Configurer l’authentification client pour la passerelle de gestion cloud

S’applique à : Configuration Manager (branche actuelle)

L’étape suivante de la configuration d’une passerelle de gestion cloud (CMG) consiste à configurer la façon dont les clients s’authentifier. Étant donné que ces clients se connectent potentiellement au service à partir d’Untrusted Public Internet, ils ont une exigence d’authentification plus élevée. Il existe trois options :

  • Azure Active Directory (Azure AD)
  • Certificats pKI
  • Jetons émis par le site Configuration Manager

Cet article explique comment configurer chacune de ces options. Pour plus d’informations de base, voir Planifier les méthodes d’authentification du client CMG.

Azure AD

Si vos appareils internet sont en cours d’Windows 10 ou version ultérieure, utilisez Azure AD’authentification moderne avec CMG. Cette méthode d’authentification est la seule qui permet des scénarios centrées sur l’utilisateur.

Cette méthode d’authentification nécessite les configurations suivantes :

  • Les appareils doivent être joints au domaine cloud ou hybrides Azure AD joints, et l’utilisateur a également besoin d’Azure AD identité.

    Conseil

    Pour vérifier si un appareil est joint au cloud, exécutez dsregcmd.exe /status une invite de commandes. Si l’appareil est Azure AD joint ou hybride, le champ AzureAdjoined dans les résultats indique OUI. Pour plus d’informations, voir la commande dsregcmd - état de l’appareil.

  • L’une des principales conditions requises pour utiliser l’authentification Azure AD pour les clients basés sur Internet avec un CMG consiste à intégrer le site à Azure AD. Vous avez déjà effectué cette action à l’étape précédente.

  • Il existe d’autres exigences, selon votre environnement :

    • Activer les méthodes de découverte d’utilisateurs pour les identités hybrides
    • Activer ASP.NET 4.5 sur le point de gestion
    • Configurer des paramètres clients

Pour plus d’informations sur ces conditions préalables, voir Installer des clients à l’aide Azure AD.

Certificat pKI

Utilisez ces étapes si vous avez une infrastructure à clé publique (PKI) qui peut émettre des certificats d’authentification client sur les appareils.

Ce certificat peut être requis sur le point de connexion CMG. Pour plus d’informations, voir point de connexion CMG.

Émettre le certificat

Créez et émettre ce certificat à partir de votre PKI, qui se trouve en dehors du contexte de Configuration Manager. Par exemple, vous pouvez utiliser les services de certificats Active Directory et la stratégie de groupe pour émettre automatiquement des certificats d’authentification client sur les appareils joints au domaine. Pour plus d’informations, voir exemple de déploiement de certificats PKI : Déployer le certificat client.

Le certificat d’authentification client CMG prend en charge les configurations suivantes :

  • Longueur de clé 2048 bits ou 4096 bits

  • Ce certificat prend en charge les fournisseurs de stockage de clés pour les clés privées de certificat (v3). Pour plus d’informations, voir vue d’ensemble des certificats CNG v3.

Exporter la racine de confiance du certificat client

Le CMG doit faire confiance aux certificats d’authentification client pour établir le canal HTTPS avec les clients. Pour accomplir cette confiance, exportez la chaîne de certificats racines de confiance. Fournissez ensuite ces certificats lorsque vous créez le CMG dans la console Configuration Manager.

Veillez à exporter tous les certificats de la chaîne d’autorisation. Par exemple, si le certificat d’authentification client est émis par une ca intermédiaire, exporte les certificats d’ac intermédiaire et racine.

Notes

Exporte ce certificat lorsqu’un client utilise des certificats pKI pour l’authentification. Lorsque tous les clients utilisent Azure AD ou des jetons pour l’authentification, ce certificat n’est pas requis.

Après avoir émis un certificat d’authentification client sur un ordinateur, utilisez ce processus sur cet ordinateur pour exporter le certificat racine approuvé.

  1. Ouvrez le menu Démarrer. Tapez « exécuter » pour ouvrir la fenêtre Exécuter. Ouvrez mmc .

  2. Dans le menu Fichier, choisissez Ajouter/Supprimer un logiciel en snap-in....

  3. Dans la boîte de dialogue Ajouter ou supprimer des snap-ins, sélectionnez Certificats, puis ajoutez.

    1. Dans la boîte de dialogue Certificats en ligne, sélectionnez Compte d’ordinateur, puis suivant.

    2. Dans la boîte de dialogue Sélectionner un ordinateur, sélectionnez Ordinateur local, puis terminer.

    3. Dans la boîte de dialogue Ajouter ou supprimer des logiciels en un clin d’œil, sélectionnez OK.

  4. Développez Certificats, développez Personnel et sélectionnez Certificats.

  5. Sélectionnez un certificat dont l’objectif est l’authentification client.

    1. Dans le menu Action, sélectionnez Ouvrir.

    2. Go to the Certification Path tab.

    3. Sélectionnez le certificat suivant dans la chaîne, puis sélectionnez Afficher le certificat.

  6. Dans cette nouvelle boîte de dialogue Certificat, allez dans l’onglet Détails. Sélectionnez Copier dans le fichier....

  7. Terminez l’Assistant Exportation de certificat en utilisant le format de certificat par défaut, binaire X.509 codé DER (. CER). Notez le nom et l’emplacement du certificat exporté.

  8. Exporte tous les certificats dans le chemin d’accès de certification du certificat d’authentification client d’origine. Notez les certificats exportés qui sont des CA intermédiaires et ceux qui sont des CA racines de confiance.

Point de connexion CMG

Pour sécuriser le forward des demandes client, le point de connexion CMG nécessite une connexion sécurisée avec le point de gestion. Si vous utilisez l’authentification client PKI et que le point de gestion activé pour Internet est HTTPS, émettre un certificat d’authentification client sur le serveur système de site avec le rôle de point de connexion CMG.

Notes

Le point de connexion CMG ne nécessite pas de certificat d’authentification client dans les scénarios suivants :

  • Les clients utilisent Azure AD’authentification par utilisateur.
  • Les clients utilisent l’authentification basée sur un jeton Configuration Manager.
  • Le site utilise le protocole HTTP amélioré.

Pour plus d’informations, voir Activer le point de gestion pour HTTPS.

Jeton de site

Si vous ne pouvez pas joindre des appareils à Azure AD ou utiliser des certificats d’authentification client PKI, utilisez l’authentification basée sur les jetons Configuration Manager. Pour plus d’informations ou pour créer un jeton d’inscription en bloc, voir l’authentification basée sur un jeton pour la passerelle de gestion cloud.

Activer le point de gestion pour HTTPS

Selon la façon dont vous configurez le site et la méthode d’authentification client que vous choisissez, vous devrez peut-être reconfigurer vos points de gestion activés pour Internet. Il existe deux options :

  • Configurer le site pour le protocole HTTP amélioré et configurer le point de gestion pour HTTP
  • Configurer le point de gestion pour HTTPS

Configurer le site pour le protocole HTTP amélioré

Lorsque vous utilisez l’option de site pour utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP, vous pouvez configurer le point de gestion pour HTTP. Lorsque vous activez le protocole HTTP amélioré, le serveur de site génère un certificat auto-signé nommé certificat SSL de rôle SMS. Ce certificat est émis par le certificat d’émission de SMS racine. Le point de gestion ajoute ce certificat au site Web IIS par défaut lié au port 443.

Avec cette option, les clients internes peuvent continuer à communiquer avec le point de gestion à l’aide du protocole HTTP. Les clients Internet utilisant Azure AD ou un certificat d’authentification client peuvent communiquer en toute sécurité via le CMG avec ce point de gestion via HTTPS.

Pour plus d’informations, voir Enhanced HTTP.

Configurer le point de gestion pour HTTPS

Pour configurer un point de gestion pour HTTPS, vous pouvez d’abord lui émettre un certificat de serveur web. Activez ensuite le rôle pour HTTPS.

  1. Créer et émettre un certificat de serveur web à partir de votre PKI ou d’un fournisseur tiers, qui sont en dehors du contexte de Configuration Manager. Par exemple, utilisez les services de certificats Active Directory et la stratégie de groupe pour émettre un certificat de serveur web sur le serveur système de site avec le rôle de point de gestion. Si vous souhaitez en savoir plus, consultez les articles suivants :

  2. Sur les propriétés du rôle de point de gestion, définissez les connexions client sur HTTPS.

    Conseil

    Après avoir configuré CMG, vous configurez d’autres paramètres pour ce point de gestion.

Si votre environnement possède plusieurs points de gestion, vous n’avez pas besoin de tous les activer pour CMG. Configurez les points de gestion activés pour CMG comme Internet uniquement. Vos clients locaux n’essaient pas de les utiliser.

Résumé du mode de connexion client de point de gestion

Ces tableaux récapitulent si le point de gestion nécessite HTTP ou HTTPS, en fonction du type de client. Ils utilisent les termes suivants :

  • Groupe de travail: l’appareil n’est pas joint à un domaine Azure AD, mais possède un certificat d’authentification client.
  • Joint au domaine AD: vous joignez l’appareil à un domaine Active Directory local.
  • Azure AD jointe: également appelée joint au domaine cloud, vous joignez l’appareil à un Azure AD client. Pour plus d’informations, voir Azure AD joints.
  • Joint à un système hybride : vous joignez l’appareil à votre annuaire Active Directory local et vous l’enregistrez auprès de votre Azure AD. Pour plus d’informations, voir Hybrid Azure AD joints.
  • HTTP: Sur les propriétés du point de gestion, vous définissez les connexions client sur HTTP.
  • HTTPS: sur les propriétés du point de gestion, vous définissez les connexions client sur HTTPS.
  • E-HTTP: sur les propriétés du site, onglet Sécurité des communications, vous définissez les paramètres du système de site sur HTTPS ou HTTP et vous activez l’option d’utilisation des certificats générés par Configuration Manager pour les systèmes de site HTTP. Vous configurez le point de gestion pour HTTP et le point de gestion HTTP est prêt pour la communication HTTP et HTTPS.

Important

À compter de configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont supprimés. Configurez le site pour HTTPS ou Http amélioré. Pour plus d’informations, voir Activer le site pour HTTPS uniquement ou HTTP amélioré.

Pour les clients basés sur Internet qui communiquent avec CMG

Configurez un point de gestion local pour autoriser les connexions à partir de CMG avec le mode de connexion client suivant :

Client Internet Point de gestion
Note de groupe de travail 1 E-HTTP, HTTPS
Note 1 jointe au domaine AD E-HTTP, HTTPS
Azure AD joint E-HTTP, HTTPS
Joint à un hybride E-HTTP, HTTPS

Notes

Remarque 1 : cette configuration nécessite que le client dispose d’un certificat d’authentification clientet ne prend en charge que les scénarios centrées sur l’appareil.

Pour les clients locaux qui communiquent avec le point de gestion local

Configurez un point de gestion local avec le mode de connexion client suivant :

Client local Point de gestion
Workgroup HTTP, HTTPS
Joint au domaine AD HTTP, HTTPS
Azure AD joint HTTPS
Joint à un hybride HTTP, HTTPS

Notes

Les clients locaux joints à un domaine AD prise en charge les scénarios d’appareils et d’utilisateurs qui communiquent avec un point de gestion HTTP ou HTTPS.

Les clients locaux Azure AD et joints à un hybride peuvent communiquer via HTTP pour les scénarios centrées sur l’appareil, mais ont besoin d’E-HTTP ou HTTPS pour activer les scénarios centrées sur l’utilisateur. Sinon, ils se comportent de la même manière que les clients de groupe de travail.

Prochaines étapes

Vous êtes maintenant prêt à créer CMG dans Configuration Manager :