Configurar a autenticação do cliente para gateway de gestão de nuvem

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

O próximo passo na configuração de um gateway de gestão de nuvem (CMG) é configurar a forma como os clientes autenticam. Como estes clientes estão potencialmente ligados ao serviço a partir da internet pública não fidedíssquica, têm um requisito de autenticação mais elevado. Existem três opções:

  • Azure AD
  • Certificados PKI
  • Fichas emitidas pelo site do Gestor de Configuração

Este artigo descreve como configurar cada uma destas opções. Para obter mais informações fundamentais, consulte plano para métodos de autenticação do cliente CMG.

Azure AD

Se os seus dispositivos baseados na Internet estiverem a funcionar Windows 10, pode utilizar a autenticação moderna Azure AD com a CMG. Este método de autenticação é o único que permite cenários centrados no utilizador.

Este método de autenticação requer as seguintes configurações:

  • Os dispositivos precisam de ser unidos pelo domínio em nuvem ou híbrido a ad-a-ad, e o utilizador também precisa de uma identidade AD AZure.

    Dica

    Para verificar se um dispositivo está unido à nuvem, corra num pedido de dsregcmd.exe /status comando. Se o dispositivo for aderido a Azure AD ou híbrido, o campo AzureAdjoined nos resultados mostra SIM. Para obter mais informações, consulte o comando dsregcmd - estado do dispositivo.

  • Um dos principais requisitos para a utilização da autenticação Azure AD para clientes baseados na Internet com um CMG é integrar o site com Azure AD. Já concluiu essa ação no passo anterior.

  • Existem alguns outros requisitos, dependendo do seu ambiente:

    • Permitir métodos de descoberta de utilizadores para identidades híbridas
    • Ativar ASP.NET 4.5 no ponto de gestão
    • Configurar definições do cliente

Para obter mais informações sobre estes pré-requisitos, consulte instalar clientes utilizando a Azure AD.

Certificado PKI

Utilize estes passos se tiver uma infraestrutura de chave pública (PKI) que pode emitir certificados de autenticação do cliente para dispositivos.

Este certificado pode ser exigido no ponto de ligação CMG. Para obter mais informações, consulte o ponto de ligação CMG.

Emite o certificado

Crie e emita este certificado a partir do seu PKI, que está fora do contexto do Gestor de Configuração. Por exemplo, pode utilizar os Serviços de Certificados de Diretório Ativo e a política de grupo para emitir automaticamente certificados de autenticação do cliente a dispositivos de ligação ao domínio. Para obter mais informações, consulte a distribuição de exemplo de certificados PKI: Implementar o certificado de cliente.

O certificado de autenticação do cliente CMG suporta as seguintes configurações:

  • Comprimento da chave de 2048 ou 4096 bits

  • Este certificado suporta os principais fornecedores de armazenamento de chaves privadas de certificado (v3). Para mais informações, consulte a visão geral dos certificados CNG v3.

Exportar a raiz fidedigna do certificado de cliente

A CMG tem de confiar nos certificados de autenticação do cliente para estabelecer o canal HTTPS com os clientes. Para concretizar esta confiança, exporte a cadeia de certificados de raiz fidedigna. Em seguida, forneça estes certificados quando criar o CMG na consola 'Gestor de Configuração'.

Certifique-se de exportar todos os certificados da cadeia de fiduciuar. Por exemplo, se o certificado de autenticação do cliente for emitido por uma AC intermédia, exporte tanto os certificados de CA intermédios como os de raiz.

Nota

Exporte este certificado quando qualquer cliente utilizar certificados PKI para autenticação. Quando todos os clientes usam Azure AD ou fichas para autenticação, este certificado não é necessário.

Depois de emitir um certificado de autenticação do cliente para um computador, utilize este processo nesse computador para exportar o certificado de raiz fidedigno.

  1. Abra a menu Iniciar. Digite "run" para abrir a janela 'Executar'. Abra mmc.

  2. No menu Ficheiro, escolha Adicionar/Remover Snap-in....

  3. Na caixa de diálogo Add or Remove Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.

    1. Na caixa de diálogo snap-in certificados, selecione conta de computador e, em seguida, selecione Seguinte.

    2. Na caixa de diálogo Select Computer, selecione computador local e, em seguida, selecione Terminar.

    3. Na caixa de diálogo Add or Remove Snap-ins, selecione OK.

  4. Expandir Certificados, expandir Pessoal, e selecionar Certificados.

  5. Selecione um certificado cujo propósito é autenticação do cliente.

    1. No menu Ação, selecione Open.

    2. Aceda ao separador Caminho de Certificação.

    3. Selecione o próximo certificado para cima da corrente e selecione 'Ver' Certificate.

  6. Nesta nova caixa de diálogo certificate, aceda ao separador Detalhes. Selecione Cópia para Arquivar....

  7. Preencha o Assistente de Exportação de Certificados utilizando o formato de certificado predefinido, o DER codificava o binário X.509 (. CER). Tome nota do nome e localização do certificado exportado.

  8. Exporte todos os certificados na trajetória de certificação do certificado de autenticação original do cliente. Tome nota dos certificados exportados que são CAs intermédios e quais são CAs de raiz fidedigna.

Ponto de ligação CMG

Para encaminhar de forma segura os pedidos do cliente, o ponto de ligação CMG requer uma ligação segura com o ponto de gestão. Se estiver a utilizar a autenticação do cliente PKI e o ponto de gestão ativado pela Internet for HTTPS, emita um certificado de autenticação do cliente no servidor do sistema de site com a função de ponto de ligação CMG.

Nota

O ponto de ligação CMG não requer um certificado de autenticação do cliente nos seguintes cenários:

  • Os clientes utilizam a autenticação Azure AD.
  • Os clientes utilizam a autenticação baseada em símbolos do Gestor de Configuração.
  • O site utiliza HTTP Melhorado.

Para obter mais informações, consulte o ponto de gestão de Enable for HTTPS.

Ficha do site

Se não conseguir juntar dispositivos ao Azure AD ou utilizar certificados de autenticação de clientes PKI, utilize a autenticação baseada em símbolos de Configuração. Para obter mais informações, ou para criar um token de registo a granel, consulte a autenticação baseada em Token para gateway de gestão de nuvem.

Ativar o ponto de gestão do HTTPS

Dependendo da configuração do site e do método de autenticação do cliente que escolher, poderá ter de reconfigurar os seus pontos de gestão ativados pela Internet. Existem duas opções:

  • Configure o site para HTTP Melhorado, e configuure o ponto de gestão para HTTP
  • Configure o ponto de gestão para HTTPS

Configure o site para HTTP Melhorado

Quando utilizar a opção do site para utilizar certificados gerados pelo Gestor de Configuração para sistemas de sites HTTP, pode configurar o ponto de gestão para HTTP. Quando ativa o HTTP Melhorado, o servidor do site gera um certificado auto-assinado denominado Certificado SMS Role SSL. Este certificado é emitido pelo certificado de emissão de SMS de raiz. O ponto de gestão adiciona este certificado ao Web site padrão IIS vinculado à porta 443.

Com esta opção, os clientes internos podem continuar a comunicar com o ponto de gestão utilizando HTTP. Os clientes baseados na Internet que utilizem a Azure AD ou um certificado de autenticação do cliente podem comunicar de forma segura através da CMG com este ponto de gestão sobre HTTPS.

Para mais informações, consulte HTTP Melhorado.

Configure o ponto de gestão para HTTPS

Para configurar um ponto de gestão para HTTPS, emita-o primeiro um certificado de servidor web. Em seguida, ative a função para HTTPS.

  1. Crie e emita um certificado de servidor web do seu PKI ou de um fornecedor de terceiros, que estão fora do contexto do Gestor de Configuração. Por exemplo, utilize serviços de certificados de diretório ativo e política de grupo para emitir um certificado de servidor web para o servidor do sistema de site com a função de ponto de gestão. Para obter mais informações, veja os seguintes artigos:

  2. Sobre as propriedades da função de ponto de gestão, desaponte as ligações do cliente ao HTTPS.

    Dica

    Depois de configurar o CMG, irá configurar outras definições para este ponto de gestão.

Se o seu ambiente tiver vários pontos de gestão, não tem de os permitir a todos por CMG. Configure os pontos de gestão habilitados pela CMG apenas como Internet . Então os clientes no local não tentam usá-los.

Resumo do modo de ligação do cliente ponto de gestão

Estas tabelas resumem se o ponto de gestão requer HTTP ou HTTPS, dependendo do tipo de cliente. Utilizam os seguintes termos:

  • Grupo de trabalho: O dispositivo não está associado a um domínio ou AD Azure, mas tem um certificado de autenticação do cliente.
  • Ad-uned domínio- Você une o dispositivo a um domínio de Ative Directory no local.
  • Azure AD-joined: Também conhecido como cloud domain-joined, você se junta o dispositivo a um inquilino AD AZure. Para obter mais informações, consulte os dispositivos associados a Azure AD.
  • Híbrido- adere: Junte-se ao dispositivo no seu Ative Directory e registe-o com o seu AD Azure. Para obter mais informações, consulte os dispositivos associados híbridos Azure AD.
  • HTTP: Nas propriedades do ponto de gestão, define as ligações do cliente para HTTP.
  • HTTPS: Nas propriedades do ponto de gestão, define as ligações do cliente para HTTPS.
  • E-HTTP: Nas propriedades do site, separador de Segurança de Comunicação, define as definições do sistema do site para HTTPS ou HTTP, e permite a opção de utilizar certificados gerados pelo Gestor de Configuração para sistemas de sites HTTP. Configura o ponto de gestão para HTTP, e o ponto de gestão HTTP está pronto para comunicação HTTP e HTTPS.

Importante

A partir da versão 2103 do Gestor de Configuração, os sites que permitem a comunicação do cliente HTTP são preprecados. Configure o site para HTTPS ou HTTP melhorado. Para obter mais informações, consulte Ativar o site apenas para HTTPS ou HTTP melhorado.

Para clientes baseados na Internet que comunicam com a CMG

Configure um ponto de gestão no local para permitir ligações a partir da CMG com o seguinte modo de ligação ao cliente:

Cliente baseado na Internet Ponto de gestão
Grupo de trabalho Nota 1 E-HTTP, HTTPS
Nota 1 de domínio de AD E-HTTP, HTTPS
Azure AD-joined E-HTTP, HTTPS
Híbrido-a-unir E-HTTP, HTTPS

Nota

Nota 1: Esta configuração requer que o cliente tenha um certificado de autenticação do cliente,e suporta apenas cenários centrados no dispositivo.

Para clientes no local que comunicam com o ponto de gestão no local

Configure um ponto de gestão no local com o seguinte modo de ligação ao cliente:

Cliente no local Ponto de gestão
Grupo de Trabalho HTTP, HTTPS
Ad domínio-a-aderido HTTP, HTTPS
Azure AD-joined HTTPS
Híbrido-a-unir HTTP, HTTPS

Nota

No local, os clientes ligados ao domínio da AD suportam cenários centrados no dispositivo e no utilizador que comunicam com um ponto de gestão HTTP ou HTTPS.

No local, os clientes aderidos a Ad a azure e híbridos podem comunicar através de HTTP para cenários centrados no dispositivo, mas precisam de E-HTTP ou HTTPS para permitir cenários centrados no utilizador. Caso contrário, comportam-se da mesma forma que os clientes do grupo de trabalho.

Passos seguintes

Está agora pronto para criar o CMG no Gestor de Configuração:

Configurar o CMG