle)

La passerelle de gestion cloud (CMG) prend en charge de nombreux types de clients, mais même avec le protocole HTTPamélioré, ces clients nécessitent un certificat d’authentification client. Cette exigence de certificat peut être difficile à mettre en service sur les clients basés sur Internet qui ne se connectent pas souvent au réseau interne, qui ne peuvent pas rejoindre Azure Active Directory (Azure AD) et qui n’ont pas de méthode pour installer un certificat émis par une PKI.

Pour surmonter ces difficultés, Configuration Manager étend la prise en charge de son appareil en émettant ses propres jetons d’authentification aux appareils. Pour tirer pleinement parti de cette fonctionnalité, après avoir mis à jour le site, mettez également à jour les clients vers la dernière version. Le scénario complet n’est pas fonctionnel tant que la version du client n’est pas la dernière. Si nécessaire, veillez à promouvoir la nouvelle version du client en production.

Les clients s’inscrivent initialement pour ces jetons à l’aide de l’une des deux méthodes suivantes :

  • Réseau interne

  • Inscription en bloc

Le client Configuration Manager et le point de gestion gèrent ce jeton, il n’y a donc aucune dépendance de version du système d’exploitation. Cette fonctionnalité est disponible pour toute version de système d’exploitation cliente prise en charge.

Notes

Ces méthodes ne prisent en charge que les scénarios de gestion centrée sur les appareils.

Microsoft recommande de joindre des appareils à Azure AD. Les appareils Internet peuvent utiliser Azure AD pour s’authentifier auprès de Configuration Manager. Il permet également aux appareils et aux utilisateurs de savoir si l’appareil est sur Internet ou connecté au réseau interne. Pour plus d’informations, voir Installer et inscrire le client à l’aide Azure AD’identité.

Veillez à permettre aux clients d’utiliser une passerelle de gestion cloud dans le groupe de services Cloud des paramètres clients. Même avec un jeton de site, les clients ne peuvent pas communiquer avec un CMG si les paramètres clients ne l’autorisent pas. Pour plus d’informations, voir à propos des paramètres du client : services cloud.

Inscription réseau interne

Cette méthode exige que le client s’inscrive d’abord auprès du point de gestion sur le réseau interne. L’inscription du client se produit généralement juste après l’installation. Le point de gestion fournit au client un jeton unique qui indique qu’il utilise un certificat auto-signé. Lorsque le client se déplace sur Internet, pour communiquer avec le CMG, il associe son certificat auto-signé au jeton émis par un point de gestion.

Le site active ce comportement par défaut.

Notes

Avec un point de gestion HTTPS, le client doit d’abord s’inscrire quel que soit le point de gestion Internet/intranet. Le client doit présenter un certificat valide émis par une PKI, un jeton Azure AD ou un jeton d’inscription en bloc.

Jeton d’inscription en bloc

Si vous ne pouvez pas installer et inscrire des clients sur le réseau interne, créez un jeton d’inscription en bloc. Utilisez ce jeton lorsque le client s’installe sur un appareil internet et s’inscrit via le CMG. Le jeton d’inscription en bloc a une période de validité courte et n’est pas stocké sur le client ou le site. Il permet au client de générer un jeton unique, qui associé à son certificat auto-signé, lui permet de s’authentifier auprès de CMG.

Notes

Ne confondez pas les jetons d’inscription en bloc avec ceux émis par Configuration Manager pour des clients individuels. Le jeton d’inscription en bloc permet au client d’installer et de communiquer initialement avec le site. Cette communication initiale est suffisamment longue pour que le site émettre le client son propre jeton d’authentification client unique. Le client utilise ensuite son jeton d’authentification pour toutes les communications avec le site alors qu’il est sur Internet. Au-delà de l’inscription initiale, le client n’utilise pas ou ne stocke pas le jeton d’inscription en bloc.

Pour créer un jeton d’inscription en bloc à utiliser lors de l’installation du client sur des appareils basés sur Internet, effectuer les actions suivantes :

  1. Connectez-vous au serveur de site de niveau supérieur dans la hiérarchie avec des privilèges d’administrateur local.

  2. Ouvrez une invite de commandes en tant qu’administrateur.

  3. Exécutez l’outil à partir \bin\X64 du dossier du répertoire d’installation de Configuration Manager sur le serveur de site : BulkRegistrationTokenTool.exe . Créez un jeton avec le /new paramètre. Par exemple, BulkRegistrationTokenTool.exe /new. Pour plus d’informations, voir Utilisation de l’outil de jeton d’inscription en bloc.

