Autenticação de cliente CMG

Aplica-se a: Configuration Manager (branch atual)

Os clientes que se conectam a um gateway de gerenciamento de nuvem (CMG) estão potencialmente na Internet pública não confiança. Devido à origem do cliente, eles têm um requisito de autenticação maior. Há três opções para identidade e autenticação com um CMG:

  • Microsoft Azure AD
  • Certificados PKI
  • Tokens emitidos pelo site do Configuration Manager

A tabela a seguir resume os principais fatores para cada método:

Microsoft Azure AD Certificado PKI Token de site
Versão ConfigMgr Todos com suporte Todos com suporte Todos com suporte
Windows do cliente Windows 10 ou posterior Todos com suporte Todos com suporte
Suporte a cenários Usuário e dispositivo Somente dispositivo Somente dispositivo
Ponto de gerenciamento E-HTTP ou HTTPS E-HTTP ou HTTPS E-HTTP ou HTTPS

A Microsoft recomenda a junção de dispositivos ao Azure AD. Dispositivos baseados na Internet podem usar a autenticação moderna do Azure AD com o Configuration Manager. Ele também habilita cenários de dispositivo e usuário se o dispositivo está na Internet ou conectado à rede interna.

Você pode usar um ou mais métodos. Todos os clientes não têm que usar o mesmo método.

Qual método você escolher, talvez também seja necessário reconfigurar um ou mais pontos de gerenciamento. Para obter mais informações, consulte Configure client authentication for CMG.

Microsoft Azure AD

Se seus dispositivos baseados na Internet estão executando Windows 10 ou posterior, considere usar a autenticação moderna do Azure AD com o CMG. Esse método de autenticação é o único que habilita cenários centrados no usuário. Por exemplo, implantar aplicativos em uma coleção de usuários.

Primeiro, os dispositivos precisam ser ingressados no domínio da nuvem ou híbridos ingressados no Azure AD, e o usuário também precisa de uma identidade do Azure AD. Se sua organização já estiver usando identidades do Azure AD, você deverá ser definido com esse pré-requisito. Caso não seja, fale com o administrador do Azure para planejar identidades baseadas em nuvem. Para obter mais informações, consulte Azure AD device identity. Até que esse processo seja concluído, considere a autenticação baseada em token para clientes baseados na Internet com seu CMG.

Existem alguns outros requisitos, dependendo do seu ambiente:

  • Habilitar métodos de descoberta de usuário para identidades híbridas
  • Habilitar ASP.NET 4.5 no ponto de gerenciamento
  • Definir configurações do cliente

Para obter mais informações sobre esses pré-requisitos, consulte Install clients using Azure AD.

Observação

Se seus dispositivos estão em um locatário do Azure AD separado do locatário com uma assinatura para os recursos de computação CMG, a partir da versão 2010, você pode desabilitar a autenticação para locatários não associados a usuários e dispositivos. Para obter mais informações, consulte Configure Azure services.

Certificado PKI

Se você tiver uma infraestrutura de chave pública (PKI) que possa emitir certificados de autenticação do cliente para dispositivos, considere esse método de autenticação para dispositivos baseados na Internet com seu CMG. Ele não dá suporte a cenários centrados no usuário, mas dá suporte a dispositivos que executam qualquer versão com suporte de Windows.

Dica

Windows dispositivos híbridos ou ingressados no domínio da nuvem não exigem esse certificado porque usam o Azure AD para autenticar.

Esse certificado também pode ser necessário no ponto de conexão CMG.

Token de site

Se você não puder ingressar dispositivos no Azure AD ou usar certificados de autenticação de cliente PKI, use a autenticação baseada em token do Configuration Manager. Os tokens de autenticação de cliente emitidos pelo site funcionam em todas as versões do sistema operacional cliente com suporte, mas só suportam cenários de dispositivo.

Se os clientes ocasionalmente se conectarem à rede interna, eles receberão um token automaticamente. Eles precisam se comunicar diretamente com um ponto de gerenciamento local para se registrar no site e obter esse token de cliente.

Se você não puder registrar clientes na rede interna, poderá criar e implantar um token de registro em massa. O token de registro em massa permite que o cliente instale e se comunique inicialmente com o site. Essa comunicação inicial é longa o suficiente para que o site emita seu próprio token de autenticação de cliente exclusivo. Em seguida, o cliente usa seu token de autenticação para toda a comunicação com o site enquanto está na Internet.

Próximas etapas

Em seguida, projete como usar um CMG em sua hierarquia: