Autenticação do cliente CMG
Aplica-se a: Configuration Manager (ramo atual)
Os clientes que se ligam a um gateway de gestão de nuvem (CMG) estão potencialmente na internet pública não fidedíssquico. Devido à origem do cliente, têm um requisito de autenticação mais elevado. Existem três opções de identidade e autenticação com um CMG:
- Azure AD
- Certificados PKI
- Fichas emitidas pelo site do Gestor de Configuração
O quadro que se segue resume os factores-chave para cada método:
| Azure AD | Certificado PKI | Ficha do site | |
|---|---|---|---|
| Versão ConfigMgr | Todos apoiados | Todos apoiados | Todos apoiados |
| Windows versão do cliente | Windows 10 | Todos apoiados | Todos apoiados |
| Suporte de cenário | Utilizador e dispositivo | Apenas para dispositivos | Apenas para dispositivos |
| Ponto de gestão | E-HTTP ou HTTPS | E-HTTP ou HTTPS | E-HTTP ou HTTPS |
A Microsoft recomenda a junção de dispositivos ao Azure AD. Os dispositivos baseados na Internet podem utilizar a autenticação moderna do Azure AD com o Gestor de Configuração. Também permite cenários tanto do dispositivo como do utilizador, quer o dispositivo esteja na internet ou ligado à rede interna.
Pode usar um ou mais métodos. Todos os clientes não têm de usar o mesmo método.
Qual o método que escolher, também poderá ter de reconfigurar um ou mais pontos de gestão. Para mais informações, consulte a autenticação do cliente configurar para CMG.
Azure AD
Se os seus dispositivos baseados na Internet estiverem a funcionar Windows 10, considere utilizar a autenticação moderna Azure AD com a CMG. Este método de autenticação é o único que permite cenários centrados no utilizador. Por exemplo, implementar aplicações para uma coleção de utilizadores.
Em primeiro lugar, os dispositivos precisam de ser unidos pelo domínio em nuvem ou híbrido a ad-a-ad, e o utilizador também precisa de uma identidade AD AZure. Se a sua organização já está a usar identidades Azure AD, então deve ser definido com este pré-requisito. Caso contrário, fale com o seu administrador da Azure para planear identidades baseadas na nuvem. Para mais informações, consulte a identidade do dispositivo AZure AD. Até que esse processo esteja concluído, considere a autenticação baseada em fichas para clientes baseados na Internet com a sua CMG.
Existem alguns outros requisitos, dependendo do seu ambiente:
- Permitir métodos de descoberta de utilizadores para identidades híbridas
- Ativar ASP.NET 4.5 no ponto de gestão
- Configurar definições do cliente
Para obter mais informações sobre estes pré-requisitos, consulte instalar clientes utilizando a Azure AD.
Nota
Se os seus dispositivos estiverem num inquilino Azure AD que esteja separado do inquilino com uma subscrição para os recursos de computação CMG, a partir da versão 2010 pode desativar a autenticação para inquilinos não associados a utilizadores e dispositivos. Para mais informações, consulte os serviços Configure Azure.
Certificado PKI
Se tiver uma infraestrutura de chave pública (PKI) que possa emitir certificados de autenticação do cliente aos dispositivos, então considere este método de autenticação para dispositivos baseados na Internet com o seu CMG. Não suporta cenários centrados no utilizador, mas suporta dispositivos com Windows 8.1 ou Windows 10.
Dica
Windows 10 dispositivos que são híbridos ou em nuvem não requerem este certificado porque usam Azure AD para autenticar.
Este certificado também pode ser exigido no ponto de ligação CMG.
Ficha do site
Se não conseguir juntar dispositivos ao Azure AD ou utilizar certificados de autenticação de clientes PKI, utilize a autenticação baseada em símbolos de Configuração. Os tokens de autenticação do cliente emitidos pelo site funcionam em todas as versões de SO do cliente suportado, mas apenas em cenários de suporte do dispositivo.
Se os clientes ocasionalmente se ligarem à sua rede interna, são automaticamente emitidos um token. Precisam de comunicar diretamente com um ponto de gestão no local para se registarem no site e obterem este token de cliente.
Se não conseguir registar clientes na rede interna, pode criar e implantar um sinal de registo a granel. O sinal de registo a granel permite ao cliente inicialmente instalar e comunicar com o site. Esta comunicação inicial é suficientemente longa para que o site emita o seu próprio e único símbolo de autenticação do cliente. Em seguida, o cliente usa o seu símbolo de autenticação para toda a comunicação com o site enquanto está na internet.
Passos seguintes
Em seguida, desenhe como usar um CMG na sua hierarquia: