Compartir a través de


flujo de trabajo de autenticación de Microsoft Entra

Se aplica a: Configuration Manager (rama actual)

Este artículo es una referencia técnica para el proceso de instalación y registro del cliente Configuration Manager en un dispositivo Windows que está unido a Microsoft Entra identificador. Detalla el proceso de flujo de trabajo para la autenticación del dispositivo.

Nota:

Los clientes de Windows obtienen un certificado de unión al área de trabajo (WPJ) cuando se unen a un inquilino de Microsoft Entra. Si no se encuentra el certificado, el cliente de Configuration Manager no puede solicitar Microsoft Entra tokens. Sin un token, el cliente no puede usar el canal de comunicación Configuration Manager servicio de token de seguridad (CCM_STS) para la autenticación Microsoft Entra con sistemas de sitio Configuration Manager.

Instalación de cliente

En este ejemplo de flujo de trabajo, instaló el cliente de Configuration Manager en un dispositivo Windows a través de Internet con las siguientes propiedades de línea de comandos de ccmsetup:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

Diagrama de flujo de trabajo de CcmSetup con autenticación Microsoft Entra

1. Microsoft Entra solicitud de información de ccmsetup

Los clientes instalados desde Internet necesitan propiedades de línea de comandos específicas para usar la autenticación Microsoft Entra. Puede incluir estas propiedades en la línea de comandos de ccmsetup de Internet, pero no son necesarias. Cuando no se usan propiedades Microsoft Entra, ccmsetup solicita las AADCLIENTAPPID propiedades y AADRESOURCEURI de la puerta de enlace de administración en la nube (CMG). Usa tenantID de Microsoft Entra del dispositivo como referencia. Si no ha incorporado el TenantID del cliente en Configuration Manager, cmg no ofrece las propiedades necesarias a ccmsetup para continuar con la instalación del cliente.

Las siguientes entradas se registran en ccmsetup.log del cliente:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Importante

Durante ccmsetup, el dispositivo tiene que validar el certificado de autenticación del servidor CMG. El certificado de entidad de certificación raíz (CA) para el certificado de autenticación del servidor CMG debe estar disponible en el cliente para la validación de la cadena. Si usa PKI, cuando la entidad de certificación raíz no se publique en Internet, agregue el certificado de ca raíz al almacén de CA raíz del dispositivo.

Si la lista de revocación de certificados de CA raíz (CRL) no se publica en Internet, agregue el /nocrlcheck parámetro en la línea de comandos ccmsetup.

2. solicitud de token de Microsoft Entra

En un dispositivo unido a un dominio de Windows Azure AD, ccmsetup usa las propiedades Microsoft Entra para solicitar un token de Microsoft Entra que llame al proveedor ADALOperation. Las siguientes entradas se registran en ccmsetup.log en el cliente:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Si se produce un error en la solicitud de token de dispositivo, ccmsetup vuelve a intentar solicitar un token de usuario Microsoft Entra. Si el dispositivo no puede obtener un token de usuario o dispositivo Microsoft Entra, ccmsetup no continúa.

Nota:

Si el dispositivo tiene un certificado de autenticación de cliente PKI válido, ccmsetup siempre prefiere el certificado. En este caso, el cliente se instala como cliente PKI y no usa Microsoft Entra autenticación.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Configuration Manager solicitud de token de cliente

El cliente usa el token de Microsoft Entra para solicitar el token de cliente Configuration Manager (CCM). La comunicación operativa entre ccmsetup y el sitio usa el token de CCM como token de autorización (CcmTokenAuth=1).

3.1 El cliente envía la solicitud de token de CCM a CMG.

Las siguientes entradas se registran en ccmsetup.log en el cliente:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 CMG reenvía al punto de conexión cmg

Las siguientes entradas se registran en CMGService.log en la instancia de máquina virtual de CMG.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

Sugerencia

Configuration Manager sincroniza CMGService.log con la carpeta de registros del servidor de sitio cada cinco minutos como CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log.

3.3 El punto de conexión cmg transforma la solicitud de cliente de CMG en la solicitud de cliente del punto de administración

Las siguientes entradas se registran en SMS_CLOUD_PROXYCONNECTOR.log (modo detallado) del sistema de sitio que hospeda el rol de punto de conexión de CMG:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 Punto de administración comprueba el token de usuario en la base de datos del sitio

Las siguientes entradas se registran en CCM_STS.log del sistema de sitio que hospeda el punto de administración que controla la solicitud de cliente:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. Solicitud de ubicación de contenido

Una vez que el cliente obtiene el token de CCM, lo almacena en caché y lo usa para solicitar información del sitio y ubicación de contenido de ccmsetup.cab. Una vez que el dispositivo descarga el contenido del cliente, inicia la instalación. Las siguientes entradas se registran en ccmsetup.log en el cliente:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Nota:

Si el cliente encuentra el contenido de un CMG habilitado para contenido, ccmsetup descarga el contenido del almacenamiento en la nube. Si la versión de cliente más reciente no está disponible en la nube, descarga el contenido del punto de administración a través de una solicitud de CMG.

