Internetalapú ügyfélfelügyelet tervezése a Configuration Manager-ben
A következőre vonatkozik: Configuration Manager (aktuális ág)
Az internetalapú ügyfélfelügyelet (IBCM) segítségével kezelheti Configuration Manager-ügyfeleket, ha nem csatlakoznak a belső hálózathoz. Az IBCM használatának előnyei:
- A szolgáltatást biztosító kiszolgálók és szerepkörök teljes körű ellenőrzése
- Nincs felhőszolgáltatás-függőség
- Előfordulhat, hogy nincs szükség virtuális magánhálózatra (VPN)
- Minden költség a helyszíni szolgáltatáshoz van társítva
A nyilvános hálózaton lévő ügyfélszámítógépek felügyeletének magasabb biztonsági követelményei miatt az IBCM-nek PKI-tanúsítványok használatára van szüksége. Ez a konfiguráció biztosítja, hogy a kapcsolatokat egy független szolgáltató hitelesítse. Amikor az IBCM-ügyfelek és a helykiszolgálók adatokat küldenek, azok titkosítva és biztonságosan lesznek tárolva.
Ügyfélkommunikáció
Az elsődleges helyeken a következő helyrendszerszerepkörök támogatják a nem megbízható helyeken lévő ügyfelek kapcsolatait:
Megjegyzés:
Bár az IBCM elsősorban az internetalapú forgatókönyvre összpontosít, ugyanezek a viselkedések érvényesek a nem megbízható Active Directory-erdőben lévő ügyfelekre is. A másodlagos helyek nem támogatják a nem megbízható helyekről érkező ügyfélkapcsolatokat.
Tanúsítványregisztrációs pont a Configuration Manager szabályzatmodulhoz (NDES)
Figyelmeztetés
A 2203-es verziótól kezdődően a tanúsítványregisztrációs pont már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.
Terjesztési pont
Tartalomalapú felhőfelügyeleti átjáró (CMG)
Regisztrációs proxypont
Tartalék állapotkezelő pont
Felügyeleti pont
Szoftverfrissítési pont
Tudnivalók az internetkapcsolattal rendelkező helyrendszerekről
Nincs szükség megbízhatóságra az ügyfél erdője és a helyrendszer-kiszolgáló között. Ha azonban az internetkapcsolattal rendelkező helyrendszert tartalmazó erdő megbízik a felhasználói fiókokat tartalmazó erdőben, ez a konfiguráció támogatja az internetes eszközök felhasználóalapú házirendjeinek használatát, ha engedélyezi az Ügyfélházirendügyfélbeállítást: Felhasználói házirend-kérelmek engedélyezése az internetes ügyfelektől.
Az alábbi konfigurációk például azt mutatják be, hogy az IBCM mikor támogatja az internetes eszközökre vonatkozó felhasználói szabályzatokat:
Az internetalapú felügyeleti pont a szegélyhálózaton található. A hálózat egy írásvédett tartományvezérlővel is rendelkezik a felhasználó hitelesítéséhez. A szegélyhálózat és a belső hálózatok közötti tűzfal lehetővé teszi az Active Directory-csomagok használatát.
A felhasználói fiók az intranet-alapú erdőben található. Az internetalapú felügyeleti pont a szegélyhálózat-alapú erdőben található. A szegélyerdő megbízik a belső erdőben. A szegélyhálózat és a belső hálózatok közötti tűzfal lehetővé teszi a hitelesítési csomagok használatát.
A felhasználói fiók és az internetalapú felügyeleti pont egyaránt az intranet-alapú erdőben található. A felügyeleti pontot egy webproxy-kiszolgálóval teheti közzé az interneten.
Webproxy-kiszolgáló használata
Az internetes helyrendszereket elhelyezheti az intraneten, amikor webproxy-kiszolgálóval teszi közzé őket az interneten. Konfigurálja ezeket a helyrendszereket csak az internetről, illetve az internetről és az intranetről érkező ügyfélkapcsolatokhoz. Ha webproxy-kiszolgálót használ, konfigurálhatja a Secure Sockets Layer (SSL) ssl- vagy SSL-bújtatásra való áthidalásához.
SSL-áthidalás SSL-hez
Az SSL-áthidalás az ajánlott és biztonságosabb konfiguráció, mivel ssl-lezárást használ hitelesítéssel. Számítógép-hitelesítéssel hitelesíti az ügyfélszámítógépeket. A Configuration Manager regisztrált mobileszközök nem támogatják az SSL-áthidalást.
A proxy ssl-lezárással megvizsgálja az internetről érkező csomagokat, mielőtt a belső hálózatra továbbítja őket. A proxy hitelesíti a kapcsolatot az ügyféltől, megszakítja azt, majd új hitelesített kapcsolatot nyit meg az internetalapú helyrendszerekkel. Ha Configuration Manager-ügyfelek proxyt használnak, az ügyfél biztonságosan tartalmazza az identitását (GUID) a csomag hasznos adataiban. A felügyeleti pont nem tekinti a proxyt ügyfélnek. Configuration Manager nem támogatja a HTTP-ről HTTPS-re, illetve HTTPS-ről HTTP-ra történő áthidalást.
Megjegyzés:
Configuration Manager nem támogatja a külső SSL-áthidaló konfigurációk beállítását. Például Citrix Netscaler vagy F5 BIG-IP. Az eszköz gyártójával együttműködve konfigurálja a Configuration Manager való használatra.
Tunneling
Ha a proxy webkiszolgálója nem tudja támogatni az SSL-áthidalás követelményeit, Configuration Manager az SSL-bújtatást is támogatja. Ssl-bújtatást is használhat a Configuration Manager regisztrált mobileszközök támogatására. Ez egy kevésbé biztonságos lehetőség, mert a proxy ssl-lezárás nélkül továbbítja az SSL-csomagokat az internetről a helyrendszereknek. A proxy nem vizsgálja meg a csomagokat, hogy kártékony tartalmat keres-e. SSL-bújtatás használatakor a proxy webkiszolgálóra nem vonatkoznak tanúsítványkövetelmények.
Internetalapú ügyfelek tervezése
Döntse el, hogy konfigurálja-e az internetes ügyfeleket az intraneten és az interneten történő felügyeletre, vagy csak internetes ügyfélfelügyeletre. Ezt a felügyeleti beállítást csak az ügyfél telepítése során konfigurálhatja. Ha később módosítani szeretné, telepítse újra az ügyfelet.
Megjegyzés:
Ha úgy konfigurál egy felügyeleti pontot, hogy támogassa az internetalapú ügyfeleket, az ehhez a felügyeleti ponthoz csatlakozó ügyfelek internetképessé válnak, amikor legközelebb frissítik az elérhető felügyeleti pontok listáját.
Nem kell korlátoznia a csak internetes ügyfélfelügyelet konfigurálását az internetre. Az intraneten is használhatja.
A csak internetes felügyeletre konfigurált ügyfelek csak az internetről érkező ügyfélkapcsolatokhoz konfigurált helyrendszerekkel kommunikálnak. Használja ezt a konfigurációt a következő forgatókönyvekben:
- Olyan számítógépek esetén, amelyekről tudja, soha nem fog csatlakozni az intranethez. Például a távoli helyeken található értékesítési pontok számítógépei.
- Az ügyfélkommunikáció korlátozása csak HTTPS-kapcsolatra. Például a tűzfal és a korlátozott biztonsági szabályzatok támogatásához.
- Ha internetes helyrendszereket telepít egy szegélyhálózaton, és ezeket a kiszolgálókat Configuration Manager ügyfélként szeretné kezelni.
Megjegyzés:
Ha munkacsoport-ügyfeleket szeretne kezelni az interneten, telepítse őket csak internetre.
Amikor egy mobileszközt internetes felügyeleti pont használatára konfigurál, az automatikusan csak internetesként lesz konfigurálva.
Konfigurálhat más ügyfeleket az internetes és az intranetes ügyfélfelügyelethez is. Amikor hálózatváltozást észlelnek, automatikusan váltanak az IBCM és az intranetes ügyfélfelügyelet között. Ha ezek az ügyfelek olyan felügyeleti pontot találnak, amely támogatja az intranetes ügyfélkapcsolatokat, ezeket az ügyfeleket intranetes ügyfélként kezeli a rendszer. Az intranetes ügyfelek teljes körű Configuration Manager funkciókkal rendelkeznek. Ha az ügyfelek nem találnak vagy nem tudnak csatlakozni egy olyan felügyeleti ponthoz, amely támogatja az intranetes ügyfélkapcsolatokat, megpróbálnak csatlakozni egy internetalapú felügyeleti ponthoz. Ha ez a művelet sikeres, ezeket az ügyfeleket a hozzájuk rendelt hely internetes helyrendszerei kezelik.
Az automatikus váltás előnye, hogy az ügyfelek minden funkciót használhatnak, amikor az intranethez csatlakoznak, és alapvető felügyeletet kapnak, amikor az interneten vannak. Az interneten megkezdett tartalomletöltés zökkenőmentesen folytatódhat az intraneten, és fordítva.
Előfeltételek
A Configuration Manager-ben az IBCM a következő függőségekkel rendelkezik:
Az ügyfeleknek internetkapcsolatra van szükségük. Configuration Manager az eszköz meglévő internetkapcsolatát használja. A mobileszközöknek közvetlen internetkapcsolattal kell rendelkezniük. A teljes ügyfélszámítógépek közvetlen internetkapcsolattal vagy proxy webkiszolgálóval csatlakozhatnak.
Az IBCM-et támogató helyrendszereknek internetkapcsolatra van szükségük, és Active Directory-tartományban kell lenniük. Az internetalapú helyrendszerek nem igényelnek megbízhatósági kapcsolatot a helykiszolgáló Active Directory-erdőjével. Ha azonban az internetalapú felügyeleti pont Windows-hitelesítéssel hitelesíti a felhasználót, támogatja a felhasználói házirendeket. Ha a Windows-hitelesítés sikertelen, csak az eszközszabályzatokat támogatja.
Megjegyzés:
A felhasználói házirendek támogatásához engedélyezze a következő ügyfélbeállításokat is az Ügyfélházirend csoportban:
- Felhasználói szabályzatok lekérdezésének engedélyezése az ügyfeleken
- Felhasználói házirendek internetes ügyfelektől érkező kéréseinek engedélyezése
Nyilvános kulcsú infrastruktúra (PKI) az internetalapú ügyfelek és helyrendszer-kiszolgálók szükséges tanúsítványainak üzembe helyezéséhez és kezeléséhez. További információ: PKI-tanúsítványkövetelmények.
Regisztrálja a nyilvános DNS-állomásbejegyzéseket az IBCM-et támogató helyrendszerek internetes teljes tartományneveihez (FQDN).
Engedélyezze a PKI-ügyféltanúsítvány (ügyfél-hitelesítési képesség) használatát a helytulajdonságok Kommunikációs biztonság lapján. Ez a beállítás kötelező.
Ügyfélkommunikációs követelmények
A beavatkozó tűzfalaknak vagy proxykiszolgálóknak engedélyeznie kell az ügyfélkommunikációt az internetalapú helyrendszerek számára:
HTTP 1.1 támogatása
Többrészes MIME-melléklet HTTP-tartalomtípusának engedélyezése (többrészes/vegyes és alkalmazás/oktett-stream)
Igék
Engedélyezze a következő parancsokat az internetalapú helyrendszer-kiszolgálói szerepkörökhöz:
| Szerepkör | Igék |
|---|---|
| Felügyeleti pont | -FEJ - CCM_POST - BITS_POST -KAP - PROPFIND |
| Terjesztési pont | -FEJ -KAP - PROPFIND |
| Tartalék állapotkezelő pont | POST |
HTTP-fejlécek
Engedélyezze a következő HTTP-fejléceket az internetalapú helyrendszer-kiszolgálói szerepkörökhöz:
| Szerepkör | HTTP-fejlécek |
|---|---|
| Felügyeleti pont | -Tartomány: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: - CCMClientTimestampsSignature: |
| Terjesztési pont | Tartomány: |
Ha hasonló kommunikációs követelményeket szeretne, amikor szoftverfrissítési pontot használ az internetről érkező ügyfélkapcsolatokhoz, tekintse meg a Windows Server Update Services (WSUS) dokumentációját.
Nem támogatott funkciók
Nem minden ügyfélfelügyeleti funkció felel meg az internetnek. Configuration Manager nem támogat bizonyos szolgáltatásokat az interneten lévő ügyfelek számára. Ezek a nem támogatott funkciók általában Active Directory tartományi szolgáltatások támaszkodnak, vagy nem megfelelőek a nyilvános hálózatokhoz.
A következő szolgáltatások nem támogatottak, ha az IBCM-et használva kezeli az ügyfeleket az interneten:
Ügyféltelepítés az interneten keresztül, például ügyfél leküldéses és szoftverfrissítés-alapú ügyféltelepítés. Használjon manuális ügyféltelepítést.
Automatikus helyhozzárendelés
Hálózati ébresztés
Operációs rendszer üzembe helyezése. Azonban olyan feladatütemezéseket is telepíthet, amelyek nem telepítenek operációs rendszert.
Távirányító
Szoftvertelepítés a felhasználók számára. Ez a funkció az alkalmazáskatalógusra támaszkodott, amely már nem támogatott.
Ügyfélroaming. A roaming lehetővé teszi, hogy az ügyfelek mindig megtalálják a tartalom letöltéséhez legközelebbi terjesztési pontokat. Az ügyfelek nem determinisztikus módon választják ki az internetalapú helyrendszerek egyikét, függetlenül a sávszélességtől vagy a fizikai helytől.
Ha úgy konfigurál egy szoftverfrissítési pontot, hogy fogadja az internetről érkező kapcsolatokat, az internetalapú ügyfelek mindig ezt a szoftverfrissítési pontot ellenőrzik annak megállapításához, hogy mely szoftverfrissítésekre van szükség. Amikor ezek az ügyfelek az interneten vannak, először megpróbálják letölteni a szoftverfrissítéseket Microsoft Update-ből, nem pedig egy internetes terjesztési pontról. Ha ez a viselkedés nem sikerül, megpróbálják letölteni a szükséges szoftverfrissítéseket egy internetes terjesztési pontról.
Tipp
A Configuration Manager-ügyfél automatikusan meghatározza, hogy az intraneten vagy az interneten található-e. Ha az ügyfél kapcsolatba tud lépni egy tartományvezérlővel vagy egy helyszíni felügyeleti ponttal, a kapcsolat típusát "Aktuális intranet" értékre állítja. Ellenkező esetben "Aktuális internet" állapotra vált, és kommunikál a helyéhez rendelt helyrendszerekkel.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: