Uwierzytelnianie oparte na tokenach dla bramy zarządzania chmurąToken-based authentication for cloud management gateway

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Brama zarządzania chmurą (CMG) obsługuje wiele typów klientów, ale nawet z ulepszonym protokołem HTTP, Ci klienci wymagają certyfikatu uwierzytelniania klienta.The cloud management gateway (CMG) supports many types of clients, but even with Enhanced HTTP, these clients require a client authentication certificate. To wymaganie dotyczące certyfikatu może być trudne do aprowizacji na klientach internetowych, którzy nie łączą się z siecią wewnętrzną, nie mogą dołączać do Azure Active Directory (Azure AD) ani nie mają metody instalowania certyfikatu wystawionego przez infrastrukturę PKI.This certificate requirement can be challenging to provision on internet-based clients that don't often connect to the internal network, aren't able to join Azure Active Directory (Azure AD), and don't have a method to install a PKI-issued certificate.

Aby rozwiązać te problemy, począwszy od wersji 2002, Configuration Manager rozszerza obsługę urządzeń, wydając własne tokeny uwierzytelniania na urządzeniach.To overcome these challenges, starting in version 2002, Configuration Manager extends its device support by issuing its own authentication tokens to devices. Aby w pełni wykorzystać tę funkcję, po zaktualizowaniu lokacji należy również zaktualizować klientów do najnowszej wersji.To take full advantage of this feature, after you update the site, also update clients to the latest version. Kompletny scenariusz nie działa, dopóki wersja klienta nie jest najnowsza.The complete scenario isn't functional until the client version is also the latest. W razie potrzeby Pamiętaj, Aby podwyższyć poziom nowej wersji klienta do środowiska produkcyjnego.If necessary, make sure you promote the new client version to production.

Klienci początkowo rejestrują te tokeny przy użyciu jednej z następujących dwóch metod:Clients initially register for these tokens using one of the following two methods:

  • Sieć wewnętrznaInternal network

  • Rejestracja ZbiorczaBulk registration

Klient Configuration Manager wraz z punktem zarządzania zarządza tym tokenem, więc nie ma zależności wersji systemu operacyjnego.The Configuration Manager client together with the management point manage this token, so there's no OS version dependency. Ta funkcja jest dostępna dla dowolnej obsługiwanej wersji systemu operacyjnego klienta.This feature is available for any supported client OS version.

Uwaga

Te metody obsługują tylko scenariusze zarządzania skoncentrowane na urządzeniach.These methods only support device-centric management scenarios.

Firma Microsoft zaleca Łączenie urządzeń z usługą Azure AD.Microsoft recommends joining devices to Azure AD. Za pomocą usługi Azure AD urządzenia internetowe mogą uwierzytelniać się za pomocą Configuration Manager.Internet-based devices can use Azure AD to authenticate with Configuration Manager. Umożliwia także zarówno scenariusze dotyczące urządzeń, jak i użytkowników, niezależnie od tego, czy urządzenie jest w Internecie, czy połączone z siecią wewnętrzną.It also enables both device and user scenarios whether the device is on the internet or connected to the internal network. Aby uzyskać więcej informacji, zobacz Instalowanie i rejestrowanie klienta przy użyciu tożsamości usługi Azure AD.For more information, see Install and register the client using Azure AD identity.

Upewnij się, że klienci mogą korzystać z bramy zarządzania chmurą w grupie usługi Cloud Services w ustawieniach klienta.Make sure to Enable clients to use a cloud management gateway in the Cloud services group of client settings. Nawet w przypadku tokenu lokacji klienci nie mogą komunikować się z CMG, jeśli ustawienia klienta nie zezwalają na to.Even with a site token, clients can't communicate with a CMG if client settings don't allow it. Aby uzyskać więcej informacji, zobacz Informacje o ustawieniach klienta: Cloud Services.For more information, see About client settings: Cloud services.

Rejestracja w sieci wewnętrznejInternal network registration

Ta metoda wymaga od klienta pierwszej rejestracji w punkcie zarządzania w sieci wewnętrznej.This method requires the client to first register with the management point on the internal network. Rejestracja klienta zwykle odbywa się po zakończeniu instalacji.Client registration typically happens right after installation. Punkt zarządzania daje klientowi unikatowy token, który pokazuje, że używa certyfikatu z podpisem własnym.The management point gives the client a unique token that shows it's using a self-signed certificate. Gdy klient przejdzie do Internetu, komunikuje się z CMG, aby połączył swój certyfikat z podpisem własnym z tokenem wystawionym przez punkt zarządzania.When the client roams onto the internet, to communicate with the CMG it pairs its self-signed certificate with the management point-issued token.

Ta wartość jest domyślnie włączana przez lokację.The site enables this behavior by default.

Token rejestracji zbiorczejBulk registration token

Jeśli nie możesz zainstalować i zarejestrować klientów w sieci wewnętrznej, Utwórz token rejestracji zbiorczej.If you can't install and register clients on the internal network, create a bulk registration token. Użyj tego tokenu, gdy klient jest instalowany na urządzeniu internetowym i rejestruje się za pośrednictwem CMG.Use this token when the client installs on an internet-based device, and registers through the CMG. Token rejestracji zbiorczej ma okres krótkoterminowy i nie jest przechowywany na kliencie ani w lokacji.The bulk registration token has a short-validity period, and isn't stored on the client or the site. Pozwala klientowi generować unikatowy token, który sparowany z certyfikatem z podpisem własnym, umożliwia uwierzytelnianie za pomocą CMG.It allows the client to generate a unique token, which paired with its self-signed certificate, lets it authenticate with the CMG.

Uwaga

Nie należy mylić tokenów rejestracji zbiorczej z tymi, które Configuration Managerą problemy z poszczególnymi klientami.Don't confuse bulk registration tokens with those that Configuration Manager issues to individual clients. Token rejestracji zbiorczej umożliwia klientowi wstępne zainstalowanie lokacji i komunikowanie się z nią.The bulk registration token enables the client to initially install and communicate with the site. Ta początkowa komunikacja jest wystarczająco długa, aby lokacja mogła wydać klientowi własny, unikatowy token uwierzytelniania klienta.This initial communication is long enough for the site to issue the client its own, unique client authentication token. Klient używa tokenu uwierzytelniania dla całej komunikacji z lokacją, gdy jest on w Internecie.The client then uses its authentication token for all communication with the site while it's on the internet. Poza początkową rejestracją klient nie używa ani nie przechowuje tokenu rejestracji zbiorczej.Beyond the initial registration, the client doesn't use or store the bulk registration token.

Aby utworzyć token rejestracji zbiorczej do użycia podczas instalacji klienta na urządzeniach internetowych, wykonaj następujące czynności:To create a bulk registration token for use during client installation on internet-based devices, complete the following actions:

  1. Zaloguj się na serwerze lokacji najwyższego poziomu w hierarchii z uprawnieniami administratora lokalnego.Sign in to the top-level site server in the hierarchy with local administrator privileges.

  2. Otwórz wiersz polecenia jako administrator.Open a command prompt as an administrator.

  3. Uruchom narzędzie z \bin\X64 folderu katalogu instalacyjnego Configuration Manager na serwerze lokacji: BulkRegistrationTokenTool.exe .Run the tool from the \bin\X64 folder of the Configuration Manager installation directory on the site server: BulkRegistrationTokenTool.exe. Utwórz nowy token z /new parametrem.Create a new token with the /new parameter. Na przykład BulkRegistrationTokenTool.exe /new.For example, BulkRegistrationTokenTool.exe /new. Aby uzyskać więcej informacji, zobacz użycie narzędzia tokenu rejestracji zbiorczej.For more information, see Bulk registration token tool usage.

  4. Skopiuj token i Zapisz go w bezpiecznej lokalizacji.Copy the token and save it in a secure location.

  5. Zainstaluj klienta Configuration Manager na urządzeniu internetowym.Install the Configuration Manager client on an internet-based device. Dołącz parametr instalacji klienta: /regtoken.Include the client installation parameter: /regtoken. Poniższy przykładowy wiersz polecenia zawiera inne wymagane parametry instalacji i właściwości:The following example command line includes the other required setup parameters and properties:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Porada

    Aby uzyskać więcej informacji na temat tego wiersza polecenia, zobacz Instalowanie i rejestrowanie klienta przy użyciu tożsamości usługi Azure AD.For more information on this command line, see Install and register the client using Azure AD identity. Ten proces jest podobny, ale nie korzysta z właściwości usługi Azure AD.This process is similar, just doesn't use the Azure AD properties.

Aby sprawdzić, przejrzyj następujący plik dziennika pod kątem podobnego wpisu:To verify, review the following log file for a similar entry:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Aby rozwiązać problem z instalacją, zapoznaj się %WinDir%\ccmsetup\logs\ccmsetup.log z klientem.To troubleshoot installation, review %WinDir%\ccmsetup\logs\ccmsetup.log on the client. Po zakończeniu instalacji przejrzyj %WinDir%\ccm\logs\ClientIDManagerStartup.log .After installation, review %WinDir%\ccm\logs\ClientIDManagerStartup.log.

Na serwerze programu zapoznaj się z następującymi dziennikami:On the server, review the following logs:

  • Dzienniki CMGCMG logs
  • Punkt zarządzaniaManagement point
    • CCM_STS. logCCM_STS.log
    • MP_RegistrationManager. logMP_RegistrationManager.log
    • ClientAuth.logClientAuth.log

Znane problemyKnown issues

Nie można utworzyć tokenu rejestracji zbiorczej w lokacji, która ma serwer lokacji w trybie pasywnym.You can't create a bulk registration token on a site that has a site server in passive mode.

Użycie narzędzia tokenu rejestracji zbiorczejBulk registration token tool usage

BulkRegistrationTokenTool.exeNarzędzie znajduje się w \bin\X64 folderze katalogu instalacyjnego Configuration Manager na serwerze lokacji.The BulkRegistrationTokenTool.exe tool is in the \bin\X64 folder of the Configuration Manager installation directory on the site server. Zaloguj się na serwerze lokacji i uruchom go jako administrator.Sign in to the site server, and run it as an administrator. Obsługuje następujące parametry wiersza polecenia:It supports the following command-line parameters:

  • /?
  • /new
  • /lifetime

/?/?

Wyświetl informacje o użyciu.Display this usage information.

Przykład: BulkRegistrationTokenTool.exe /?Example: BulkRegistrationTokenTool.exe /?

/new/new

Utwórz nowy token rejestracji zbiorczej.Create a new bulk registration token.

Przykład: BulkRegistrationTokenTool.exe /newExample: BulkRegistrationTokenTool.exe /new

Narzędzie wyświetla następujące informacje:The tool displays the following information:

  • Identyfikator GUID, który jest wykorzystywany przez lokację do śledzenia wystawionych tokenówA GUID that the site uses to track issued tokens
  • Okres ważności tokenu, który jest domyślnie trzy dni.The token validity period, which is three days by default.
  • Token rejestracji zbiorczej.The bulk registration token.

Token nie jest przechowywany na kliencie lub w lokacji.The token isn't stored on the client or the site. Pamiętaj, aby skopiować token z wiersza polecenia i zapisać go w bezpiecznej lokalizacji.Make sure to copy the token from the command prompt, and store in a secure location.

/lifetime/lifetime

Użyj /new parametru with, aby określić okres ważności tokenu.Use with /new parameter to specify the token validity period of the token. Określ liczbę całkowitą w minutach.Specify an integer value in minutes. Wartość domyślna to 4 320 (trzy dni).The default value is 4,320 (three days). Wartość maksymalna to 10 080 (siedem dni).The maximum value is 10,080 (seven days).

Przykład: BulkRegistrationTokenTool.exe /lifetime 4320Example: BulkRegistrationTokenTool.exe /lifetime 4320

Zarządzanie tokenami rejestracji zbiorczejBulk registration token management

W razie potrzeby można zobaczyć wcześniej utworzone tokeny rejestracji zbiorczej i ich okresy istnienia w konsoli Configuration Manager i zablokować ich użycie.You can see previously created bulk registration tokens and their lifetimes in the Configuration Manager console and block their usage if necessary. Baza danych lokacji nie przechowuje jednak tokenów rejestracji zbiorczej.The site database doesn't, however, store bulk registration tokens.

Przejrzyj token rejestracji zbiorczejReview a bulk registration token

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja .In the Configuration Manager console, go to the Administration workspace.

  2. Rozwiń węzeł zabezpieczeniai wybierz węzeł Certyfikaty .Expand Security, and select the Certificates node. W konsoli programu znajduje się lista wszystkich certyfikatów związanych z lokacją i tokeny rejestracji zbiorczej w okienku szczegółów.The console lists all site-related certificates and bulk registration tokens in the details pane.

  3. Wybierz token rejestracji zbiorczej do przejrzenia.Select the bulk registration token to review.

Można filtrować lub sortować kolumny typu .You can filter or sort on the Type column. Zidentyfikuj określone tokeny rejestracji zbiorczej na podstawie ich identyfikatora GUID.Identify specific bulk registration tokens based on their GUID. Podczas tworzenia tokenu rejestracji zbiorczej narzędzie wyświetla identyfikator GUID.When you create a bulk registration token, the tool displays the GUID.

Blokuj token rejestracji zbiorczejBlock a bulk registration token

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja .In the Configuration Manager console, go to the Administration workspace.

  2. Rozwiń węzeł zabezpieczenia, wybierz węzeł Certyfikaty , a następnie wybierz token rejestracji zbiorczej do zablokowania.Expand Security, select the Certificates node, and select the bulk registration token to block.

  3. Na karcie Narzędzia główne paska wstążki lub menu kontekstowego po kliknięciu prawym przyciskiem myszy wybierz pozycję Blokuj.On the Home tab of the ribbon bar or the right-click context menu, select Block. Aby odblokować wcześniej zablokowane tokeny rejestracji zbiorczej, wybierz akcję odblokowania .To unblock previously blocked bulk registration tokens, select the Unblock action.

Odnowienie tokenuToken renewal

Klient odnawia swój unikatowy, Configuration Manager token wystawiony raz na miesiąc i jest ważny przez 90 dni.The client renews its unique, Configuration Manager-issued token once a month, and it's valid for 90 days. Klient nie musi nawiązać połączenia z siecią wewnętrzną w celu odnowienia jego tokenu.A client doesn't need to connect to the internal network to renew its token. Dopóki token jest nadal ważny, połączenie z witryną przy użyciu CMG jest wystarczające.As long as the token is still valid, connecting to the site using a CMG is sufficient. Jeśli token nie zostanie odnowiony w ciągu 90 dni, klient musi połączyć się bezpośrednio z punktem zarządzania w sieci wewnętrznej, aby otrzymać nowy token.If the token isn't renewed within 90 days, the client must directly connect to a management point on an internal network to receive a new token.

Nie można odnowić tokenu rejestracji zbiorczej.You can't renew a bulk registration token. Po wygaśnięciu tokenu rejestracji zbiorczej Wygeneruj nowy dla rejestracji urządzeń internetowych przy użyciu CMG.Once a bulk registration token expires, generate a new one for internet-based device registration using a CMG.

Zobacz teżSee also