Registro de cliente

Diagrama de flujo de trabajo del registro de cliente con autenticación de Microsoft Entra

1. Configuration Manager registro de solicitudes de cliente

Una vez que ccmsetup instala correctamente el cliente Configuration Manager, el registro se inicializa. Las siguientes entradas se registran en ClientIDManagerStartup.log del cliente:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. Configuration Manager solicitudes Microsoft Entra token para registrar el cliente

El cliente solicita un nuevo token de Microsoft Entra para registrarse mediante la autenticación de Microsoft Entra. Prefiere un token de dispositivo, pero si no está disponible, el cliente vuelve a solicitar un token de usuario Microsoft Entra. Las siguientes entradas se registran en ADALOperationProvider.log del cliente:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Solicitud de registro

El componente de registro en el punto de administración controla el proceso de registro de cliente. El cliente envía un mensaje de registro al punto de conexión MP_ClientRegistration.

3.1 CMG reenvía la solicitud de registro de cliente al punto de administración

Las siguientes entradas se registran en el MP_RegistrationManager.log del sistema de sitio que hospeda el punto de administración que controla la solicitud de cliente:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager cliente está registrado

Si el registro se realiza correctamente, el cliente recibe un mensaje de confirmación del registro con la aprobación 3 para Microsoft Entra registro basado en identificador. Las siguientes entradas se registran en ClientIDManagerStartup.log del cliente:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. Configuration Manager solicitud de token de cliente

Una vez que el servidor confirma el registro de cliente, el cliente procesa el mensaje de respuesta. A continuación, el cliente solicita y almacena en caché un nuevo token de CCM. Las siguientes entradas se registran en ClientIDManagerStartup.log del cliente:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG obtiene y reenvía CCM_Token solicitud al punto de conexión de CMG.

Las siguientes entradas se registran en CMGService.log de la máquina virtual de CMG y el sistema de sitio que hospeda el rol de punto de conexión de CMG:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 El punto de conexión cmg transforma la solicitud de cliente de CMG en la solicitud de cliente del punto de administración

Las siguientes entradas se registran en SMS_CLOUD_PROXYCONNECTOR.log del sistema de sitio que hospeda el rol de punto de conexión de CMG:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 Punto de administración comprueba el token de usuario en la base de datos del sitio

Las siguientes entradas se registran en CCM_STS.log del sistema de sitio que hospeda el punto de administración que controla la solicitud de cliente:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

El servidor devuelve el token de CCM al cliente para el resto de la comunicación de cliente a sitio.

Nota:

Durante el registro de cliente, la validación de certificados siempre se ejecuta. Este proceso se produce incluso si usa el método de autenticación Microsoft Entra para registrar el cliente. Este comportamiento es una opción de reserva, en caso de Microsoft Entra la autenticación no se realice correctamente.

Renovación de tokens de CCM

El token de CCM tiene una duración de ocho horas. Cuando el cliente detecta que el token de CCM ha expirado o está a punto de expirar, envía una nueva solicitud de token de CCM. El componente CcmMessaging controla este proceso de renovación. Las siguientes entradas se registran en CcmMessaging.log del cliente:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Problemas comunes

  • Ca raíz no presente: los clientes necesitan el certificado de CA raíz para validar el certificado de autenticación del servidor CMG.

  • La comprobación de CRL está habilitada: publique la CRL en Internet. Como alternativa, use el /NoCRLCheck parámetro para ccmsetup. También puede deshabilitar la siguiente opción: Los clientes comprueban la lista de revocación de certificados (CRL) para los sistemas de sitio. Busque esta opción en la pestaña Seguridad de la comunicación de las propiedades del sitio.

  • No se encuentra el certificado WPJ: asegúrese de que el dispositivo está Microsoft Entra unido. Use dsregcmd.exe. Por ejemplo, dsregcmd /status y examine la sección Estado del dispositivo .

Sugerencia

La comunicación del cliente a través de CMG, el punto de conexión de CMG y el punto de administración se ejecuta a través de HTTPS. Si configura el sitio para HTTP mejorado, todavía puede configurar el punto de administración para HTTP.

  • El cliente comprueba el certificado de autenticación del servidor CMG:

    • Certificado PKI: el cliente requiere la entidad de certificación raíz del certificado cmg en su almacén local.
    • Certificado de terceros: los clientes validan automáticamente un certificado con su CA raíz publicada en Internet.
  • CMG, el punto de conexión de CMG y el punto de administración validan Microsoft Entra identificador y tokens de CCM.

  • La comunicación entre el punto de conexión de CMG y el punto de administración también está protegida en ambos extremos:

    • El punto de conexión de CMG usa el certificado de autenticación de cliente.
    • MP usa un certificado PKI para la configuración HTTPS o un certificado autofirmado para HTTP mejorado.