Ügyfél-hitelesítés konfigurálása felhőfelügyeleti átjáróhoz
A következőre vonatkozik: Configuration Manager (aktuális ág)
A felhőfelügyeleti átjáró (CMG) beállításának következő lépése az ügyfelek hitelesítésének konfigurálása. Mivel ezek az ügyfelek potenciálisan a nem megbízható nyilvános internetről csatlakoznak a szolgáltatáshoz, magasabb hitelesítési követelményekkel rendelkeznek. Három lehetőség közül választhat:
- Microsoft Entra ID
- PKI-tanúsítványok
- webhely által kibocsátott jogkivonatok Configuration Manager
Ez a cikk bemutatja, hogyan konfigurálhatja ezeket a beállításokat. További alapvető információkért lásd: Plan for CMG client authentication methods (A CMG-ügyfél hitelesítési módszereinek megtervezése).
Microsoft Entra ID
Ha az internetalapú eszközök Windows 10 vagy újabb verziót futtatnak, használjon Microsoft Entra modern hitelesítést a CMG-vel. Ez a hitelesítési módszer az egyetlen, amely lehetővé teszi a felhasználóközpontú forgatókönyveket.
Ehhez a hitelesítési módszerhez a következő konfigurációk szükségesek:
Az eszközöknek vagy felhőbeli tartományhoz kell csatlakozniuk, vagy hibrid Microsoft Entra kell csatlakozniuk, és a felhasználónak egy Microsoft Entra identitásra is szüksége van.
Tipp
Annak ellenőrzéséhez, hogy egy eszköz csatlakozik-e a felhőhöz, futtassa a parancsot
dsregcmd.exe /status
egy parancssorban. Ha az eszköz Microsoft Entra csatlakozik vagy hibrid csatlakozik, az eredmények AzureAdjoined mezőjében az IGEN érték jelenik meg. További információ: dsregcmd parancs – eszközállapot.Az internetalapú ügyfelek Microsoft Entra hitelesítésének CMG-vel való használatának egyik elsődleges követelménye a hely integrálása Microsoft Entra-azonosítóval. Ezt a műveletet már elvégezte az előző lépésben.
A környezettől függően további követelmények is teljesülnek:
- Felhasználófelderítési módszerek engedélyezése hibrid identitásokhoz
- A ASP.NET 4.5 engedélyezése a felügyeleti ponton
- Az ügyfélbeállítások konfigurálása
További információ ezekről az előfeltételekről: Ügyfelek telepítése Microsoft Entra id használatával.
PKI-tanúsítvány
Kövesse ezeket a lépéseket, ha nyilvános kulcsú infrastruktúrával (PKI) rendelkezik, amely ügyfél-hitelesítési tanúsítványokat tud kibocsátani az eszközöknek.
Előfordulhat, hogy ez a tanúsítvány szükséges a CMG csatlakozási pontján. További információ: CMG csatlakozási pont.
A tanúsítvány kiállítása
Hozza létre és adja ki ezt a tanúsítványt a PKI-ből, amely kívül esik a Configuration Manager környezetén. Az Active Directory tanúsítványszolgáltatás és a csoportházirend használatával például automatikusan kibocsáthat ügyfél-hitelesítési tanúsítványokat a tartományhoz csatlakoztatott eszközök számára. További információ: Példa PKI-tanúsítványok üzembe helyezésére: Az ügyféltanúsítvány üzembe helyezése.
A CMG-ügyfél hitelesítési tanúsítványa a következő konfigurációkat támogatja:
2048 bites vagy 4096 bites kulcshossz
Ez a tanúsítvány támogatja a titkos tanúsítványkulcsok (v3) kulcstároló-szolgáltatóját. További információ: CNG v3-tanúsítványok áttekintése.
Az ügyféltanúsítvány megbízható gyökerének exportálása
A CMG-nek megbízhatónak kell minősítenie az ügyfél-hitelesítési tanúsítványokat, hogy létrehozza a HTTPS-csatornát az ügyfelekkel. A megbízhatóság eléréséhez exportálja a megbízható főtanúsítvány-láncot. Ezután adja meg ezeket a tanúsítványokat, amikor létrehozza a CMG-t a Configuration Manager konzolon.
Mindenképpen exportálja az összes tanúsítványt a megbízhatósági láncba. Ha például az ügyfél-hitelesítési tanúsítványt egy köztes hitelesítésszolgáltató állítja ki, exportálja a köztes és a fő hitelesítésszolgáltatói tanúsítványokat is.
Megjegyzés:
Exportálja ezt a tanúsítványt, ha bármely ügyfél PKI-tanúsítványokat használ a hitelesítéshez. Ha minden ügyfél Microsoft Entra azonosítót vagy jogkivonatot használ a hitelesítéshez, ez a tanúsítvány nem szükséges.
Miután kibocsátott egy ügyfél-hitelesítési tanúsítványt egy számítógépre, ezzel a folyamattal exportálhatja a megbízható főtanúsítványt a számítógépen.
Nyissa meg a Start menüt. A Futtatás ablak megnyitásához írja be a "run" parancsot. Nyissa meg
mmc
a fájlt.A Fájl menüben válassza a Beépülő modul hozzáadása/eltávolítása... lehetőséget.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok, majd a Hozzáadás lehetőséget.
A Tanúsítványok beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább lehetőséget.
A Számítógép kiválasztása párbeszédpanelen válassza a Helyi számítógép, majd a Befejezés lehetőséget.
A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza az OK gombot.
Bontsa ki a Tanúsítványok, a Személyes, majd a Tanúsítványok elemet.
Válassza ki azt a tanúsítványt, amelynek a rendeltetése az ügyfél-hitelesítés.
A Művelet menüben válassza a Megnyitás lehetőséget.
Lépjen a Minősítési útvonal lapra.
Válassza ki a következő tanúsítványt a láncon, majd válassza a Tanúsítvány megtekintése lehetőséget.
Ezen az új Tanúsítvány párbeszédpanelen lépjen a Részletek lapra. Válassza a Másolás fájlba... lehetőséget.
Fejezze be a Tanúsítványexportáló varázslót a DER kódolású bináris X.509 () alapértelmezett tanúsítványformátummal. CER). Jegyezze fel az exportált tanúsítvány nevét és helyét.
Exportálja az összes tanúsítványt az eredeti ügyfél-hitelesítési tanúsítvány hitelesítési útvonalán. Jegyezze fel, hogy mely exportált tanúsítványok köztes hitelesítésszolgáltatók, és melyek megbízható legfelső szintű hitelesítésszolgáltatók.
CMG csatlakozási pont
Az ügyfélkérések biztonságos továbbításához a CMG csatlakozási pontjának biztonságos kapcsolatot kell létesítenie a felügyeleti ponttal. Ha PKI-ügyfélhitelesítést használ, és az internetalapú felügyeleti pont a HTTPS, állíts ki egy ügyfél-hitelesítési tanúsítványt a helyrendszer-kiszolgálónak a CMG csatlakozási pont szerepkörével.
Megjegyzés:
A CMG csatlakozási pontja nem igényel ügyfél-hitelesítési tanúsítványt a következő esetekben:
- Az ügyfelek Microsoft Entra hitelesítést használnak.
- Az ügyfelek Configuration Manager jogkivonatalapú hitelesítést használnak.
- A webhely bővített HTTP-t használ.
További információ: Felügyeleti pont engedélyezése HTTPS-hez.
Webhely jogkivonata
Ha nem tud eszközöket csatlakoztatni Microsoft Entra azonosítóhoz vagy PKI-ügyfélhitelesítési tanúsítványokat használni, használja Configuration Manager jogkivonatalapú hitelesítést. További információkért vagy tömeges regisztrációs jogkivonat létrehozásához lásd: Jogkivonat-alapú hitelesítés a felhőfelügyeleti átjáróhoz.
Felügyeleti pont engedélyezése HTTPS-hez
A hely konfigurálásának módjától és a választott ügyfél-hitelesítési módszertől függően előfordulhat, hogy újra kell konfigurálnia az internetes felügyeleti pontokat. Két lehetőség közül választhat:
- A webhely konfigurálása továbbfejlesztett HTTP-hez, és a felügyeleti pont konfigurálása HTTP-hez
- A HTTPS felügyeleti pontjának konfigurálása
A webhely konfigurálása továbbfejlesztett HTTP-hez
Ha a helybeállítással Configuration Manager által létrehozott tanúsítványokat használ HTTP-helyrendszerekhez, konfigurálhatja a HTTP felügyeleti pontjának beállítását. Ha engedélyezi a bővített HTTP-t, a helykiszolgáló létrehoz egy SMS-szerepkör SSL-tanúsítvány nevű önaláírt tanúsítványt. Ezt a tanúsítványt a fő SMS-kiállító tanúsítvány állítja ki. A felügyeleti pont hozzáadja ezt a tanúsítványt a 443-at porthoz kötött alapértelmezett IIS-webhelyhez.
Ezzel a beállítással a belső ügyfelek továbbra is kommunikálhatnak a felügyeleti ponttal HTTP használatával. Az Microsoft Entra azonosítót vagy ügyfél-hitelesítési tanúsítványt használó internetes ügyfelek biztonságosan kommunikálhatnak a CMG-vel ezzel a felügyeleti ponttal HTTPS-en keresztül.
További információ: Bővített HTTP.
A HTTPS felügyeleti pontjának konfigurálása
A HTTPS felügyeleti pontjának konfigurálásához először állíts ki egy webkiszolgáló-tanúsítványt. Ezután engedélyezze a szerepkört a HTTPS-hez.
Webkiszolgáló-tanúsítvány létrehozása és kiállítása a PKI-től vagy egy külső szolgáltatótól, amely kívül esik a Configuration Manager környezetén. Használhatja például az Active Directory tanúsítványszolgáltatást és a csoportházirendet egy webkiszolgáló-tanúsítvány kiállításához a helyrendszer-kiszolgáló számára a felügyeleti pont szerepkörrel. További információért olvassa el az alábbi témaköröket:
A felügyeleti pont szerepkör tulajdonságaiban állítsa az ügyfélkapcsolatokat HTTPS értékre.
Tipp
A CMG beállítása után további beállításokat fog konfigurálni ehhez a felügyeleti ponthoz.
Ha a környezet több felügyeleti ponttal rendelkezik, nem kell HTTPS-vel engedélyeznie mindet a CMG-hez. Konfigurálja a CMG-kompatibilis felügyeleti pontokat csak internetként. Ezután a helyszíni ügyfelek nem próbálják használni őket.
Felügyeleti pont ügyfélkapcsolati módjának összegzése
Ezek a táblázatok összefoglalják, hogy a felügyeleti ponthoz HTTP vagy HTTPS szükséges-e az ügyfél típusától függően. A következő feltételeket használják:
- Munkacsoport: Az eszköz nincs tartományhoz vagy Microsoft Entra-azonosítóhoz csatlakoztatva, de rendelkezik ügyfél-hitelesítési tanúsítvánnyal.
- AD-tartományhoz csatlakoztatott: Az eszközt egy helyi Active Directory tartományhoz csatlakoztatja.
- Microsoft Entra csatlakoztatott: Más néven felhőbeli tartományhoz csatlakozik, és csatlakoztatja az eszközt egy Microsoft Entra-bérlőhöz. További információ: Microsoft Entra csatlakoztatott eszközök.
- Hibrid csatlakoztatás: Csatlakoztatja az eszközt a helyi Active Directory, és regisztrálja az Microsoft Entra-azonosítójával. További információ: hibrid csatlakoztatott eszközök Microsoft Entra.
- HTTP: A felügyeleti pont tulajdonságaiban az ügyfélkapcsolatokat HTTP értékre állítja.
- HTTPS: A felügyeleti pont tulajdonságaiban az ügyfélkapcsolatokat HTTPS értékre állítja.
- E-HTTP: A helytulajdonságok Kommunikációs biztonság lapján a helyrendszer beállításait HTTPS vagy HTTP értékre állítja, és engedélyezi a Configuration Manager által létrehozott tanúsítványok használata HTTP-helyrendszerekhez beállítást. Konfigurálja a felügyeleti pontot a HTTP-hez, és a HTTP felügyeleti pont készen áll a HTTP- és HTTPS-kommunikációra is.
Fontos
A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.
A CMG-vel kommunikáló internetes ügyfelek esetén
Konfiguráljon egy helyszíni felügyeleti pontot, hogy engedélyezze a CMG-ből érkező kapcsolatokat a következő ügyfélkapcsolati móddal:
Internetalapú ügyfél | Felügyeleti pont |
---|---|
Munkacsoport 1. megjegyzése | E-HTTP, HTTPS |
AD-tartományhoz csatlakoztatott 1. megjegyzés | E-HTTP, HTTPS |
Microsoft Entra csatlakozott | E-HTTP, HTTPS |
Hibrid csatlakozás | E-HTTP, HTTPS |
Megjegyzés:
1. megjegyzés: Ehhez a konfigurációhoz az ügyfélnek ügyfél-hitelesítési tanúsítvánnyal kell rendelkeznie, és csak az eszközközpontú forgatókönyveket támogatja.
A helyszíni felügyeleti ponttal kommunikáló helyszíni ügyfelek esetén
Konfiguráljon egy helyszíni felügyeleti pontot a következő ügyfélkapcsolati móddal:
Helyszíni ügyfél | Felügyeleti pont |
---|---|
Munkacsoport | HTTP, HTTPS |
AD-tartományhoz csatlakoztatott | HTTP, HTTPS |
Microsoft Entra csatlakozott | HTTPS |
Hibrid csatlakozás | HTTP, HTTPS |
Megjegyzés:
A helyszíni AD-tartományhoz csatlakoztatott ügyfelek az eszköz- és a felhasználóközpontú forgatókönyveket is támogatják a HTTP- vagy HTTPS-felügyeleti pontokkal folytatott kommunikációhoz.
A helyszíni Microsoft Entra csatlakoztatott és hibrid csatlakoztatott ügyfelek HTTP-n keresztül kommunikálhatnak az eszközközpontú forgatókönyvek esetében, de a felhasználóközpontú forgatókönyvek engedélyezéséhez E-HTTP vagy HTTPS szükséges. Ellenkező esetben ugyanúgy viselkednek, mint a munkacsoport-ügyfelek.
Következő lépések
Most már készen áll a CMG létrehozására Configuration Manager:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: