Jogkivonat-alapú hitelesítés felhőfelügyeleti átjáróhoz

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

A felhőfelügyeleti átjáró (CMG) számos ügyféltípust támogat, de még továbbfejlesztett HTTP esetén is szükség van ügyfél-hitelesítési tanúsítványra. Ezt a tanúsítványkövetelményt nehéz lehet kiépíteni olyan internetes ügyfeleken, amelyek gyakran nem csatlakoznak a belső hálózathoz, nem tudnak csatlakozni Microsoft Entra azonosítóhoz, és nem rendelkeznek A PKI által kibocsátott tanúsítvány telepítésének módjával.

A kihívások leküzdéséhez Configuration Manager saját hitelesítési jogkivonatok kiadásával kiterjeszti eszköztámogatását az eszközökre. A szolgáltatás teljes körű kihasználásához a webhely frissítése után az ügyfeleket is frissítse a legújabb verzióra. A teljes forgatókönyv csak akkor működik, ha az ügyfél verziója is a legújabb. Ha szükséges, elő kell léptetnie az új ügyfélverziót éles környezetbe.

Az ügyfelek először az alábbi két módszer egyikével regisztrálnak ezekre a jogkivonatokra:

  • Belső hálózat

  • Tömeges regisztráció

A jogkivonatot a Configuration Manager-ügyfél és a felügyeleti pont kezeli, így nincs operációsrendszer-verziófüggőség. Ez a funkció bármely támogatott ügyfél operációsrendszer-verzióhoz elérhető.

Megjegyzés:

Ezek a módszerek csak az eszközközpontú felügyeleti forgatókönyveket támogatják.

A Microsoft azt javasolja, hogy csatlakoztassunk eszközöket Microsoft Entra azonosítóhoz. Az internetalapú eszközök Microsoft Entra azonosítóval hitelesíthetik magukat Configuration Manager. Emellett lehetővé teszi az eszközök és a felhasználók számára is, hogy az eszköz az interneten található-e, vagy csatlakozik-e a belső hálózathoz. További információ: Az ügyfél telepítése és regisztrálása Microsoft Entra identitás használatával.

Győződjön meg arról, hogy engedélyezi az ügyfelek számára a felhőfelügyeleti átjáró használatát az ügyfélbeállítások Felhőszolgáltatások csoportjában. Az ügyfelek még helytokennel sem tudnak kommunikálni a CMG-vel, ha az ügyfélbeállítások nem teszik lehetővé. További információ: Tudnivalók az ügyfélbeállításokról: Felhőszolgáltatások.

Belső hálózatregisztráció

Ehhez a módszerhez az ügyfélnek először regisztrálnia kell a belső hálózaton lévő felügyeleti ponttal. Az ügyfélregisztráció általában közvetlenül a telepítés után történik. A felügyeleti pont egyedi jogkivonatot ad az ügyfélnek, amely azt mutatja, hogy önaláírt tanúsítványt használ. Amikor az ügyfél az internetre barangol, a CMG-vel való kommunikációhoz párosítja az önaláírt tanúsítványt a felügyeleti pont által kibocsátott jogkivonattal.

A webhely alapértelmezés szerint engedélyezi ezt a viselkedést.

Megjegyzés:

HTTPS felügyeleti pont esetén az ügyfélnek először regisztrálnia kell, függetlenül az internet/intranet felügyeleti ponttól. Az ügyfélnek érvényes PKI által kibocsátott tanúsítványt, Microsoft Entra jogkivonatot vagy tömeges regisztrációs jogkivonatot kell bemutatnia.

Tömeges regisztrációs jogkivonat

Ha nem tudja telepíteni és regisztrálni az ügyfeleket a belső hálózaton, hozzon létre egy tömeges regisztrációs jogkivonatot. Akkor használja ezt a jogkivonatot, ha az ügyfél egy internetes eszközön települ, és a CMG-n keresztül regisztrál. A tömeges regisztrációs jogkivonat rövid érvényességi idejű, és nem található meg az ügyfélen vagy a webhelyen. Lehetővé teszi, hogy az ügyfél egyedi jogkivonatot hozzon létre, amely az önaláírt tanúsítvánnyal párosítva lehetővé teszi a CMG-vel való hitelesítést.

Megjegyzés:

Ne keverje össze a tömeges regisztrációs jogkivonatokat azokkal, amelyek Configuration Manager problémákat az egyes ügyfelek számára. A tömeges regisztrációs jogkivonat lehetővé teszi, hogy az ügyfél először telepítse és kommunikáljon a hellyel. Ez a kezdeti kommunikáció elég hosszú ahhoz, hogy a hely kiadja az ügyfélnek a saját egyedi ügyfél-hitelesítési jogkivonatát. Az ügyfél ezután a hitelesítési jogkivonatát használja a hellyel folytatott összes kommunikációhoz, amíg az az interneten van. A kezdeti regisztráción túl az ügyfél nem használja vagy tárolja a tömeges regisztrációs jogkivonatot.

Ha tömeges regisztrációs jogkivonatot szeretne létrehozni az ügyfél internetalapú eszközökön való telepítése során való használatra, hajtsa végre a következő műveleteket:

  1. Jelentkezzen be a legfelső szintű helykiszolgálóra a hierarchiában helyi rendszergazdai jogosultságokkal.

  2. Nyisson meg egy parancssort rendszergazdaként.

  3. Futtassa az eszközt a \bin\X64 helykiszolgáló Configuration Manager telepítési könyvtárának mappájából: BulkRegistrationTokenTool.exe. Hozzon létre egy új jogkivonatot a /new paraméterrel. Használja például a BulkRegistrationTokenTool.exe /new címet. További információ: Tömeges regisztrációs jogkivonatok eszközhasználata.

  4. Másolja ki a jogkivonatot, és mentse biztonságos helyre.

  5. Telepítse a Configuration Manager-ügyfelet egy internetalapú eszközre. Adja meg a következő ügyféltelepítési paramétert: /regtoken. Az alábbi példa parancssora tartalmazza a többi szükséges beállítási paramétert és tulajdonságot:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Tipp

    További információ erről a parancssorról: Az ügyfél telepítése és regisztrálása Microsoft Entra identitás használatával. Ez a folyamat hasonló, csak nem használja a Microsoft Entra tulajdonságait.

Az ellenőrzéshez tekintse át a következő naplófájlt egy hasonló bejegyzéshez:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

A telepítés hibaelhárításához tekintse át %WinDir%\ccmsetup\logs\ccmsetup.log az ügyfelet. A telepítés után tekintse át a következőt %WinDir%\ccm\logs\ClientIDManagerStartup.log: .

Tekintse át a következő naplókat a kiszolgálón:

  • CMG-naplók
  • Felügyeleti pont
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Tömeges regisztrációs jogkivonat eszközhasználata

Az BulkRegistrationTokenTool.exe eszköz a \bin\X64 helykiszolgáló Configuration Manager telepítési könyvtárának mappájában található. Jelentkezzen be a helykiszolgálóra, és futtassa rendszergazdaként. A következő parancssori paramétereket támogatja:

  • /?
  • /new
  • /lifetime

/?

A használati adatok megjelenítése.

Példa: BulkRegistrationTokenTool.exe /?

/new

Hozzon létre egy új tömeges regisztrációs jogkivonatot.

Példa: BulkRegistrationTokenTool.exe /new

Az eszköz a következő információkat jeleníti meg:

  • Egy GUID, amelyet a webhely a kiadott tokenek nyomon követésére használ
  • A jogkivonat érvényességi időtartama, amely alapértelmezés szerint három nap.
  • A tömeges regisztrációs jogkivonat.

A jogkivonat nem az ügyfélen vagy a webhelyen van tárolva. Mindenképpen másolja ki a jogkivonatot a parancssorból, és tárolja biztonságos helyen.

/lifetime

A with paraméterrel /new megadhatja a jogkivonat érvényességi időtartamát. Adjon meg egy egész számot percekben. Az alapértelmezett érték 4320 (három nap). A maximális érték 10 080 (hét nap).

Példa: BulkRegistrationTokenTool.exe /lifetime 4320

Tömeges regisztrációs jogkivonatok kezelése

A korábban létrehozott tömeges regisztrációs jogkivonatokat és azok élettartamát a Configuration Manager konzolon tekintheti meg, és szükség esetén letilthatja a használatukat. A helyadatbázis azonban nem tárol tömeges regisztrációs jogkivonatokat.

Tömeges regisztrációs jogkivonat áttekintése

  1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre.

  2. Bontsa ki a Biztonság csomópontot, és válassza a Tanúsítványok csomópontot . A konzol felsorolja a helyhez kapcsolódó összes tanúsítványt és tömeges regisztrációs jogkivonatot a részletek panelen.

  3. Válassza ki a megtekinteni kívánt tömeges regisztrációs jogkivonatot.

A Típus oszlopra szűrhet vagy rendezhet. Azonosítsa a konkrét tömeges regisztrációs jogkivonatokat a GUID-azonosítójuk alapján. Tömeges regisztrációs jogkivonat létrehozásakor az eszköz megjeleníti a GUID azonosítót.

Tömeges regisztrációs jogkivonat letiltása

  1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre.

  2. Bontsa ki a Biztonság csomópontot, válassza a Tanúsítványok csomópontot, majd válassza ki a letiltani kívánt tömeges regisztrációs jogkivonatot.

  3. A menüszalag kezdőlapján vagy a helyi menüben válassza a Letiltás lehetőséget. A korábban letiltott tömeges regisztrációs jogkivonatok letiltásának feloldásához válassza a Tiltás feloldása műveletet.

Jogkivonat megújítása

Az ügyfél havonta egyszer megújítja egyedi, Configuration Manager által kibocsátott tokenjét, és 90 napig érvényes. Az ügyfélnek nem kell csatlakoznia a belső hálózathoz a jogkivonat megújításához. Ha a jogkivonat továbbra is érvényes, elegendő CMG-vel csatlakozni a webhelyhez. Ha a jogkivonatot 90 napon belül nem újítják meg, az ügyfélnek közvetlenül csatlakoznia kell egy belső hálózaton lévő felügyeleti ponthoz egy új jogkivonat fogadásához.

Tömeges regisztrációs jogkivonat nem újítható meg. Ha egy tömeges regisztrációs jogkivonat lejár, hozzon létre egy újat az internetes eszközregisztrációhoz egy CMG használatával.

Lásd még