Op token gebaseerde verificatie voor cloudbeheergateway

Van toepassing op: Configuration Manager (current branch)

De CLOUD Management Gateway (CMG) ondersteunt veel soorten clients, maar zelfs met Enhanced HTTP hebben deze clients een clientverificatiecertificaat nodig. Deze certificaatvereiste kan lastig zijn om in te leveren op internet-clients die niet vaak verbinding maken met het interne netwerk, niet kunnen deelnemen aan Azure Active Directory (Azure AD) en geen methode hebben om een door PKI uitgegeven certificaat te installeren.

Om deze uitdagingen het hoofd te bieden, breidt Configuration Manager de apparaatondersteuning uit door eigen verificatietokens uit te geven op apparaten. Als u optimaal wilt profiteren van deze functie, werkt u na het bijwerken van de site ook clients bij naar de nieuwste versie. Het volledige scenario werkt pas als de clientversie ook de meest recente versie is. Zorg er indien nodig voor dat u de nieuwe clientversie promovert naar de productie.

Clients registreren zich in eerste instantie voor deze tokens met behulp van een van de volgende twee methoden:

  • Intern netwerk

  • Bulkregistratie

De Configuration Manager-client en het beheerpunt beheren dit token, dus er is geen osversieafhankelijkheid. Deze functie is beschikbaar voor elke ondersteunde clientversie van het besturingssysteem.

Notitie

Deze methoden ondersteunen alleen apparaatgerichte beheerscenario's.

Microsoft raadt u aan apparaten aan te sluiten bij Azure AD. Op internet gebaseerde apparaten kunnen Azure AD gebruiken om te verifiëren met Configuration Manager. Het maakt ook scenario's voor apparaten en gebruikers mogelijk, ongeacht of het apparaat zich op internet of verbonden met het interne netwerk. Zie De client installeren en registreren met Azure AD-identiteit voor meer informatie.

Zorg ervoor dat clients een cloudbeheergateway kunnen gebruiken in de groep cloudservices met clientinstellingen. Zelfs met een site-token kunnen clients niet communiceren met een CMG als clientinstellingen dit niet toestaan. Zie Over clientinstellingen : Cloudservices voor meer informatie.

Interne netwerkregistratie

Voor deze methode moet de client zich eerst registreren bij het beheerpunt op het interne netwerk. Clientregistratie vindt meestal direct na de installatie plaats. Het beheerpunt geeft de client een uniek token dat laat zien dat het een zelf ondertekend certificaat gebruikt. Wanneer de client op internet rondloopt, wordt het zelf ondertekende certificaat gekoppeld aan het door het beheerpunt uitgegeven token om te communiceren met de CMG.

De site schakelt dit gedrag standaard in.

Notitie

Met een HTTPS-beheerpunt moet de client zich eerst registreren, ongeacht internet/intranetbeheerpunt. De client moet een geldig door PKI uitgegeven certificaat, een Azure AD-token of een bulkregistratie-token presenteren.

Bulkregistratie-token

Als u geen clients in het interne netwerk kunt installeren en registreren, maakt u een bulkregistratie-token. Gebruik dit token wanneer de client op een internetapparaat wordt geïnstalleerd en registreert via de CMG. Het bulkregistratietoken heeft een korte geldigheidsperiode en wordt niet opgeslagen op de client of de site. Hiermee kan de client een uniek token genereren, dat is gekoppeld aan het zelf ondertekende certificaat, zodat deze kan worden geverifieerd met de CMG.

Notitie

Verwar bulkregistratietokens niet met de tokens die door Configuration Manager worden problemen met afzonderlijke clients. Met het bulkregistratie-token kan de client in eerste instantie de site installeren en communiceren. Deze eerste communicatie is lang genoeg om de site een eigen, unieke clientverificatie-token te geven. De client gebruikt vervolgens het verificatie-token voor alle communicatie met de site terwijl deze op internet is. Na de eerste registratie gebruikt of opgeslagen de client het bulkregistratietoken niet.

Als u een bulkregistratie-token wilt maken voor gebruik tijdens de installatie van de client op internetapparaten, moet u de volgende acties uitvoeren:

  1. Meld u aan bij de siteserver op het hoogste niveau in de hiërarchie met lokale beheerdersbevoegdheden.

  2. Open een opdrachtprompt-venster als beheerder.

  3. Voer het hulpprogramma uit vanuit de \bin\X64 map van de configuratiebeheerinstallatiemap op de siteserver: BulkRegistrationTokenTool.exe. Maak een nieuw token met de /new parameter. Bijvoorbeeld BulkRegistrationTokenTool.exe /new. Zie Bulk registration token tool usage (Bulk registration token tool usage) voor meer informatie.

  4. Kopieer het token en sla het op een veilige locatie op.

  5. Installeer de Configuration Manager-client op een apparaat op internet. Neem de clientinstallatieparameter op: /regtoken. De volgende voorbeeldopdrachtregel bevat de andere vereiste instellingsparameters en -eigenschappen:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Tip

    Zie De client installeren en registreren met azure AD-identiteit voor meer informatie over deze opdrachtregel. Dit proces is vergelijkbaar, maar gebruikt geen Azure AD-eigenschappen.

Controleer het volgende logboekbestand voor een soortgelijke vermelding om dit te verifiëren:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Als u problemen met de installatie wilt oplossen, controleert u %WinDir%\ccmsetup\logs\ccmsetup.log de client. Controleer na de installatie %WinDir%\ccm\logs\ClientIDManagerStartup.log.

Controleer op de server de volgende logboeken:

  • CMG-logboeken
  • Beheerpunt
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Bulksgewijs gebruik van registratie-token

Het BulkRegistrationTokenTool.exe hulpprogramma staat in de map \bin\X64 van de configuratiebeheerinstallatiemap op de siteserver. Meld u aan bij de siteserver en voer deze uit als beheerder. Het ondersteunt de volgende opdrachtregelparameters:

  • /?
  • /new
  • /lifetime

/?

Deze gebruiksgegevens weergeven.

Voorbeeld: BulkRegistrationTokenTool.exe /?

/new

Een nieuw bulkregistratie-token maken.

Voorbeeld: BulkRegistrationTokenTool.exe /new

In het hulpprogramma worden de volgende gegevens weergegeven:

  • Een GUID die de site gebruikt om uitgegeven tokens bij te houden
  • De geldigheidsperiode van het token, die standaard drie dagen is.
  • Het bulkregistratie-token.

Het token wordt niet opgeslagen op de client of op de site. Kopieer het token vanuit de opdrachtprompt en bewaar het op een veilige locatie.

/lifetime

Gebruik deze /new parameter om de geldigheidsduur van het token op te geven. Geef in enkele minuten een geheel getal op. De standaardwaarde is 4.320 (drie dagen). De maximumwaarde is 10.080 (zeven dagen).

Voorbeeld: BulkRegistrationTokenTool.exe /lifetime 4320

Bulkregistratie-tokenbeheer

U kunt eerder gemaakte bulkregistratietokens en hun levensduur zien in de Configuration Manager-console en zo nodig het gebruik ervan blokkeren. De sitedatabase bevat echter geen bulkregistratietokens.

Een bulkregistratie-token controleren

  1. Ga in de console Configuration Manager naar de werkruimte Beheer .

  2. Vouw Beveiliging uit en selecteer het knooppunt Certificaten. De console bevat alle sitegerelateerde certificaten en bulkregistratietokens in het detailvenster.

  3. Selecteer het bulkregistratie-token dat u wilt controleren.

U kunt filteren of sorteren op de kolom Type . Specifieke bulkregistratietokens identificeren op basis van hun GUID. Wanneer u een bulkregistratie-token maakt, wordt de GUID weergegeven.

Een bulkregistratie-token blokkeren

  1. Ga in de console Configuration Manager naar de werkruimte Beheer .

  2. Vouw Beveiliging uit, selecteer het knooppunt Certificaten en selecteer het bulkregistratie-token dat u wilt blokkeren.

  3. Selecteer Op het tabblad Start van de lintbalk of het snelmenu met de rechtermuisknop de optie Blokkeren. Als u eerder geblokkeerde bulkregistratietokens wilt deblokkeren, selecteert u de actie Blokkering opheffen.

Tokenvernieuwing

De client verlengt het unieke, door Configuration Manager uitgegeven token eenmaal per maand en is 90 dagen geldig. Een client hoeft geen verbinding te maken met het interne netwerk om het token te verlengen. Zolang het token nog geldig is, is verbinding maken met de site met een CMG voldoende. Als het token niet binnen 90 dagen wordt verlengd, moet de client rechtstreeks verbinding maken met een beheerpunt op een intern netwerk om een nieuw token te ontvangen.

U kunt een bulkregistratie-token niet verlengen. Wanneer een bulkregistratie-token is verlopen, genereert u een nieuw token voor apparaatregistratie op internet met behulp van een CMG.

Zie ook