Autenticação baseada em token para gateway de gerenciamento de nuvem

Aplica-se a: Configuration Manager (branch atual)

O cmg (gateway de gerenciamento de nuvem) dá suporte a vários tipos de clientes, mas mesmo com HTTPaprimorado, esses clientes exigem um certificado de autenticação do cliente. Esse requisito de certificado pode ser desafiador para provisionar em clientes baseados na Internet que muitas vezes não se conectam à rede interna, não podem ingressar no Azure Active Directory (Azure AD) e não têm um método para instalar um certificado emitido por PKI.

Para superar esses desafios, o Configuration Manager estende seu suporte a dispositivos em emissão de seus próprios tokens de autenticação para dispositivos. Para aproveitar ao máximo esse recurso, depois de atualizar o site, também atualize os clientes para a versão mais recente. O cenário completo não está funcional até que a versão do cliente também seja a mais recente. Se necessário, certifique-se de promover a nova versão do cliente para produção.

Os clientes se registram inicialmente para esses tokens usando um dos dois métodos a seguir:

  • Rede interna

  • Registro em massa

O cliente do Configuration Manager juntamente com o ponto de gerenciamento gerencia esse token, portanto, não há dependência de versão do sistema operacional. Esse recurso está disponível para qualquer versão do sistema operacional cliente com suporte.

Observação

Esses métodos só suportam cenários de gerenciamento centralizado em dispositivos.

A Microsoft recomenda a junção de dispositivos ao Azure AD. Dispositivos baseados na Internet podem usar o Azure AD para autenticar com o Configuration Manager. Ele também habilita cenários de dispositivo e usuário se o dispositivo está na Internet ou conectado à rede interna. Para obter mais informações, consulte Install and register the client using Azure AD identity.

Certifique-se de habilitar os clientes a usar um gateway de gerenciamento de nuvem no grupo de serviços de nuvem de configurações do cliente. Mesmo com um token de site, os clientes não poderão se comunicar com um CMG se as configurações do cliente não permitirem. Para obter mais informações, consulte Sobre configurações do cliente: Serviços de nuvem.

Registro de rede interno

Esse método exige que o cliente se registre primeiro com o ponto de gerenciamento na rede interna. O registro do cliente normalmente acontece logo após a instalação. O ponto de gerenciamento fornece ao cliente um token exclusivo que mostra que ele está usando um certificado auto-assinado. Quando o cliente entra na Internet, para se comunicar com o CMG, ele emparelha seu certificado auto-assinado com o token emitido por ponto de gerenciamento.

O site habilita esse comportamento por padrão.

Observação

Com um ponto de gerenciamento HTTPS, o cliente precisa primeiro se registrar independentemente do ponto de gerenciamento da internet/intranet. O cliente precisa apresentar um certificado PKI emitido válido, um token do Azure AD ou um token de registro em massa.

Token de registro em massa

Se você não puder instalar e registrar clientes na rede interna, crie um token de registro em massa. Use esse token quando o cliente for instalado em um dispositivo baseado na Internet e se registrar por meio do CMG. O token de registro em massa tem um período de validade curto e não é armazenado no cliente ou no site. Ele permite que o cliente gere um token exclusivo, que emparelhado com seu certificado auto-assinado, permite que ele se autenture com o CMG.

Observação

Não confunda tokens de registro em massa com aqueles que o Configuration Manager emite para clientes individuais. O token de registro em massa permite que o cliente instale e se comunique inicialmente com o site. Essa comunicação inicial é longa o suficiente para que o site emita seu próprio token de autenticação de cliente exclusivo. Em seguida, o cliente usa seu token de autenticação para toda a comunicação com o site enquanto está na Internet. Além do registro inicial, o cliente não usa ou armazena o token de registro em massa.

Para criar um token de registro em massa para uso durante a instalação do cliente em dispositivos baseados na Internet, conclua as seguintes ações:

  1. Entre no servidor de site de nível superior na hierarquia com privilégios de administrador local.

  2. Abra um prompt de comando como administrador.

  3. Execute a ferramenta na \bin\X64 pasta do diretório de instalação do Configuration Manager no servidor do site: BulkRegistrationTokenTool.exe . Crie um novo token com o /new parâmetro. Por exemplo, BulkRegistrationTokenTool.exe /new. Para obter mais informações, consulte Uso da ferramenta de token de registro em massa.

  4. Copie o token e salve-o em um local seguro.

  5. Instale o cliente do Configuration Manager em um dispositivo baseado na Internet. Inclua o parâmetro de instalação do cliente: /regtoken. A linha de comando de exemplo a seguir inclui os outros parâmetros e propriedades de instalação necessários:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Dica

    Para obter mais informações sobre essa linha de comando, consulte Install and register the client using Azure AD identity. Esse processo é semelhante, mas não usa as propriedades do Azure AD.

Para verificar, revise o seguinte arquivo de log para uma entrada semelhante:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Para solucionar problemas de instalação, %WinDir%\ccmsetup\logs\ccmsetup.log revise o cliente. Após a instalação, revise %WinDir%\ccm\logs\ClientIDManagerStartup.log .

No servidor, revise os seguintes logs:

  • Logs CMG
  • Ponto de gerenciamento
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Uso da ferramenta de token de registro em massa

A BulkRegistrationTokenTool.exe ferramenta está na pasta do diretório de instalação do Configuration Manager no servidor do \bin\X64 site. Entre no servidor do site e execute-o como administrador. Ele dá suporte aos seguintes parâmetros de linha de comando:

  • /?
  • /new
  • /lifetime

/?

Exibe essas informações de uso.

Exemplo: BulkRegistrationTokenTool.exe /?

/new

Crie um novo token de registro em massa.

Exemplo: BulkRegistrationTokenTool.exe /new

A ferramenta exibe as seguintes informações:

  • Um GUID que o site usa para rastrear tokens emitidos
  • O período de validade do token, que é de três dias por padrão.
  • O token de registro em massa.

O token não é armazenado no cliente ou no site. Copie o token do prompt de comando e armazene em um local seguro.

/lifetime

Use com /new parâmetro para especificar o período de validade do token do token. Especifique um valor inteiro em minutos. O valor padrão é 4.320 (três dias). O valor máximo é 10.080 (sete dias).

Exemplo: BulkRegistrationTokenTool.exe /lifetime 4320

Gerenciamento de token de registro em massa

Você pode ver tokens de registro em massa criados anteriormente e suas vidas no console do Configuration Manager e bloquear seu uso, se necessário. No entanto, o banco de dados de site não armazena tokens de registro em massa.

Revisar um token de registro em massa

  1. No console do Configuration Manager, vá para o espaço de trabalho Administração.

  2. Expanda Segurança e selecione o nó Certificados. O console lista todos os certificados relacionados ao site e tokens de registro em massa no painel de detalhes.

  3. Selecione o token de registro em massa a ser revisado.

Você pode filtrar ou classificar na coluna Tipo. Identifique tokens de registro em massa específicos com base em seu GUID. Quando você cria um token de registro em massa, a ferramenta exibe o GUID.

Bloquear um token de registro em massa

  1. No console do Configuration Manager, vá para o espaço de trabalho Administração.

  2. Expanda Segurança, selecione o nó Certificados e selecione o token de registro em massa a ser bloqueado.

  3. Na guia Página Principal da barra de opções ou no menu de contexto com o botão direito do mouse, selecione Bloquear. Para desbloquear tokens de registro em massa bloqueados anteriormente, selecione a ação Desbloquear.

Renovação de token

O cliente renova seu token exclusivo emitido pelo Configuration Manager uma vez por mês e é válido por 90 dias. Um cliente não precisa se conectar à rede interna para renovar seu token. Desde que o token ainda seja válido, a conexão com o site usando um CMG é suficiente. Se o token não for renovado dentro de 90 dias, o cliente deverá se conectar diretamente a um ponto de gerenciamento em uma rede interna para receber um novo token.

Não é possível renovar um token de registro em massa. Depois que um token de registro em massa expirar, gere um novo para o registro de dispositivo baseado na Internet usando um CMG.

Confira também