Share via

在 Configuration Manager 中規劃以網際網路為基礎的用戶端管理

  • 發行項

適用於:Configuration Manager (目前的分支)

使用以網際網路為基礎的用戶端管理 (IBCM) ,在用戶端未連線到您的內部網路時管理Configuration Manager用戶端。 使用 IBCM 的優點:

  • 完全控制提供服務的伺服器和角色
  • 沒有雲端服務相依性
  • 可能不需要虛擬私人網路 (VPN)
  • 所有成本都與內部部署服務相關聯

由於管理公用網路上用戶端電腦的安全性需求較高,因此 IBCM 需要使用 PKI 憑證。 此設定可確保連線是由獨立授權單位驗證。 當 IBCM 用戶端和月臺伺服器傳送資料時,資料會經過加密且安全。

用戶端通訊

主要月臺上的下列月臺系統角色支援來自位於不受信任位置之用戶端的連線:

注意事項

雖然 IBCM 主要著重于以網際網路為基礎的案例,但相同的行為也適用于不受信任 Active Directory 樹系中的用戶端。 次要月臺不支援來自不受信任位置的用戶端連線。

  • Configuration Manager原則模組的憑證註冊點 (NDES)

    警告

    從 2203 版開始,不再支援憑證登錄點。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

  • 發佈點

  • 啟用內容的雲端管理閘道 (CMG)

  • 註冊 Proxy 點

  • 後援狀態點

  • 管理點

  • 軟體更新點

關於網際網路對向月臺系統

用戶端的樹系與月臺系統伺服器的樹系之間不需要信任。 不過,當包含網際網路對向月臺系統的樹系信任包含使用者帳戶的樹系時,當您啟用 [ 客戶 端原則用戶端] 設定 [ 啟用來自網際網路用戶端的使用者原則要求] 時,此設定支援網際網路上裝置的使用者型原則。

例如,下列設定說明 IBCM 何時支援網際網路上裝置的使用者原則:

  • 以網際網路為基礎的管理點位於周邊網路中。 該網路也有唯讀網域控制站來驗證使用者。 周邊和內部網路之間的防火牆允許 Active Directory 封包。

  • 使用者帳戶位於以內部網路為基礎的樹系中。 以網際網路為基礎的管理點位於周邊樹系中。 周邊樹系信任內部樹系。 周邊和內部網路之間的防火牆允許驗證封包。

  • 使用者帳戶和以網際網路為基礎的管理點都位於以內部網路為基礎的樹系中。 您可以使用 Web Proxy 伺服器將管理點發布至網際網路。

使用 Web Proxy 伺服器

當您使用 Web Proxy 伺服器將其發佈至網際網路時,可以將以網際網路為基礎的月臺系統放在內部網路中。 將這些月臺系統設定為僅限來自網際網路的用戶端連線,或來自網際網路和內部網路的用戶端連線。 當您使用 Web Proxy 伺服器時,您可以將它設定為安全通訊端層 (SSL) 橋接至 SSL 或 SSL 通道。

SSL 橋接至 SSL

SSL 橋接至 SSL 是建議且更安全的組態,因為它會使用 SSL 終止搭配驗證。 它會使用電腦驗證來驗證用戶端電腦。 您向 Configuration Manager 註冊的行動裝置不支援 SSL 橋接。

在 Proxy 終止 SSL 時,它會先檢查來自網際網路的封包,再將封包轉送到內部網路。 Proxy 會驗證來自用戶端的連線、將其終止,然後開啟與以網際網路為基礎的月臺系統的新驗證連線。 當Configuration Manager用戶端使用 Proxy 時,用戶端會安全地在封包承載中包含其身分識別 (GUID) 。 管理點不會將 Proxy 視為用戶端。 Configuration Manager不支援使用 HTTP 橋接至 HTTPS 或從 HTTPS 到 HTTP。

注意事項

Configuration Manager不支援設定協力廠商 SSL 橋接組態。 例如,Citrix Netscaler 或 F5 BIG-IP。 請與您的裝置廠商合作,將它設定為與Configuration Manager搭配使用。

隧道

如果您的 Proxy Web 服務器無法支援 SSL 橋接的需求,Configuration Manager也支援 SSL 通道。 您也可以使用 SSL 通道來支援向Configuration Manager註冊的行動裝置。 這是較不安全的選項,因為 Proxy 會將 SSL 封包從網際網路轉送到月臺系統,而不會終止 SSL。 Proxy 不會檢查封包中的惡意內容。 當您使用 SSL 通道時,Proxy Web 服務器沒有任何憑證需求。

規劃以網際網路為基礎的用戶端

決定是否要設定以網際網路為基礎的用戶端,以便在內部網路和網際網路上進行管理,或設定僅限網際網路的用戶端管理。 您只能在用戶端安裝期間設定此管理選項。 若要稍後變更,請重新安裝用戶端。

注意事項

如果您設定管理點以支援以網際網路為基礎的用戶端,則連線到此管理點的用戶端會在下次重新整理其可用管理點清單時變成具備網際網路功能。

您不需要將僅限網際網路用戶端管理的設定限制為網際網路。 您也可以在內部網路上使用它。

您設定為僅限網際網路管理的用戶端,只會與您設定從網際網路進行用戶端連線的月臺系統通訊。 在下列案例中使用此設定:

  • 對於您知道永遠不會連線到內部網路的電腦。 例如,遠端位置的銷售點電腦。
  • 將用戶端通訊限制為僅限 HTTPS。 例如,若要支援防火牆和受限制的安全性原則。
  • 當您在周邊網路中安裝以網際網路為基礎的月臺系統時,您想要以Configuration Manager用戶端身分管理這些伺服器。

注意事項

當您想要管理網際網路上的工作組用戶端時,請將它們安裝為僅限網際網路。

當您將行動裝置設定為使用以網際網路為基礎的管理點時,它會自動設定為僅限網際網路。

您可以為網際網路和內部網路用戶端管理設定其他用戶端。 當他們偵測到網路變更時,會自動在 IBCM 與內部網路用戶端管理之間切換。 如果這些用戶端可以尋找並聯機到支援內部網路上用戶端連線的管理點,則這些用戶端會以內部網路用戶端身分管理。 內部網路用戶端具有完整的Configuration Manager功能。 如果用戶端找不到或無法連線到支援內部網路上用戶端連線的管理點,則會嘗試連線到以網際網路為基礎的管理點。 如果此動作成功,則這些用戶端會由其指派月臺中的網際網路型月臺系統管理。

自動切換的好處是用戶端可以在連線到內部網路時使用所有功能,並在用戶端位於網際網路上時接收基本管理。 從網際網路開始的內容下載可以在內部網路上順暢地繼續進行,相反地。

先決條件

Configuration Manager中的 IBCM 具有下列相依性:

  • 用戶端需要網際網路連線。 Configuration Manager使用裝置現有的網際網路連線。 行動裝置必須有直接網際網路連線。 完整用戶端電腦可以有直接網際網路連線,或使用 Proxy 網頁伺服器進行連線。

  • 支援 IBCM 的月臺系統需要網際網路連線,且必須位於 Active Directory 網域中。 以網際網路為基礎的月臺系統不需要與月臺伺服器的 Active Directory 樹系建立信任關係。 不過,當以網際網路為基礎的管理點可以使用Windows 驗證來驗證使用者時,它支援使用者原則。 如果Windows 驗證失敗,它只支援裝置原則。

    注意事項

    若要支援使用者原則,也請在用戶端原則群組中啟用下列 客戶 端設定:

    • 在用戶端上啟用使用者原則輪詢
    • 啟用來自網際網路用戶端的使用者原則要求

  • 公開金鑰基礎結構 (PKI) ,以部署和管理網際網路型用戶端和月臺系統伺服器所需的憑證。 如需詳細資訊,請參閱 PKI 憑證需求

  • (支援 IBCM 之月臺系統的 FQDN) ,註冊網際網路完整功能變數名稱的公用 DNS 主項目目。

  • 在月臺內容的 [通訊安全性] 索引標籤上提供時,啟用 [使用PKI 用戶端憑證 (用戶端驗證功能] 選項) 。 這是必要選項。

用戶端通訊需求

介入防火牆或 Proxy 伺服器必須允許以網際網路為基礎的月臺系統的用戶端通訊:

  • 支援 HTTP 1.1

  • 允許多部分 MIME 附件的 HTTP 內容類型 (multipart/mixed 和 application/octet-stream)

動詞

針對以網際網路為基礎的月臺系統伺服器角色,允許下列動詞:

角色 動詞
管理點 -頭
- CCM_POST
- BITS_POST
-獲取
- PROPFIND
發佈點 -頭
-獲取
- PROPFIND
後援狀態點 POST

HTTP 標頭

針對以網際網路為基礎的月臺系統伺服器角色,允許下列 HTTP 標頭:

角色 HTTP 標頭
管理點 -範圍:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
發佈點 範圍:

如需從網際網路使用軟體更新點進行用戶端連線時的類似通訊需求,請參閱 Windows Server Update Services (WSUS) 檔。

不支援的功能

並非所有用戶端管理功能都適用于網際網路。 Configuration Manager不支援網際網路上用戶端的某些功能。 這些不支援的功能通常依賴Active Directory 網域服務或不適用於公用網路。

當您使用 IBCM 管理網際網路上的用戶端時,不支援下列功能:

  • 透過網際網路進行用戶端部署,例如用戶端推送和以軟體更新為基礎的用戶端部署。 使用手動用戶端安裝。

  • 自動月臺指派

  • 網路喚醒

  • OS 部署。 不過,您可以部署不會部署 OS 的工作順序。

  • 遠端控制

  • 軟體部署給使用者。 這項功能依賴不再支援的應用程式類別目錄。

  • 用戶端漫遊。 漫遊可讓用戶端一律尋找最接近的發佈點來下載內容。 用戶端不具決定性地選取其中一個以網際網路為基礎的月臺系統,不論頻寬或實體位置為何。

當您設定軟體更新點以接受來自網際網路的連線時,以網際網路為基礎的用戶端一律會掃描此軟體更新點,以判斷需要哪些軟體更新。 當這些用戶端位於網際網路上時,他們會先嘗試從 Microsoft Update 下載軟體更新,而不是從以網際網路為基礎的發佈點下載軟體更新。 如果此行為失敗,他們會嘗試從以網際網路為基礎的發佈點下載必要的軟體更新。

提示

Configuration Manager用戶端會自動判斷其位於內部網路或網際網路上。 如果用戶端可以連絡網域控制站或內部部署管理點,它會將其連線類型設定為「目前 內部網路」。 否則,它會切換至「目前因 特網」,並與指派給其月臺的月臺系統通訊。