Ověřování na základě tokenů pro bránu pro správu cloudu
Platí pro: Configuration Manager (Current Branch)
Brána pro správu cloudu (CMG) podporuje mnoho typů klientů, ale i s rozšířeným protokolem HTTP tito klienti vyžadují ověřovací certifikát klienta. Tento požadavek na certifikát může být náročný na internetové klienty, kteří se často nepřipojují k interní síti, nemůžou se připojit Microsoft Entra ID a nemají metodu instalace certifikátu vystaveného pkI.
Aby Configuration Manager tyto výzvy vyřešila, rozšiřuje podporu svých zařízení tím, že do zařízení vydává vlastní ověřovací tokeny. Pokud chcete tuto funkci plně využít, aktualizujte po aktualizaci lokality také klienty na nejnovější verzi. Úplný scénář nebude funkční, dokud nebude nejnovější verze klienta. V případě potřeby se ujistěte, že jste novou verzi klienta povýšil na produkční.
Klienti nejprve registrují tyto tokeny pomocí jedné z následujících dvou metod:
Interní síť
Hromadná registrace
Tento token spravuje Configuration Manager klient společně s bodem správy, takže neexistuje žádná závislost na verzi operačního systému. Tato funkce je dostupná pro všechny podporované verze operačního systému klienta.
Poznámka
Tyto metody podporují pouze scénáře správy zaměřené na zařízení.
Microsoft doporučuje připojit zařízení k id Microsoft Entra. Internetová zařízení můžou k ověření pomocí Configuration Manager použít ID Microsoft Entra. Umožňuje také scénáře zařízení i uživatele bez ohledu na to, jestli je zařízení na internetu nebo připojené k interní síti. Další informace najdete v tématu Instalace a registrace klienta pomocí Microsoft Entra identity.
Ujistěte se, že ve skupině nastavení klientů cloudových služebpovolíte klientům používat bránu pro správu cloudu. Ani s tokenem lokality nemůžou klienti komunikovat s CMG, pokud to nastavení klienta neumožňuje. Další informace najdete v tématu Informace o nastavení klienta: Cloudové služby.
Registrace interní sítě
Tato metoda vyžaduje, aby se klient nejprve zaregistroval k bodu správy v interní síti. Registrace klienta obvykle probíhá hned po instalaci. Bod správy poskytne klientovi jedinečný token, který ukazuje, že používá certifikát podepsaný svým držitelem. Když se klient přesune na internet, při komunikaci s cmg spáruje certifikát podepsaný svým držitelem s tokenem vystaveným bodem správy.
Web toto chování ve výchozím nastavení povoluje.
Poznámka
U bodu správy HTTPS se klient musí nejprve zaregistrovat bez ohledu na internetový nebo intranetový bod správy. Klient musí předložit platný certifikát vystavený infrastrukturou PKI, token Microsoft Entra nebo token hromadné registrace.
Token hromadné registrace
Pokud nemůžete nainstalovat a zaregistrovat klienty v interní síti, vytvořte hromadný registrační token. Tento token použijte, když se klient nainstaluje na internetové zařízení a zaregistruje se prostřednictvím cmg. Token hromadné registrace má krátkou dobu platnosti a není uložený v klientovi ani v lokalitě. Umožňuje klientovi vygenerovat jedinečný token, který v kombinaci s jeho certifikátem podepsaným svým držitelem umožňuje ověření pomocí CMG.
Poznámka
Nezaměňujte tokeny hromadné registrace s tokeny, které Configuration Manager problémy s jednotlivými klienty. Token hromadné registrace umožňuje klientovi nejprve nainstalovat lokalitu a komunikovat s ní. Tato počáteční komunikace je dostatečně dlouhá, aby lokalita vygenerovala klientovi vlastní jedinečný ověřovací token klienta. Klient pak použije svůj ověřovací token pro veškerou komunikaci s lokalitou, když je na internetu. Kromě počáteční registrace klient nepoužívá ani neukládá token hromadné registrace.
Pokud chcete vytvořit token hromadné registrace pro použití během instalace klienta na internetových zařízeních, proveďte následující akce:
Přihlaste se k serveru lokality nejvyšší úrovně v hierarchii s oprávněními místního správce.
Otevřete příkazový řádek jako správce.
Spusťte nástroj ze
\bin\X64
složky instalačního adresáře Configuration Manager na serveru lokality:BulkRegistrationTokenTool.exe
. Vytvořte nový token s parametrem/new
. Například:BulkRegistrationTokenTool.exe /new
. Další informace najdete v tématu Použití nástroje tokenu hromadné registrace.Zkopírujte token a uložte ho do zabezpečeného umístění.
Nainstalujte klienta Configuration Manager na internetové zařízení. Zahrňte parametr instalace klienta:
/regtoken
. Následující příklad příkazového řádku obsahuje další požadované parametry a vlastnosti nastavení:ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA
Tip
Další informace o tomto příkazovém řádku najdete v tématu Instalace a registrace klienta pomocí Microsoft Entra identity. Tento proces je podobný, ale nepoužívá vlastnosti Microsoft Entra.
Pokud to chcete ověřit, zkontrolujte podobný záznam v následujícím souboru protokolu:
Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>
Informace o řešení potíží s instalací najdete %WinDir%\ccmsetup\logs\ccmsetup.log
v klientovi. Po instalaci zkontrolujte .%WinDir%\ccm\logs\ClientIDManagerStartup.log
Na serveru zkontrolujte následující protokoly:
- Protokoly CMG
- Bod správy
- CCM_STS.log
- MP_RegistrationManager.log
- ClientAuth.log
Použití nástroje tokenu hromadné registrace
Nástroj BulkRegistrationTokenTool.exe
je ve \bin\X64
složce instalačního adresáře Configuration Manager na serveru lokality. Přihlaste se k serveru lokality a spusťte ho jako správce. Podporuje následující parametry příkazového řádku:
/?
/new
/lifetime
/?
Zobrazí tyto informace o využití.
Například: BulkRegistrationTokenTool.exe /?
/new
Vytvořte nový token hromadné registrace.
Například: BulkRegistrationTokenTool.exe /new
Nástroj zobrazí následující informace:
- Identifikátor GUID, který web používá ke sledování vydaných tokenů
- Doba platnosti tokenu, která je ve výchozím nastavení tři dny.
- Token hromadné registrace
Token není uložený v klientovi ani v lokalitě. Nezapomeňte zkopírovat token z příkazového řádku a uložit ho do zabezpečeného umístění.
/lifetime
Použijte s parametrem /new
k určení doby platnosti tokenu tokenu. Zadejte celočíselnou hodnotu v minutách. Výchozí hodnota je 4 320 (tři dny). Maximální hodnota je 10 080 (sedm dní).
Například: BulkRegistrationTokenTool.exe /lifetime 4320
Správa tokenů hromadné registrace
V konzole Configuration Manager můžete zobrazit dříve vytvořené tokeny hromadné registrace a jejich životnost a v případě potřeby jejich použití zablokovat. Databáze lokality ale neukládá tokeny hromadné registrace.
Kontrola tokenu hromadné registrace
V konzole Configuration Manager přejděte do pracovního prostoru Správa.
Rozbalte Zabezpečení a vyberte uzel Certifikáty . Konzola obsahuje seznam všech certifikátů souvisejících s webem a tokenů hromadné registrace v podokně podrobností.
Vyberte token hromadné registrace, který chcete zkontrolovat.
Můžete filtrovat nebo řadit podle sloupce Typ . Identifikujte konkrétní tokeny hromadné registrace na základě jejich identifikátoru GUID. Když vytvoříte token hromadné registrace, nástroj zobrazí identifikátor GUID.
Blokování tokenu hromadné registrace
V konzole Configuration Manager přejděte do pracovního prostoru Správa.
Rozbalte zabezpečení, vyberte uzel Certifikáty a vyberte hromadný registrační token, který chcete blokovat.
Na kartě Domů na pásu karet nebo v místní nabídce po kliknutí pravým tlačítkem vyberte Blokovat. Pokud chcete odblokovat dříve blokované tokeny hromadné registrace, vyberte akci Odblokovat .
Prodloužení platnosti tokenu
Klient obnovuje svůj jedinečný token vydaný Configuration Manager jednou měsíčně a je platný po dobu 90 dnů. Klient se kvůli obnovení tokenu nemusí připojovat k interní síti. Pokud je token stále platný, stačí se k lokalitě připojit pomocí CMG. Pokud se token neobnoví do 90 dnů, musí se klient připojit přímo k bodu správy v interní síti, aby získal nový token.
Token hromadné registrace se nedá obnovit. Jakmile vyprší platnost tokenu hromadné registrace, vygenerujte nový token pro internetovou registraci zařízení pomocí CMG.