雲端管理閘道的安全性和隱私權

  • 發行項

適用於:Configuration Manager (目前的分支)

本文包含CONFIGURATION MANAGER雲端管理閘道 (CMG) 的安全性和隱私權資訊。 如需詳細資訊,請參閱 雲端管理閘道概觀

安全性詳細資料

CMG 會接受和管理來自 CMG 連接點的連線。 它會使用憑證和連線識別碼進行相互驗證。

CMG 會使用下列方法來接受和轉送用戶端要求:

  • 使用相互 HTTPS 搭配 PKI 型用戶端驗證憑證或Microsoft Entra識別碼,預先驗證連線。

    • CMG VM 實例上的 IIS 會根據您上傳至 CMG 的受信任根憑證來驗證憑證路徑。

    • 如果您啟用憑證撤銷,VM 實例上的 IIS 也會驗證用戶端憑證撤銷。 如需詳細資訊,請 參閱發佈憑證撤銷清單

  • CTL (憑證信任清單) 檢查用戶端驗證憑證的根目錄。 它也會執行與用戶端管理點相同的驗證。 如需詳細資訊,請 參閱檢閱網站憑證信任清單中的專案

  • 驗證和篩選用戶端要求 (URL) 檢查是否有任何 CMG 連接點可以服務要求。

  • 檢查每個發佈端點的內容長度。

  • 使用迴圈配置資源行為來平衡相同月臺中 CMG 連接點的負載。

CMG 連接點會使用下列方法:

  • 對 CMG 的所有 VM 實例建置一致的 HTTPS/TCP 連線。 它會每分鐘檢查並維護這些連線。

  • 使用憑證搭配 CMG 使用相互驗證。

  • 根據 URL 對應轉送用戶端要求。

  • 報告線上狀態,以在主控台中顯示服務健康狀態。

  • 每隔五分鐘報告每個端點的流量。

Configuration Manager輪替 CMG 的儲存體帳戶金鑰。 此程式每隔 180 天會自動發生一次。

安全性機制和保護

Azure 中的 CMG 資源是 Azure 平臺即服務的一部分, (PaaS) 。 它們的保護方式與 Azure 中所有其他資源的預設保護方式相同。 不支援變更 Azure 中 CMG 資源或架構的任何設定。 這些變更包括在 CMG 之前使用任何類型的防火牆,在流量到達 CMG 之前攔截、篩選或處理流量。 所有以 CMG 為目標的流量都會透過 Azure 負載平衡器來處理。 作為虛擬機器擴展集的 CMG 部署受到雲端Microsoft Defender保護。

服務主體和驗證

伺服器應用程式註冊會在Microsoft Entra識別碼中驗證服務主體。 此應用程式也稱為 Web 應用程式。 您會在建立 CMG 時自動建立此應用程式註冊,或由 Azure 系統管理員事先手動建立。 如需詳細資訊,請參閱手動註冊 CMG Microsoft Entra應用程式

Azure 應用程式的秘密金鑰會加密並儲存在Configuration Manager月臺資料庫中。 在安裝程式中,伺服器應用程式具有 Microsoft 圖形 API的讀取目錄資料許可權。 它在裝載 CMG 的資源群組上也有參與者角色。 每次應用程式需要存取 Microsoft Graph 等資源時,都會從 Azure 取得存取權杖,以用來存取雲端資源。

Microsoft Entra識別碼可以自動輪替這些應用程式的秘密金鑰,或者您可以手動進行。 當秘密金鑰變更時,您必須在 Configuration Manager 中更新秘密金鑰

如需詳細資訊,請參閱 應用程式註冊的目的

Configuration Manager面向用戶端的角色

IIS 中的管理點和軟體更新點主機端點,可服務用戶端要求。 CMG 不會公開所有內部端點。 每個發佈至 CMG 的端點都有 URL 對應。

  • 外部 URL 是用戶端用來與 CMG 通訊的 URL。

  • 內部 URL 是用來將要求轉送至內部伺服器的 CMG 連接點。

URL 對應範例

當您在管理點上啟用 CMG 流量時,Configuration Manager會為每個管理點伺服器建立一組內部 URL 對應。 例如:ccm_system、ccm_incoming 和 sms_mp。 端點ccm_system管理點的外部 URL 可能如下所示:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
每個管理點的 URL 都是唯一的。 然後,Configuration Manager用戶端會將啟用 CMG 的管理點名稱放入其網際網路管理點清單中。 此名稱看起來像這樣:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
月臺會自動將所有已發佈的外部 URL 上傳至 CMG。 此行為可讓 CMG 進行 URL 篩選。 所有 URL 對應都會複寫到 CMG 連接點。 然後,它會根據來自用戶端要求的外部 URL,將通訊轉送至內部伺服器。

安全性指引

發佈憑證撤銷清單

將 PKI 的憑證撤銷清單發佈 (以網際網路為基礎的用戶端存取的 CRL) 。 使用 PKI 部署 CMG 時,請在 [設定] 索引標籤上將服務設定為 [驗證用戶端憑證撤銷 ]。此設定會將服務設定為使用已發佈的 CRL。 如需詳細資訊,請參閱 規劃 PKI 憑證撤銷

此 CMG 選項會驗證用戶端驗證憑證。

  • 如果用戶端使用Microsoft Entra識別碼或Configuration Manager權杖型驗證,CRL 並不重要。

  • 如果您使用 PKI,並在外部發佈 CRL,請啟用此選項 (建議的) 。

  • 如果您使用 PKI,請勿發佈 CRL,然後停用此選項。

  • 如果您設定錯誤的這個選項,可能會導致更多從用戶端到 CMG 的流量。 此流量可能會增加 Azure 輸出資料,而增加您的 Azure 成本。

檢閱網站憑證信任清單中的專案

每個Configuration Manager網站都包含受信任的根憑證授權單位清單、憑證信任清單 (CTL) 。 移至 [ 系統管理 ] 工作區,展開 [ 台設定],然後選取 [ 台],以檢視和修改清單。 選取網站,然後選取功能區中的 [ 屬性 ]。 切換至 [ 通訊安全性] 索引標籤,然後選取 [信任的根憑證授權單位] 底下的 [ 設定 ]。

使用 PKI 用戶端驗證,針對具有 CMG 的網站使用更嚴格的 CTL。 否則,具有用戶端驗證憑證的用戶端,會自動接受任何已存在於管理點上之受根信任目錄所簽發的用戶端,以進行用戶端註冊。

此子集可讓系統管理員更充分掌控安全性。 CTL 會限制伺服器只接受 CTL 中憑證授權單位單位所發出的用戶端憑證。 例如,Windows 隨附許多公用和全域信任憑證提供者的憑證。 根據預設,執行 IIS 的電腦會信任鏈結至這些已知憑證授權單位單位的憑證, (CA) 。 若未使用 CTL 設定 IIS,任何具有從這些 CA 簽發之用戶端憑證的電腦都會被接受為有效的Configuration Manager用戶端。 如果您使用不包含這些 CA 的 CTL 來設定 IIS,如果憑證鏈結至這些 CA,則會拒絕用戶端連線。

強制執行 TLS 1.2

使用 CMG 設定來 強制執行 TLS 1.2。 它只適用于 Azure 雲端服務 VM。 不適用於任何內部部署Configuration Manager月臺伺服器或用戶端。

從更新 匯總的 2107 版開始,此設定也適用于 CMG 儲存體帳戶。

如需 TLS 1.2 的詳細資訊,請參閱 如何啟用 TLS 1.2

使用權杖型驗證

如果您的裝置具有下列一或多個條件,請考慮使用Configuration Manager權杖型驗證:

  • 不常連線到內部網路的網際網路型裝置
  • 裝置無法加入Microsoft Entra識別碼
  • 您沒有安裝 PKI 核發憑證的方法

透過權杖型驗證,月臺會自動為在內部網路上註冊的裝置發出權杖。 您可以為以網際網路為基礎的裝置建立大量註冊權杖。 如需詳細資訊,請參閱 CMG 的權杖型驗證