Проверка подлинности на основе маркеров для шлюза управления облачными клиентамиToken-based authentication for cloud management gateway

Область применения: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Шлюз управления облачными клиентами (CMG) поддерживает многие типы клиентов, но даже при использовании расширенного HTTP этим клиентам требуется сертификат проверки подлинности клиента.The cloud management gateway (CMG) supports many types of clients, but even with Enhanced HTTP, these clients require a client authentication certificate. Такое требование к наличию сертификата может оказаться сложно обеспечить для интернет-клиентов, которые не так часто подключаются к внутренней сети, не могут присоединяться к Azure Active Directory (Azure AD) и для которых не предусмотрен метод установки сертификата, выданного PKI.This certificate requirement can be challenging to provision on internet-based clients that don't often connect to the internal network, aren't able to join Azure Active Directory (Azure AD), and don't have a method to install a PKI-issued certificate.

Чтобы решить эти проблемы, начиная с версии 2002, Configuration Manager расширяет поддержку устройств путем выдачи устройствам собственных маркеров аутентификации.To overcome these challenges, starting in version 2002, Configuration Manager extends its device support by issuing its own authentication tokens to devices. Чтобы воспользоваться преимуществами этих новых функций, после обновления сайта нужно также обновить клиенты до последней версии.To take full advantage of this feature, after you update the site, also update clients to the latest version. Полный сценарий не работает, пока для клиента также не установлена последняя версия.The complete scenario isn't functional until the client version is also the latest. При необходимости повысьте уровень версии клиента до рабочей.If necessary, make sure you promote the new client version to production.

Клиенты изначально регистрируются для получения таких маркеров с помощью одного из следующих двух методов:Clients initially register for these tokens using one of the following two methods:

  • Внутренняя сетьInternal network

  • массовая регистрация.Bulk registration

Клиент Configuration Manager вместе с точкой управления управляют этим маркером, поэтому зависимости от версии ОС нет.The Configuration Manager client together with the management point manage this token, so there's no OS version dependency. Эта функция доступна для любой поддерживаемой клиентами версии ОС.This feature is available for any supported client OS version.

Примечание

Эти методы поддерживают только сценарии управления, ориентированные на устройства.These methods only support device-centric management scenarios.

Корпорация Майкрософт рекомендует присоединить устройства к Azure AD.Microsoft recommends joining devices to Azure AD. Интернет-устройства могут использовать Azure AD для проверки подлинности в Configuration Manager.Internet-based devices can use Azure AD to authenticate with Configuration Manager. Кроме того, это позволяет выполнять сценарии как с устройствами, так и с пользователями, когда устройство подключено к Интернету или внутренней сети.It also enables both device and user scenarios whether the device is on the internet or connected to the internal network. Дополнительные сведения см. в разделе Установка и регистрация клиента с помощью удостоверений Azure AD.For more information, see Install and register the client using Azure AD identity.

Обязательно выберите Разрешить клиентам использовать шлюз управления облачными клиентами в группе Облачные службы в параметрах клиента.Make sure to Enable clients to use a cloud management gateway in the Cloud services group of client settings. Даже при наличии маркера сайта клиенты не могут взаимодействовать с CMG, если это не разрешено в параметрах клиента.Even with a site token, clients can't communicate with a CMG if client settings don't allow it. Дополнительные сведения см. в разделе Сведения о параметрах клиентов: облачные службы.For more information, see About client settings: Cloud services.

Регистрация во внутренней сетиInternal network registration

Для использования этого метода требуется, чтобы клиент сначала зарегистрировался в точке управления во внутренней сети.This method requires the client to first register with the management point on the internal network. Регистрация клиента обычно происходит сразу после установки.Client registration typically happens right after installation. Точка управления предоставляет клиенту уникальный маркер, в котором указано, что он использует самозаверяющий сертификат.The management point gives the client a unique token that shows it's using a self-signed certificate. Когда клиент переключается в Интернет, для взаимодействия с CMG он связывает свой самозаверяющий сертификат с маркером, выданным точкой управления.When the client roams onto the internet, to communicate with the CMG it pairs its self-signed certificate with the management point-issued token.

Такое поведение сайта является поведением по умолчанию.The site enables this behavior by default.

Маркер массовой регистрацииBulk registration token

Если не удается установить и зарегистрировать клиенты во внутренней сети, создайте маркер групповой регистрации.If you can't install and register clients on the internal network, create a bulk registration token. Используйте этот маркер при установке клиента на интернет-устройство и регистрации через CMG.Use this token when the client installs on an internet-based device, and registers through the CMG. Срок действия маркера групповой регистрации достаточно короткий, и он не хранится на клиенте или на сайте.The bulk registration token has a short-validity period, and isn't stored on the client or the site. Он позволяет клиенту сгенерировать уникальный маркер, который связан с его самозаверяющим сертификатом, что позволяет выполнить проверку подлинности с помощью CMG.It allows the client to generate a unique token, which paired with its self-signed certificate, lets it authenticate with the CMG.

Примечание

Не путайте маркеры массовой регистрации с маркерами, которые Configuration Manager выдает отдельным клиентам.Don't confuse bulk registration tokens with those that Configuration Manager issues to individual clients. Маркер массовой регистрации позволяет клиенту изначально установиться и обмениваться данными с сайтом.The bulk registration token enables the client to initially install and communicate with the site. Такого изначального обмена данными достаточно, чтобы сайт выдал клиенту собственный уникальный маркер аутентификации.This initial communication is long enough for the site to issue the client its own, unique client authentication token. Затем клиент использует маркер аутентификации при обмене данными с сайтом через Интернет.The client then uses its authentication token for all communication with the site while it's on the internet. Клиент использует маркер массовой регистрации только для изначальной регистрации и не хранит его.Beyond the initial registration, the client doesn't use or store the bulk registration token.

Чтобы создать маркер массовой регистрации для использования во время установки клиента на Интернет-устройствах, выполните следующие действия:To create a bulk registration token for use during client installation on internet-based devices, complete the following actions:

  1. Войдите на сервер сайта верхнего уровня в иерархии с правами локального администратора.Sign in to the top-level site server in the hierarchy with local administrator privileges.

  2. Откройте командную строку как администратор.Open a command prompt as an administrator.

  3. Запустите инструмент из папки \bin\X64 каталога установки Configuration Manager на сервере сайта: BulkRegistrationTokenTool.exe.Run the tool from the \bin\X64 folder of the Configuration Manager installation directory on the site server: BulkRegistrationTokenTool.exe. Создайте новый маркер с параметром /new.Create a new token with the /new parameter. Например, BulkRegistrationTokenTool.exe /new.For example, BulkRegistrationTokenTool.exe /new. Дополнительные сведения см. в разделе Использование средства маркера групповой регистрации.For more information, see Bulk registration token tool usage.

  4. Скопируйте маркер и сохраните его в безопасном месте.Copy the token and save it in a secure location.

  5. Установите клиент Configuration Manager на интернет-устройство.Install the Configuration Manager client on an internet-based device. Добавьте параметр установки клиента: /regtoken.Include the client installation parameter: /regtoken. В следующем примере в командной строке имеются другие обязательные параметры и свойства установки:The following example command line includes the other required setup parameters and properties:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Совет

    Дополнительные сведения об этой командной строке см. в разделе Установка и регистрация клиента с помощью удостоверений Azure AD.For more information on this command line, see Install and register the client using Azure AD identity. Этот процесс аналогичен указанному в разделе за тем исключением, что в нем не используются свойства Azure AD.This process is similar, just doesn't use the Azure AD properties.

Чтобы подтвердить, проверьте наличие аналогичной записи в приведенном ниже файле журнала.To verify, review the following log file for a similar entry:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Чтобы устранить неполадки установки, проверьте %WinDir%\ccmsetup\logs\ccmsetup.log на клиенте.To troubleshoot installation, review %WinDir%\ccmsetup\logs\ccmsetup.log on the client. После установки просмотрите %WinDir%\ccm\logs\ClientIDManagerStartup.log.After installation, review %WinDir%\ccm\logs\ClientIDManagerStartup.log.

На сервере проверьте следующие журналы:On the server, review the following logs:

Известные проблемыKnown issues

Невозможно создать маркер групповой регистрации на сайте с сервером сайта в пассивном режиме.You can't create a bulk registration token on a site that has a site server in passive mode.

Использование средства маркера групповой регистрацииBulk registration token tool usage

Средство BulkRegistrationTokenTool.exe находится в папке \bin\X64 каталога установки Configuration Manager на сервере сайта.The BulkRegistrationTokenTool.exe tool is in the \bin\X64 folder of the Configuration Manager installation directory on the site server. Войдите на сервер сайта и запустите его от имени администратора.Sign in to the site server, and run it as an administrator. В командной строке поддерживаются следующие параметры.It supports the following command-line parameters:

  • /?
  • /new
  • /lifetime

/?/?

Отображает сведения об использовании.Display this usage information.

Пример: BulkRegistrationTokenTool.exe /?Example: BulkRegistrationTokenTool.exe /?

/new/new

Создание нового маркера групповой регистрации.Create a new bulk registration token.

Пример: BulkRegistrationTokenTool.exe /newExample: BulkRegistrationTokenTool.exe /new

Это средство отображает следующие сведения:The tool displays the following information:

  • Идентификатор GUID, используемый сайтом для отслеживания выданных маркеровA GUID that the site uses to track issued tokens
  • Период действия маркера по умолчанию — три дня.The token validity period, which is three days by default.
  • Маркер групповой регистрации.The bulk registration token.

Маркер не хранится на клиенте или на сайте.The token isn't stored on the client or the site. Не забудьте скопировать маркер из командной строки и сохранить его в безопасном месте.Make sure to copy the token from the command prompt, and store in a secure location.

/lifetime/lifetime

Используйте с параметром /new, чтобы указать срок действия маркера.Use with /new parameter to specify the token validity period of the token. Укажите целочисленное значение в минутах.Specify an integer value in minutes. Значение по умолчанию — 4320 (три дня).The default value is 4,320 (three days). Максимальное значение — 10 080 (семь дней).The maximum value is 10,080 (seven days).

Пример: BulkRegistrationTokenTool.exe /lifetime 4320Example: BulkRegistrationTokenTool.exe /lifetime 4320

Управление маркерами групповой регистрацииBulk registration token management

В консоли Configuration Manager вы можете просмотреть уже созданные маркеры групповой регистрации, выяснить время существования и (или) заблокировать их при необходимости.You can see previously created bulk registration tokens and their lifetimes in the Configuration Manager console and block their usage if necessary. Но база данных сайта не хранит сами маркеры групповой регистрации.The site database doesn't, however, store bulk registration tokens.

Просмотр маркера групповой регистрацииReview a bulk registration token

  1. В консоли Configuration Manager перейдите к рабочей области Администрирование.In the Configuration Manager console, go to the Administration workspace.

  2. Разверните пункт Безопасностьи выберите узел Сертификаты.Expand Security, and select the Certificates node. В консоли откроется панель с подробным представлением всех связанных с сайтом сертификатов и маркеров групповой регистрации.The console lists all site-related certificates and bulk registration tokens in the details pane.

  3. Выберите маркер групповой регистрации, который вам нужно просмотреть.Select the bulk registration token to review.

Вы можете фильтровать или сортировать этот список по столбцу Тип.You can filter or sort on the Type column. Определите отдельные маркеры групповой регистрации по идентификаторам GUID.Identify specific bulk registration tokens based on their GUID. При создании маркера групповой регистрации средство отображает идентификатор GUID.When you create a bulk registration token, the tool displays the GUID.

Блокировка маркера групповой регистрацииBlock a bulk registration token

  1. В консоли Configuration Manager перейдите к рабочей области Администрирование.In the Configuration Manager console, go to the Administration workspace.

  2. Разверните пункт Безопасность, выберите узел Сертификаты, затем маркер групповой регистрации для блокировки.Expand Security, select the Certificates node, and select the bulk registration token to block.

  3. На вкладке Главная выберите действие Блокировать на панели ленты или в контекстном меню (открывается правой кнопкой мыши).On the Home tab of the ribbon bar or the right-click context menu, select Block. Чтобы разблокировать ранее заблокированные маркеры групповой регистрации, выберите действие Разблокировать.To unblock previously blocked bulk registration tokens, select the Unblock action.

Продление срока действия маркераToken renewal

Клиент продлевает срок действия своего уникального маркера, выданного Configuration Manager, один раз в месяц на 90 дней.The client renews its unique, Configuration Manager-issued token once a month, and it's valid for 90 days. Клиенту не нужно подключаться к внутренней сети, чтобы продлить срок действия маркера.A client doesn't need to connect to the internal network to renew its token. Если маркер еще действителен, подключения к сайту через CMG достаточно.As long as the token is still valid, connecting to the site using a CMG is sufficient. Если срок действия маркера не был продлен в течение 90 дней, клиенту необходимо напрямую подключиться к точке управления на внутренней сети, чтобы получить новый маркер.If the token isn't renewed within 90 days, the client must directly connect to a management point on an internal network to receive a new token.

Вы не можете продлить срок действия для маркера массовой регистрации.You can't renew a bulk registration token. Если срок действия маркера массовой регистрации истечет, создайте новый маркер для регистрации Интернет-устройств с помощью CMG.Once a bulk registration token expires, generate a new one for internet-based device registration using a CMG.

См. такжеSee also