Autenticación basada en tokens para cloud management gateway

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Cloud Management Gateway (CMG) admite muchos tipos de clientes, pero incluso con HTTP mejorado, estos clientes requieren un certificado de autenticación de cliente. Este requisito de certificado puede ser difícil de aprovisionar en clientes basados en Internet que no se conectan a menudo a la red interna, no pueden unirse a Microsoft Entra identificador y no tienen un método para instalar un certificado emitido por PKI.

Para superar estos desafíos, Configuration Manager amplía su compatibilidad con dispositivos mediante la emisión de sus propios tokens de autenticación a los dispositivos. Para aprovechar al máximo esta característica, después de actualizar el sitio, actualice también los clientes a la versión más reciente. El escenario completo no es funcional hasta que la versión del cliente también sea la más reciente. Si es necesario, asegúrese de promover la nueva versión de cliente a producción.

Los clientes se registran inicialmente para estos tokens mediante uno de los dos métodos siguientes:

  • Red interna

  • Registro masivo

El cliente Configuration Manager junto con el punto de administración administran este token, por lo que no hay dependencia de versión del sistema operativo. Esta característica está disponible para cualquier versión del sistema operativo cliente compatible.

Nota:

Estos métodos solo admiten escenarios de administración centrados en dispositivos.

Microsoft recomienda unir dispositivos a Microsoft Entra id. Los dispositivos basados en Internet pueden usar Microsoft Entra identificador para autenticarse con Configuration Manager. También permite escenarios de dispositivo y usuario tanto si el dispositivo está en Internet como si está conectado a la red interna. Para obtener más información, vea Instalar y registrar el cliente mediante Microsoft Entra identidad.

Asegúrese de permitir que los clientes usen una puerta de enlace de administración en la nube en el grupo de servicios en la nube de la configuración de cliente. Incluso con un token de sitio, los clientes no pueden comunicarse con un CMG si la configuración del cliente no lo permite. Para obtener más información, consulte Acerca de la configuración de cliente: Servicios en la nube.

Registro de red interno

Este método requiere que el cliente se registre primero con el punto de administración de la red interna. El registro de cliente suele producirse justo después de la instalación. El punto de administración proporciona al cliente un token único que muestra que usa un certificado autofirmado. Cuando el cliente se desplaza a Internet, para comunicarse con cmg empareja su certificado autofirmado con el token emitido por el punto de administración.

El sitio habilita este comportamiento de forma predeterminada.

Nota:

Con un punto de administración HTTPS, el cliente debe registrarse primero independientemente del punto de administración de Internet o intranet. El cliente debe presentar un certificado válido emitido por PKI, un token de Microsoft Entra o un token de registro masivo.

Token de registro masivo

Si no puede instalar y registrar clientes en la red interna, cree un token de registro masivo. Use este token cuando el cliente se instale en un dispositivo basado en Internet y se registre a través de CMG. El token de registro masivo tiene un período de validez corto y no se almacena en el cliente ni en el sitio. Permite al cliente generar un token único, que emparejado con su certificado autofirmado, le permite autenticarse con CMG.

Nota:

No confunda tokens de registro masivo con los que Configuration Manager problemas a clientes individuales. El token de registro masivo permite al cliente instalar y comunicarse inicialmente con el sitio. Esta comunicación inicial es lo suficientemente larga como para que el sitio emita al cliente su propio token de autenticación de cliente único. A continuación, el cliente usa su token de autenticación para toda la comunicación con el sitio mientras está en Internet. Más allá del registro inicial, el cliente no usa ni almacena el token de registro masivo.

Para crear un token de registro masivo para usarlo durante la instalación del cliente en dispositivos basados en Internet, realice las siguientes acciones:

  1. Inicie sesión en el servidor de sitio de nivel superior de la jerarquía con privilegios de administrador local.

  2. Abra un símbolo del sistema como administrador.

  3. Ejecute la herramienta desde la \bin\X64 carpeta del directorio de instalación de Configuration Manager en el servidor de sitio: BulkRegistrationTokenTool.exe. Cree un nuevo token con el /new parámetro . Por ejemplo, BulkRegistrationTokenTool.exe /new. Para obtener más información, consulte Uso masivo de la herramienta de token de registro.

  4. Copie el token y guárdelo en una ubicación segura.

  5. Instale el cliente Configuration Manager en un dispositivo basado en Internet. Incluya el parámetro de instalación de cliente: /regtoken. En la línea de comandos de ejemplo siguiente se incluyen los demás parámetros y propiedades de configuración necesarios:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Sugerencia

    Para obtener más información sobre esta línea de comandos, consulte Instalación y registro del cliente mediante Microsoft Entra identidad. Este proceso es similar, simplemente no usa las propiedades Microsoft Entra.

Para comprobarlo, revise el siguiente archivo de registro para obtener una entrada similar:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Para solucionar problemas de instalación, revise %WinDir%\ccmsetup\logs\ccmsetup.log en el cliente. Después de la instalación, revise %WinDir%\ccm\logs\ClientIDManagerStartup.log.

En el servidor, revise los registros siguientes:

  • Registros de CMG
  • Punto de administración
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Uso masivo de la herramienta de token de registro

La BulkRegistrationTokenTool.exe herramienta se encuentra en la \bin\X64 carpeta del directorio de instalación de Configuration Manager en el servidor de sitio. Inicie sesión en el servidor de sitio y ejecútelo como administrador. Admite los siguientes parámetros de línea de comandos:

  • /?
  • /new
  • /lifetime

/?

Mostrar esta información de uso.

Ejemplo: BulkRegistrationTokenTool.exe /?

/new

Cree un nuevo token de registro masivo.

Ejemplo: BulkRegistrationTokenTool.exe /new

La herramienta muestra la siguiente información:

  • GUID que el sitio usa para realizar un seguimiento de los tokens emitidos
  • El período de validez del token, que es de tres días de forma predeterminada.
  • Token de registro masivo.

El token no se almacena en el cliente ni en el sitio. Asegúrese de copiar el token desde el símbolo del sistema y almacenarlo en una ubicación segura.

/lifetime

Use con /new el parámetro para especificar el período de validez del token. Especifique un valor entero en minutos. El valor predeterminado es 4.320 (tres días). El valor máximo es 10 080 (siete días).

Ejemplo: BulkRegistrationTokenTool.exe /lifetime 4320

Administración masiva de tokens de registro

Puede ver los tokens de registro masivo creados anteriormente y su duración en la consola de Configuration Manager y bloquear su uso si es necesario. Sin embargo, la base de datos del sitio no almacena tokens de registro masivo.

Revisión de un token de registro masivo

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración.

  2. Expanda Seguridad y seleccione el nodo Certificados . La consola muestra todos los certificados relacionados con el sitio y los tokens de registro masivo en el panel de detalles.

  3. Seleccione el token de registro masivo que se va a revisar.

Puede filtrar o ordenar en la columna Tipo . Identificar tokens de registro masivo específicos en función de su GUID. Al crear un token de registro masivo, la herramienta muestra el GUID.

Bloquear un token de registro masivo

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración.

  2. Expanda Seguridad, seleccione el nodo Certificados y seleccione el token de registro masivo que se va a bloquear.

  3. En la pestaña Inicio de la barra de la cinta de opciones o en el menú contextual, seleccione Bloquear. Para desbloquear los tokens de registro masivo bloqueados previamente, seleccione la acción Desbloquear .

Renovación de tokens

El cliente renueva su token único emitido por Configuration Manager una vez al mes y es válido durante 90 días. Un cliente no necesita conectarse a la red interna para renovar su token. Siempre que el token siga siendo válido, es suficiente conectarse al sitio mediante una instancia de CMG. Si el token no se renueva en un plazo de 90 días, el cliente debe conectarse directamente a un punto de administración de una red interna para recibir un nuevo token.

No se puede renovar un token de registro masivo. Una vez que expire un token de registro masivo, genere uno nuevo para el registro de dispositivos basados en Internet mediante un CMG.

Vea también