Megosztás a következőn keresztül:

Ügyfél-hitelesítés konfigurálása felhőfelügyeleti átjáróhoz

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

A felhőfelügyeleti átjáró (CMG) beállításának következő lépése az ügyfelek hitelesítésének konfigurálása. Mivel ezek az ügyfelek potenciálisan a nem megbízható nyilvános internetről csatlakoznak a szolgáltatáshoz, magasabb hitelesítési követelményekkel rendelkeznek. Három lehetőség közül választhat:

  • Microsoft Entra ID
  • PKI-tanúsítványok
  • webhely által kibocsátott jogkivonatok Configuration Manager

Ez a cikk bemutatja, hogyan konfigurálhatja ezeket a beállításokat. További alapvető információkért lásd: Plan for CMG client authentication methods (A CMG-ügyfél hitelesítési módszereinek megtervezése).

Microsoft Entra ID

Ha az internetalapú eszközök Windows 10 vagy újabb verziót futtatnak, használjon Microsoft Entra modern hitelesítést a CMG-vel. Ez a hitelesítési módszer az egyetlen, amely lehetővé teszi a felhasználóközpontú forgatókönyveket.

Ehhez a hitelesítési módszerhez a következő konfigurációk szükségesek:

  • Az eszközöknek vagy felhőbeli tartományhoz kell csatlakozniuk, vagy hibrid Microsoft Entra kell csatlakozniuk, és a felhasználónak egy Microsoft Entra identitásra is szüksége van.

    Tipp

    Annak ellenőrzéséhez, hogy egy eszköz csatlakozik-e a felhőhöz, futtassa a parancsot dsregcmd.exe /status egy parancssorban. Ha az eszköz Microsoft Entra csatlakozik vagy hibrid csatlakozik, az eredmények AzureAdjoined mezőjében az IGEN érték jelenik meg. További információ: dsregcmd parancs – eszközállapot.

  • Az internetalapú ügyfelek Microsoft Entra hitelesítésének CMG-vel való használatának egyik elsődleges követelménye a hely integrálása Microsoft Entra-azonosítóval. Ezt a műveletet már elvégezte az előző lépésben.

  • A környezettől függően további követelmények is teljesülnek:

    • Felhasználófelderítési módszerek engedélyezése hibrid identitásokhoz
    • A ASP.NET 4.5 engedélyezése a felügyeleti ponton
    • Az ügyfélbeállítások konfigurálása

További információ ezekről az előfeltételekről: Ügyfelek telepítése Microsoft Entra id használatával.

PKI-tanúsítvány

Kövesse ezeket a lépéseket, ha nyilvános kulcsú infrastruktúrával (PKI) rendelkezik, amely ügyfél-hitelesítési tanúsítványokat tud kibocsátani az eszközöknek.

Előfordulhat, hogy ez a tanúsítvány szükséges a CMG csatlakozási pontján. További információ: CMG csatlakozási pont.

A tanúsítvány kiállítása

Hozza létre és adja ki ezt a tanúsítványt a PKI-ből, amely kívül esik a Configuration Manager környezetén. Az Active Directory tanúsítványszolgáltatás és a csoportházirend használatával például automatikusan kibocsáthat ügyfél-hitelesítési tanúsítványokat a tartományhoz csatlakoztatott eszközök számára. További információ: Példa PKI-tanúsítványok üzembe helyezésére: Az ügyféltanúsítvány üzembe helyezése.

A CMG-ügyfél hitelesítési tanúsítványa a következő konfigurációkat támogatja:

  • 2048 bites vagy 4096 bites kulcshossz

  • Ez a tanúsítvány támogatja a titkos tanúsítványkulcsok (v3) kulcstároló-szolgáltatóját. További információ: CNG v3-tanúsítványok áttekintése.

Az ügyféltanúsítvány megbízható gyökerének exportálása

A CMG-nek megbízhatónak kell minősítenie az ügyfél-hitelesítési tanúsítványokat, hogy létrehozza a HTTPS-csatornát az ügyfelekkel. A megbízhatóság eléréséhez exportálja a megbízható főtanúsítvány-láncot. Ezután adja meg ezeket a tanúsítványokat, amikor létrehozza a CMG-t a Configuration Manager konzolon.

Mindenképpen exportálja az összes tanúsítványt a megbízhatósági láncba. Ha például az ügyfél-hitelesítési tanúsítványt egy köztes hitelesítésszolgáltató állítja ki, exportálja a köztes és a fő hitelesítésszolgáltatói tanúsítványokat is.

Megjegyzés:

Exportálja ezt a tanúsítványt, ha bármely ügyfél PKI-tanúsítványokat használ a hitelesítéshez. Ha minden ügyfél Microsoft Entra azonosítót vagy jogkivonatot használ a hitelesítéshez, ez a tanúsítvány nem szükséges.

Miután kibocsátott egy ügyfél-hitelesítési tanúsítványt egy számítógépre, ezzel a folyamattal exportálhatja a megbízható főtanúsítványt a számítógépen.

  1. Nyissa meg a Start menüt. A Futtatás ablak megnyitásához írja be a "run" parancsot. Nyissa meg mmca fájlt.

  2. A Fájl menüben válassza a Beépülő modul hozzáadása/eltávolítása... lehetőséget.

  3. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza a Tanúsítványok, majd a Hozzáadás lehetőséget.

    1. A Tanúsítványok beépülő modul párbeszédpanelen válassza a Számítógépfiók, majd a Tovább lehetőséget.

    2. A Számítógép kiválasztása párbeszédpanelen válassza a Helyi számítógép, majd a Befejezés lehetőséget.

    3. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen válassza az OK gombot.

  4. Bontsa ki a Tanúsítványok, a Személyes, majd a Tanúsítványok elemet.

  5. Válassza ki azt a tanúsítványt, amelynek a rendeltetése az ügyfél-hitelesítés.

    1. A Művelet menüben válassza a Megnyitás lehetőséget.

    2. Lépjen a Minősítési útvonal lapra.

    3. Válassza ki a következő tanúsítványt a láncon, majd válassza a Tanúsítvány megtekintése lehetőséget.

  6. Ezen az új Tanúsítvány párbeszédpanelen lépjen a Részletek lapra. Válassza a Másolás fájlba... lehetőséget.

  7. Fejezze be a Tanúsítványexportáló varázslót a DER kódolású bináris X.509 () alapértelmezett tanúsítványformátummal. CER). Jegyezze fel az exportált tanúsítvány nevét és helyét.

  8. Exportálja az összes tanúsítványt az eredeti ügyfél-hitelesítési tanúsítvány hitelesítési útvonalán. Jegyezze fel, hogy mely exportált tanúsítványok köztes hitelesítésszolgáltatók, és melyek megbízható legfelső szintű hitelesítésszolgáltatók.

CMG csatlakozási pont

Az ügyfélkérések biztonságos továbbításához a CMG csatlakozási pontjának biztonságos kapcsolatot kell létesítenie a felügyeleti ponttal. Ha PKI-ügyfélhitelesítést használ, és az internetalapú felügyeleti pont a HTTPS, állíts ki egy ügyfél-hitelesítési tanúsítványt a helyrendszer-kiszolgálónak a CMG csatlakozási pont szerepkörével.

Megjegyzés:

A CMG csatlakozási pontja nem igényel ügyfél-hitelesítési tanúsítványt a következő esetekben:

  • Az ügyfelek Microsoft Entra hitelesítést használnak.
  • Az ügyfelek Configuration Manager jogkivonatalapú hitelesítést használnak.
  • A webhely bővített HTTP-t használ.

További információ: Felügyeleti pont engedélyezése HTTPS-hez.

Webhely jogkivonata

Ha nem tud eszközöket csatlakoztatni Microsoft Entra azonosítóhoz vagy PKI-ügyfélhitelesítési tanúsítványokat használni, használja Configuration Manager jogkivonatalapú hitelesítést. További információkért vagy tömeges regisztrációs jogkivonat létrehozásához lásd: Jogkivonat-alapú hitelesítés a felhőfelügyeleti átjáróhoz.

Felügyeleti pont engedélyezése HTTPS-hez

A hely konfigurálásának módjától és a választott ügyfél-hitelesítési módszertől függően előfordulhat, hogy újra kell konfigurálnia az internetes felügyeleti pontokat. Két lehetőség közül választhat:

  • A webhely konfigurálása továbbfejlesztett HTTP-hez, és a felügyeleti pont konfigurálása HTTP-hez
  • A HTTPS felügyeleti pontjának konfigurálása

A webhely konfigurálása továbbfejlesztett HTTP-hez

Ha a helybeállítással Configuration Manager által létrehozott tanúsítványokat használ HTTP-helyrendszerekhez, konfigurálhatja a HTTP felügyeleti pontjának beállítását. Ha engedélyezi a bővített HTTP-t, a helykiszolgáló létrehoz egy SMS-szerepkör SSL-tanúsítvány nevű önaláírt tanúsítványt. Ezt a tanúsítványt a fő SMS-kiállító tanúsítvány állítja ki. A felügyeleti pont hozzáadja ezt a tanúsítványt a 443-at porthoz kötött alapértelmezett IIS-webhelyhez.

Ezzel a beállítással a belső ügyfelek továbbra is kommunikálhatnak a felügyeleti ponttal HTTP használatával. Az Microsoft Entra azonosítót vagy ügyfél-hitelesítési tanúsítványt használó internetes ügyfelek biztonságosan kommunikálhatnak a CMG-vel ezzel a felügyeleti ponttal HTTPS-en keresztül.

További információ: Bővített HTTP.

A HTTPS felügyeleti pontjának konfigurálása

A HTTPS felügyeleti pontjának konfigurálásához először állíts ki egy webkiszolgáló-tanúsítványt. Ezután engedélyezze a szerepkört a HTTPS-hez.

  1. Webkiszolgáló-tanúsítvány létrehozása és kiállítása a PKI-től vagy egy külső szolgáltatótól, amely kívül esik a Configuration Manager környezetén. Használhatja például az Active Directory tanúsítványszolgáltatást és a csoportházirendet egy webkiszolgáló-tanúsítvány kiállításához a helyrendszer-kiszolgáló számára a felügyeleti pont szerepkörrel. További információért olvassa el az alábbi témaköröket:

  2. A felügyeleti pont szerepkör tulajdonságaiban állítsa az ügyfélkapcsolatokat HTTPS értékre.

    Tipp

    A CMG beállítása után további beállításokat fog konfigurálni ehhez a felügyeleti ponthoz.

Ha a környezet több felügyeleti ponttal rendelkezik, nem kell HTTPS-vel engedélyeznie mindet a CMG-hez. Konfigurálja a CMG-kompatibilis felügyeleti pontokat csak internetként. Ezután a helyszíni ügyfelek nem próbálják használni őket.

Felügyeleti pont ügyfélkapcsolati módjának összegzése

Ezek a táblázatok összefoglalják, hogy a felügyeleti ponthoz HTTP vagy HTTPS szükséges-e az ügyfél típusától függően. A következő feltételeket használják:

  • Munkacsoport: Az eszköz nincs tartományhoz vagy Microsoft Entra-azonosítóhoz csatlakoztatva, de rendelkezik ügyfél-hitelesítési tanúsítvánnyal.
  • AD-tartományhoz csatlakoztatott: Az eszközt egy helyi Active Directory tartományhoz csatlakoztatja.
  • Microsoft Entra csatlakoztatott: Más néven felhőbeli tartományhoz csatlakozik, és csatlakoztatja az eszközt egy Microsoft Entra-bérlőhöz. További információ: Microsoft Entra csatlakoztatott eszközök.
  • Hibrid csatlakoztatás: Csatlakoztatja az eszközt a helyi Active Directory, és regisztrálja az Microsoft Entra-azonosítójával. További információ: hibrid csatlakoztatott eszközök Microsoft Entra.
  • HTTP: A felügyeleti pont tulajdonságaiban az ügyfélkapcsolatokat HTTP értékre állítja.
  • HTTPS: A felügyeleti pont tulajdonságaiban az ügyfélkapcsolatokat HTTPS értékre állítja.
  • E-HTTP: A helytulajdonságok Kommunikációs biztonság lapján a helyrendszer beállításait HTTPS vagy HTTP értékre állítja, és engedélyezi a Configuration Manager által létrehozott tanúsítványok használata HTTP-helyrendszerekhez beállítást. Konfigurálja a felügyeleti pontot a HTTP-hez, és a HTTP felügyeleti pont készen áll a HTTP- és HTTPS-kommunikációra is.

Fontos

A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.

A CMG-vel kommunikáló internetes ügyfelek esetén

Konfiguráljon egy helyszíni felügyeleti pontot, hogy engedélyezze a CMG-ből érkező kapcsolatokat a következő ügyfélkapcsolati móddal:

Internetalapú ügyfél Felügyeleti pont
Munkacsoport 1. megjegyzése E-HTTP, HTTPS
AD-tartományhoz csatlakoztatott 1. megjegyzés E-HTTP, HTTPS
Microsoft Entra csatlakozott E-HTTP, HTTPS
Hibrid csatlakozás E-HTTP, HTTPS

Megjegyzés:

1. megjegyzés: Ehhez a konfigurációhoz az ügyfélnek ügyfél-hitelesítési tanúsítvánnyal kell rendelkeznie, és csak az eszközközpontú forgatókönyveket támogatja.

A helyszíni felügyeleti ponttal kommunikáló helyszíni ügyfelek esetén

Konfiguráljon egy helyszíni felügyeleti pontot a következő ügyfélkapcsolati móddal:

Helyszíni ügyfél Felügyeleti pont
Munkacsoport HTTP, HTTPS
AD-tartományhoz csatlakoztatott HTTP, HTTPS
Microsoft Entra csatlakozott HTTPS
Hibrid csatlakozás HTTP, HTTPS

Megjegyzés:

A helyszíni AD-tartományhoz csatlakoztatott ügyfelek az eszköz- és a felhasználóközpontú forgatókönyveket is támogatják a HTTP- vagy HTTPS-felügyeleti pontokkal folytatott kommunikációhoz.

A helyszíni Microsoft Entra csatlakoztatott és hibrid csatlakoztatott ügyfelek HTTP-n keresztül kommunikálhatnak az eszközközpontú forgatókönyvek esetében, de a felhasználóközpontú forgatókönyvek engedélyezéséhez E-HTTP vagy HTTPS szükséges. Ellenkező esetben ugyanúgy viselkednek, mint a munkacsoport-ügyfelek.

Következő lépések

Most már készen áll a CMG létrehozására Configuration Manager:

A CMG beállítása