Konfigurowanie uwierzytelniania klienta dla bramy zarządzania chmurą

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Następnym krokiem w konfiguracji bramy zarządzania chmurą jest skonfigurowanie sposobu uwierzytelniania klientów. Ponieważ ci klienci potencjalnie łączą się z usługą z niezaufanego publicznego Internetu, mają wyższe wymagania dotyczące uwierzytelniania. Dostępne są trzy opcje:

  • Microsoft Entra ID
  • Certyfikaty infrastruktury kluczy publicznych
  • Configuration Manager tokeny wystawione przez witrynę

W tym artykule opisano sposób konfigurowania każdej z tych opcji. Aby uzyskać więcej podstawowych informacji, zobacz Planowanie metod uwierzytelniania klienta cmg.

Microsoft Entra ID

Jeśli urządzenia internetowe działają Windows 10 lub nowszym, użyj Microsoft Entra nowoczesnego uwierzytelniania z usługą CMG. Ta metoda uwierzytelniania jest jedyną metodą, która umożliwia scenariusze zorientowane na użytkowników.

Ta metoda uwierzytelniania wymaga następujących konfiguracji:

  • Urządzenia muszą być przyłączone do domeny w chmurze lub Microsoft Entra przyłączone hybrydowo, a użytkownik potrzebuje również tożsamości Microsoft Entra.

    Porada

    Aby sprawdzić, czy urządzenie jest przyłączone do chmury, uruchom polecenie dsregcmd.exe /status w wierszu polecenia. Jeśli urządzenie jest Microsoft Entra przyłączone lub przyłączone hybrydowo, pole AzureAdjoined w wynikach zawiera wartość TAK. Aby uzyskać więcej informacji, zobacz polecenie dsregcmd — stan urządzenia.

  • Jednym z podstawowych wymagań dotyczących korzystania z uwierzytelniania Microsoft Entra dla klientów internetowych z usługą CMG jest zintegrowanie lokacji z identyfikatorem Microsoft Entra. Ta akcja została już ukończona w poprzednim kroku.

  • W zależności od środowiska istnieje kilka innych wymagań:

    • Włączanie metod odnajdywania użytkowników dla tożsamości hybrydowych
    • Włącz ASP.NET 4.5 w punkcie zarządzania
    • Konfigurowanie ustawień klienta

Aby uzyskać więcej informacji na temat tych wymagań wstępnych, zobacz Instalowanie klientów przy użyciu identyfikatora Microsoft Entra.

Certyfikat PKI

Wykonaj te kroki, jeśli masz infrastrukturę kluczy publicznych (PKI), która może wystawiać certyfikaty uwierzytelniania klienta na urządzeniach.

Ten certyfikat może być wymagany w punkcie połączenia cmg. Aby uzyskać więcej informacji, zobacz punkt połączenia cmg.

Wystawianie certyfikatu

Utwórz i wystaw ten certyfikat na podstawie infrastruktury kluczy publicznych, która wykracza poza kontekst Configuration Manager. Na przykład za pomocą usług certyfikatów active directory i zasad grupy można automatycznie wystawiać certyfikaty uwierzytelniania klienta na urządzeniach przyłączonych do domeny. Aby uzyskać więcej informacji, zobacz Przykładowe wdrażanie certyfikatów PKI: Wdrażanie certyfikatu klienta.

Certyfikat uwierzytelniania klienta cmg obsługuje następujące konfiguracje:

Eksportowanie zaufanego katalogu głównego certyfikatu klienta

Usługa CMG musi ufać certyfikatom uwierzytelniania klienta, aby ustanowić kanał HTTPS z klientami. Aby osiągnąć to zaufanie, wyeksportuj łańcuch zaufanych certyfikatów głównych. Następnie podaj te certyfikaty podczas tworzenia usługi CMG w konsoli Configuration Manager.

Pamiętaj, aby wyeksportować wszystkie certyfikaty w łańcuchu zaufania. Jeśli na przykład certyfikat uwierzytelniania klienta jest wystawiany przez pośredni urząd certyfikacji, wyeksportuj certyfikaty pośredniego i głównego urzędu certyfikacji.

Uwaga

Wyeksportuj ten certyfikat, gdy dowolny klient używa certyfikatów PKI do uwierzytelniania. Jeśli wszyscy klienci używają identyfikatora Microsoft Entra lub tokenów do uwierzytelniania, ten certyfikat nie jest wymagany.

Po wystawieniu certyfikatu uwierzytelniania klienta na komputerze użyj tego procesu na tym komputerze, aby wyeksportować zaufany certyfikat główny.

  1. Otwórz menu Start. Wpisz "uruchom", aby otworzyć okno Uruchamianie. Otwórz plik mmc.

  2. Z menu Plik wybierz pozycję Dodaj/Usuń przystawkę....

  3. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz pozycję Certyfikaty, a następnie wybierz pozycję Dodaj.

    1. W oknie dialogowym Przystawka Certyfikaty wybierz pozycję Konto komputera, a następnie wybierz pozycję Dalej.

    2. W oknie dialogowym Wybieranie komputera wybierz pozycję Komputer lokalny, a następnie wybierz pozycję Zakończ.

    3. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz przycisk OK.

  4. Rozwiń węzeł Certyfikaty, rozwiń pozycję Osobiste i wybierz pozycję Certyfikaty.

  5. Wybierz certyfikat, którego przeznaczeniem jest uwierzytelnianie klienta.

    1. Z menu Akcja wybierz pozycję Otwórz.

    2. Przejdź do karty Ścieżka certyfikacji .

    3. Wybierz następny certyfikat w łańcuchu, a następnie wybierz pozycję Wyświetl certyfikat.

  6. W tym nowym oknie dialogowym Certyfikat przejdź do karty Szczegóły . Wybierz pozycję Kopiuj do pliku....

  7. Ukończ Kreatora eksportu certyfikatów przy użyciu domyślnego formatu certyfikatu DER zakodowany binarny X.509 (. CER). Zanotuj nazwę i lokalizację wyeksportowanego certyfikatu.

  8. Wyeksportuj wszystkie certyfikaty w ścieżce certyfikacji oryginalnego certyfikatu uwierzytelniania klienta. Zanotuj, które wyeksportowane certyfikaty są pośrednimi urzędami certyfikacji, a które są zaufanymi głównymi urzędami certyfikacji.

Punkt połączenia cmg

Aby bezpiecznie przekazywać żądania klientów, punkt połączenia cmg wymaga bezpiecznego połączenia z punktem zarządzania. Jeśli używasz uwierzytelniania klienta infrastruktury kluczy publicznych, a punkt zarządzania z obsługą Internetu to HTTPS, wystaw certyfikat uwierzytelniania klienta do serwera systemu lokacji z rolą punktu połączenia cmg.

Uwaga

Punkt połączenia cmg nie wymaga certyfikatu uwierzytelniania klienta w następujących scenariuszach:

  • Klienci używają uwierzytelniania Microsoft Entra.
  • Klienci korzystają Configuration Manager uwierzytelniania opartego na tokenach.
  • Witryna używa rozszerzonego protokołu HTTP.

Aby uzyskać więcej informacji, zobacz Włączanie punktu zarządzania dla protokołu HTTPS.

Token witryny

Jeśli nie możesz dołączyć urządzeń do Microsoft Entra identyfikatora lub użyć certyfikatów uwierzytelniania klienta infrastruktury kluczy publicznych, użyj Configuration Manager uwierzytelniania opartego na tokenach. Aby uzyskać więcej informacji lub utworzyć token rejestracji zbiorczej, zobacz Uwierzytelnianie oparte na tokenach dla bramy zarządzania chmurą.

Włączanie punktu zarządzania dla protokołu HTTPS

W zależności od sposobu konfigurowania lokacji i wybranej metody uwierzytelniania klienta może być konieczne ponowne skonfigurowanie punktów zarządzania z obsługą Internetu. Dostępne są dwie opcje:

  • Skonfiguruj lokację dla rozszerzonego protokołu HTTP i skonfiguruj punkt zarządzania dla protokołu HTTP
  • Konfigurowanie punktu zarządzania dla protokołu HTTPS

Konfigurowanie witryny pod kątem rozszerzonego protokołu HTTP

Jeśli używasz opcji lokacji do używania certyfikatów generowanych Configuration Manager dla systemów lokacji HTTP, możesz skonfigurować punkt zarządzania dla protokołu HTTP. Po włączeniu rozszerzonego protokołu HTTP serwer lokacji generuje certyfikat z podpisem własnym o nazwie Certyfikat SSL roli programu SMS. Ten certyfikat jest wystawiany przez certyfikat wystawiania głównego programu SMS . Punkt zarządzania dodaje ten certyfikat do domyślnej witryny sieci Web usług IIS powiązanej z portem 443.

Dzięki tej opcji klienci wewnętrzni mogą nadal komunikować się z punktem zarządzania przy użyciu protokołu HTTP. Klienci internetowi korzystający z identyfikatora Microsoft Entra lub certyfikatu uwierzytelniania klienta mogą bezpiecznie komunikować się za pośrednictwem usługi CMG z tym punktem zarządzania za pośrednictwem protokołu HTTPS.

Aby uzyskać więcej informacji, zobacz Rozszerzony protokół HTTP.

Konfigurowanie punktu zarządzania dla protokołu HTTPS

Aby skonfigurować punkt zarządzania dla protokołu HTTPS, najpierw wystaw certyfikat serwera internetowego. Następnie włącz rolę dla protokołu HTTPS.

  1. Tworzenie i wystawianie certyfikatu serwera internetowego od infrastruktury kluczy publicznych lub dostawcy innej firmy, które wykraczają poza kontekst Configuration Manager. Na przykład użyj usług certyfikatów Active Directory i zasad grupy, aby wystawić certyfikat serwera internetowego serwerowi systemu lokacji z rolą punktu zarządzania. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

  2. We właściwościach roli punktu zarządzania ustaw połączenia klienta na https.

    Porada

    Po skonfigurowaniu cmg skonfigurujesz inne ustawienia dla tego punktu zarządzania.

Jeśli środowisko ma wiele punktów zarządzania, nie trzeba włączać protokołu HTTPS dla wszystkich funkcji cmg. Skonfiguruj punkty zarządzania z obsługą cmg jako tylko Internet. Następnie klienci lokalni nie próbują ich używać.

Podsumowanie trybu połączenia klienta punktu zarządzania

Te tabele podsumowują, czy punkt zarządzania wymaga protokołu HTTP lub HTTPS, w zależności od typu klienta. Używają następujących terminów:

  • Grupa robocza: urządzenie nie jest przyłączone do domeny ani identyfikatora Microsoft Entra, ale ma certyfikat uwierzytelniania klienta.
  • Przyłączone do domeny usługi AD: dołączasz urządzenie do domeny lokalna usługa Active Directory.
  • Microsoft Entra przyłączone: urządzenie jest również przyłączone do domeny w chmurze i dołączane do dzierżawy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Microsoft Entra urządzenia przyłączone.
  • Przyłączone hybrydowo: dołączasz urządzenie do lokalna usługa Active Directory i rejestrujesz je przy użyciu identyfikatora Microsoft Entra. Aby uzyskać więcej informacji, zobacz Microsoft Entra urządzeń przyłączonych hybrydowo.
  • HTTP: we właściwościach punktu zarządzania należy ustawić połączenia klienta na http.
  • HTTPS: we właściwościach punktu zarządzania należy ustawić połączenia klienta na https.
  • E-HTTP: na karcie Właściwości lokacji na karcie Zabezpieczenia komunikacji ustawisz ustawienia systemu lokacji na HTTPS lub HTTP, a następnie włącz opcję Użyj certyfikatów generowanych Configuration Manager dla systemów lokacji HTTP. Należy skonfigurować punkt zarządzania dla protokołu HTTP, a punkt zarządzania HTTP jest gotowy do komunikacji HTTP i HTTPS.

Ważna

Począwszy od Configuration Manager wersji 2103, witryny, które zezwalają na komunikację klienta HTTP, są przestarzałe. Skonfiguruj witrynę pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji, zobacz Włączanie witryny dla protokołu HTTPS lub rozszerzonego protokołu HTTP.

W przypadku klientów internetowych komunikujących się z usługą CMG

Skonfiguruj lokalny punkt zarządzania, aby zezwolić na połączenia z usługi CMG przy użyciu następującego trybu połączenia klienta:

Klient internetowy Punkt zarządzania
Uwaga 1 grupy roboczej E-HTTP, HTTPS
Uwaga 1 przyłączona do domeny usługi AD E-HTTP, HTTPS
Microsoft Entra przyłączone E-HTTP, HTTPS
Przyłączone hybrydowo E-HTTP, HTTPS

Uwaga

Uwaga 1. Ta konfiguracja wymaga, aby klient miał certyfikat uwierzytelniania klienta i obsługiwał tylko scenariusze zorientowane na urządzenia.

W przypadku klientów lokalnych komunikujących się z lokalnym punktem zarządzania

Skonfiguruj lokalny punkt zarządzania przy użyciu następującego trybu połączenia klienta:

Klient lokalny Punkt zarządzania
Workgroup HTTP, HTTPS
Przyłączone do domeny usługi AD HTTP, HTTPS
Microsoft Entra przyłączone HTTPS
Przyłączone hybrydowo HTTP, HTTPS

Uwaga

Lokalni klienci przyłączone do domeny usługi AD obsługują zarówno scenariusze dotyczące urządzeń, jak i użytkowników komunikujące się z punktem zarządzania HTTP lub HTTPS.

Lokalni klienci Microsoft Entra przyłączonych i przyłączonych hybrydowo mogą komunikować się za pośrednictwem protokołu HTTP w scenariuszach zorientowanych na urządzenia, ale potrzebują protokołu E-HTTP lub HTTPS, aby umożliwić scenariusze zorientowane na użytkownika. W przeciwnym razie zachowują się tak samo jak klienci grupy roboczej.

Następne kroki

Teraz możesz utworzyć grupę cmg w Configuration Manager:

Konfigurowanie usługi CMG