雲端管理閘道的權杖型驗證

  • 發行項

適用於:Configuration Manager (目前的分支)

雲端管理閘道 (CMG) 支援許多類型的用戶端,但即使使用 增強的 HTTP,這些用戶端也需要 用戶端驗證憑證。 在不常連線到內部網路、無法加入Microsoft Entra識別碼,而且沒有安裝 PKI 發行憑證之方法的網際網路型用戶端上布建此憑證需求可能很困難。

為了克服這些挑戰,Configuration Manager向裝置發出自己的驗證權杖來擴充其裝置支援。 若要充分利用這項功能,請在更新月臺之後,同時將用戶端更新為最新版本。 在用戶端版本也是最新的之前,完整的案例無法運作。 如有必要,請務必將 新的用戶端版本升階至生產環境

用戶端一開始會使用下列兩種方法之一來註冊這些權杖:

  • 內部網路

  • 大量註冊

Configuration Manager用戶端與管理點一起管理此權杖,因此沒有 OS 版本相依性。 這項功能適用于任何 支援的用戶端 OS 版本

注意事項

這些方法僅支援以裝置為中心的管理案例。

Microsoft 建議將裝置加入Microsoft Entra識別碼。 以網際網路為基礎的裝置可以使用Microsoft Entra識別碼向Configuration Manager進行驗證。 它也會同時啟用裝置和使用者案例,不論裝置是在網際網路上,還是連線到內部網路。 如需詳細資訊,請參閱使用Microsoft Entra身分識別安裝和註冊用戶端

請務必讓用戶端在用戶端設定的雲端服務群組中使用雲端管理閘道。 即使使用網站權杖,如果用戶端設定不允許,用戶端仍無法與 CMG 通訊。 如需詳細資訊,請 參閱關於用戶端設定:雲端服務

內部網路註冊

此方法需要用戶端先向內部網路上的管理點註冊。 用戶端註冊通常會在安裝之後立即進行。 管理點會為用戶端提供唯一的權杖,以顯示其使用自我簽署憑證。 當用戶端漫遊到網際網路時,若要與 CMG 通訊,它會將其自我簽署憑證與管理點核發的權杖配對。

網站預設會啟用此行為。

注意事項

使用 HTTPS 管理點時,無論網際網路/內部網路管理點為何,用戶端都必須先註冊。 用戶端必須出示有效的 PKI 核發憑證、Microsoft Entra權杖或大量註冊權杖。

大量註冊權杖

如果您無法在內部網路上安裝和註冊用戶端,請建立大量註冊權杖。 當用戶端安裝在以網際網路為基礎的裝置上,並透過 CMG 註冊時,請使用此權杖。 大量註冊權杖具有簡短的有效期間,且不會儲存在用戶端或月臺上。 它可讓用戶端產生與自我簽署憑證配對的唯一權杖,讓它向 CMG 進行驗證。

注意事項

請勿將大量註冊權杖與Configuration Manager個別用戶端發出的權杖混淆。 大量註冊權杖可讓用戶端一開始安裝月臺並與之通訊。 此初始通訊的長度足以讓月臺發出用戶端自己的唯一用戶端驗證權杖。 用戶端接著會在月臺位於網際網路上時,使用其驗證權杖來進行與月臺的所有通訊。 除了初始註冊之外,用戶端不會使用或儲存大量註冊權杖。

若要建立大量註冊權杖,以便在以網際網路為基礎的裝置上安裝用戶端期間使用,請完成下列動作:

  1. 使用本機系統管理員許可權登入階層中的頂層月臺伺服器。

  2. 以系統管理員身分開啟命令提示字元。

  3. \bin\X64 月臺伺服器上Configuration Manager安裝目錄的資料夾執行工具: BulkRegistrationTokenTool.exe 。 使用 參數建立新的權杖 /new 。 例如,BulkRegistrationTokenTool.exe /new。 如需詳細資訊,請 參閱大量註冊權杖工具使用方式

  4. 複製權杖,並將它儲存在安全的位置。

  5. 在以網際網路為基礎的裝置上安裝Configuration Manager用戶端。 包含用戶端安裝參數: /regtoken 。 下列範例命令列包含其他必要的安裝參數和屬性:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    提示

    如需此命令列的詳細資訊,請參閱使用Microsoft Entra身分識別安裝和註冊用戶端。 此程式很類似,只是不使用Microsoft Entra屬性。

若要確認,請檢閱下列記錄檔中的類似專案:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

若要針對安裝進行疑難排解,請檢閱 %WinDir%\ccmsetup\logs\ccmsetup.log 用戶端。 安裝之後,請檢閱 %WinDir%\ccm\logs\ClientIDManagerStartup.log

在伺服器上,檢閱下列記錄:

  • CMG 記錄
  • 管理點
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

大量註冊權杖工具使用方式

BulkRegistrationTokenTool.exe 工具位於月臺伺服器上 \bin\X64 Configuration Manager安裝目錄的資料夾中。 登入月臺伺服器,並以系統管理員身分執行。 它支援下列命令列參數:

  • /?
  • /new
  • /lifetime

/?

顯示此使用方式資訊。

範例:BulkRegistrationTokenTool.exe /?

/new

建立新的大量註冊權杖。

範例:BulkRegistrationTokenTool.exe /new

此工具會顯示下列資訊:

  • 網站用來追蹤已發行權杖的 GUID
  • 權杖有效期間,預設為三天。
  • 大量註冊權杖。

權杖不會儲存在用戶端或月臺上。 請務必從命令提示字元複製權杖,並儲存在安全的位置。

/lifetime

使用 with /new 參數來指定權杖的權杖有效期間。 以分鐘為單位指定整數值。 預設值為 4,320 (三天) 。 最大值為 10,080 (七天) 。

範例:BulkRegistrationTokenTool.exe /lifetime 4320

大量註冊權杖管理

您可以在 Configuration Manager 主控台中看到先前建立的大量註冊權杖及其存留期,並視需要封鎖其使用量。 不過,月臺資料庫不會儲存大量註冊權杖。

檢閱大量註冊權杖

  1. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區。

  2. 展開 [安全性],然後選取 [ 憑證 ] 節點。 主控台會在詳細資料窗格中列出所有網站相關的憑證和大量註冊權杖。

  3. 選取要檢閱的大量註冊權杖。

您可以篩選或排序 [類型] 資料 行。 根據其 GUID 識別特定的大量註冊權杖。 當您建立大量註冊權杖時,工具會顯示 GUID。

封鎖大量註冊權杖

  1. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區。

  2. 展開 [安全性],選取 [憑證 ] 節點,然後選取要封鎖的大量註冊權杖。

  3. 在功能區列的 [ 常用 ] 索引標籤上,或以滑鼠右鍵按一下操作功能表,選取 [ 封鎖]。 若要解除封鎖先前封鎖的大量註冊權杖,請選取 [解除封鎖 ] 動作。

權杖更新

用戶端會每月更新唯一Configuration Manager發行的權杖一次,且有效期為 90 天。 用戶端不需要連線到內部網路即可更新其權杖。 只要權杖仍然有效,使用 CMG 連線到網站就已足夠。 如果權杖未在 90 天內更新,用戶端必須直接連線到內部網路上的管理點,才能接收新的權杖。

您無法更新大量註冊權杖。 大量註冊權杖到期後,使用 CMG 為以網際網路為基礎的裝置註冊產生新的權杖。

另請參閱