Konfigurieren der Clientauthentifizierung für das Cloudverwaltungsgateway
Gilt für: Configuration Manager (Current Branch)
Der nächste Schritt bei der Einrichtung eines Cloudverwaltungsgateways (Cloud Management Gateway, CMG) besteht darin, die Authentifizierung von Clients zu konfigurieren. Da diese Clients potenziell über das nicht vertrauenswürdige öffentliche Internet eine Verbindung mit dem Dienst herstellen, besteht eine höhere Authentifizierungsanforderung. Drei Optionen sind verfügbar:
- Microsoft Entra-ID
- PKI-Zertifikate
- Configuration Manager vom Standort ausgestellten Token
In diesem Artikel wird beschrieben, wie Sie jede dieser Optionen konfigurieren. Weitere grundlegende Informationen finden Sie unter Planen der CMG-Clientauthentifizierungsmethoden.
Microsoft Entra-ID
Wenn Ihre internetbasierten Geräte Windows 10 oder höher ausgeführt werden, verwenden Sie Microsoft Entra moderne Authentifizierung mit dem CMG. Diese Authentifizierungsmethode ist die einzige, die benutzerorientierte Szenarien ermöglicht.
Diese Authentifizierungsmethode erfordert die folgenden Konfigurationen:
Die Geräte müssen entweder in die Clouddomäne eingebunden oder Microsoft Entra hybrid eingebunden sein, und der Benutzer benötigt auch eine Microsoft Entra Identität.
Tipp
Führen
dsregcmd.exe /status
Sie in einer Eingabeaufforderung aus, um zu überprüfen, ob ein Gerät in die Cloud eingebunden ist. Wenn das Gerät Microsoft Entra oder hybrid eingebunden ist, wird im Feld AzureAdjoined in den Ergebnissen JA angezeigt. Weitere Informationen finden Sie unter befehl dsregcmd – Gerätestatus.Eine der Hauptanforderungen für die Verwendung der Microsoft Entra-Authentifizierung für internetbasierte Clients mit einem CMG ist die Integration des Standorts mit Microsoft Entra ID. Sie haben diese Aktion bereits im vorherigen Schritt abgeschlossen.
Je nach Umgebung gibt es einige weitere Anforderungen:
- Aktivieren von Benutzerermittlungsmethoden für Hybrididentitäten
- Aktivieren von ASP.NET 4.5 auf dem Verwaltungspunkt
- Konfigurieren von Clienteinstellungen
Weitere Informationen zu diesen Voraussetzungen finden Sie unter Installieren von Clients mit Microsoft Entra-ID.
PKI-Zertifikat
Führen Sie diese Schritte aus, wenn Sie über eine Public Key-Infrastruktur (PKI) verfügen, die Clientauthentifizierungszertifikate für Geräte ausstellen kann.
Dieses Zertifikat ist möglicherweise für den CMG-Verbindungspunkt erforderlich. Weitere Informationen finden Sie unter CMG-Verbindungspunkt.
Ausstellen des Zertifikats
Erstellen Sie dieses Zertifikat über Ihre PKI, die sich außerhalb des Kontexts von Configuration Manager befindet, und stellen Sie es aus. Beispielsweise können Sie Active Directory-Zertifikatdienste und Gruppenrichtlinien verwenden, um automatisch Clientauthentifizierungszertifikate für in die Domäne eingebundene Geräte auszustellen. Weitere Informationen finden Sie unter Beispielbereitstellung von PKI-Zertifikaten: Bereitstellen des Clientzertifikats.
Das CMG-Clientauthentifizierungszertifikat unterstützt die folgenden Konfigurationen:
2048-Bit- oder 4096-Bit-Schlüssellänge
Dieses Zertifikat unterstützt Schlüsselspeicheranbieter für private Zertifikatschlüssel (v3). Weitere Informationen finden Sie unter Übersicht über CNG v3-Zertifikate.
Exportieren des vertrauenswürdigen Stamms des Clientzertifikats
Das CMG muss den Clientauthentifizierungszertifikaten vertrauen, um den HTTPS-Kanal mit Clients einzurichten. Um diese Vertrauensstellung zu erreichen, exportieren Sie die vertrauenswürdige Stammzertifikatkette. Geben Sie diese Zertifikate dann an, wenn Sie das CMG in der Configuration Manager-Konsole erstellen.
Stellen Sie sicher, dass Sie alle Zertifikate in der Vertrauenskette exportieren. Wenn das Clientauthentifizierungszertifikat beispielsweise von einer Zwischenzertifizierungsstelle ausgestellt wird, exportieren Sie sowohl die Zertifikate der Zwischen- als auch der Stammzertifizierungsstelle.
Hinweis
Exportieren Sie dieses Zertifikat, wenn ein Client PKI-Zertifikate für die Authentifizierung verwendet. Wenn alle Clients entweder Microsoft Entra-ID oder Token für die Authentifizierung verwenden, ist dieses Zertifikat nicht erforderlich.
Nachdem Sie ein Clientauthentifizierungszertifikat für einen Computer ausstellen, verwenden Sie diesen Prozess auf diesem Computer, um das vertrauenswürdige Stammzertifikat zu exportieren.
Öffnen Sie das Startmenü. Geben Sie "run" ein, um das Fenster Ausführen zu öffnen. Öffnen Sie
mmc
.Wählen Sie im Menü Datei die Option Snap-In hinzufügen/entfernen... aus.
Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option Zertifikate und dann Hinzufügen aus.
Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto und dann Weiter aus.
Wählen Sie im Dialogfeld Computer auswählen die Option Lokaler Computer und dann Fertig stellen aus.
Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option OK aus.
Erweitern Sie Zertifikate, erweitern Sie Persönlich, und wählen Sie Zertifikate aus.
Wählen Sie ein Zertifikat aus, dessen Zweck die Clientauthentifizierung ist.
Wählen Sie im Menü Aktion die Option Öffnen aus.
Wechseln Sie zur Registerkarte Zertifizierungspfad .
Wählen Sie das nächste Zertifikat in der Kette aus, und wählen Sie Zertifikat anzeigen aus.
Wechseln Sie in diesem neuen Dialogfeld Zertifikat zur Registerkarte Details . Wählen Sie In Datei kopieren... aus.
Schließen Sie den Zertifikatexport-Assistenten mit dem Standardzertifikatformat DER-codierten binären X.509 (. CER). Notieren Sie sich den Namen und speicherort des exportierten Zertifikats.
Exportieren Sie alle Zertifikate im Zertifizierungspfad des ursprünglichen Clientauthentifizierungszertifikats. Notieren Sie sich, welche exportierten Zertifikate Zwischenzertifizierungsstellen sind und welche vertrauenswürdige Stammzertifizierungsstellen sind.
CMG-Verbindungspunkt
Um Clientanforderungen sicher weiterzuleiten, erfordert der CMG-Verbindungspunkt eine sichere Verbindung mit dem Verwaltungspunkt. Wenn Sie die PKI-Clientauthentifizierung verwenden und der internetfähige Verwaltungspunkt HTTPS ist, stellen Sie dem Standortsystemserver ein Clientauthentifizierungszertifikat mit der CMG-Verbindungspunktrolle aus.
Hinweis
Der CMG-Verbindungspunkt erfordert in den folgenden Szenarien kein Clientauthentifizierungszertifikat:
- Clients verwenden Microsoft Entra-Authentifizierung.
- Clients verwenden Configuration Manager tokenbasierte Authentifizierung.
- Die Website verwendet erweitertes HTTP.
Weitere Informationen finden Sie unter Aktivieren des Verwaltungspunkts für HTTPS.
Websitetoken
Wenn Sie geräte nicht mit Microsoft Entra ID verbinden oder PKI-Clientauthentifizierungszertifikate verwenden können, verwenden Sie Configuration Manager tokenbasierte Authentifizierung. Weitere Informationen oder zum Erstellen eines Massenregistrierungstokens finden Sie unter Tokenbasierte Authentifizierung für Cloudverwaltungsgateway.
Aktivieren des Verwaltungspunkts für HTTPS
Je nachdem, wie Sie den Standort konfigurieren und welche Clientauthentifizierungsmethode Sie auswählen, müssen Sie Möglicherweise Ihre internetfähigen Verwaltungspunkte neu konfigurieren. Es gibt zwei Möglichkeiten:
- Konfigurieren des Standorts für erweitertes HTTP und Konfigurieren des Verwaltungspunkts für HTTP
- Konfigurieren des Verwaltungspunkts für HTTPS
Konfigurieren der Website für erweitertes HTTP
Wenn Sie die Standortoption Verwenden Configuration Manager generierter Zertifikate für HTTP-Standortsysteme verwenden, können Sie den Verwaltungspunkt für HTTP konfigurieren. Wenn Sie Enhanced HTTP aktivieren, generiert der Standortserver ein selbstsigniertes Zertifikat namens SMS Role SSL Certificate. Dieses Zertifikat wird vom Sms-Stammzertifikat ausgestellt. Der Verwaltungspunkt fügt dieses Zertifikat der IIS-Standardwebsite hinzu, die an Port 443 gebunden ist.
Mit dieser Option können interne Clients weiterhin über HTTP mit dem Verwaltungspunkt kommunizieren. Internetbasierte Clients, die Microsoft Entra-ID oder ein Clientauthentifizierungszertifikat verwenden, können sicher über das CMG mit diesem Verwaltungspunkt über HTTPS kommunizieren.
Weitere Informationen finden Sie unter Erweitertes HTTP.
Konfigurieren des Verwaltungspunkts für HTTPS
Um einen Verwaltungspunkt für HTTPS zu konfigurieren, stellen Sie zunächst ein Webserverzertifikat aus. Aktivieren Sie dann die Rolle für HTTPS.
Erstellen Sie ein Webserverzertifikat von Ihrer PKI oder einem Drittanbieter, das sich außerhalb des Kontexts von Configuration Manager befindet, und stellen Sie es aus. Verwenden Sie beispielsweise Active Directory-Zertifikatdienste und Gruppenrichtlinien, um dem Standortsystemserver mit der Verwaltungspunktrolle ein Webserverzertifikat ausstellen zu können. Weitere Informationen finden Sie in den folgenden Artikeln:
Legen Sie in den Eigenschaften der Verwaltungspunktrolle die Clientverbindungen auf HTTPS fest.
Tipp
Nachdem Sie das CMG eingerichtet haben, konfigurieren Sie weitere Einstellungen für diesen Verwaltungspunkt.
Wenn Ihre Umgebung über mehrere Verwaltungspunkte verfügt, müssen Sie nicht alle für CMG HTTPS aktivieren. Konfigurieren Sie die CMG-fähigen Verwaltungspunkte nur als Internet. Dann versuchen Ihre lokalen Clients nicht, sie zu verwenden.
Zusammenfassung des Verbindungsmodus des Verwaltungspunktclients
In diesen Tabellen wird zusammengefasst, ob der Verwaltungspunkt http oder HTTPS erfordert, je nach Clienttyp. Sie verwenden die folgenden Begriffe:
- Arbeitsgruppe: Das Gerät ist nicht mit einer Domäne oder Microsoft Entra-ID verknüpft, sondern verfügt über ein Clientauthentifizierungszertifikat.
- In die AD-Domäne eingebunden: Sie fügen das Gerät einer lokales Active Directory Domäne hinzu.
- Microsoft Entra eingebunden: Das Gerät wird auch als In die Clouddomäne eingebunden und mit einem Microsoft Entra Mandanten verknüpft. Weitere Informationen finden Sie unter Microsoft Entra eingebundenen Geräten.
- Hybrid eingebunden: Sie verbinden das Gerät mit Ihrem lokales Active Directory und registrieren es mit Ihrer Microsoft Entra-ID. Weitere Informationen finden Sie unter Microsoft Entra hybrid eingebundenen Geräten.
- HTTP: In den Verwaltungspunkteigenschaften legen Sie die Clientverbindungen auf HTTP fest.
- HTTPS: In den Verwaltungspunkteigenschaften legen Sie die Clientverbindungen auf HTTPS fest.
- E-HTTP: Legen Sie auf den Websiteeigenschaften auf der Registerkarte Kommunikationssicherheit die Standortsystemeinstellungen auf HTTPS oder HTTP fest und aktivieren die Option Configuration Manager generierte Zertifikate für HTTP-Standortsysteme verwenden. Sie konfigurieren den Verwaltungspunkt für HTTP, und der HTTP-Verwaltungspunkt ist sowohl für die HTTP- als auch für die HTTPS-Kommunikation bereit.
Wichtig
Ab Configuration Manager Version 2103 sind Websites, die die HTTP-Clientkommunikation zulassen, veraltet. Konfigurieren Sie die Website für HTTPS oder erweitertes HTTP. Weitere Informationen finden Sie unter Aktivieren der Website für nur HTTPS oder erweitertes HTTP.
Für internetbasierte Clients, die mit dem CMG kommunizieren
Konfigurieren Sie einen lokalen Verwaltungspunkt, um Verbindungen aus dem CMG mit dem folgenden Clientverbindungsmodus zuzulassen:
Internetbasierter Client | Verwaltungspunkt |
---|---|
Arbeitsgruppenhinweis 1 | E-HTTP, HTTPS |
In die AD-Domäne eingebunden Hinweis 1 | E-HTTP, HTTPS |
Microsoft Entra eingebunden | E-HTTP, HTTPS |
Hybrid eingebunden | E-HTTP, HTTPS |
Hinweis
Hinweis 1: Diese Konfiguration erfordert, dass der Client über ein Clientauthentifizierungszertifikat verfügt und nur geräteorientierte Szenarien unterstützt.
Für lokale Clients, die mit dem lokalen Verwaltungspunkt kommunizieren
Konfigurieren Sie einen lokalen Verwaltungspunkt mit dem folgenden Clientverbindungsmodus:
Lokaler Client | Verwaltungspunkt |
---|---|
Workgroup | HTTP, HTTPS |
In die AD-Domäne eingebunden | HTTP, HTTPS |
Microsoft Entra eingebunden | HTTPS |
Hybrid eingebunden | HTTP, HTTPS |
Hinweis
Lokale AD-In die Domäne eingebundene Clients unterstützen sowohl geräte- als auch benutzerorientierte Szenarien, die mit einem HTTP- oder HTTPS-Verwaltungspunkt kommunizieren.
Lokale Microsoft Entra und hybrid eingebundene Clients können für geräteorientierte Szenarien über HTTP kommunizieren, benötigen jedoch E-HTTP oder HTTPS, um benutzerorientierte Szenarien zu ermöglichen. Andernfalls verhalten sie sich wie Arbeitsgruppenclients.
Nächste Schritte
Sie können nun das CMG in Configuration Manager erstellen: