Sécurité et confidentialité de la passerelle de gestion cloud

  • Article

S’applique à : Configuration Manager (branche actuelle)

Cet article contient des informations de sécurité et de confidentialité pour la passerelle de gestion cloud Configuration Manager. Pour plus d’informations, consultez Vue d’ensemble de la passerelle de gestion cloud.

Détails de sécurité

La passerelle de gestion cloud accepte et gère les connexions à partir des points de connexion de passerelle de gestion cloud. Il utilise l’authentification mutuelle à l’aide de certificats et d’ID de connexion.

La passerelle de gestion cloud accepte et transfère les demandes des clients à l’aide des méthodes suivantes :

  • Pré-authentifie les connexions à l’aide du protocole HTTPS mutuel avec le certificat d’authentification client PKI ou l’ID Microsoft Entra.

    • IIS sur les instances de machine virtuelle de la passerelle de gestion cloud vérifie le chemin du certificat en fonction des certificats racines approuvés que vous chargez sur la passerelle de gestion cloud.

    • Si vous activez la révocation de certificat, IIS sur la machine virtuelle instance vérifie également la révocation du certificat client. Pour plus d’informations, consultez Publier la liste de révocation de certificats.

  • La liste d’approbation de certificat (CTL) vérifie la racine du certificat d’authentification client. Il effectue également la même validation que le point de gestion pour le client. Pour plus d’informations, consultez Vérifier les entrées dans la liste d’approbation de certificat du site.

  • Valide et filtre les requêtes clientes (URL) pour case activée si un point de connexion de passerelle de gestion cloud peut traiter la demande.

  • Vérifie la longueur du contenu pour chaque point de terminaison de publication.

  • Utilise le comportement de tourniquet (round robin) pour équilibrer la charge des points de connexion de la passerelle de gestion cloud dans le même site.

Le point de connexion de la passerelle de gestion cloud utilise les méthodes suivantes :

  • Crée des connexions HTTPS/TCP cohérentes à toutes les instances de machine virtuelle de la passerelle de gestion cloud. Il vérifie et gère ces connexions toutes les minutes.

  • Utilise l’authentification mutuelle avec la passerelle de gestion cloud à l’aide de certificats.

  • Transfère les demandes des clients en fonction des mappages d’URL.

  • Signale status de connexion pour afficher les status d’intégrité du service dans la console.

  • Signale le trafic par point de terminaison toutes les cinq minutes.

Configuration Manager fait pivoter la clé de compte de stockage pour la passerelle de gestion cloud. Ce processus se produit automatiquement tous les 180 jours.

Mécanismes de sécurité et protections

Les ressources de passerelle de gestion cloud dans Azure font partie de la plateforme PaaS (Platform as a Service) Azure. Elles sont protégées de la même manière et avec les mêmes protections par défaut que toutes les autres ressources dans Azure. La modification des configurations des ressources ou de l’architecture de la passerelle de gestion cloud dans Azure n’est pas prise en charge. Ces modifications incluent l’utilisation de tout type de pare-feu devant la passerelle de gestion cloud pour intercepter, filtrer ou traiter le trafic avant qu’il n’atteigne la passerelle de gestion cloud. Tout le trafic destiné à une passerelle de gestion cloud est traité via un équilibreur de charge Azure. Les déploiements de passerelle de gestion cloud en tant que groupe de machines virtuelles identiques sont protégés par Microsoft Defender pour le cloud.

Principaux de service et authentification

Les principaux de service sont authentifiés par l’inscription de l’application serveur dans Microsoft Entra ID. Cette application est également appelée application web. Vous créez cette inscription d’application automatiquement lorsque vous créez la passerelle de gestion cloud, ou manuellement par un administrateur Azure à l’avance. Pour plus d’informations, consultez Inscrire manuellement Microsoft Entra applications pour la passerelle de gestion cloud.

Les clés secrètes des applications Azure sont chiffrées et stockées dans la base de données du site Configuration Manager. Dans le cadre du processus d’installation, l’application serveur dispose de l’autorisation Lire les données d’annuaire sur microsoft API Graph. Il a également le rôle contributeur sur le groupe de ressources qui héberge la passerelle de gestion cloud. Chaque fois que l’application doit accéder à des ressources telles que Microsoft Graph, elle obtient un jeton d’accès d’Azure, qu’elle utilise pour accéder à la ressource cloud.

Microsoft Entra’ID peut faire pivoter automatiquement la clé secrète pour ces applications, ou vous pouvez le faire manuellement. Lorsque la clé secrète change, vous devez renouveler la clé secrète dans Configuration Manager.

Pour plus d’informations, consultez Objectif des inscriptions d’applications.

Configuration Manager les rôles côté client

Points de terminaison hôtes du point de gestion et du point de mise à jour logicielle dans IIS pour traiter les demandes du client. La passerelle de gestion cloud n’expose pas tous les points de terminaison internes. Chaque point de terminaison publié sur la passerelle de gestion cloud a un mappage d’URL.

  • L’URL externe est celle que le client utilise pour communiquer avec la passerelle de gestion cloud.

  • L’URL interne est le point de connexion de passerelle de gestion cloud utilisé pour transférer les demandes au serveur interne.

