Authentification basée sur les jetons pour la passerelle de gestion cloud

S’applique à : Gestionnaire de Configuration (branche actuelle)

La passerelle de gestion cloud (CMG) prend en charge de nombreux types de clients, mais même avec http amélioré, ces clients nécessitent un certificat d’authentification client. Cette exigence de certificat peut être difficile à provisionner sur des clients Basés sur Internet qui ne se connectent pas souvent au réseau interne, ne sont pas en mesure de rejoindre Azure Active Directory (Azure AD) et n’ont pas de méthode pour installer un certificat émis par une infrastructure à clé publique.

Pour surmonter ces défis, Configuration Manager étend sa prise en charge des appareils en émettant ses propres jetons d’authentification aux appareils. Pour tirer pleinement parti de cette fonctionnalité, après avoir mis à jour le site, mettez également à jour les clients vers la dernière version. Le scénario complet n’est pas fonctionnel tant que la version du client n’est pas également la plus récente. Si nécessaire, veillez à promouvoir la nouvelle version du client en production.

Les clients s’inscrivent initialement pour ces jetons à l’aide de l’une des deux méthodes suivantes :

  • Réseau interne

  • Inscription en bloc

Le client Configuration Manager et le point de gestion gèrent ce jeton, de sorte qu’il n’y a pas de dépendance de version du système d’exploitation. Cette fonctionnalité est disponible pour toutes les versions de système d’exploitation client prises en charge.

Remarque

Ces méthodes prennent uniquement en charge les scénarios de gestion centrés sur l’appareil.

Microsoft recommande de joindre des appareils à Azure AD. Les appareils Basés sur Internet peuvent utiliser Azure AD pour s’authentifier auprès de Configuration Manager. Il permet également les scénarios d’appareil et d’utilisateur, que l’appareil soit sur Internet ou connecté au réseau interne. Pour plus d’informations, consultez Installer et inscrire le client à l’aide de l’identité Azure AD.

Veillez à autoriser les clients à utiliser une passerelle de gestion cloud dans le groupe de services cloud des paramètres client. Même avec un jeton de site, les clients ne peuvent pas communiquer avec une passerelle de gestion cloud si les paramètres client ne l’autorisent pas. Pour plus d’informations, consultez À propos des paramètres client : Services cloud.

Inscription de réseau interne

Cette méthode nécessite que le client s’inscrive d’abord auprès du point de gestion sur le réseau interne. L’inscription du client se produit généralement juste après l’installation. Le point de gestion donne au client un jeton unique qui indique qu’il utilise un certificat auto-signé. Lorsque le client est itinérant sur Internet, pour communiquer avec la passerelle de gestion cloud, il associe son certificat auto-signé au jeton émis par le point de gestion.

Le site active ce comportement par défaut.

Remarque

Avec un point de gestion HTTPS, le client doit d’abord s’inscrire, quel que soit le point de gestion Internet/intranet. Le client doit présenter un certificat PKI valide, un jeton Azure AD ou un jeton d’inscription en bloc.

Jeton d’inscription en bloc

Si vous ne pouvez pas installer et inscrire des clients sur le réseau interne, créez un jeton d’inscription en bloc. Utilisez ce jeton lorsque le client s’installe sur un appareil Internet et s’inscrit via la passerelle de gestion cloud. Le jeton d’inscription en bloc a une période de validité courte et n’est pas stocké sur le client ou le site. Il permet au client de générer un jeton unique, qui, associé à son certificat auto-signé, lui permet de s’authentifier auprès de la passerelle de gestion cloud.

Remarque

Ne confondez pas les jetons d’inscription en bloc avec ceux qui Configuration Manager des problèmes à des clients individuels. Le jeton d’inscription en bloc permet au client d’installer et de communiquer avec le site. Cette communication initiale est suffisamment longue pour que le site émette au client son propre jeton d’authentification client unique. Le client utilise ensuite son jeton d’authentification pour toutes les communications avec le site lorsqu’il est sur Internet. Au-delà de l’inscription initiale, le client n’utilise ni ne stocke le jeton d’inscription en bloc.

Pour créer un jeton d’inscription en bloc à utiliser lors de l’installation du client sur des appareils Internet, effectuez les actions suivantes :

  1. Connectez-vous au serveur de site de niveau supérieur dans la hiérarchie avec des privilèges d’administrateur local.

  2. Ouvrez une invite de commandes en tant qu’administrateur.

  3. Exécutez l’outil à partir du \bin\X64 dossier du répertoire d’installation Configuration Manager sur le serveur de site : BulkRegistrationTokenTool.exe. Créez un jeton avec le /new paramètre . Par exemple : BulkRegistrationTokenTool.exe /new. Pour plus d’informations, consultez Utilisation de l’outil de jeton d’inscription en bloc.

  4. Copiez le jeton et enregistrez-le dans un emplacement sécurisé.

  5. Installez le client Configuration Manager sur un appareil Internet. Incluez le paramètre d’installation du client : /regtoken. L’exemple de ligne de commande suivant inclut les autres paramètres et propriétés d’installation requis :

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Conseil

    Pour plus d’informations sur cette ligne de commande, consultez Installer et inscrire le client à l’aide de l’identité Azure AD. Ce processus est similaire et n’utilise tout simplement pas les propriétés Azure AD.

Pour vérifier, examinez le fichier journal suivant pour obtenir une entrée similaire :

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Pour résoudre les problèmes d’installation, passez en revue %WinDir%\ccmsetup\logs\ccmsetup.log sur le client. Après l’installation, passez en revue %WinDir%\ccm\logs\ClientIDManagerStartup.log.

Sur le serveur, passez en revue les journaux suivants :

Utilisation de l’outil de jeton d’inscription en bloc

L’outil BulkRegistrationTokenTool.exe se trouve dans le \bin\X64 dossier du répertoire d’installation Configuration Manager sur le serveur de site. Connectez-vous au serveur de site et exécutez-le en tant qu’administrateur. Il prend en charge les paramètres de ligne de commande suivants :

  • /?
  • /new
  • /lifetime

/?

Affichez ces informations d’utilisation.

Exemple : BulkRegistrationTokenTool.exe /?

/new

Créez un jeton d’inscription en bloc.

Exemple : BulkRegistrationTokenTool.exe /new

L’outil affiche les informations suivantes :

  • GUID que le site utilise pour suivre les jetons émis
  • Période de validité du jeton, qui est de trois jours par défaut.
  • Jeton d’inscription en bloc.

Le jeton n’est pas stocké sur le client ou le site. Veillez à copier le jeton à partir de l’invite de commandes et à le stocker dans un emplacement sécurisé.

/lifetime

Utilisez avec /new le paramètre pour spécifier la période de validité du jeton. Spécifiez une valeur entière en minutes. La valeur par défaut est 4 320 (trois jours). La valeur maximale est 10 080 (sept jours).

Exemple : BulkRegistrationTokenTool.exe /lifetime 4320

Gestion des jetons d’inscription en bloc

Vous pouvez voir les jetons d’inscription en bloc créés précédemment et leur durée de vie dans la console Configuration Manager et bloquer leur utilisation si nécessaire. Toutefois, la base de données du site ne stocke pas de jetons d’inscription en bloc.

Passer en revue un jeton d’inscription en bloc

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration.

  2. Développez Sécurité, puis sélectionnez le nœud Certificats . La console répertorie tous les certificats liés au site et les jetons d’inscription en bloc dans le volet d’informations.

  3. Sélectionnez le jeton d’inscription en bloc à examiner.

Vous pouvez filtrer ou trier sur la colonne Type . Identifiez les jetons d’inscription en bloc spécifiques en fonction de leur GUID. Lorsque vous créez un jeton d’inscription en bloc, l’outil affiche le GUID.

Bloquer un jeton d’inscription en bloc

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration.

  2. Développez Sécurité, sélectionnez le nœud Certificats , puis sélectionnez le jeton d’inscription en bloc à bloquer.

  3. Sous l’onglet Accueil de la barre du ruban ou dans le menu contextuel contextuel, sélectionnez Bloquer. Pour débloquer des jetons d’inscription en bloc précédemment bloqués, sélectionnez l’action Débloquer .

Renouvellement du jeton

Le client renouvelle son jeton unique Configuration Manager émis une fois par mois, et il est valide pendant 90 jours. Un client n’a pas besoin de se connecter au réseau interne pour renouveler son jeton. Tant que le jeton est toujours valide, la connexion au site à l’aide d’une passerelle de gestion cloud est suffisante. Si le jeton n’est pas renouvelé dans les 90 jours, le client doit se connecter directement à un point de gestion sur un réseau interne pour recevoir un nouveau jeton.

Vous ne pouvez pas renouveler un jeton d’inscription en bloc. Une fois qu’un jeton d’inscription en bloc expire, générez-en un nouveau pour l’inscription d’appareil basée sur Internet à l’aide d’une passerelle de gestion cloud.

Voir aussi