Planeamiento de la administración de clientes basada en Internet en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Use la administración de clientes basada en Internet (IBCM) para administrar Configuration Manager clientes cuando no estén conectados a la red interna. Ventajas del uso de IBCM:
- Control total de servidores y roles que proporcionan el servicio
- Sin dependencia de servicio en la nube
- Es posible que no necesite una red privada virtual (VPN)
- Todos los costos están asociados al servicio local
Debido a los mayores requisitos de seguridad de la administración de equipos cliente en una red pública, IBCM requiere el uso de certificados PKI. Esta configuración garantiza que una autoridad independiente autentique las conexiones. Cuando los clientes de IBCM y los servidores de sitio envían datos, se cifran y protegen.
Comunicaciones de cliente
Los siguientes roles de sistema de sitio en sitios primarios admiten conexiones de clientes que se encuentran en ubicaciones que no son de confianza:
Nota:
Aunque IBCM se centra principalmente en el escenario basado en Internet, los mismos comportamientos se aplican a los clientes de un bosque de Active Directory que no es de confianza. Los sitios secundarios no admiten conexiones de cliente desde ubicaciones que no son de confianza.
Punto de registro de certificados para el módulo de directiva de Configuration Manager (NDES)
Advertencia
A partir de la versión 2203, ya no se admite el punto de registro de certificados. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.
Punto de distribución
Puerta de enlace de administración en la nube habilitada para contenido (CMG)
Punto de proxy de inscripción
Punto de estado de reserva
Punto de administración
Punto de actualización de software
Acerca de los sistemas de sitio accesibles desde Internet
No es necesario tener una confianza entre el bosque de un cliente y el del servidor de sistema de sitio. Sin embargo, cuando el bosque que contiene un sistema de sitio accesible desde Internet confía en el bosque que contiene las cuentas de usuario, esta configuración admite directivas basadas en usuarios para dispositivos en Internet al habilitar la configuración de cliente de directiva de cliente Habilitar solicitudes de directiva de usuario de clientes de Internet.
Por ejemplo, las siguientes configuraciones muestran cuándo IBCM admite directivas de usuario para dispositivos en Internet:
El punto de administración basado en Internet está en la red perimetral. Esa red también tiene un controlador de dominio de solo lectura para autenticar al usuario. Un firewall entre el perímetro y las redes internas permite paquetes de Active Directory.
La cuenta de usuario está en el bosque basado en intranet. El punto de administración basado en Internet está en el bosque basado en perímetro. El bosque perimetral confía en el bosque interno. Un firewall entre el perímetro y las redes internas permite los paquetes de autenticación.
La cuenta de usuario y el punto de administración basado en Internet se encuentran en el bosque basado en intranet. El punto de administración se publica en Internet con un servidor proxy web.
Uso de un servidor proxy web
Puede colocar sistemas de sitio basados en Internet en la intranet al publicarlos en Internet con un servidor proxy web. Configure estos sistemas de sitio para las conexiones de cliente solo desde Internet o las conexiones de cliente desde Internet y la intranet. Cuando se usa un servidor proxy web, puede configurarlo para el puente de capa de sockets seguros (SSL) a la tunelización SSL o SSL.
Puente SSL a SSL
El puente SSL a SSL es la configuración recomendada y más segura, ya que usa la terminación SSL con autenticación. Autentica los equipos cliente con autenticación de equipo. Los dispositivos móviles que se inscriben con Configuration Manager no admiten el puente SSL.
Con la terminación SSL en el proxy, inspecciona los paquetes de Internet antes de reenviarlos a la red interna. El proxy autentica la conexión desde el cliente, la finaliza y, a continuación, abre una nueva conexión autenticada a los sistemas de sitio basados en Internet. Cuando Configuration Manager clientes usan un proxy, el cliente contiene de forma segura su identidad (GUID) en la carga del paquete. El punto de administración no considera que el proxy sea el cliente. Configuration Manager no admite el puente con HTTP a HTTPS o de HTTPS a HTTP.
Nota:
Configuration Manager no admite la configuración de configuraciones de puente SSL de terceros. Por ejemplo, Citrix Netscaler o F5 BIG-IP. Trabaje con el proveedor del dispositivo para configurarlo para su uso con Configuration Manager.
Túnel
Si el servidor web proxy no puede admitir los requisitos de puente SSL, Configuration Manager también admite la tunelización SSL. También puede usar la tunelización SSL para admitir dispositivos móviles que se inscriban con Configuration Manager. Es una opción menos segura porque el proxy reenvía los paquetes SSL desde Internet a los sistemas de sitio sin terminación SSL. El proxy no inspecciona los paquetes en busca de contenido malintencionado. Cuando se usa la tunelización SSL, no hay requisitos de certificado para el servidor web proxy.
Planeamiento de clientes basados en Internet
Decida si desea configurar los clientes basados en Internet para la administración tanto en la intranet como en Internet, o para la administración de clientes solo de Internet. Solo puede configurar esta opción de administración durante la instalación del cliente. Para cambiarlo más adelante, vuelva a instalar el cliente.
Nota:
Si configura un punto de administración para admitir clientes basados en Internet, los clientes que se conecten a este punto de administración se volverán compatibles con Internet cuando actualicen a continuación su lista de puntos de administración disponibles.
No es necesario restringir la configuración de la administración de clientes solo de Internet a Internet. También puede usarlo en la intranet.
Los clientes que configure para la administración solo de Internet solo se comunican con los sistemas de sitio que configure para las conexiones de cliente desde Internet. Use esta configuración en los siguientes escenarios:
- En el caso de los equipos que sepa, nunca se conectarán a la intranet. Por ejemplo, equipos de punto de venta en ubicaciones remotas.
- Para restringir la comunicación del cliente solo a HTTPS. Por ejemplo, para admitir el firewall y las directivas de seguridad restringidas.
- Al instalar sistemas de sitio basados en Internet en una red perimetral y desea administrar estos servidores como clientes Configuration Manager.
Nota:
Cuando quiera administrar clientes de grupo de trabajo en Internet, instálelos solo en Internet.
Al configurar un dispositivo móvil para usar un punto de administración basado en Internet, se configura automáticamente como solo Internet.
Puede configurar otros clientes para la administración de clientes de Internet e intranet. Cuando detectan un cambio de red, cambian automáticamente entre IBCM y la administración de clientes de intranet. Si estos clientes pueden encontrar y conectarse a un punto de administración que admita conexiones de cliente en la intranet, estos clientes se administran como clientes de intranet. Los clientes de intranet tienen funcionalidad de Configuration Manager completa. Si los clientes no pueden encontrar o conectarse a un punto de administración que admita conexiones de cliente en la intranet, intentan conectarse a un punto de administración basado en Internet. Si esta acción se realiza correctamente, los sistemas de sitio basados en Internet administran estos clientes en su sitio asignado.
La ventaja de la conmutación automática es que los clientes pueden usar todas las características cuando se conectan a la intranet y recibir una administración esencial cuando están en Internet. La descarga de contenido que comienza en Internet se puede reanudar sin problemas en la intranet y al revés.
Requisitos previos
IBCM en Configuration Manager tiene las siguientes dependencias:
Los clientes requieren una conexión a Internet. Configuration Manager usa la conexión a Internet existente del dispositivo. Los dispositivos móviles deben tener una conexión directa a Internet. Los equipos cliente completos pueden tener una conexión directa a Internet o conectarse mediante un servidor web proxy.
Los sistemas de sitio que admiten IBCM requieren una conexión a Internet y deben estar en un dominio de Active Directory. Los sistemas de sitio basados en Internet no requieren una relación de confianza con el bosque de Active Directory del servidor de sitio. Sin embargo, cuando el punto de administración basado en Internet puede autenticar al usuario mediante autenticación de Windows, admite directivas de usuario. Si autenticación de Windows produce un error, solo admite directivas de dispositivo.
Nota:
Para admitir directivas de usuario, habilite también la siguiente configuración de cliente en el grupo Directiva de cliente :
- Habilitación del sondeo de directivas de usuario en clientes
- Habilitación de solicitudes de directiva de usuario de clientes de Internet
Una infraestructura de clave pública (PKI) para implementar y administrar los certificados necesarios para los clientes basados en Internet y los servidores de sistema de sitio. Para obtener más información, consulte Requisitos de certificados PKI.
Registre entradas de host DNS públicas para los nombres de dominio completos (FQDN) de Internet de los sistemas de sitio compatibles con IBCM.
Habilite la opción Para usar el certificado de cliente PKI (funcionalidad de autenticación de cliente) cuando esté disponible en la pestaña Seguridad de la comunicación de las propiedades del sitio. Esta opción es necesaria.
Requisitos de comunicación del cliente
Los firewalls o servidores proxy intermedios deben permitir la comunicación del cliente para los sistemas de sitio basados en Internet:
Compatibilidad con HTTP 1.1
Permitir el tipo de contenido HTTP de datos adjuntos MIME de varias partes (multipart/mixed y application/octet-stream)
Verbos
Permita los verbos siguientes para los roles de servidor de sistema de sitio basados en Internet:
| Rol | Verbos |
|---|---|
| Punto de administración | -CABEZA - CCM_POST - BITS_POST -OBTENER - PROPFIND |
| Punto de distribución | -CABEZA -OBTENER - PROPFIND |
| Punto de estado de reserva | POST |
Encabezados HTTP
Permita los siguientes encabezados HTTP para los roles de servidor de sistema de sitio basados en Internet:
| Rol | Encabezados HTTP |
|---|---|
| Punto de administración | -Gama: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: - CCMClientTimestampsSignature: |
| Punto de distribución | Gama: |
Para obtener requisitos de comunicación similares cuando se usa el punto de actualización de software para las conexiones de cliente desde Internet, consulte la documentación de Windows Server Update Services (WSUS).
Características no compatibles
No todas las funciones de administración de clientes son adecuadas para Internet. Configuration Manager no admite algunas características para clientes en Internet. Estas características no admitidas suelen basarse en Servicios de dominio de Active Directory o no son adecuadas para una red pública.
Las siguientes características no se admiten cuando se administran clientes en Internet con IBCM:
Implementación de cliente a través de Internet, como la inserción de cliente y la implementación de cliente basada en actualizaciones de software. Use la instalación manual del cliente.
Asignación automática de sitios
Wake-on-LAN
Implementación del sistema operativo. Sin embargo, puede implementar secuencias de tareas que no implementen un sistema operativo.
Control remoto
Implementación de software para los usuarios. Esta característica se basaba en el catálogo de aplicaciones, que ya no se admite.
Itinerancia de cliente. La itinerancia permite a los clientes encontrar siempre los puntos de distribución más cercanos para descargar contenido. Los clientes seleccionan de forma no determinista uno de los sistemas de sitio basados en Internet, sea cual sea el ancho de banda o la ubicación física.
Al configurar un punto de actualización de software para aceptar conexiones desde Internet, los clientes basados en Internet siempre examinan este punto de actualización de software para determinar qué actualizaciones de software son necesarias. Cuando estos clientes están en Internet, primero intentan descargar las actualizaciones de software de Microsoft Update, en lugar de desde un punto de distribución basado en Internet. Si se produce un error en este comportamiento, intentan descargar las actualizaciones de software necesarias desde un punto de distribución basado en Internet.
Sugerencia
El cliente Configuration Manager determina automáticamente si está en la intranet o en Internet. Si el cliente puede ponerse en contacto con un controlador de dominio o un punto de administración local, establece su tipo de conexión en "Actualmente intranet". De lo contrario, cambia a " Actualmente internet" y se comunica con los sistemas de sitio asignados a su sitio.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de