Konfigurace ověřování klientů pro bránu pro správu cloudu
Platí pro: Configuration Manager (Current Branch)
Dalším krokem v nastavení brány pro správu cloudu (CMG) je konfigurace způsobu ověřování klientů. Vzhledem k tomu, že se tito klienti potenciálně připojují ke službě z nedůvěryhodného veřejného internetu, mají vyšší požadavek na ověřování. Existují tři možnosti:
- Microsoft Entra ID
- Certifikáty PKI
- Configuration Manager tokeny vystavené webem
Tento článek popisuje, jak nakonfigurovat každou z těchto možností. Další základní informace najdete v tématu Plánování metod ověřování klientů CMG.
Microsoft Entra ID
Pokud vaše internetová zařízení používají Windows 10 nebo novější, použijte Microsoft Entra moderní ověřování pomocí CMG. Tato metoda ověřování je jediná, která umožňuje scénáře zaměřené na uživatele.
Tato metoda ověřování vyžaduje následující konfigurace:
Zařízení musí být připojená ke cloudové doméně nebo Microsoft Entra hybridní připojení a uživatel také potřebuje Microsoft Entra identitu.
Tip
Pokud chcete zkontrolovat, jestli je zařízení připojené ke cloudu, spusťte
dsregcmd.exe /statuspříkaz na příkazovém řádku. Pokud je zařízení Microsoft Entra připojené nebo hybridně připojené, zobrazí se v poli AzureAdjoined ve výsledcích ano. Další informace najdete v tématu příkaz dsregcmd – stav zařízení.Jedním z primárních požadavků na použití ověřování Microsoft Entra pro internetové klienty s cmg je integrace lokality s id Microsoft Entra. Tuto akci jste už dokončili v předchozím kroku.
V závislosti na vašem prostředí existuje několik dalších požadavků:
- Povolení metod zjišťování uživatelů pro hybridní identity
- Povolení ASP.NET 4.5 v bodě správy
- Konfigurace nastavení klienta
Další informace o těchto požadavcích najdete v tématu Instalace klientů pomocí ID Microsoft Entra.
Certifikát PKI
Tento postup použijte, pokud máte infrastrukturu veřejných klíčů (PKI), která může vydávat certifikáty ověřování klientů pro zařízení.
Tento certifikát může být vyžadován v spojovacím bodu CMG. Další informace najdete v tématu Spojovací bod CMG.
Vystavení certifikátu
Vytvořte a vystavte tento certifikát z vaší infrastruktury veřejných klíčů, která je mimo kontext Configuration Manager. Pomocí služby Active Directory Certificate Services a zásad skupiny můžete například automaticky vystavovat certifikáty ověřování klientů zařízením připojeným k doméně. Další informace najdete v tématu Příklad nasazení certifikátů PKI: Nasazení klientského certifikátu.
Ověřovací certifikát klienta CMG podporuje následující konfigurace:
Délka 2048bitového nebo 4096bitového klíče
Tento certifikát podporuje poskytovatele úložiště klíčů pro privátní klíče certifikátu (v3). Další informace najdete v tématu Přehled certifikátů CNG v3.
Export důvěryhodného kořenového adresáře klientského certifikátu
CmG musí důvěřovat ověřovacím certifikátům klienta, aby vytvořil kanál HTTPS s klienty. Pokud chcete tohoto vztahu důvěryhodnosti dosáhnout, exportujte řetěz důvěryhodných kořenových certifikátů. Tyto certifikáty pak zadejte při vytváření cmg v konzole Configuration Manager.
Nezapomeňte exportovat všechny certifikáty v řetězu důvěryhodnosti. Pokud je například certifikát ověřování klienta vystavený zprostředkující certifikační autoritou, exportujte certifikáty zprostředkující i kořenové certifikační autority.
Poznámka
Exportujte tento certifikát, pokud jakýkoli klient používá certifikáty PKI k ověřování. Pokud všichni klienti používají k ověřování id Microsoft Entra nebo tokeny, tento certifikát se nevyžaduje.
Po vydání ověřovacího certifikátu klienta do počítače použijte tento proces v tomto počítači k exportu důvěryhodného kořenového certifikátu.
Otevřete nabídku Start. Zadáním příkazu "run" otevřete okno Spustit. Otevřete
mmc.V nabídce Soubor zvolte Přidat nebo odebrat modul snap-in....
V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte Certifikáty a pak vyberte Přidat.
V dialogovém okně snap-in Certifikáty vyberte Účet počítače a pak vyberte Další.
V dialogovém okně Vybrat počítač vyberte Místní počítač a pak vyberte Dokončit.
V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte OK.
Rozbalte Položku Certifikáty, rozbalte položku Osobní a vyberte Certifikáty.
Vyberte certifikát, jehož zamýšleným účelem je ověřování klientů.
V nabídce Akce vyberte Otevřít.
Přejděte na kartu Certifikační cesta .
Vyberte další certifikát v řetězu a vyberte Zobrazit certifikát.
V tomto novém dialogovém okně Certifikát přejděte na kartu Podrobnosti . Vyberte Kopírovat do souboru....
Dokončete Průvodce exportem certifikátu pomocí výchozího formátu certifikátu, binárního souboru X.509 s kódováním DER (. CER) Poznamenejte si název a umístění exportovaného certifikátu.
Exportujte všechny certifikáty v certifikační cestě původního ověřovacího certifikátu klienta. Poznamenejte si, které exportované certifikáty jsou zprostředkující certifikační autority a které jsou důvěryhodné kořenové certifikační autority.
Spojovací bod CMG
K bezpečnému předávání klientských požadavků vyžaduje spojovací bod CMG zabezpečené připojení k bodu správy. Pokud používáte ověřování klienta PKI a internetovým bodem správy je HTTPS, vydejte certifikát ověřování klienta serveru systému lokality s rolí spojovacího bodu CMG.
Poznámka
Spojovací bod CMG nevyžaduje certifikát ověřování klienta v následujících scénářích:
- Klienti používají ověřování Microsoft Entra.
- Klienti používají ověřování na základě tokenů Configuration Manager.
- Web používá rozšířený protokol HTTP.
Další informace najdete v tématu Povolení bodu správy pro HTTPS.
Token webu
Pokud nemůžete připojit zařízení k Microsoft Entra ID nebo použít certifikáty ověřování klientů PKI, použijte ověřování na základě Configuration Manager tokenů. Další informace nebo informace o vytvoření tokenu hromadné registrace najdete v tématu Ověřování na základě tokenů pro bránu pro správu cloudu.
Povolení bodu správy pro HTTPS
V závislosti na tom, jak lokalitu nakonfigurujete a jakou metodu ověřování klienta zvolíte, možná budete muset znovu nakonfigurovat body správy s povoleným internetem. Existují dvě možnosti:
- Nakonfigurujte lokalitu pro rozšířený protokol HTTP a nakonfigurujte bod správy pro protokol HTTP.
- Konfigurace bodu správy pro HTTPS
Konfigurace webu pro rozšířený protokol HTTP
Pokud použijete možnost lokality Použít certifikáty vygenerované Configuration Manager pro systémy lokality HTTP, můžete nakonfigurovat bod správy pro protokol HTTP. Když povolíte rozšířený protokol HTTP, server lokality vygeneruje certifikát podepsaný svým držitelem s názvem Certifikát SSL role SMS. Tento certifikát je vystaven kořenovým certifikátem vydávajícím sms . Bod správy přidá tento certifikát na výchozí web služby IIS vázaný na port 443.
S touto možností můžou interní klienti dál komunikovat s bodem správy pomocí protokolu HTTP. Internetoví klienti, kteří používají ID Microsoft Entra nebo ověřovací certifikát klienta, můžou bezpečně komunikovat s tímto bodem správy prostřednictvím protokolu HTTPS prostřednictvím cmg.
Další informace najdete v tématu Rozšířený protokol HTTP.
Konfigurace bodu správy pro HTTPS
Pokud chcete nakonfigurovat bod správy pro HTTPS, nejprve mu vystavte certifikát webového serveru. Pak povolte roli pro HTTPS.
Vytvořte a vystavte certifikát webového serveru od vaší infrastruktury veřejných klíčů nebo poskytovatele třetí strany, které jsou mimo kontext Configuration Manager. Pomocí služby Active Directory Certificate Services a zásad skupiny můžete například vystavit certifikát webového serveru serveru systému lokality s rolí bodu správy. Další informace najdete v následujících článcích:
Ve vlastnostech role bodu správy nastavte připojení klientů na HTTPS.
Tip
Po nastavení cmg nakonfigurujete další nastavení pro tento bod správy.
Pokud má vaše prostředí více bodů správy, nemusíte je pro CMG povolovat pomocí protokolu HTTPS. Nakonfigurujte body správy s podporou CMG pouze jako internet. Místní klienti se je pak nepokouší používat.
Souhrn režimu připojení klienta bodu správy
Tyto tabulky shrnují, jestli bod správy vyžaduje protokol HTTP nebo HTTPS v závislosti na typu klienta. Používají následující termíny:
- Pracovní skupina: Zařízení není připojené k doméně nebo id Microsoft Entra, ale má certifikát pro ověřování klienta.
- Připojené k doméně AD: Připojíte zařízení k místní Active Directory doméně.
- Microsoft Entra připojeno: Zařízení se také označuje jako připojené ke cloudové doméně a připojíte ho k Microsoft Entra tenantovi. Další informace najdete v tématu Microsoft Entra připojená zařízení.
- Hybridní připojení: Připojíte zařízení ke svému místní Active Directory a zaregistrujete ho pomocí id Microsoft Entra. Další informace najdete v tématu Microsoft Entra hybridně připojená zařízení.
- HTTP: Ve vlastnostech bodu správy nastavíte připojení klientů na HTTP.
- HTTPS: Ve vlastnostech bodu správy nastavíte připojení klientů na HTTPS.
- E-HTTP: Ve vlastnostech lokality na kartě Zabezpečení komunikace nastavíte nastavení systému lokality na HTTPS nebo HTTP a povolíte možnost Použít Configuration Manager vygenerované certifikáty pro systémy lokality HTTP. Nakonfigurujete bod správy pro protokol HTTP a bod správy HTTP je připravený pro komunikaci HTTP i HTTPS.
Důležité
Od Configuration Manager verze 2103 jsou lokality, které umožňují komunikaci klientů HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v tématu Povolení webu pouze pro HTTPS nebo rozšířené http.
Pro internetové klienty komunikující s CMG
Nakonfigurujte místní bod správy tak, aby umožňoval připojení z CMG pomocí následujícího režimu připojení klienta:
| Internetový klient | Bod správy |
|---|---|
| Poznámka pracovní skupiny 1 | E-HTTP, HTTPS |
| AD připojené k doméně – poznámka 1 | E-HTTP, HTTPS |
| Microsoft Entra připojeno | E-HTTP, HTTPS |
| Hybridní připojení | E-HTTP, HTTPS |
Poznámka
Poznámka 1: Tato konfigurace vyžaduje, aby klient získal ověřovací certifikát klienta a podporuje pouze scénáře zaměřené na zařízení.
Pro místní klienty komunikující s místním bodem správy
Nakonfigurujte místní bod správy s následujícím režimem připojení klienta:
| Místní klient | Bod správy |
|---|---|
| Workgroup | HTTP, HTTPS |
| Připojené k doméně AD | HTTP, HTTPS |
| Microsoft Entra připojeno | HTTPS |
| Hybridní připojení | HTTP, HTTPS |
Poznámka
Místní klienti AD připojení k doméně podporují scénáře zaměřené na zařízení i uživatele, které komunikují s bodem správy HTTP nebo HTTPS.
Místní klienti Microsoft Entra připojení a hybridně připojení klienti můžou v případě scénářů orientovaných na zařízení komunikovat prostřednictvím protokolu HTTP, ale k povolení scénářů orientovaných na uživatele potřebují E-HTTP nebo HTTPS. Jinak se chovají stejně jako klienti pracovní skupiny.
Další kroky
Teď jste připraveni vytvořit cmg v Configuration Manager:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro