Configurar a autenticação do cliente para o gateway de gerenciamento de nuvem
Aplica-se a: Configuration Manager (branch atual)
A próxima etapa na instalação de um CMG (gateway de gerenciamento de nuvem) é configurar como os clientes se autenticam. Como esses clientes estão potencialmente se conectando ao serviço a partir da internet pública não confiável, eles têm um requisito de autenticação mais alto. Há três opções:
- Microsoft Entra ID
- Certificados PKI
- Configuration Manager tokens emitidos pelo site
Este artigo descreve como configurar cada uma dessas opções. Para obter mais informações fundamentais, consulte Planejar métodos de autenticação de cliente CMG.
Microsoft Entra ID
Se seus dispositivos baseados na Internet estiverem executando Windows 10 ou posteriores, use Microsoft Entra autenticação moderna com o CMG. Esse método de autenticação é o único que permite cenários centrados no usuário.
Esse método de autenticação requer as seguintes configurações:
Os dispositivos precisam ser ingressados no domínio de nuvem ou Microsoft Entra ingressados híbridos e o usuário também precisa de uma identidade Microsoft Entra.
Dica
Para marcar se um dispositivo for ingressado na nuvem, execute
dsregcmd.exe /statusem um prompt de comando. Se o dispositivo estiver Microsoft Entra ingressado ou híbrido, o campo AzureAdjoined nos resultados mostrará SIM. Para obter mais informações, consulte comando dsregcmd – estado do dispositivo.Um dos principais requisitos para usar Microsoft Entra autenticação para clientes baseados na Internet com um CMG é integrar o site ao Microsoft Entra ID. Você já concluiu essa ação na etapa anterior.
Há alguns outros requisitos, dependendo do seu ambiente:
- Habilitar métodos de descoberta de usuário para identidades híbridas
- Habilitar ASP.NET 4.5 no ponto de gerenciamento
- Definir configurações do cliente
Para obter mais informações sobre esses pré-requisitos, consulte Instalar clientes usando Microsoft Entra ID.
Certificado PKI
Use essas etapas se você tiver uma PKI (infraestrutura de chave pública) que possa emitir certificados de autenticação do cliente para dispositivos.
Esse certificado pode ser necessário no ponto de conexão CMG. Para obter mais informações, consulte ponto de conexão CMG.
Emitir o certificado
Crie e emita esse certificado do seu PKI, que está fora do contexto de Configuration Manager. Por exemplo, você pode usar os Serviços de Certificado do Active Directory e a política de grupo para emitir automaticamente certificados de autenticação do cliente em dispositivos ingressados no domínio. Para obter mais informações, consulte Implantação de exemplo de certificados PKI: Implantar o certificado do cliente.
O certificado de autenticação do cliente CMG dá suporte às seguintes configurações:
Comprimento da chave de 2048 bits ou 4096 bits
Esse certificado dá suporte aos principais provedores de armazenamento para chaves privadas de certificado (v3). Para obter mais informações, confira Visão geral dos certificados CNG v3.
Exportar a raiz confiável do certificado cliente
O CMG precisa confiar nos certificados de autenticação do cliente para estabelecer o canal HTTPS com clientes. Para obter essa confiança, exporte a cadeia de certificados raiz confiável. Em seguida, forneça esses certificados ao criar o CMG no console Configuration Manager.
Certifique-se de exportar todos os certificados na cadeia de confiança. Por exemplo, se o certificado de autenticação do cliente for emitido por uma AC intermediária, exporte os certificados de AC intermediários e raiz.
Observação
Exporte esse certificado quando qualquer cliente usa certificados PKI para autenticação. Quando todos os clientes usam Microsoft Entra ID ou tokens para autenticação, esse certificado não é necessário.
Depois de emitir um certificado de autenticação do cliente para um computador, use esse processo nesse computador para exportar o certificado raiz confiável.
Abra o menu Iniciar. Digite "run" para abrir a janela Executar. Abra
mmc.No menu Arquivo, escolha Adicionar/Remover Snap-in....
Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.
Na caixa de diálogo Snap-in Certificados, selecione Conta de computador e, em seguida, selecione Avançar.
Na caixa de diálogo Selecionar Computador, selecione Computador local e, em seguida, selecione Concluir.
Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione OK.
Expanda Certificados, expanda Pessoal e selecione Certificados.
Selecione um certificado cuja finalidade pretendida é a Autenticação do Cliente.
No menu Ação, selecione Abrir.
Acesse a guia Caminho da Certificação .
Selecione o próximo certificado na cadeia e selecione Exibir Certificado.
Nesta nova caixa de diálogo Certificado, acesse a guia Detalhes . Selecione Copiar para Arquivo....
Conclua o Assistente de Exportação de Certificados usando o formato de certificado padrão, X.509 binário codificado pelo DER (. CER). Anote o nome e o local do certificado exportado.
Exporte todos os certificados no caminho de certificação do certificado de autenticação do cliente original. Observe quais certificados exportados são CAs intermediários e quais são CAs raiz confiáveis.
Ponto de conexão CMG
Para encaminhar solicitações de cliente com segurança, o ponto de conexão CMG requer uma conexão segura com o ponto de gerenciamento. Se você estiver usando a autenticação do cliente PKI e o ponto de gerenciamento habilitado para Internet for HTTPS, emita um certificado de autenticação do cliente para o servidor do sistema de sites com a função de ponto de conexão CMG.
Observação
O ponto de conexão CMG não requer um certificado de autenticação do cliente nos seguintes cenários:
- Os clientes usam Microsoft Entra autenticação.
- Os clientes usam Configuration Manager autenticação baseada em token.
- O site usa HTTP aprimorado.
Para obter mais informações, consulte Habilitar ponto de gerenciamento para HTTPS.
Token de site
Se você não puder unir dispositivos para Microsoft Entra ID ou usar certificados de autenticação de cliente PKI, use Configuration Manager autenticação baseada em token. Para obter mais informações ou para criar um token de registro em massa, consulte Autenticação baseada em token para gateway de gerenciamento de nuvem.
Habilitar ponto de gerenciamento para HTTPS
Dependendo de como você configurar o site e qual método de autenticação do cliente você escolher, talvez seja necessário reconfigurar seus pontos de gerenciamento habilitados para Internet. Há duas opções:
- Configure o site para HTTP aprimorado e configure o ponto de gerenciamento para HTTP
- Configurar o ponto de gerenciamento para HTTPS
Configurar o site para HTTP aprimorado
Ao usar a opção do site para usar certificados gerados por Configuration Manager para sistemas de sites HTTP, você pode configurar o ponto de gerenciamento para HTTP. Quando você habilita o HTTP aprimorado, o servidor do site gera um certificado autoassinado chamado Certificado SSL de Função SMS. Esse certificado é emitido pelo certificado de emissão de SMS raiz. O ponto de gerenciamento adiciona esse certificado ao site padrão do IIS vinculado à porta 443.
Com essa opção, os clientes internos podem continuar a se comunicar com o ponto de gerenciamento usando HTTP. Clientes baseados na Internet usando Microsoft Entra ID ou um certificado de autenticação do cliente podem se comunicar com segurança por meio do CMG com esse ponto de gerenciamento por HTTPS.
Para obter mais informações, consulte HTTP aprimorado.
Configurar o ponto de gerenciamento para HTTPS
Para configurar um ponto de gerenciamento para HTTPS, primeiro emita um certificado de servidor Web. Em seguida, habilite a função para HTTPS.
Crie e emita um certificado de servidor Web do seu PKI ou de um provedor de terceiros, que estão fora do contexto de Configuration Manager. Por exemplo, use os Serviços de Certificado do Active Directory e a política de grupo para emitir um certificado de servidor Web para o servidor do sistema de sites com a função de ponto de gerenciamento. Para saber mais, confira os seguintes artigos:
Nas propriedades da função de ponto de gerenciamento, defina as conexões do cliente como HTTPS.
Dica
Depois de configurar o CMG, você configurará outras configurações para este ponto de gerenciamento.
Se o ambiente tiver vários pontos de gerenciamento, você não precisará habilitar tudo para HTTPS para CMG. Configure os pontos de gerenciamento habilitados para CMG apenas como Internet. Em seguida, seus clientes locais não tentam usá-los.
Resumo do modo de conexão do cliente do ponto de gerenciamento
Essas tabelas resumem se o ponto de gerenciamento requer HTTP ou HTTPS, dependendo do tipo de cliente. Eles usam os seguintes termos:
- Grupo de trabalho: o dispositivo não é ingressado em um domínio ou Microsoft Entra ID, mas tem um certificado de autenticação do cliente.
- Ingressado no domínio do AD: você ingressa o dispositivo em um domínio Active Directory local.
- Microsoft Entra ingressado: também conhecido como ingressado no domínio de nuvem, você ingressa o dispositivo em um locatário Microsoft Entra. Para obter mais informações, consulte Microsoft Entra dispositivos ingressados.
- Ingressado no híbrido: você ingressa no dispositivo ao seu Active Directory local e registre-o com sua ID de Microsoft Entra. Para obter mais informações, consulte Microsoft Entra dispositivos híbridos ingressados.
- HTTP: Nas propriedades do ponto de gerenciamento, você define as conexões do cliente como HTTP.
- HTTPS: Nas propriedades do ponto de gerenciamento, você define as conexões do cliente como HTTPS.
- E-HTTP: Na guia Propriedades do site, Segurança de Comunicação, você define as configurações do sistema de sites como HTTPS ou HTTP e habilita a opção de usar certificados gerados por Configuration Manager para sistemas de sites HTTP. Você configura o ponto de gerenciamento para HTTP e o ponto de gerenciamento HTTP está pronto para comunicação HTTP e HTTPS.
Importante
A partir Configuration Manager versão 2103, os sites que permitem a comunicação do cliente HTTP são preteridos. Configure o site para HTTPS ou HTTP aprimorado. Para obter mais informações, consulte Habilitar o site para HTTPS somente http ou aprimorado.
Para clientes baseados na Internet que se comunicam com o CMG
Configure um ponto de gerenciamento local para permitir conexões do CMG com o seguinte modo de conexão do cliente:
| Cliente baseado na Internet | Ponto de gerenciamento |
|---|---|
| Nota 1 do grupo de trabalho | E-HTTP, HTTPS |
| Nota 1 ingressada no domínio do AD | E-HTTP, HTTPS |
| Microsoft Entra ingressado | E-HTTP, HTTPS |
| Ingressado em híbrido | E-HTTP, HTTPS |
Observação
Observação 1: essa configuração exige que o cliente tenha um certificado de autenticação do cliente e dá suporte apenas a cenários centrados no dispositivo.
Para clientes locais que se comunicam com o ponto de gerenciamento local
Configure um ponto de gerenciamento local com o seguinte modo de conexão do cliente:
| Cliente local | Ponto de gerenciamento |
|---|---|
| Workgroup | HTTP, HTTPS |
| Ingressado no domínio do AD | HTTP, HTTPS |
| Microsoft Entra ingressado | HTTPS |
| Ingressado em híbrido | HTTP, HTTPS |
Observação
Clientes ingressados no domínio do AD locais dão suporte a cenários centrados no dispositivo e no usuário que se comunicam com um ponto de gerenciamento HTTP ou HTTPS.
Clientes ingressados e híbridos podem se comunicar por meio de HTTP para cenário Microsoft Entra s centrados no dispositivo, mas precisam de E-HTTP ou HTTPS para habilitar cenários centrados no usuário. Caso contrário, eles se comportam da mesma forma que os clientes do grupo de trabalho.
Próximas etapas
Agora você está pronto para criar o CMG no Configuration Manager:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de