Planejar o gerenciamento de cliente baseado na Internet em Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Use o IBCM (gerenciamento de clientes baseado na Internet) para gerenciar Configuration Manager clientes quando eles não estiverem conectados à sua rede interna. Vantagens de usar o IBCM:
- Controle total de servidores e funções que fornecem o serviço
- Nenhuma dependência do serviço de nuvem
- Pode não exigir uma VPN (rede virtual privada)
- Todos os custos estão associados ao serviço local
Devido aos requisitos de segurança mais elevados de gerenciar computadores cliente em uma rede pública, o IBCM requer o uso de certificados PKI. Essa configuração garante que as conexões sejam autenticadas por uma autoridade independente. Quando clientes DO IBCM e servidores de site enviam dados, eles são criptografados e seguros.
Comunicações do cliente
As seguintes funções do sistema de sites em sites primários dão suporte a conexões de clientes que estão em locais não confiáveis:
Observação
Embora o IBCM se concentre principalmente no cenário baseado na Internet, os mesmos comportamentos se aplicam aos clientes em uma floresta do Active Directory não confiável. Sites secundários não dão suporte a conexões de cliente de locais não confiáveis.
Ponto de registro de certificado para o NDES (módulo de política de Configuration Manager)
Aviso
A partir da versão 2203, o ponto de registro do certificado não tem mais suporte. Para obter mais informações, confira Perguntas frequentes sobre a preterição do acesso ao recurso.
Ponto de distribuição
CMG (gateway de gerenciamento de nuvem habilitado para conteúdo)
Ponto de proxy de registro
Ponto de status de fallback
Ponto de gerenciamento
Ponto de atualização de software
Sobre sistemas de sites voltados para a Internet
Não há nenhum requisito para ter uma confiança entre a floresta de um cliente e a do servidor do sistema de sites. No entanto, quando a floresta que contém um sistema de sites voltado para a Internet confia na floresta que contém as contas de usuário, essa configuração dá suporte a políticas baseadas no usuário para dispositivos na Internet quando você habilita a configuração de cliente da Política de ClienteHabilitar solicitações de política de usuário de clientes da Internet.
Por exemplo, as seguintes configurações ilustram quando o IBCM dá suporte a políticas de usuário para dispositivos na Internet:
O ponto de gerenciamento baseado na Internet está na rede de perímetro. Essa rede também tem um controlador de domínio somente leitura para autenticar o usuário. Um firewall entre o perímetro e as redes internas permite pacotes do Active Directory.
A conta de usuário está na floresta baseada em intranet. O ponto de gerenciamento baseado na Internet está na floresta baseada em perímetro. A floresta de perímetro confia na floresta interna. Um firewall entre o perímetro e as redes internas permite os pacotes de autenticação.
A conta de usuário e o ponto de gerenciamento baseado na Internet estão na floresta baseada em intranet. Você publica o ponto de gerenciamento na Internet com um servidor de proxy Web.
Usar um servidor de proxy Web
Você pode colocar sistemas de sites baseados na Internet na intranet ao publicá-los na Internet com um servidor de proxy Web. Configure esses sistemas de site para conexões de cliente somente da Internet ou conexões de cliente da Internet e da intranet. Ao usar um servidor proxy Web, você pode configurá-lo para a ponte SSL (Secure Sockets Layer) para o túnel SSL ou SSL.
Ponte SSL para SSL
A ponte SSL para SSL é a configuração recomendada e mais segura, pois usa a terminação SSL com autenticação. Ele autentica computadores cliente com autenticação de computador. Dispositivos móveis que você registra com Configuration Manager não dão suporte à ponte SSL.
Com o término do SSL no proxy, ele inspeciona pacotes da Internet antes de encaminhá-los para a rede interna. O proxy autentica a conexão do cliente, encerra-a e abre uma nova conexão autenticada com os sistemas de sites baseados na Internet. Quando Configuration Manager clientes usam um proxy, o cliente contém com segurança sua identidade (GUID) na carga do pacote. O ponto de gerenciamento não considera o proxy como o cliente. Configuration Manager não dá suporte à ponte com HTTP para HTTPS ou de HTTPS para HTTP.
Observação
Configuration Manager não dá suporte à configuração de configurações de ponte SSL de terceiros. Por exemplo, Citrix Netscaler ou F5 BIG-IP. Trabalhe com o fornecedor de dispositivos para configurá-lo para uso com Configuration Manager.
Encapsulamento
Se o servidor Web proxy não puder dar suporte aos requisitos de ponte SSL, Configuration Manager também dá suporte ao túnel SSL. Você também pode usar o túnel SSL para dar suporte a dispositivos móveis que você registra com Configuration Manager. É uma opção menos segura porque o proxy encaminha os pacotes SSL da Internet para os sistemas de site sem o término do SSL. O proxy não inspeciona os pacotes em busca de conteúdo mal-intencionado. Quando você usa o túnel SSL, não há requisitos de certificado para o servidor Web proxy.
Planejar clientes baseados na Internet
Decida se você deve configurar seus clientes baseados na Internet para gerenciamento na intranet e na Internet ou no gerenciamento de clientes somente pela Internet. Você só pode configurar essa opção de gerenciamento durante a instalação do cliente. Para alterá-lo posteriormente, reinstale o cliente.
Observação
Se você configurar um ponto de gerenciamento para dar suporte a clientes baseados na Internet, os clientes que se conectarem a esse ponto de gerenciamento se tornarão capazes de internet quando atualizarem a lista de pontos de gerenciamento disponíveis.
Você não precisa restringir a configuração do gerenciamento de clientes somente pela Internet à Internet. Você também pode usá-lo na intranet.
Os clientes que você configura para gerenciamento somente pela Internet se comunicam apenas com os sistemas de site que você configura para conexões de cliente da Internet. Use essa configuração nos seguintes cenários:
- Para computadores que você conhece nunca se conectarão à sua intranet. Por exemplo, computadores de ponto de venda em locais remotos.
- Para restringir somente a comunicação do cliente ao HTTPS. Por exemplo, para dar suporte a firewall e políticas de segurança restritas.
- Quando você instala sistemas de sites baseados na Internet em uma rede de perímetro e deseja gerenciar esses servidores como Configuration Manager clientes.
Observação
Quando você quiser gerenciar clientes de grupo de trabalho na Internet, instale-os como somente internet.
Quando você configura um dispositivo móvel para usar um ponto de gerenciamento baseado na Internet, ele se configura automaticamente como somente internet.
Você pode configurar outros clientes para gerenciamento de clientes de internet e intranet. Quando detectam uma alteração de rede, eles alternam automaticamente entre o IBCM e o gerenciamento de clientes da intranet. Se esses clientes puderem encontrar e se conectar a um ponto de gerenciamento que dê suporte a conexões de cliente na intranet, esses clientes serão gerenciados como clientes de intranet. Os clientes da Intranet têm funcionalidade de Configuration Manager completa. Se os clientes não conseguirem localizar ou se conectar a um ponto de gerenciamento que dá suporte a conexões de cliente na intranet, eles tentarão se conectar a um ponto de gerenciamento baseado na Internet. Se essa ação for bem-sucedida, esses clientes serão gerenciados pelos sistemas de sites baseados na Internet em seu site atribuído.
O benefício na comutação automática é que os clientes podem usar todos os recursos quando se conectam à intranet e receber gerenciamento essencial quando estiverem na Internet. O download de conteúdo que começa na Internet pode ser retomado perfeitamente na intranet e o contrário.
Pré-requisitos
O IBCM no Configuration Manager tem as seguintes dependências:
Os clientes exigem uma conexão com a Internet. Configuration Manager usa a conexão de Internet existente do dispositivo. Os dispositivos móveis devem ter uma conexão direta com a Internet. Computadores cliente completos podem ter uma conexão direta com a Internet ou se conectar usando um servidor Web proxy.
Os sistemas de site que dão suporte ao IBCM exigem uma conexão com a Internet e devem estar em um domínio do Active Directory. Os sistemas de sites baseados na Internet não exigem uma relação de confiança com a floresta do Active Directory do servidor do site. No entanto, quando o ponto de gerenciamento baseado na Internet pode autenticar o usuário usando autenticação do Windows, ele dá suporte a políticas de usuário. Se autenticação do Windows falhar, ele só oferecerá suporte a políticas de dispositivo.
Observação
Para dar suporte a políticas de usuário, habilite também as seguintes configurações de cliente no grupo Política de Cliente :
- Habilitar a pesquisa de política de usuário em clientes
- Habilitar solicitações de política de usuário de clientes da Internet
Uma PKI (infraestrutura de chave pública) para implantar e gerenciar os certificados necessários para clientes baseados na Internet e servidores do sistema de sites. Para obter mais informações, confira Requisitos de certificado PKI.
Registre entradas de host DNS públicas para o FQDN (nomes de domínio totalmente qualificados) da Internet dos sistemas de sites que dão suporte ao IBCM.
Habilite a opção para usar o certificado de cliente PKI (recurso de autenticação do cliente) quando disponível na guia Segurança de Comunicação das propriedades do site. Essa opção é necessária.
Requisitos de comunicação do cliente
A intervenção de firewalls ou servidores proxy deve permitir a comunicação do cliente para sistemas de sites baseados na Internet:
Suporte a HTTP 1.1
Permitir o tipo de conteúdo HTTP do anexo MIME multipart (multipart/mixed e application/octet-stream)
Verbos
Permitir os seguintes verbos para as funções do servidor do sistema de site baseado na Internet:
| Função | Verbos |
|---|---|
| Ponto de gerenciamento | -CABEÇA - CCM_POST - BITS_POST -OBTER - PROPFIND |
| Ponto de distribuição | -CABEÇA -OBTER - PROPFIND |
| Ponto de status de fallback | POST |
Cabeçalhos HTTP
Permitir os seguintes cabeçalhos HTTP para as funções do servidor do sistema de site baseado na Internet:
| Função | Cabeçalhos HTTP |
|---|---|
| Ponto de gerenciamento | -Gama: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: - CCMClientTimestampsSignature: |
| Ponto de distribuição | Gama: |
Para obter requisitos de comunicação semelhantes ao usar o ponto de atualização de software para conexões de cliente da Internet, consulte a documentação de Windows Server Update Services (WSUS).
Recursos não suportados
Nem todas as funcionalidades de gerenciamento de clientes são apropriadas para a Internet. Configuration Manager não dá suporte a alguns recursos para clientes na Internet. Esses recursos sem suporte normalmente dependem de Active Directory Domain Services ou não são apropriados para uma rede pública.
Os seguintes recursos não têm suporte quando você gerencia clientes na Internet com IBCM:
Implantação do cliente pela Internet, como push do cliente e implantação de cliente baseada em atualização de software. Use a instalação manual do cliente.
Atribuição automática do site
Wake-on-LAN
Implantação do sistema operacional. No entanto, você pode implantar sequências de tarefas que não implantam um sistema operacional.
Controle remoto
Implantação de software para usuários. Esse recurso se baseava no catálogo de aplicativos, que não tem mais suporte.
Roaming do cliente. O roaming permite que os clientes sempre encontrem os pontos de distribuição mais próximos para baixar conteúdo. Os clientes não deterministicamente selecionam um dos sistemas de sites baseados na Internet, qualquer que seja a largura de banda ou o local físico.
Quando você configura um ponto de atualização de software para aceitar conexões da Internet, os clientes baseados na Internet sempre verificam esse ponto de atualização de software para determinar quais atualizações de software são necessárias. Quando esses clientes estão na Internet, eles primeiro tentam baixar as atualizações de software do Microsoft Update, em vez de de um ponto de distribuição baseado na Internet. Se esse comportamento falhar, eles tentarão baixar as atualizações de software necessárias de um ponto de distribuição baseado na Internet.
Dica
O cliente Configuration Manager determina automaticamente se ele está na intranet ou na Internet. Se o cliente puder contatar um controlador de domínio ou um ponto de gerenciamento local, ele definirá seu tipo de conexão como " Intranet atualmente". Caso contrário, ele muda para " Internet atualmente" e se comunica com os sistemas de site atribuídos ao seu site.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de