Clientbeheer via internet plannen in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Gebruik internetclientbeheer (IBCM) om Configuration Manager clients te beheren wanneer ze niet zijn verbonden met uw interne netwerk. Voordelen van het gebruik van IBCM:
- Volledig beheer van servers en rollen die de service leveren
- Geen cloudserviceafhankelijkheid
- Er is mogelijk geen VPN (Virtual Private Network) vereist
- Alle kosten zijn gekoppeld aan de on-premises service
Vanwege de hogere beveiligingsvereisten voor het beheren van clientcomputers op een openbaar netwerk, vereist IBCM het gebruik van PKI-certificaten. Deze configuratie zorgt ervoor dat verbindingen worden geverifieerd door een onafhankelijke instantie. Wanneer IBCM-clients en -siteservers gegevens verzenden, worden deze versleuteld en veilig.
Clientcommunicatie
De volgende sitesysteemrollen op primaire sites ondersteunen verbindingen van clients die zich op niet-vertrouwde locaties bevinden:
Opmerking
Hoewel IBCM zich voornamelijk richt op het internetscenario, is hetzelfde gedrag van toepassing op clients in een niet-vertrouwd Active Directory-forest. Secundaire sites bieden geen ondersteuning voor clientverbindingen vanaf niet-vertrouwde locaties.
Certificaatregistratiepunt voor de Configuration Manager beleidsmodule (NDES)
Waarschuwing
Vanaf versie 2203 wordt het certificaatregistratiepunt niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.
Distributiepunt
Cloudbeheergateway (CMG) met inhoud
Proxypunt voor inschrijving
Terugvalstatuspunt
Beheerpunt
Software-updatepunt
Over internetgerichte sitesystemen
Er is geen vertrouwensrelatie tussen het forest van een client en dat van de sitesysteemserver vereist. Wanneer het forest met een internetgericht sitesysteem echter het forest vertrouwt dat de gebruikersaccounts bevat, ondersteunt deze configuratie beleid op basis van gebruikers voor apparaten op internet wanneer u de clientinstelling ClientbeleidsclientinstellingGebruikersbeleidsaanvragen van internetclients inschakelen inschakelt.
De volgende configuraties laten bijvoorbeeld zien wanneer IBCM ondersteuning biedt voor gebruikersbeleid voor apparaten op internet:
Het op internet gebaseerde beheerpunt bevindt zich in het perimeternetwerk. Dat netwerk heeft ook een alleen-lezen domeincontroller om de gebruiker te verifiëren. Een firewall tussen de perimeter en interne netwerken staat Active Directory-pakketten toe.
Het gebruikersaccount bevindt zich in het intranetforest. Het beheerpunt op basis van internet bevindt zich in het perimeterforest. Het perimeterforest vertrouwt het interne forest. Een firewall tussen de perimeter en interne netwerken staat de verificatiepakketten toe.
Het gebruikersaccount en het beheerpunt op internet bevinden zich beide in het intranetforest. U publiceert het beheerpunt op internet met een webproxyserver.
Een webproxyserver gebruiken
U kunt op internet gebaseerde sitesystemen in het intranet plaatsen wanneer u deze op internet publiceert met een webproxyserver. Configureer deze sitesystemen voor clientverbindingen alleen vanaf internet of clientverbindingen vanaf internet en intranet. Wanneer u een webproxyserver gebruikt, kunt u deze configureren voor SSL-overbrugging (Secure Sockets Layer) naar SSL- of SSL-tunneling.
SSL-bridging naar SSL
SSL-overbrugging naar SSL is de aanbevolen en veiligere configuratie, omdat deze gebruikmaakt van SSL-beëindiging met verificatie. Clientcomputers worden geverifieerd met computerverificatie. Mobiele apparaten die u bij Configuration Manager inschrijft, bieden geen ondersteuning voor SSL-bridging.
Met SSL-beëindiging bij de proxy inspecteert het pakketten van internet voordat deze worden doorgestuurd naar het interne netwerk. De proxy verifieert de verbinding van de client, beëindigt deze en opent vervolgens een nieuwe geverifieerde verbinding met de op internet gebaseerde sitesystemen. Wanneer Configuration Manager clients een proxy gebruiken, bevat de client veilig de identiteit (GUID) in de pakketlading. Het beheerpunt beschouwt de proxy niet als de client. Configuration Manager biedt geen ondersteuning voor overbrugging met HTTP naar HTTPS of van HTTPS naar HTTP.
Opmerking
Configuration Manager biedt geen ondersteuning voor het instellen van SSL-overbruggingsconfiguraties van derden. Bijvoorbeeld Citrix Netscaler of F5 BIG-IP. Neem contact op met de leverancier van uw apparaat om het te configureren voor gebruik met Configuration Manager.
Tunneling
Als uw proxywebserver de vereisten voor SSL-bridging niet kan ondersteunen, ondersteunt Configuration Manager ook SSL-tunneling. U kunt SSL-tunneling ook gebruiken om mobiele apparaten te ondersteunen die u bij Configuration Manager inschrijft. Dit is een minder veilige optie omdat de proxy de SSL-pakketten van internet doorstuurt naar de sitesystemen zonder SSL-beëindiging. De proxy inspecteert de pakketten niet op schadelijke inhoud. Wanneer u SSL-tunneling gebruikt, zijn er geen certificaatvereisten voor de proxywebserver.
Plannen voor internetclients
Bepaal of u uw internetclients wilt configureren voor beheer op zowel intranet als internet, of voor clientbeheer met alleen internet. U kunt deze beheeroptie alleen configureren tijdens de clientinstallatie. Als u deze later wilt wijzigen, installeert u de client opnieuw.
Opmerking
Als u een beheerpunt configureert ter ondersteuning van op internet gebaseerde clients, worden clients die verbinding maken met dit beheerpunt internet-compatibel wanneer ze hun lijst met beschikbare beheerpunten vernieuwen.
U hoeft de configuratie van clientbeheer met alleen internet niet te beperken tot internet. U kunt deze ook gebruiken op het intranet.
Clients die u configureert voor alleen-internetbeheer communiceren alleen met de sitesystemen die u configureert voor clientverbindingen vanaf internet. Gebruik deze configuratie in de volgende scenario's:
- Voor computers die u weet dat ze nooit verbinding zullen maken met uw intranet. Bijvoorbeeld verkooppuntcomputers op externe locaties.
- Clientcommunicatie beperken tot alleen HTTPS. Bijvoorbeeld om firewall- en beperkt beveiligingsbeleid te ondersteunen.
- Wanneer u op internet gebaseerde sitesystemen installeert in een perimeternetwerk en u deze servers wilt beheren als Configuration Manager clients.
Opmerking
Als u werkgroepclients op internet wilt beheren, installeert u deze als alleen-internet.
Wanneer u een mobiel apparaat configureert voor het gebruik van een op internet gebaseerd beheerpunt, wordt het automatisch geconfigureerd als alleen internet.
U kunt andere clients configureren voor zowel internet- als intranetclientbeheer. Wanneer ze een wijziging van het netwerk detecteren, schakelen ze automatisch tussen IBCM en intranetclientbeheer. Als deze clients een beheerpunt kunnen vinden en verbinding kunnen maken met clientverbindingen op het intranet, worden deze clients beheerd als intranetclients. Intranetclients hebben volledige Configuration Manager functionaliteit. Als de clients een beheerpunt dat clientverbindingen op het intranet ondersteunt, niet kunnen vinden of er geen verbinding mee kunnen maken, proberen ze verbinding te maken met een beheerpunt op internet. Als deze actie slaagt, worden deze clients vervolgens beheerd door de op internet gebaseerde sitesystemen in de toegewezen site.
Het voordeel van automatisch schakelen is dat clients alle functies kunnen gebruiken wanneer ze verbinding maken met het intranet en essentieel beheer ontvangen wanneer ze op internet zijn. Het downloaden van inhoud die op internet begint, kan naadloos worden hervat op het intranet en andersom.
Voorwaarden
IBCM in Configuration Manager heeft de volgende afhankelijkheden:
Voor clients is een internetverbinding vereist. Configuration Manager maakt gebruik van de bestaande internetverbinding van het apparaat. Mobiele apparaten moeten een directe internetverbinding hebben. Volledige clientcomputers kunnen een directe internetverbinding hebben of verbinding maken via een proxywebserver.
Sitesystemen die IBCM ondersteunen, vereisen een internetverbinding en moeten zich in een Active Directory-domein bevinden. De op internet gebaseerde sitesystemen vereisen geen vertrouwensrelatie met het Active Directory-forest van de siteserver. Wanneer het beheerpunt op internet de gebruiker echter kan verifiëren met behulp van Windows-verificatie, ondersteunt het gebruikersbeleid. Als Windows-verificatie mislukt, wordt alleen apparaatbeleid ondersteund.
Opmerking
Als u gebruikersbeleid wilt ondersteunen, schakelt u ook de volgende clientinstellingen in de groep Clientbeleid in:
- Polling van gebruikersbeleid op clients inschakelen
- Gebruikersbeleidsaanvragen van internetclients inschakelen
Een openbare-sleutelinfrastructuur (PKI) voor het implementeren en beheren van de vereiste certificaten voor internetclients en sitesysteemservers. Zie PKI-certificaatvereisten voor meer informatie.
Registreer vermeldingen van openbare DNS-host voor de FQDN(FQDN)-namen (Fully Qualified Domain Names) van sitesystemen die IBCM ondersteunen.
Schakel de optie PKI-clientcertificaat gebruiken (clientverificatiemogelijkheid) in wanneer deze beschikbaar is op het tabblad Communicatiebeveiliging van de site-eigenschappen. Deze optie is vereist.
Vereisten voor clientcommunicatie
Tussenliggende firewalls of proxyservers moeten clientcommunicatie voor op internet gebaseerde sitesystemen toestaan:
Ondersteuning voor HTTP 1.1
HTTP-inhoudstype van meerdelige MIME-bijlage toestaan (multipart/mixed en toepassing/octet-stream)
Werkwoorden
Sta de volgende werkwoorden toe voor de op internet gebaseerde sitesysteemserverfuncties:
| Rol | Werkwoorden |
|---|---|
| Beheerpunt | -HOOFD - CCM_POST - BITS_POST -TOEVOEGEN - PROPFIND |
| Distributiepunt | -HOOFD -TOEVOEGEN - PROPFIND |
| Terugvalstatuspunt | VERZENDEN |
HTTP-headers
Sta de volgende HTTP-headers toe voor de sitesysteemserverfuncties op internet:
| Rol | HTTP-headers |
|---|---|
| Beheerpunt | -Bereik: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: - CCMClientTimestampsSignature: |
| Distributiepunt | Bereik: |
Raadpleeg de documentatie voor Windows Server Update Services (WSUS) voor vergelijkbare communicatievereisten wanneer u het software-updatepunt voor clientverbindingen vanaf internet gebruikt.
Niet-ondersteunde functies
Niet alle functionaliteit voor clientbeheer is geschikt voor internet. Configuration Manager biedt geen ondersteuning voor sommige functies voor clients op internet. Deze niet-ondersteunde functies zijn doorgaans afhankelijk van Active Directory Domain Services of zijn niet geschikt voor een openbaar netwerk.
De volgende functies worden niet ondersteund wanneer u clients op internet beheert met IBCM:
Clientimplementatie via internet, zoals clientpush en clientimplementatie op basis van software-update. Gebruik handmatige clientinstallatie.
Automatische sitetoewijzing
Wake-on-LAN
Implementatie van het besturingssysteem. U kunt echter takenreeksen implementeren die geen besturingssysteem implementeren.
Afstandsbediening
Software-implementatie voor gebruikers. Deze functie was afhankelijk van de toepassingscatalogus, die niet meer wordt ondersteund.
Clientroaming. Met roaming kunnen clients altijd de dichtstbijzijnde distributiepunten vinden om inhoud te downloaden. Clients selecteren niet-deterministisch een van de op internet gebaseerde sitesystemen, ongeacht de bandbreedte of fysieke locatie.
Wanneer u een software-updatepunt configureert om verbindingen van internet te accepteren, scannen internetclients altijd op dit software-updatepunt om te bepalen welke software-updates vereist zijn. Wanneer deze clients zich op internet bevinden, proberen ze eerst de software-updates te downloaden van Microsoft Update, in plaats van vanaf een distributiepunt op internet. Als dit gedrag mislukt, proberen ze de vereiste software-updates te downloaden van een distributiepunt op internet.
Tip
De Configuration Manager-client bepaalt automatisch of deze zich op het intranet of internet bevindt. Als de client contact kan opnemen met een domeincontroller of een on-premises beheerpunt, wordt het verbindingstype ingesteld op 'Momenteel intranet'. Anders schakelt het over naar 'Momenteel internet' en communiceert het met de sitesystemen die aan de site zijn toegewezen.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor