Microsoft Entra hitelesítési munkafolyamat

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ez a cikk az Configuration Manager-ügyfél telepítési és regisztrációs folyamatának technikai referenciája az Microsoft Entra-azonosítóhoz csatlakoztatott Windows-eszközön. Az eszközhitelesítés munkafolyamatát részletezi.

Megjegyzés:

A Windows-ügyfelek munkahelyi csatlakoztatási (WPJ)-tanúsítványt kapnak, amikor csatlakoznak egy Microsoft Entra bérlőhöz. Ha a tanúsítvány nem található, a Configuration Manager-ügyfél nem tud Microsoft Entra jogkivonatokat kérni. Jogkivonat nélkül az ügyfél nem használhatja a Configuration Manager biztonsági jogkivonat-szolgáltatás (CCM_STS) kommunikációs csatornáját Microsoft Entra hitelesítéshez Configuration Manager helyrendszerekkel.

Ügyfél telepítése

Ebben a munkafolyamat-mintában a Configuration Manager-ügyfelet az interneten keresztül telepítette egy Windows-eszközön a következő ccmsetup parancssori tulajdonságokkal:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

1. Microsoft Entra ccmsetup információkérése

Az internetről telepített ügyfeleknek adott parancssori tulajdonságokra van szükségük Microsoft Entra hitelesítés használatához. Ezeket a tulajdonságokat felveheti az internetes ccmsetup parancssorba, de ezekre nincs szükség. Ha nem használ Microsoft Entra tulajdonságokat, a ccmsetup a és AADRESOURCEURI a AADCLIENTAPPID tulajdonságot kéri le a felhőfelügyeleti átjárótól (CMG). Hivatkozásként az eszköz Microsoft Entra TenantID azonosítóját használja. Ha még nem előkészítette az ügyfél TenantID azonosítóját Configuration Manager, a CMG nem adja meg a ccmsetup szükséges tulajdonságait az ügyfél telepítésének folytatásához.

Az ügyfél ccmsetup.log fájljában a következő bejegyzések vannak naplózva:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Fontos

A ccmsetup során az eszköznek ellenőriznie kell a CMG-kiszolgáló hitelesítési tanúsítványát. A CMG-kiszolgáló hitelesítési tanúsítványának legfelső szintű hitelesítésszolgáltatói (CA-) tanúsítványának elérhetőnek kell lennie az ügyfélen a láncérvényesítéshez. PKI használata esetén, ha a legfelső szintű hitelesítésszolgáltató nincs közzétéve az interneten, adja hozzá a legfelső szintű hitelesítésszolgáltatói tanúsítványt az eszköz legfelső szintű hitelesítésszolgáltatói tárolójához.

Ha a legfelső szintű hitelesítésszolgáltatói tanúsítvány visszavonási listája (CRL) nincs közzétéve az interneten, adja hozzá a paramétert a /nocrlcheck ccmsetup parancssorhoz.

2. jogkivonat-kérés Microsoft Entra

Windows Azure AD tartományhoz csatlakoztatott eszközön a ccmsetup a Microsoft Entra tulajdonságaival kéri le az ADALOperation szolgáltatót hívó Microsoft Entra tokent. A rendszer a következő bejegyzéseket naplózza a ccmsetup.log fájlban az ügyfélen:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Ha az eszköz tokenkérelmének kérése sikertelen, a ccmsetup visszaesik, és megpróbál Microsoft Entra felhasználói jogkivonatot kérni. Ha az eszköz nem tud Microsoft Entra eszközt vagy felhasználói jogkivonatot lekérni, a ccmsetup nem folytatódik.

Megjegyzés:

Ha az eszköz érvényes PKI ügyfél-hitelesítési tanúsítvánnyal rendelkezik, a ccmsetup mindig a tanúsítványt részesíti előnyben. Ebben az esetben az ügyfél PKI-ügyfélként telepul, és nem használ Microsoft Entra hitelesítést.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Configuration Manager ügyféljogkivonat-kérés

Az ügyfél a Microsoft Entra jogkivonatot használja a Configuration Manager ügyfél (CCM) jogkivonatának lekéréséhez. A ccmsetup és a hely közötti operatív kommunikáció a CCM-jogkivonatot használja engedélyezési jogkivonatként (CcmTokenAuth=1).

3.1 Az ügyfél CCM-jogkivonat-kérést küld a CMG-nek

A rendszer a következő bejegyzéseket naplózza a ccmsetup.log fájlban az ügyfélen:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 CMG továbbítva a CMG csatlakozási pontnak

A CMGService.log a CMG virtuálisgép-példányon a következő bejegyzéseket naplózza.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

Tipp

Configuration Manager öt percenként CMG-<CMGname>-ProxyService_IN_<%>-CMGService.logszinkronizálja a CMGService.log fájlt a helykiszolgáló naplómappájába.

3.3 CMG csatlakozási pont átalakítja a CMG-ügyfélkérést a felügyeleti pont ügyfélkérelmévé

A rendszer a következő bejegyzéseket naplózza a CMG csatlakozási pont szerepkört futtató helyrendszer SMS_CLOUD_PROXYCONNECTOR.log (részletes) módjában:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 A felügyeleti pont ellenőrzi a felhasználói jogkivonatot a helyadatbázisban

A rendszer a következő bejegyzéseket naplózza az ügyfélkérést kezelő felügyeleti pontot üzemeltető helyrendszer CCM_STS.log fájljában :

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. Tartalomhelyre vonatkozó kérés

Miután az ügyfél megkapta a CCM-jogkivonatot, gyorsítótárazza és felhasználja a ccmsetup.cab helyadatainak és tartalomhelyének lekéréséhez. Miután az eszköz letöltötte az ügyféltartalmat, elindítja a telepítést. A rendszer a következő bejegyzéseket naplózza a ccmsetup.log fájlban az ügyfélen:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Megjegyzés:

Ha az ügyfél egy tartalombarát CMG-ből találja meg a tartalmat, a ccmsetup letölti a tartalmat a felhőtárhelyről. Ha a legújabb ügyfélverzió nem érhető el a felhőben, egy CMG-kérésen keresztül letölti a tartalmat a felügyeleti pontról.

Ügyfélregisztráció

1. Configuration Manager ügyfélkérés regisztrációja

Miután a ccmsetup sikeresen telepítette az Configuration Manager-ügyfelet, a regisztráció inicializálva lesz. Az ügyfél ClientIDManagerStartup.log fájljában a következő bejegyzések vannak naplózva:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. Configuration Manager az ügyfél regisztrálásához Microsoft Entra jogkivonatot kér

Az ügyfél új Microsoft Entra jogkivonatot kér Microsoft Entra hitelesítéssel történő regisztrációhoz. Az eszközjogkivonatot részesíti előnyben, de ha nem érhető el, az ügyfél visszaesik, és Microsoft Entra felhasználói jogkivonatot kér. A következő bejegyzéseket naplózza a rendszer az ügyfél ADALOperationProvider.log naplójában :

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Regisztrációs kérelem

A felügyeleti ponton található regisztrációs összetevő kezeli az ügyfélregisztrációs folyamatot. Az ügyfél regisztrációs üzenetet küld a MP_ClientRegistration végpontnak.

3.1 A CMG továbbítja az ügyfélregisztrációs kérést a felügyeleti pontnak

A rendszer a következő bejegyzéseket naplózza annak a helyrendszernek a MP_RegistrationManager.log fájljában , amely az ügyfélkérést kezelő felügyeleti pontot üzemelteti:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager ügyfél regisztrálva van

Ha a regisztráció sikeres, az ügyfél a 3. jóváhagyással visszaigazoló üzenetet kap Microsoft Entra azonosítóalapú regisztrációhoz. Az ügyfél ClientIDManagerStartup.log fájljában a következő bejegyzések vannak naplózva:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. Configuration Manager ügyféljogkivonat-kérés

Miután a kiszolgáló megerősítette az ügyfélregisztrációt, az ügyfél feldolgozza a válaszüzenetet. Az ügyfél ezután egy új CCM-jogkivonatot kér és gyorsítótáraz. Az ügyfél ClientIDManagerStartup.log fájljában a következő bejegyzések vannak naplózva:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 A CMG lekéri és továbbítja CCM_Token kérést a CMG csatlakozási pontnak

A cmg virtuális gép és a CMG csatlakozási pont szerepkört futtató helyrendszer CMGService.log fájljában a következő bejegyzések vannak naplózva:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 A CMG csatlakozási pont átalakítja a CMG-ügyfélkérést a felügyeleti pont ügyfélkérelmévé

A rendszer az alábbi bejegyzéseket naplózza a CMG csatlakozási pont szerepkört futtató helyrendszer SMS_CLOUD_PROXYCONNECTOR.log fájljában :

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 A felügyeleti pont ellenőrzi a felhasználói jogkivonatot a helyadatbázisban

A rendszer a következő bejegyzéseket naplózza az ügyfélkérést kezelő felügyeleti pontot üzemeltető helyrendszer CCM_STS.log fájljában :

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

A kiszolgáló visszaadja a CCM-jogkivonatot az ügyfélnek az ügyfél és a hely közötti kommunikáció további részében.

Megjegyzés:

Az ügyfélregisztráció során a tanúsítványérvényesítés mindig lefut. Ez a folyamat akkor is megtörténik, ha a Microsoft Entra hitelesítési módszert használja az ügyfél regisztrálásához. Ez a viselkedés tartalék lehetőség arra az esetre, ha Microsoft Entra hitelesítés nem sikerül.

CCM-jogkivonat megújítása

A CCM-jogkivonat élettartama nyolc óra. Amikor az ügyfél azt észleli, hogy a CCM-jogkivonat lejárt vagy hamarosan lejár, új CCM-jogkivonat-kérelmet küld. A CcmMessaging összetevő kezeli ezt a megújítási folyamatot. A következő bejegyzéseket naplózza a rendszer az ügyfél CcmMessaging.log fájljában :

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Gyakori problémák

• A legfelső szintű hitelesítésszolgáltató nem található: Az ügyfeleknek a fő hitelesítésszolgáltató tanúsítványára van szükségük a CMG-kiszolgáló hitelesítési tanúsítványának érvényesítéséhez.

• A CRL-ellenőrzés engedélyezve van: Tegye közzé a CRL-t az interneten. Másik lehetőségként használja a /NoCRLCheck ccmsetup paramétert. A következő beállítást is letilthatja: Az ügyfelek ellenőrzik a helyrendszerek visszavont tanúsítványok listáját (CRL). Ezt a beállítást a helytulajdonságok Kommunikációs biztonság lapján találja.

• A WPJ-tanúsítvány nem található: Győződjön meg arról, hogy az eszköz Microsoft Entra csatlakoztatva van. Használja dsregcmd.exe. Tekintse meg például dsregcmd /status az Eszközállapot szakaszt.

Tipp

Az ügyfélkommunikáció CMG-vel, CMG csatlakozási ponttal és felügyeleti ponttal HTTPS-kapcsolaton keresztül fut. Ha a webhelyet továbbfejlesztett HTTP-hez konfigurálja, akkor is konfigurálhatja a FELÜGYELETI pontot a HTTP-hez.

• Az ügyfél ellenőrzi a CMG-kiszolgáló hitelesítési tanúsítványát:

  • PKI-tanúsítvány: Az ügyfélnek szüksége van a CMG-tanúsítvány legfelső szintű hitelesítésszolgáltatójára a helyi tárolóban.
  • Külső tanúsítvány: Az ügyfelek automatikusan ellenőrzik a tanúsítványt az interneten közzétett legfelső szintű hitelesítésszolgáltatóval.

• A CMG, a CMG csatlakozási pontja és a felügyeleti pont ellenőrzi Microsoft Entra azonosítót és CCM-jogkivonatokat.

• A CMG-csatlakozási pont és a felügyeleti pont közötti kommunikációt mindkét végpont biztosítja:

  • A CMG csatlakozási pontja ügyfél-hitelesítési tanúsítványt használ.
  • Az MP PKI-tanúsítványt használ HTTPS-konfigurációhoz, vagy egy önaláírt tanúsítványt a továbbfejlesztett HTTP-hez.