Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőre vonatkozik: Configuration Manager (aktuális ág)
A felhőfelügyeleti átjáró (CMG) számos ügyféltípust támogat, de még továbbfejlesztett HTTP esetén is szükség van ügyfél-hitelesítési tanúsítványra. Ezt a tanúsítványkövetelményt nehéz lehet kiépíteni olyan internetes ügyfeleken, amelyek gyakran nem csatlakoznak a belső hálózathoz, nem tudnak csatlakozni Microsoft Entra ID, és nem rendelkeznek A PKI által kibocsátott tanúsítvány telepítésének módjával.
A kihívások leküzdéséhez Configuration Manager saját hitelesítési jogkivonatok kiadásával kiterjeszti eszköztámogatását az eszközökre. A szolgáltatás teljes körű kihasználásához a webhely frissítése után az ügyfeleket is frissítse a legújabb verzióra. A teljes forgatókönyv csak akkor működik, ha az ügyfél verziója is a legújabb. Ha szükséges, elő kell léptetnie az új ügyfélverziót éles környezetbe.
Az ügyfelek először az alábbi két módszer egyikével regisztrálnak ezekre a jogkivonatokra:
Belső hálózat
Tömeges regisztráció
Ezt a jogkivonatot a Configuration Manager-ügyfél és a felügyeleti pont kezeli, így az operációs rendszer verziója nem függ az ügyfél szintjén. Ez a funkció bármely támogatott ügyfél operációsrendszer-verzióhoz elérhető.
Megjegyzés:
Ezek a módszerek csak az eszközközpontú felügyeleti forgatókönyveket támogatják.
A Microsoft azt javasolja, hogy csatlakoztassunk eszközöket a Microsoft Entra ID. Az internetalapú eszközök Microsoft Entra ID használhatnak a Configuration Manager való hitelesítéshez. Emellett lehetővé teszi az eszközök és a felhasználók számára is, hogy az eszköz az interneten található-e, vagy csatlakozik-e a belső hálózathoz. További információ: Az ügyfél telepítése és regisztrálása Microsoft Entra identitás használatával.
Győződjön meg arról, hogy engedélyezi az ügyfelek számára a felhőfelügyeleti átjáró használatát az ügyfélbeállítások Felhőszolgáltatások csoportjában. Az ügyfelek még helytokennel sem tudnak kommunikálni a CMG-vel, ha az ügyfélbeállítások nem teszik lehetővé. További információ: Tudnivalók az ügyfélbeállításokról: Felhőszolgáltatások.
Belső hálózatregisztráció
Ehhez a módszerhez az ügyfélnek először regisztrálnia kell a belső hálózaton lévő felügyeleti ponttal. Az ügyfélregisztráció általában közvetlenül a telepítés után történik. A felügyeleti pont egyedi jogkivonatot ad az ügyfélnek, amely azt mutatja, hogy önaláírt tanúsítványt használ. Amikor az ügyfél az internetre barangol, a CMG-vel való kommunikációhoz párosítja az önaláírt tanúsítványt a felügyeleti pont által kibocsátott jogkivonattal.
Ez a viselkedés alapértelmezés szerint engedélyezve van a hierarchiában.
Megjegyzés:
HTTPS felügyeleti pont esetén az ügyfélnek először regisztrálnia kell, függetlenül az internet/intranet felügyeleti ponttól. Az ügyfélnek érvényes PKI által kibocsátott tanúsítványt, Microsoft Entra jogkivonatot vagy tömeges regisztrációs jogkivonatot kell bemutatnia.
Tömeges regisztrációs jogkivonat
Ha nem tudja telepíteni és regisztrálni az ügyfeleket a belső hálózaton, hozzon létre egy tömeges regisztrációs jogkivonatot. Akkor használja ezt a jogkivonatot, ha az ügyfél egy internetes eszközön települ, és a CMG-n keresztül regisztrál. A tömeges regisztrációs jogkivonat rövid érvényességi idejű, és nem található meg az ügyfélen vagy a webhelyen. Lehetővé teszi, hogy az ügyfél egyedi jogkivonatot hozzon létre, amely az önaláírt tanúsítvánnyal párosítva lehetővé teszi a CMG-vel való hitelesítést.
Megjegyzés:
Ne keverje össze a tömeges regisztrációs jogkivonatokat azokkal, amelyek Configuration Manager problémákat az egyes ügyfelek számára. A tömeges regisztrációs jogkivonat lehetővé teszi, hogy az ügyfél először telepítse és kommunikáljon a hellyel. Ez a kezdeti kommunikáció elég hosszú ahhoz, hogy a hely kiadja az ügyfélnek a saját egyedi ügyfél-hitelesítési jogkivonatát. Az ügyfél ezután a hitelesítési jogkivonatát használja a hellyel folytatott összes kommunikációhoz, amíg az az interneten van. A kezdeti regisztráción túl az ügyfél nem használja vagy tárolja a tömeges regisztrációs jogkivonatot.
Ha tömeges regisztrációs jogkivonatot szeretne létrehozni az ügyfél internetalapú eszközökön való telepítése során való használatra, hajtsa végre a következő műveleteket:
Jelentkezzen be a legfelső szintű helykiszolgálóra a hierarchiában helyi rendszergazdai jogosultságokkal.
Nyisson meg egy parancssort rendszergazdaként.
Futtassa az eszközt a
\bin\X64helykiszolgáló Configuration Manager telepítési könyvtárának mappájából:BulkRegistrationTokenTool.exe. Hozzon létre egy új jogkivonatot a/newparaméterrel. Használja például aBulkRegistrationTokenTool.exe /newcímet. További információ: Tömeges regisztrációs jogkivonatok eszközhasználata.Másolja ki a jogkivonatot, és mentse biztonságos helyre.
Telepítse a Configuration Manager-ügyfelet egy internetalapú eszközre. Adja meg a következő ügyféltelepítési paramétert:
/regtoken. Az alábbi példa parancssora tartalmazza a többi szükséges beállítási paramétert és tulajdonságot:ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAATipp
További információ erről a parancssorról: Az ügyfél telepítése és regisztrálása Microsoft Entra identitás használatával. Ez a folyamat hasonló, csak nem használja a Microsoft Entra tulajdonságait.
Az ellenőrzéshez tekintse át a következő naplófájlt egy hasonló bejegyzéshez:
Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>
A telepítés hibaelhárításához tekintse át %WinDir%\ccmsetup\logs\ccmsetup.log az ügyfelet. A telepítés után tekintse át a következőt %WinDir%\ccm\logs\ClientIDManagerStartup.log: .
Tekintse át a következő naplókat a kiszolgálón:
- CMG-naplók
- Felügyeleti pont
- CCM_STS.log
- MP_RegistrationManager.log
- ClientAuth.log
Tömeges regisztrációs jogkivonat eszközhasználata
Az BulkRegistrationTokenTool.exe eszköz a \bin\X64 helykiszolgáló Configuration Manager telepítési könyvtárának mappájában található. Jelentkezzen be a helykiszolgálóra, és futtassa rendszergazdaként. A következő parancssori paramétereket támogatja:
/?/new/lifetime
/?
A használati adatok megjelenítése.
Példa: BulkRegistrationTokenTool.exe /?
/new
Hozzon létre egy új tömeges regisztrációs jogkivonatot.
Példa: BulkRegistrationTokenTool.exe /new
Az eszköz a következő információkat jeleníti meg:
- Egy GUID, amelyet a webhely a kiadott tokenek nyomon követésére használ
- A jogkivonat érvényességi időtartama, amely alapértelmezés szerint három nap.
- A tömeges regisztrációs jogkivonat.
A jogkivonat nem az ügyfélen vagy a webhelyen van tárolva. Mindenképpen másolja ki a jogkivonatot a parancssorból, és tárolja biztonságos helyen.
/lifetime
A with paraméterrel /new megadhatja a jogkivonat érvényességi időtartamát. Adjon meg egy egész számot percekben. Az alapértelmezett érték 4320 (három nap). A maximális érték 10 080 (hét nap).
Példa: BulkRegistrationTokenTool.exe /lifetime 4320
Tömeges regisztrációs jogkivonatok kezelése
A korábban létrehozott tömeges regisztrációs jogkivonatokat és azok élettartamát a Configuration Manager konzolon tekintheti meg, és szükség esetén letilthatja a használatukat. A helyadatbázis azonban nem tárol tömeges regisztrációs jogkivonatokat.
Tömeges regisztrációs jogkivonat áttekintése
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre.
Bontsa ki a Biztonság csomópontot, és válassza a Tanúsítványok csomópontot . A konzol felsorolja a helyhez kapcsolódó összes tanúsítványt és tömeges regisztrációs jogkivonatot a részletek panelen.
Válassza ki a megtekinteni kívánt tömeges regisztrációs jogkivonatot.
A Típus oszlopra szűrhet vagy rendezhet. Azonosítsa a konkrét tömeges regisztrációs jogkivonatokat a GUID-azonosítójuk alapján. Tömeges regisztrációs jogkivonat létrehozásakor az eszköz megjeleníti a GUID azonosítót.
Tömeges regisztrációs jogkivonat letiltása
A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre.
Bontsa ki a Biztonság csomópontot, válassza a Tanúsítványok csomópontot, majd válassza ki a letiltani kívánt tömeges regisztrációs jogkivonatot.
A menüszalag kezdőlapján vagy a helyi menüben válassza a Letiltás lehetőséget. A korábban letiltott tömeges regisztrációs jogkivonatok letiltásának feloldásához válassza a Tiltás feloldása műveletet.
Jogkivonat aláírása
Az a jogkivonat, amelyet az ügyfél a felügyeleti ponttól kap (belső regisztráció esetén), vagy ha a tömeges jogkivonattal van telepítve, az SMS-jogkivonat aláíró tanúsítványa írja alá. Ez egy önaláírt tanúsítvány, amelyet a Tanúsítványkezelő összetevő hozott létre az SMS-kiállító főtanúsítvánnyal. A Configuration Manager által kibocsátott jogkivonat tartalmazza az SMS-jogkivonat aláíró tanúsítványának hivatkozását, a többi hitelesítési fejlécen kívül, amikor kérést küld a felügyeleti pontnak a CMG-vel.
Bár nem jellemző, hogy az SMS-kibocsátót vagy az SMS-jogkivonat aláíró tanúsítványát meg kell újítani, bizonyos bizonytalan forgatókönyvek szükségessé tehetik a tanúsítvány megújítását:
- A tanúsítvány sérült
- Az SMS-kiállító tanúsítvány megújult
- A hely operációs rendszerének frissítése, ahol sha-1 kivonatoló algoritmussal írta alá a tanúsítványt.
Megjegyzés:
Ha az SMS-jogkivonat-aláíró tanúsítvány megújul, a Configuration Manager kibocsátott jogkivonatot használó ügyfelek nem fognak tudni hitelesítést végezni, amíg meg nem adták az újabb tanúsítvánnyal aláírt új jogkivonatot.
Jogkivonat megújítása
Az ügyfél havonta egyszer megújítja egyedi, Configuration Manager által kibocsátott tokenjét, és 90 napig érvényes. Az ügyfélnek nem kell csatlakoznia a belső hálózathoz a jogkivonat megújításához. Ha a jogkivonat továbbra is érvényes, elegendő CMG-vel csatlakozni a webhelyhez. Ha a jogkivonatot 90 napon belül nem újítják meg, az ügyfélnek közvetlenül csatlakoznia kell egy belső hálózaton lévő felügyeleti ponthoz egy új jogkivonat fogadásához.
Megjegyzés:
A jogkivonat csak a Configuration Manager-ügyfél indításakor fog megújulni. Ezért az SMS Agent Host (CCMExec) szolgáltatásnak vagy az ügyfélszámítógépnek legalább 90 naponta újra kell indulnia.
Tömeges regisztrációs jogkivonat nem újítható meg. Ha egy tömeges regisztrációs jogkivonat lejár, hozzon létre egy újat az internetes eszközregisztrációhoz egy CMG használatával.