Configuración de la autenticación de cliente para Cloud Management Gateway
Se aplica a: Configuration Manager (rama actual)
El siguiente paso en la configuración de una puerta de enlace de administración en la nube (CMG) es configurar cómo se autentican los clientes. Dado que estos clientes se conectan potencialmente al servicio desde la red pública de Internet que no es de confianza, tienen un requisito de autenticación más alto. Hay tres opciones:
- Microsoft Entra ID
- Certificados PKI
- Configuration Manager tokens emitidos por el sitio
En este artículo se describe cómo configurar cada una de estas opciones. Para obtener más información básica, vea Planear métodos de autenticación de cliente de CMG.
Microsoft Entra ID
Si los dispositivos basados en Internet ejecutan Windows 10 o posterior, use Microsoft Entra autenticación moderna con CMG. Este método de autenticación es el único que permite escenarios centrados en el usuario.
Este método de autenticación requiere las siguientes configuraciones:
Los dispositivos deben estar unidos a un dominio en la nube o Microsoft Entra unidos a un dominio híbrido, y el usuario también necesita una identidad de Microsoft Entra.
Sugerencia
Para comprobar si un dispositivo está unido a la nube, ejecute
dsregcmd.exe /status
en un símbolo del sistema. Si el dispositivo está Microsoft Entra unido o unido a híbridos, el campo AzureAdjoined de los resultados muestra SÍ. Para obtener más información, vea comando dsregcmd: estado del dispositivo.Uno de los requisitos principales para usar la autenticación de Microsoft Entra para clientes basados en Internet con un CMG es integrar el sitio con Microsoft Entra identificador. Ya completó esa acción en el paso anterior.
Hay algunos otros requisitos, en función de su entorno:
- Habilitación de métodos de detección de usuarios para identidades híbridas
- Habilitar ASP.NET 4.5 en el punto de administración
- Configurar las opciones de cliente
Para obtener más información sobre estos requisitos previos, consulte Instalación de clientes mediante Microsoft Entra id.
Certificado PKI
Siga estos pasos si tiene una infraestructura de clave pública (PKI) que puede emitir certificados de autenticación de cliente a los dispositivos.
Este certificado puede ser necesario en el punto de conexión de CMG. Para obtener más información, vea Punto de conexión de CMG.
Emitir el certificado
Cree y emita este certificado desde la PKI, que está fuera del contexto de Configuration Manager. Por ejemplo, puede usar Servicios de certificados de Active Directory y la directiva de grupo para emitir automáticamente certificados de autenticación de cliente a dispositivos unidos a un dominio. Para obtener más información, consulte Implementación de ejemplo de certificados PKI: Implementación del certificado de cliente.
El certificado de autenticación de cliente de CMG admite las siguientes configuraciones:
Longitud de clave de 2048 bits o 4096 bits
Este certificado admite proveedores de almacenamiento de claves para claves privadas de certificado (v3). Para obtener más información, consulte Introducción a los certificados CNG v3.
Exportación de la raíz de confianza del certificado de cliente
CMG tiene que confiar en los certificados de autenticación de cliente para establecer el canal HTTPS con los clientes. Para lograr esta confianza, exporte la cadena de certificados raíz de confianza. A continuación, proporcione estos certificados al crear la instancia de CMG en la consola de Configuration Manager.
Asegúrese de exportar todos los certificados de la cadena de confianza. Por ejemplo, si el certificado de autenticación de cliente lo emite una entidad de certificación intermedia, exporte los certificados de ca intermedios y raíz.
Nota:
Exporte este certificado cuando cualquier cliente use certificados PKI para la autenticación. Cuando todos los clientes usan Microsoft Entra identificador o tokens para la autenticación, este certificado no es necesario.
Después de emitir un certificado de autenticación de cliente a un equipo, use este proceso en ese equipo para exportar el certificado raíz de confianza.
Abra el menú Inicio. Escriba "run" para abrir la ventana Ejecutar. Abra
mmc
.En el menú Archivo, elija Agregar o quitar complemento....
En el cuadro de diálogo Agregar o quitar complementos, seleccione Certificados y, a continuación, seleccione Agregar.
En el cuadro de diálogo Complemento Certificados, seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.
En el cuadro de diálogo Seleccionar equipo, seleccione Equipo local y, a continuación, seleccione Finalizar.
En el cuadro de diálogo Agregar o quitar complementos, seleccione Aceptar.
Expanda Certificados, personal y seleccione Certificados.
Seleccione un certificado cuyo propósito previsto sea la autenticación de cliente.
En el menú Acción, seleccione Abrir.
Vaya a la pestaña Ruta de certificación .
Seleccione el siguiente certificado en la cadena y seleccione Ver certificado.
En este nuevo cuadro de diálogo Certificado, vaya a la pestaña Detalles . Seleccione Copiar en archivo....
Complete el Asistente para exportación de certificados con el formato de certificado predeterminado, binario codificado de DER X.509 (. CER). Anote el nombre y la ubicación del certificado exportado.
Exporte todos los certificados en la ruta de certificación del certificado de autenticación de cliente original. Anote qué certificados exportados son CA intermedios y cuáles son CA raíz de confianza.
Punto de conexión de CMG
Para reenviar de forma segura las solicitudes de cliente, el punto de conexión de CMG requiere una conexión segura con el punto de administración. Si usa la autenticación de cliente PKI y el punto de administración habilitado para Internet es HTTPS, emita un certificado de autenticación de cliente al servidor de sistema de sitio con el rol de punto de conexión de CMG.
Nota:
El punto de conexión de CMG no requiere un certificado de autenticación de cliente en los escenarios siguientes:
- Los clientes usan la autenticación Microsoft Entra.
- Los clientes usan Configuration Manager autenticación basada en tokens.
- El sitio usa HTTP mejorado.
Para obtener más información, consulte Habilitación del punto de administración para HTTPS.
Token de sitio
Si no puede unir dispositivos para Microsoft Entra identificador o usar certificados de autenticación de cliente PKI, use Configuration Manager autenticación basada en tokens. Para obtener más información, o para crear un token de registro masivo, consulte Autenticación basada en tokens para cloud management gateway.
Habilitación del punto de administración para HTTPS
En función de cómo configure el sitio y del método de autenticación de cliente que elija, es posible que tenga que volver a configurar los puntos de administración habilitados para Internet. Hay dos opciones:
- Configuración del sitio para HTTP mejorado y configuración del punto de administración para HTTP
- Configuración del punto de administración para HTTPS
Configuración del sitio para HTTP mejorado
Al usar la opción de sitio para Usar certificados generados por Configuration Manager para sistemas de sitio HTTP, puede configurar el punto de administración para HTTP. Al habilitar HTTP mejorado, el servidor de sitio genera un certificado autofirmado denominado Certificado SSL de rol SMS. Este certificado lo emite el certificado raíz de emisión de SMS . El punto de administración agrega este certificado al sitio web predeterminado de IIS enlazado al puerto 443.
Con esta opción, los clientes internos pueden seguir comunicándose con el punto de administración mediante HTTP. Los clientes basados en Internet que usan Microsoft Entra id. o un certificado de autenticación de cliente pueden comunicarse de forma segura a través de CMG con este punto de administración a través de HTTPS.
Para obtener más información, vea HTTP mejorado.
Configuración del punto de administración para HTTPS
Para configurar un punto de administración para HTTPS, primero emita un certificado de servidor web. A continuación, habilite el rol para HTTPS.
Cree y emita un certificado de servidor web desde su PKI o un proveedor de terceros, que están fuera del contexto de Configuration Manager. Por ejemplo, use Servicios de certificados de Active Directory y la directiva de grupo para emitir un certificado de servidor web al servidor de sistema de sitio con el rol de punto de administración. Para más información, consulte los siguientes artículos:
En las propiedades del rol de punto de administración, establezca las conexiones de cliente en HTTPS.
Sugerencia
Después de configurar CMG, configurará otras opciones para este punto de administración.
Si el entorno tiene varios puntos de administración, no es necesario habilitarlos todos para CMG. Configure los puntos de administración habilitados para CMG solo como Internet. A continuación, los clientes locales no intentan usarlos.
Resumen del modo de conexión de cliente de punto de administración
En estas tablas se resume si el punto de administración requiere HTTP o HTTPS, en función del tipo de cliente. Usan los siguientes términos:
- Grupo de trabajo: el dispositivo no está unido a un dominio ni a un identificador de Microsoft Entra, pero tiene un certificado de autenticación de cliente.
- Unido a un dominio de AD: une el dispositivo a un dominio Active Directory local.
- unido a Microsoft Entra: también conocido como unido a un dominio en la nube, une el dispositivo a un inquilino de Microsoft Entra. Para obtener más información, consulte Microsoft Entra dispositivos unidos.
- Unido a un entorno híbrido: une el dispositivo al Active Directory local y lo registra con el identificador de Microsoft Entra. Para obtener más información, consulte Microsoft Entra dispositivos unidos a híbridos.
- HTTP: en las propiedades del punto de administración, establezca las conexiones de cliente en HTTP.
- HTTPS: en las propiedades del punto de administración, establezca las conexiones de cliente en HTTPS.
- E-HTTP: en las propiedades del sitio, pestaña Seguridad de la comunicación, establezca la configuración del sistema de sitio en HTTPS o HTTP y habilite la opción Usar certificados generados por Configuration Manager para sistemas de sitio HTTP. Configure el punto de administración para HTTP y el punto de administración HTTP está listo para la comunicación HTTP y HTTPS.
Importante
A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.
Para clientes basados en Internet que se comunican con CMG
Configure un punto de administración local para permitir conexiones desde CMG con el siguiente modo de conexión de cliente:
Cliente basado en Internet | Punto de administración |
---|---|
Nota 1 del grupo de trabajo | E-HTTP, HTTPS |
Nota 1 unida a un dominio de AD | E-HTTP, HTTPS |
Microsoft Entra unidos | E-HTTP, HTTPS |
Unido a híbridos | E-HTTP, HTTPS |
Nota:
Nota 1: Esta configuración requiere que el cliente tenga un certificado de autenticación de cliente y solo admita escenarios centrados en dispositivos.
Para clientes locales que se comunican con el punto de administración local
Configure un punto de administración local con el siguiente modo de conexión de cliente:
Cliente local | Punto de administración |
---|---|
Workgroup | HTTP, HTTPS |
Unido a un dominio de AD | HTTP, HTTPS |
Microsoft Entra unidos | HTTPS |
Unido a híbridos | HTTP, HTTPS |
Nota:
Los clientes locales unidos a un dominio de AD admiten escenarios centrados en el dispositivo y el usuario que se comunican con un punto de administración HTTP o HTTPS.
Los clientes locales Microsoft Entra unidos e híbridos pueden comunicarse a través de HTTP para escenarios centrados en dispositivos, pero necesitan E-HTTP o HTTPS para habilitar escenarios centrados en el usuario. De lo contrario, se comportan igual que los clientes del grupo de trabajo.
Siguientes pasos
Ya está listo para crear el CMG en Configuration Manager: