클라우드 관리 게이트웨이에 대한 토큰 기반 인증

  • 아티클

적용 대상: Configuration Manager(현재 분기)

CMG(클라우드 관리 게이트웨이)는 다양한 유형의 클라이언트를 지원하지만 고급 HTTP를 사용하더라도 이러한 클라이언트에는 클라이언트 인증 인증서가 필요합니다. 이 인증서 요구 사항은 내부 네트워크에 자주 연결되지 않고, Microsoft Entra ID를 조인할 수 없으며, PKI 발급 인증서를 설치하는 방법이 없는 인터넷 기반 클라이언트에서 프로비전하기가 어려울 수 있습니다.

이러한 문제를 해결하기 위해 Configuration Manager 디바이스에 자체 인증 토큰을 발급하여 디바이스 지원을 확장합니다. 이 기능을 최대한 활용하려면 사이트를 업데이트한 후 클라이언트도 최신 버전으로 업데이트합니다. 클라이언트 버전도 최신 버전이 될 때까지 전체 시나리오가 작동하지 않습니다. 필요한 경우 새 클라이언트 버전을 프로덕션으로 승격해야 합니다.

클라이언트는 처음에 다음 두 가지 방법 중 하나를 사용하여 이러한 토큰을 등록합니다.

  • 내부 네트워크

  • 대량 등록

Configuration Manager 클라이언트는 관리 지점과 함께 이 토큰을 관리하므로 OS 버전 종속성이 없습니다. 이 기능은 지원되는 모든 클라이언트 OS 버전에서 사용할 수 있습니다.

참고

이러한 메서드는 디바이스 중심 관리 시나리오만 지원합니다.

디바이스를 Microsoft Entra ID에 조인하는 것이 좋습니다. 인터넷 기반 디바이스는 Microsoft Entra ID를 사용하여 Configuration Manager 인증할 수 있습니다. 또한 디바이스가 인터넷에 있거나 내부 네트워크에 연결되어 있는지 여부에 관계없이 디바이스 및 사용자 시나리오를 모두 사용할 수 있습니다. 자세한 내용은 Microsoft Entra ID를 사용하여 클라이언트 설치 및 등록을 참조하세요.

클라이언트 설정의 클라우드 서비스 그룹에서 클라이언트가 클라우드 관리 게이트웨이를 사용하도록 설정 해야 합니다 . 사이트 토큰이 있더라도 클라이언트 설정에서 허용하지 않는 경우 클라이언트는 CMG와 통신할 수 없습니다. 자세한 내용은 클라이언트 설정 정보: 클라우드 서비스를 참조하세요.

내부 네트워크 등록

이 메서드를 사용하려면 클라이언트가 먼저 내부 네트워크의 관리 지점에 등록해야 합니다. 클라이언트 등록은 일반적으로 설치 직후에 발생합니다. 관리 지점은 자체 서명된 인증서를 사용 중임을 보여 주는 고유한 토큰을 클라이언트에 제공합니다. 클라이언트가 인터넷으로 로밍할 때 CMG와 통신하기 위해 자체 서명된 인증서를 관리 지점 발급 토큰과 페어링합니다.

사이트는 기본적으로 이 동작을 사용하도록 설정합니다.

참고

HTTPS 관리 지점을 사용하면 클라이언트는 인터넷/인트라넷 관리 지점에 관계없이 먼저 등록해야 합니다. 클라이언트는 유효한 PKI 발급 인증서, Microsoft Entra 토큰 또는 대량 등록 토큰을 제공해야 합니다.

대량 등록 토큰

내부 네트워크에 클라이언트를 설치하고 등록할 수 없는 경우 대량 등록 토큰을 만듭니다. 클라이언트가 인터넷 기반 디바이스에 설치되고 CMG를 통해 등록할 때 이 토큰을 사용합니다. 대량 등록 토큰은 유효 기간이 짧으며 클라이언트 또는 사이트에 저장되지 않습니다. 이를 통해 클라이언트는 자체 서명된 인증서와 쌍을 이루는 고유한 토큰을 생성하여 CMG로 인증할 수 있습니다.

참고

대량 등록 토큰을 개별 클라이언트에 문제를 Configuration Manager 있는 토큰과 혼동하지 마세요. 대량 등록 토큰을 사용하면 클라이언트가 처음에 사이트를 설치하고 통신할 수 있습니다. 이 초기 통신은 사이트에서 클라이언트 자체의 고유한 클라이언트 인증 토큰을 발급할 수 있을 만큼 충분히 길다. 그런 다음 클라이언트는 인터넷에 있는 동안 사이트와의 모든 통신에 인증 토큰을 사용합니다. 초기 등록 외에도 클라이언트는 대량 등록 토큰을 사용하거나 저장하지 않습니다.

인터넷 기반 디바이스에서 클라이언트를 설치하는 동안 사용할 대량 등록 토큰을 만들려면 다음 작업을 완료합니다.

  1. 로컬 관리자 권한으로 계층 구조의 최상위 사이트 서버에 로그인합니다.

  2. 명령 프롬프트를 관리자 권한으로 엽니다.

  3. 사이트 서버BulkRegistrationTokenTool.exe\bin\X64 Configuration Manager 설치 디렉터리 폴더에서 도구를 실행합니다. 매개 변수를 사용하여 새 토큰을 만듭니다 /new . 예를 들면 BulkRegistrationTokenTool.exe /new와 같습니다. 자세한 내용은 대량 등록 토큰 도구 사용을 참조하세요.

  4. 토큰을 복사하여 안전한 위치에 저장합니다.

  5. 인터넷 기반 디바이스에 Configuration Manager 클라이언트를 설치합니다. 클라이언트 설치 매개 변수 /regtoken를 포함합니다. 다음 예제 명령줄에는 다른 필수 설정 매개 변수 및 속성이 포함됩니다.

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    이 명령줄에 대한 자세한 내용은 Microsoft Entra ID를 사용하여 클라이언트 설치 및 등록을 참조하세요. 이 프로세스는 비슷하며 Microsoft Entra 속성을 사용하지 않습니다.

확인하려면 유사한 항목에 대해 다음 로그 파일을 검토합니다.

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

설치 문제를 해결하려면 클라이언트를 검토 %WinDir%\ccmsetup\logs\ccmsetup.log 합니다. 설치 후 를 검토합니다 %WinDir%\ccm\logs\ClientIDManagerStartup.log.

서버에서 다음 로그를 검토합니다.

  • CMG 로그
  • 관리 포인트
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

대량 등록 토큰 도구 사용

도구는 BulkRegistrationTokenTool.exe\bin\X64 사이트 서버의 Configuration Manager 설치 디렉터리의 폴더에 있습니다. 사이트 서버에 로그인하고 관리자 권한으로 실행합니다. 다음 명령줄 매개 변수를 지원합니다.

  • /?
  • /new
  • /lifetime

/?

이 사용 정보를 표시합니다.

예: BulkRegistrationTokenTool.exe /?

/new

새 대량 등록 토큰을 만듭니다.

예: BulkRegistrationTokenTool.exe /new

도구는 다음 정보를 표시합니다.

  • 사이트에서 발급된 토큰을 추적하는 데 사용하는 GUID
  • 토큰 유효 기간(기본적으로 3일)입니다.
  • 대량 등록 토큰입니다.

토큰은 클라이언트 또는 사이트에 저장되지 않습니다. 명령 프롬프트에서 토큰을 복사하고 안전한 위치에 저장해야 합니다.

/lifetime

매개 변수와 함께 /new 를 사용하여 토큰의 토큰 유효 기간을 지정합니다. 정수 값을 분 단위로 지정합니다. 기본값은 4,320(3일)입니다. 최대값은 10,080(7일)입니다.

예: BulkRegistrationTokenTool.exe /lifetime 4320

대량 등록 토큰 관리

Configuration Manager 콘솔에서 이전에 만든 대량 등록 토큰 및 해당 수명을 확인하고 필요한 경우 사용을 차단할 수 있습니다. 그러나 사이트 데이터베이스는 대량 등록 토큰을 저장하지 않습니다.

대량 등록 토큰 검토

  1. Configuration Manager 콘솔에서 관리 작업 영역으로 이동합니다.

  2. 보안을 확장하고 인증서 노드를 선택합니다. 콘솔에는 세부 정보 창의 모든 사이트 관련 인증서 및 대량 등록 토큰이 나열됩니다.

  3. 검토할 대량 등록 토큰을 선택합니다.

형식 열에서 필터링하거나 정렬할 수 있습니다. GUID에 따라 특정 대량 등록 토큰을 식별합니다. 대량 등록 토큰을 만들면 도구에 GUID가 표시됩니다.

대량 등록 토큰 차단

  1. Configuration Manager 콘솔에서 관리 작업 영역으로 이동합니다.

  2. 보안을 확장하고 인증서 노드를 선택한 다음 차단할 대량 등록 토큰을 선택합니다.

  3. 리본 표시줄의 탭 또는 오른쪽 클릭 상황에 맞는 메뉴에서 차단을 선택합니다. 이전에 차단된 대량 등록 토큰의 차단을 해제하려면 차단 해제 작업을 선택합니다.

토큰 갱신

클라이언트는 한 달에 한 번 고유한 Configuration Manager 발급된 토큰을 갱신하며 90일 동안 유효합니다. 클라이언트는 토큰을 갱신하기 위해 내부 네트워크에 연결할 필요가 없습니다. 토큰이 여전히 유효한 한 CMG를 사용하여 사이트에 연결하는 것으로 충분합니다. 90일 이내에 토큰이 갱신되지 않은 경우 클라이언트는 내부 네트워크의 관리 지점에 직접 연결하여 새 토큰을 받아야 합니다.

대량 등록 토큰은 갱신할 수 없습니다. 대량 등록 토큰이 만료되면 CMG를 사용하여 인터넷 기반 디바이스 등록을 위한 새 토큰을 생성합니다.

참고 항목