Ověření klienta CMG
Platí pro: Configuration Manager (Current Branch)
Klienti, kteří se připojují k bráně pro správu cloudu (CMG), jsou potenciálně na nedůvěryhodném veřejném internetu. Vzhledem k původu klienta mají klient vyšší požadavky na ověřování. Existují tři možnosti identity a ověřování pomocí cmg:
- Microsoft Entra ID
- Certifikáty PKI
- Configuration Manager tokeny vystavené webem
Následující tabulka shrnuje klíčové faktory pro každou metodu:
| Microsoft Entra ID | Certifikát PKI | Token webu | |
|---|---|---|---|
| Verze nástroje ConfigMgr | Vše podporováno | Vše podporováno | Vše podporováno |
| Verze klienta Windows | Windows 10 nebo novější | Vše podporováno | Vše podporováno |
| Podpora scénářů | Uživatel a zařízení | Jenom zařízení | Jenom zařízení |
| Bod správy | E-HTTP nebo HTTPS | E-HTTP nebo HTTPS | E-HTTP nebo HTTPS |
Microsoft doporučuje připojit zařízení k id Microsoft Entra. Internetová zařízení můžou používat Microsoft Entra moderní ověřování s Configuration Manager. Umožňuje také scénáře zařízení i uživatele bez ohledu na to, jestli je zařízení na internetu nebo připojené k interní síti.
Můžete použít jednu nebo více metod. Všichni klienti nemusí používat stejnou metodu.
Kterou metodu zvolíte, možná budete muset překonfigurovat jeden nebo více bodů správy. Další informace najdete v tématu Konfigurace ověřování klientů pro CMG.
Microsoft Entra ID
Pokud vaše internetová zařízení používají Windows 10 nebo novější, zvažte použití Microsoft Entra moderního ověřování pomocí CMG. Tato metoda ověřování je jediná, která umožňuje scénáře zaměřené na uživatele. Například nasazení aplikací do kolekce uživatelů.
Za prvé musí být zařízení připojená ke cloudové doméně nebo Microsoft Entra hybridní připojení a uživatel také potřebuje Microsoft Entra identitu. Pokud vaše organizace už používá identity Microsoft Entra, měli byste být nastaveni s touto požadavkem. Pokud ne, obraťte se na správce Azure a naplánujte cloudové identity. Další informace najdete v tématu Microsoft Entra identita zařízení. Dokud se tento proces neskončí, zvažte ověřování pomocí tokenů pro internetové klienty pomocí cmg.
V závislosti na vašem prostředí existuje několik dalších požadavků:
- Povolení metod zjišťování uživatelů pro hybridní identity
- Povolení ASP.NET 4.5 v bodě správy
- Konfigurace nastavení klienta
Další informace o těchto požadavcích najdete v tématu Instalace klientů pomocí ID Microsoft Entra.
Poznámka
Pokud jsou vaše zařízení v tenantovi Microsoft Entra, který je oddělený od tenanta s předplatným pro výpočetní prostředky CMG, můžete od verze 2010 zakázat ověřování pro tenanty, kteří nejsou přidruženi k uživatelům a zařízením. Další informace najdete v tématu Konfigurace služeb Azure.
Certifikát PKI
Pokud máte infrastrukturu veřejných klíčů (PKI), která může vydávat certifikáty ověřování klientů zařízením, zvažte tuto metodu ověřování pro internetová zařízení s cmg. Nepodporuje scénáře zaměřené na uživatele, ale podporuje zařízení s libovolnou podporovanou verzí Windows.
Tip
Zařízení s Windows, která jsou připojená k hybridní nebo cloudové doméně, tento certifikát nevyžadují, protože k ověření používají id Microsoft Entra.
Tento certifikát se může vyžadovat také v spojovacím bodu CMG.
Token webu
Pokud nemůžete připojit zařízení k Microsoft Entra ID nebo použít certifikáty ověřování klientů PKI, použijte ověřování na základě Configuration Manager tokenů. Ověřovací tokeny klienta vystavené lokalitou fungují ve všech podporovaných verzích operačního systému klienta, ale podporují pouze scénáře zařízení.
Pokud se klienti občas připojují k vaší interní síti, automaticky se jim vystaví token. Aby se mohli zaregistrovat v lokalitě a získat tento token klienta, musí komunikovat přímo s místním bodem správy.
Pokud nemůžete zaregistrovat klienty v interní síti, můžete vytvořit a nasadit token hromadné registrace. Token hromadné registrace umožňuje klientovi nejprve nainstalovat lokalitu a komunikovat s ní. Tato počáteční komunikace je dostatečně dlouhá, aby lokalita vygenerovala klientovi vlastní jedinečný ověřovací token klienta. Klient pak použije svůj ověřovací token pro veškerou komunikaci s lokalitou, když je na internetu.
Další kroky
Dále navrhněte, jak používat cmg ve vaší hierarchii:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro