Autenticación de cliente de CMG
Se aplica a: Configuration Manager (rama actual)
Los clientes que se conectan a una puerta de enlace de administración en la nube (CMG) pueden estar en la Internet pública que no es de confianza. Debido al origen del cliente, tienen un requisito de autenticación más alto. Hay tres opciones para la identidad y la autenticación con un CMG:
- Microsoft Entra ID
- Certificados PKI
- Configuration Manager tokens emitidos por el sitio
En la tabla siguiente se resumen los factores clave de cada método:
| Microsoft Entra ID | Certificado PKI | Token de sitio | |
|---|---|---|---|
| Versión de ConfigMgr | Todos los admitidos | Todos los admitidos | Todos los admitidos |
| Versión de cliente de Windows | Windows 10 o posterior | Todos los admitidos | Todos los admitidos |
| Compatibilidad con escenarios | Usuario y dispositivo | Solo dispositivo | Solo dispositivo |
| Punto de administración | E-HTTP o HTTPS | E-HTTP o HTTPS | E-HTTP o HTTPS |
Microsoft recomienda unir dispositivos a Microsoft Entra id. Los dispositivos basados en Internet pueden usar Microsoft Entra autenticación moderna con Configuration Manager. También permite escenarios de dispositivo y usuario tanto si el dispositivo está en Internet como si está conectado a la red interna.
Puede usar uno o varios métodos. Todos los clientes no tienen que usar el mismo método.
El método que elija, es posible que también tenga que volver a configurar uno o varios puntos de administración. Para obtener más información, consulte Configuración de la autenticación de cliente para CMG.
Microsoft Entra ID
Si los dispositivos basados en Internet se ejecutan Windows 10 o versiones posteriores, considere la posibilidad de usar Microsoft Entra autenticación moderna con CMG. Este método de autenticación es el único que permite escenarios centrados en el usuario. Por ejemplo, implementar aplicaciones en una colección de usuarios.
En primer lugar, los dispositivos deben estar unidos a un dominio en la nube o Microsoft Entra unidos a un dominio híbrido, y el usuario también necesita una identidad de Microsoft Entra. Si su organización ya usa identidades de Microsoft Entra, debe establecerse con este requisito previo. Si no es así, póngase en contacto con el administrador de Azure para planear identidades basadas en la nube. Para obtener más información, consulte Microsoft Entra identidad del dispositivo. Hasta que se complete ese proceso, considere la posibilidad de usar la autenticación basada en tokens para los clientes basados en Internet con la instancia de CMG.
Hay algunos otros requisitos, en función de su entorno:
- Habilitación de métodos de detección de usuarios para identidades híbridas
- Habilitar ASP.NET 4.5 en el punto de administración
- Configurar las opciones de cliente
Para obtener más información sobre estos requisitos previos, consulte Instalación de clientes mediante Microsoft Entra id.
Nota:
Si los dispositivos están en un inquilino de Microsoft Entra que es independiente del inquilino con una suscripción para los recursos de proceso de CMG, a partir de la versión 2010 puede deshabilitar la autenticación para inquilinos no asociados a usuarios y dispositivos. Para más información, consulte Configuración de servicios de Azure.
Certificado PKI
Si tiene una infraestructura de clave pública (PKI) que puede emitir certificados de autenticación de cliente a los dispositivos, considere este método de autenticación para dispositivos basados en Internet con cmg. No admite escenarios centrados en el usuario, pero admite dispositivos que ejecutan cualquier versión compatible de Windows.
Sugerencia
Los dispositivos Windows que están unidos a dominios híbridos o en la nube no requieren este certificado porque usan Microsoft Entra id. para autenticarse.
Este certificado también puede ser necesario en el punto de conexión de CMG.
Token de sitio
Si no puede unir dispositivos para Microsoft Entra identificador o usar certificados de autenticación de cliente PKI, use Configuration Manager autenticación basada en tokens. Los tokens de autenticación de cliente emitidos por el sitio funcionan en todas las versiones del sistema operativo cliente compatibles, pero solo admiten escenarios de dispositivo.
Si los clientes se conectan ocasionalmente a la red interna, se les emite automáticamente un token. Deben comunicarse directamente con un punto de administración local para registrarse en el sitio y obtener este token de cliente.
Si no puede registrar clientes en la red interna, puede crear e implementar un token de registro masivo. El token de registro masivo permite al cliente instalar y comunicarse inicialmente con el sitio. Esta comunicación inicial es lo suficientemente larga como para que el sitio emita al cliente su propio token de autenticación de cliente único. A continuación, el cliente usa su token de autenticación para toda la comunicación con el sitio mientras está en Internet.
Siguientes pasos
A continuación, diseñe cómo usar un CMG en la jerarquía:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de