Exemple de mappage d’URL

Lorsque vous activez le trafic de passerelle de gestion cloud sur un point de gestion, Configuration Manager crée un ensemble interne de mappages d’URL pour chaque serveur de point d’administration. Par exemple : ccm_system, ccm_incoming et sms_mp. L’URL externe du point de gestion ccm_system point de terminaison peut ressembler à ceci :
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
L’URL est unique pour chaque point de gestion. Le client Configuration Manager place ensuite le nom du point de gestion compatible avec la passerelle de gestion cloud dans sa liste de points de gestion Internet. Ce nom ressemble à ceci :
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Le site charge automatiquement toutes les URL externes publiées dans la passerelle de gestion cloud. Ce comportement permet à la passerelle de gestion cloud d’effectuer un filtrage d’URL. Tous les mappages d’URL sont répliqués vers le point de connexion de la passerelle de gestion cloud. Il transfère ensuite la communication aux serveurs internes en fonction de l’URL externe de la requête du client.

Conseils de sécurité

Publier la liste de révocation de certificats

Publiez la liste de révocation de certificats (CRL) de votre infrastructure à clé publique pour que les clients Basés sur Internet puissent y accéder. Lors du déploiement d’une passerelle de gestion cloud à l’aide de l’infrastructure à clé publique, configurez le service pour Vérifier la révocation du certificat client sous l’onglet Paramètres. Ce paramètre configure le service pour qu’il utilise une liste de révocation de certificats publiée. Pour plus d’informations, consultez Planifier la révocation de certificats PKI.

Cette option de passerelle de gestion cloud vérifie le certificat d’authentification client.

  • Si le client utilise l’ID Microsoft Entra ou l’authentification basée sur un jeton Configuration Manager, la liste de révocation de certificats n’a pas d’importance.

  • Si vous utilisez l’infrastructure à clé publique et que vous publiez la liste de révocation de certificats en externe, activez cette option (recommandée).

  • Si vous utilisez une infrastructure à clé publique, ne publiez pas la liste de révocation de certificats, puis désactivez cette option.

  • Si vous ne configurez pas correctement cette option, cela peut entraîner davantage de trafic entre les clients et la passerelle de gestion cloud. Ce trafic peut augmenter les données de sortie Azure, ce qui peut augmenter vos coûts Azure.

Examiner les entrées dans la liste d’approbation de certificats du site

Chaque site Configuration Manager inclut une liste d’autorités de certification racines approuvées, la liste de certificats d’approbation (CTL). Affichez et modifiez la liste en accédant à l’espace de travail Administration , développez Configuration du site, puis sélectionnez Sites. Sélectionnez un site, puis sélectionnez Propriétés dans le ruban. Basculez vers l’onglet Sécurité des communications , puis sélectionnez Définir sous Autorités de certification racines de confiance.

Utilisez une CTL plus restrictive pour un site avec une passerelle de gestion cloud à l’aide de l’authentification du client PKI. Sinon, les clients avec des certificats d’authentification client émis par une racine approuvée qui existe déjà sur le point de gestion sont automatiquement acceptés pour l’inscription du client.

Ce sous-ensemble offre aux administrateurs davantage de contrôle sur la sécurité. La CTL limite le serveur à accepter uniquement les certificats clients émis par les autorités de certification dans la CTL. Par exemple, Windows est fourni avec des certificats pour de nombreux fournisseurs de certificats publics et mondialement approuvés. Par défaut, l’ordinateur exécutant IIS approuve les certificats qui sont liés à ces autorités de certification connues. Sans configurer IIS avec une CTL, tout ordinateur disposant d’un certificat client émis par ces autorités de certification est accepté comme client Configuration Manager valide. Si vous configurez IIS avec une CTL qui n’incluait pas ces autorités de certification, les connexions clientes sont refusées si le certificat est chaîné à ces autorités de certification.

Appliquer TLS 1.2

Utilisez le paramètre de passerelle de gestion cloud pour appliquer TLS 1.2. Elle s’applique uniquement à la machine virtuelle du service cloud Azure. Elle ne s’applique pas aux serveurs ou clients de site Configuration Manager locaux.

À compter de la version 2107 avec le correctif cumulatif, ce paramètre s’applique également au compte de stockage de la passerelle de gestion cloud.

Pour plus d’informations sur TLS 1.2, consultez Comment activer TLS 1.2.

Utiliser l’authentification basée sur les jetons

Si vous avez des appareils qui ont une ou plusieurs des conditions suivantes, envisagez d’utiliser Configuration Manager l’authentification basée sur les jetons :

  • Un appareil basé sur Internet qui ne se connecte pas souvent au réseau interne
  • L’appareil ne peut pas joindre l’ID Microsoft Entra
  • Vous n’avez pas de méthode pour installer un certificat émis par une infrastructure à clé publique

Avec l’authentification basée sur les jetons, le site émet automatiquement des jetons pour les appareils qui s’inscrivent sur le réseau interne. Vous pouvez créer un jeton d’inscription en bloc pour les appareils Basés sur Internet. Pour plus d’informations, consultez Authentification basée sur les jetons pour la passerelle de gestion cloud.