  4. Copiez le jeton et enregistrez-le dans un emplacement sécurisé.

  5. Installez le client Configuration Manager sur un appareil internet. Incluez le paramètre d’installation du client : /regtoken. L’exemple de ligne de commande suivant inclut les autres paramètres et propriétés d’installation requis :

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Conseil

    Pour plus d’informations sur cette ligne de commande, voir Installer et inscrire le client à l’aide Azure AD identité . Ce processus est similaire, mais n’utilise pas les propriétés Azure AD de l’équipe.

Pour vérifier, examinez le fichier journal suivant pour obtenir une entrée similaire :

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Pour résoudre les problèmes d’installation, %WinDir%\ccmsetup\logs\ccmsetup.log examinez le client. Après l’installation, %WinDir%\ccm\logs\ClientIDManagerStartup.log examinez .

Sur le serveur, examinez les journaux suivants :

  • Journaux CMG
  • Point de gestion
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Utilisation de l’outil de jeton d’inscription en bloc

BulkRegistrationTokenTool.exeL’outil se trouve dans le dossier du répertoire d’installation de Configuration Manager sur le serveur de \bin\X64 site. Connectez-vous au serveur de site et exécutez-le en tant qu’administrateur. Il prend en charge les paramètres de ligne de commande suivants :

  • /?
  • /new
  • /lifetime

/?

Affichez ces informations d’utilisation.

Exemple : BulkRegistrationTokenTool.exe /?

/new

Créez un jeton d’inscription en bloc.

Exemple : BulkRegistrationTokenTool.exe /new

L’outil affiche les informations suivantes :

  • GUID utilisé par le site pour suivre les jetons émis
  • La période de validité du jeton, qui est de trois jours par défaut.
  • Jeton d’inscription en bloc.

Le jeton n’est pas stocké sur le client ou le site. Veillez à copier le jeton à partir de l’invite de commandes et à le stocker dans un emplacement sécurisé.

/lifetime

Utilisez avec /new paramètre pour spécifier la période de validité du jeton. Spécifiez une valeur d’un nombre nombre integer en minutes. La valeur par défaut est 4 320 (trois jours). La valeur maximale est 10 080 (sept jours).

Exemple : BulkRegistrationTokenTool.exe /lifetime 4320

Gestion des jetons d’inscription en bloc

Vous pouvez voir les jetons d’inscription en bloc précédemment créés et leur durée de vie dans la console Configuration Manager et bloquer leur utilisation si nécessaire. Toutefois, la base de données de site ne stocke pas de jetons d’inscription en bloc.

Examiner un jeton d’inscription en bloc

  1. Dans la console Configuration Manager, allez dans l’espace de travail Administration.

  2. Développez Sécurité, puis sélectionnez le nœud Certificats. La console répertorie tous les certificats liés au site et les jetons d’inscription en bloc dans le volet d’informations.

  3. Sélectionnez le jeton d’inscription en bloc à réviser.

Vous pouvez filtrer ou trier dans la colonne Type. Identifiez des jetons d’inscription en bloc spécifiques en fonction de leur GUID. Lorsque vous créez un jeton d’inscription en bloc, l’outil affiche le GUID.

Bloquer un jeton d’inscription en bloc

  1. Dans la console Configuration Manager, allez dans l’espace de travail Administration.

  2. Développez sécurité, sélectionnez le nœud Certificats, puis sélectionnez le jeton d’inscription en bloc à bloquer.

  3. Sous l’onglet Accueil de la barre du ruban ou dans le menu contextiqué avec le bouton droit, sélectionnez Bloquer. Pour débloquer les jetons d’inscription en bloc précédemment bloqués, sélectionnez l’action Débloquer.

Renouvellement du jeton

Le client renouvelle son jeton unique émis par Configuration Manager une fois par mois, et il est valide pendant 90 jours. Un client n’a pas besoin de se connecter au réseau interne pour renouveler son jeton. Tant que le jeton est toujours valide, la connexion au site à l’aide d’un CMG est suffisante. Si le jeton n’est pas renouvelé dans les 90 jours, le client doit se connecter directement à un point de gestion sur un réseau interne pour recevoir un nouveau jeton.

Vous ne pouvez pas renouveler un jeton d’inscription en bloc. Une fois qu’un jeton d’inscription en bloc expire, générez-en un nouveau pour l’inscription d’appareil basé sur Internet à l’aide d’un CMG.

Voir aussi