Configuration Manager 인터넷 기반 클라이언트 관리 계획

아티클
04/04/2023

적용 대상: Configuration Manager(현재 분기)

IBCM(인터넷 기반 클라이언트 관리)을 사용하여 내부 네트워크에 연결되지 않은 Configuration Manager 클라이언트를 관리합니다. IBCM 사용의 이점:

서비스를 제공하는 서버 및 역할의 모든 권한
클라우드 서비스 종속성 없음
VPN(가상 사설망)이 필요하지 않을 수 있음
모든 비용은 온-프레미스 서비스와 연결됩니다.

공용 네트워크에서 클라이언트 컴퓨터를 관리하기 위한 보안 요구 사항이 높기 때문에 IBCM은 PKI 인증서를 사용해야 합니다. 이 구성은 독립적인 기관에서 연결을 인증하는지 확인합니다. IBCM 클라이언트와 사이트 서버가 데이터를 보내면 암호화되고 안전합니다.

클라이언트 통신

기본 사이트의 다음 사이트 시스템 역할은 신뢰할 수 없는 위치에 있는 클라이언트의 연결을 지원합니다.

참고

IBCM은 주로 인터넷 기반 시나리오에 중점을 두지만 신뢰할 수 없는 Active Directory 포리스트의 클라이언트에도 동일한 동작이 적용됩니다. 보조 사이트는 신뢰할 수 없는 위치의 클라이언트 연결을 지원하지 않습니다.

Configuration Manager 정책 모듈(NDES)에 대한 인증서 등록 지점

경고

버전 2203부터 인증서 등록 지점은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.
배포 지점
콘텐츠 지원 CMG(클라우드 관리 게이트웨이)
등록 프록시 지점
대체 상태 지점
관리 포인트
소프트웨어 업데이트 지점

인터넷 연결 사이트 시스템 정보

클라이언트의 포리스트와 사이트 시스템 서버 간에 트러스트를 가질 필요가 없습니다. 그러나 인터넷 연결 사이트 시스템이 포함된 포리스트가 사용자 계정이 포함된 포리스트를 신뢰하는 경우 이 구성은 클라이언트 정책 클라이언트 설정 인터넷 클라이언트에서 사용자 정책 요청 사용 설정을 사용하도록 설정할 때 인터넷의 디바이스에 대한 사용자 기반 정책을 지원합니다.

예를 들어 다음 구성은 IBCM이 인터넷의 디바이스에 대한 사용자 정책을 지원하는 경우를 보여 줍니다.

인터넷 기반 관리 지점은 경계 네트워크에 있습니다. 해당 네트워크에는 사용자를 인증하는 읽기 전용 도메인 컨트롤러도 있습니다. 경계와 내부 네트워크 간의 방화벽은 Active Directory 패킷을 허용합니다.
사용자 계정은 인트라넷 기반 포리스트에 있습니다. 인터넷 기반 관리 지점은 경계 기반 포리스트에 있습니다. 경계 포리스트는 내부 포리스트를 신뢰합니다. 경계와 내부 네트워크 간의 방화벽은 인증 패킷을 허용합니다.
사용자 계정과 인터넷 기반 관리 지점은 모두 인트라넷 기반 포리스트에 있습니다. 웹 프록시 서버를 사용하여 관리 지점을 인터넷에 게시합니다.

웹 프록시 서버 사용

웹 프록시 서버를 사용하여 인터넷에 게시할 때 인터넷 기반 사이트 시스템을 인트라넷에 배치할 수 있습니다. 인터넷에서만 클라이언트 연결 또는 인터넷 및 인트라넷의 클라이언트 연결에 대해 이러한 사이트 시스템을 구성합니다. 웹 프록시 서버를 사용하는 경우 SSL(Secure Sockets Layer) 브리징을 SSL 또는 SSL 터널링으로 구성할 수 있습니다.

SSL에 대한 SSL 브리징

SSL에 대한 SSL 브리징은 인증과 함께 SSL 종료를 사용하기 때문에 권장되고 더 안전한 구성입니다. 컴퓨터 인증을 사용하여 클라이언트 컴퓨터를 인증합니다. Configuration Manager 등록하는 모바일 디바이스는 SSL 브리징을 지원하지 않습니다.

프록시에서 SSL 종료를 사용하면 내부 네트워크로 전달하기 전에 인터넷에서 패킷을 검사합니다. 프록시는 클라이언트에서 연결을 인증하고 종료한 다음 인터넷 기반 사이트 시스템에 대한 인증된 새 연결을 엽니다. Configuration Manager 클라이언트가 프록시를 사용하는 경우 클라이언트는 패킷 페이로드에 ID(GUID)를 안전하게 포함합니다. 관리 지점은 프록시를 클라이언트로 간주하지 않습니다. Configuration Manager HTTP에서 HTTPS로 또는 HTTPS에서 HTTP로의 브리징을 지원하지 않습니다.

참고

Configuration Manager 타사 SSL 브리징 구성 설정을 지원하지 않습니다. 예를 들어 Citrix Netscaler 또는 F5 BIG-IP입니다. 디바이스 공급업체와 협력하여 Configuration Manager 사용하도록 구성하세요.

터널링

프록시 웹 서버가 SSL 브리징에 대한 요구 사항을 지원할 수 없는 경우 Configuration Manager SSL 터널링도 지원합니다. SSL 터널링을 사용하여 Configuration Manager 등록하는 모바일 디바이스를 지원할 수도 있습니다. 프록시가 SSL 종료 없이 인터넷에서 사이트 시스템으로 SSL 패킷을 전달하기 때문에 덜 안전한 옵션입니다. 프록시는 악의적인 콘텐츠에 대한 패킷을 검사하지 않습니다. SSL 터널링을 사용하는 경우 프록시 웹 서버에 대한 인증서 요구 사항이 없습니다.

인터넷 기반 클라이언트 계획

인트라넷과 인터넷 모두에서 관리하도록 인터넷 기반 클라이언트를 구성할지 아니면 인터넷 전용 클라이언트 관리를 위해 구성할지 결정합니다. 클라이언트를 설치하는 동안에만 이 관리 옵션을 구성할 수 있습니다. 나중에 변경하려면 클라이언트를 다시 설치합니다.

참고

인터넷 기반 클라이언트를 지원하도록 관리 지점을 구성하는 경우 이 관리 지점에 연결하는 클라이언트는 다음에 사용 가능한 관리 지점 목록을 새로 고칠 때 인터넷을 사용할 수 있게 됩니다.

인터넷 전용 클라이언트 관리의 구성을 인터넷으로 제한할 필요가 없습니다. 인트라넷에서도 사용할 수 있습니다.

인터넷 전용 관리를 위해 구성하는 클라이언트는 인터넷에서 클라이언트 연결을 위해 구성한 사이트 시스템과만 통신합니다. 다음 시나리오에서 이 구성을 사용합니다.

알고 있는 컴퓨터의 경우 인트라넷에 연결되지 않습니다. 예를 들어 원격 위치의 판매 지점 컴퓨터입니다.
클라이언트 통신을 HTTPS로만 제한합니다. 예를 들어 방화벽 및 제한된 보안 정책을 지원합니다.
경계 네트워크에 인터넷 기반 사이트 시스템을 설치하고 이러한 서버를 Configuration Manager 클라이언트로 관리하려는 경우

참고

인터넷에서 작업 그룹 클라이언트를 관리하려는 경우 인터넷 전용으로 설치합니다.

인터넷 기반 관리 지점을 사용하도록 모바일 디바이스를 구성하면 자동으로 인터넷 전용으로 구성됩니다.

인터넷 및 인트라넷 클라이언트 관리 모두에 대해 다른 클라이언트를 구성할 수 있습니다. 네트워크 변경이 감지되면 IBCM과 인트라넷 클라이언트 관리 간에 자동으로 전환됩니다. 이러한 클라이언트가 인트라넷에서 클라이언트 연결을 지원하는 관리 지점을 찾아 연결할 수 있는 경우 이러한 클라이언트는 인트라넷 클라이언트로 관리됩니다. 인트라넷 클라이언트에는 전체 Configuration Manager 기능이 있습니다. 클라이언트가 인트라넷에서 클라이언트 연결을 지원하는 관리 지점을 찾거나 연결할 수 없는 경우 인터넷 기반 관리 지점에 연결을 시도합니다. 이 작업이 성공하면 이러한 클라이언트는 할당된 사이트의 인터넷 기반 사이트 시스템에서 관리됩니다.

자동 전환의 이점은 클라이언트가 인트라넷에 연결할 때 모든 기능을 사용하고 인터넷에 있을 때 필수 관리를 받을 수 있다는 것입니다. 인터넷에서 시작되는 콘텐츠 다운로드는 인트라넷에서 원활하게 다시 시작할 수 있습니다.

필수 조건

Configuration Manager IBCM에는 다음과 같은 종속성이 있습니다.

클라이언트에는 인터넷 연결이 필요합니다. Configuration Manager 디바이스의 기존 인터넷 연결을 사용합니다. 모바일 디바이스에는 직접 인터넷 연결이 있어야 합니다. 전체 클라이언트 컴퓨터는 직접 인터넷 연결을 사용하거나 프록시 웹 서버를 사용하여 연결할 수 있습니다.
IBCM을 지원하는 사이트 시스템에는 인터넷 연결이 필요하며 Active Directory 도메인에 있어야 합니다. 인터넷 기반 사이트 시스템은 사이트 서버의 Active Directory 포리스트와 트러스트 관계가 필요하지 않습니다. 그러나 인터넷 기반 관리 지점이 Windows 인증 사용하여 사용자를 인증할 수 있는 경우 사용자 정책을 지원합니다. Windows 인증 실패하면 디바이스 정책만 지원합니다.
참고

사용자 정책을 지원하려면 클라이언트 정책 그룹에서 다음 클라이언트 설정을 사용하도록 설정합니다.
- 클라이언트에서 사용자 정책 폴링 사용
- 인터넷 클라이언트에서 사용자 정책 요청 사용
인터넷 기반 클라이언트 및 사이트 시스템 서버에 필요한 인증서를 배포하고 관리하는 PKI(공개 키 인프라)입니다. 자세한 내용은 PKI 인증서 요구 사항을 참조하세요.
IBCM을 지원하는 사이트 시스템의 인터넷 FQDN(정규화된 도메인 이름)에 대한 공용 DNS 호스트 항목을 등록합니다.
사이트 속성의 통신 보안 탭에서 사용할 수 있는 경우 PKI 클라이언트 인증서 사용(클라이언트 인증 기능) 옵션을 사용하도록 설정합니다. 이 옵션은 필수입니다.

클라이언트 통신 요구 사항

중간 방화벽 또는 프록시 서버는 인터넷 기반 사이트 시스템에 대한 클라이언트 통신을 허용해야 합니다.

HTTP 1.1 지원
다중 파트 MIME 첨부 파일의 HTTP 콘텐츠 형식 허용(multipart/mixed 및 application/octet-stream)

동사

인터넷 기반 사이트 시스템 서버 역할에 대해 다음 동사를 허용합니다.

역할	동사
관리 포인트	-머리 - CCM_POST - BITS_POST -가져오기 - PROPFIND
배포 지점	-머리 -가져오기 - PROPFIND
대체 상태 지점	POST

HTTP 헤더

인터넷 기반 사이트 시스템 서버 역할에 대해 다음 HTTP 헤더를 허용합니다.

역할	HTTP 헤더
관리 포인트	-범위: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: - CCMClientTimestampsSignature:
배포 지점	범위:

인터넷에서 클라이언트 연결에 소프트웨어 업데이트 지점을 사용하는 경우 유사한 통신 요구 사항은 WSUS(Windows Server Update Services 설명서)를 참조하세요.

지원되지 않는 기능

모든 클라이언트 관리 기능이 인터넷에 적합한 것은 아닙니다. Configuration Manager 인터넷의 클라이언트에 대한 일부 기능을 지원하지 않습니다. 지원되지 않는 이러한 기능은 일반적으로 Active Directory Domain Services 사용하거나 공용 네트워크에 적합하지 않습니다.

IBCM을 사용하여 인터넷에서 클라이언트를 관리하는 경우 다음 기능은 지원되지 않습니다.

클라이언트 푸시 및 소프트웨어 업데이트 기반 클라이언트 배포와 같은 인터넷을 통해 클라이언트 배포 수동 클라이언트 설치를 사용합니다.
자동 사이트 할당
Wake-on-LAN
OS 배포. 그러나 OS를 배포하지 않는 작업 순서를 배포할 수 있습니다.
원격 제어
사용자에게 소프트웨어 배포. 이 기능은 더 이상 지원되지 않는 애플리케이션 카탈로그에 의존했습니다.
클라이언트 로밍. 로밍을 사용하면 클라이언트가 항상 콘텐츠를 다운로드할 가장 가까운 배포 지점을 찾을 수 있습니다. 클라이언트는 대역폭 또는 물리적 위치에 관계없이 인터넷 기반 사이트 시스템 중 하나를 비결정적으로 선택합니다.

인터넷 연결을 허용하도록 소프트웨어 업데이트 지점을 구성하는 경우 인터넷 기반 클라이언트는 항상 이 소프트웨어 업데이트 지점을 검색하여 필요한 소프트웨어 업데이트를 확인합니다. 이러한 클라이언트가 인터넷에 있는 경우 먼저 인터넷 기반 배포 지점이 아닌 Microsoft 업데이트에서 소프트웨어 업데이트를 다운로드하려고 합니다. 이 동작이 실패하면 인터넷 기반 배포 지점에서 필요한 소프트웨어 업데이트를 다운로드하려고 합니다.

팁

Configuration Manager 클라이언트는 인트라넷 또는 인터넷에 있는지 여부를 자동으로 결정합니다. 클라이언트가 도메인 컨트롤러 또는 온-프레미스 관리 지점에 연결할 수 있는 경우 연결 유형을 "현재 인트라넷"으로 설정합니다. 그렇지 않으면 "현재 인터넷"으로 전환되고 사이트에 할당된 사이트 시스템과 통신합니다.