CMG-ügyfél hitelesítése
A következőre vonatkozik: Configuration Manager (aktuális ág)
A felhőfelügyeleti átjáróhoz (CMG) csatlakozó ügyfelek potenciálisan a nem megbízható nyilvános interneten találhatók. Az ügyfél eredete miatt magasabb hitelesítési követelményekkel rendelkeznek. A CMG-vel történő identitás- és hitelesítés három lehetőség közül választhat:
- Microsoft Entra ID
- PKI-tanúsítványok
- webhely által kibocsátott jogkivonatok Configuration Manager
Az alábbi táblázat összefoglalja az egyes metódusok fő tényezőit:
| Microsoft Entra ID | PKI-tanúsítvány | Webhely jogkivonata | |
|---|---|---|---|
| ConfigMgr-verzió | Minden támogatott | Minden támogatott | Minden támogatott |
| Windows-ügyfélverzió | Windows 10 vagy újabb | Minden támogatott | Minden támogatott |
| Forgatókönyvek támogatása | Felhasználó és eszköz | Csak eszközre | Csak eszközre |
| Felügyeleti pont | E-HTTP vagy HTTPS | E-HTTP vagy HTTPS | E-HTTP vagy HTTPS |
A Microsoft azt javasolja, hogy csatlakoztassunk eszközöket Microsoft Entra azonosítóhoz. Az internetalapú eszközök Microsoft Entra modern hitelesítést használhatnak Configuration Manager. Emellett lehetővé teszi az eszközök és a felhasználók számára is, hogy az eszköz az interneten található-e, vagy csatlakozik-e a belső hálózathoz.
Egy vagy több metódust is használhat. Nem kell minden ügyfélnek ugyanazt a módszert használnia.
A választott módszernél előfordulhat, hogy újra kell konfigurálnia egy vagy több felügyeleti pontot. További információ: Ügyfél-hitelesítés konfigurálása CMG-hez.
Microsoft Entra ID
Ha az internetes eszközök Windows 10 vagy újabb rendszert futtatnak, fontolja meg Microsoft Entra modern hitelesítés használatát a CMG-vel. Ez a hitelesítési módszer az egyetlen, amely lehetővé teszi a felhasználóközpontú forgatókönyveket. Például alkalmazások üzembe helyezése egy felhasználói gyűjteményben.
Először is, az eszközöknek vagy felhőbeli tartományhoz kell csatlakozniuk, vagy hibrid Microsoft Entra kell csatlakozniuk, és a felhasználónak egy Microsoft Entra identitásra is szüksége van. Ha a szervezet már Microsoft Entra identitásokat használ, akkor ezt az előfeltételt kell megadnia. Ha nem, kérje meg az Azure-rendszergazdát, hogy tervezze meg a felhőalapú identitásokat. További információ: Microsoft Entra eszközidentitás. A folyamat befejezéséig fontolja meg a jogkivonat-alapú hitelesítést az internetalapú ügyfelek számára a CMG-vel.
A környezettől függően további követelmények is teljesülnek:
- Felhasználófelderítési módszerek engedélyezése hibrid identitásokhoz
- A ASP.NET 4.5 engedélyezése a felügyeleti ponton
- Az ügyfélbeállítások konfigurálása
További információ ezekről az előfeltételekről: Ügyfelek telepítése Microsoft Entra id használatával.
Megjegyzés:
Ha az eszközei olyan Microsoft Entra bérlőben találhatók, amely elkülönül a CMG számítási erőforrások előfizetésével rendelkező bérlőtől, a 2010-es verziótól kezdődően letilthatja a felhasználókhoz és eszközökhöz nem társított bérlők hitelesítését. További információ: Azure-szolgáltatások konfigurálása.
PKI-tanúsítvány
Ha olyan nyilvános kulcsú infrastruktúrával (PKI) rendelkezik, amely ügyfél-hitelesítési tanúsítványokat tud kibocsátani az eszközöknek, akkor fontolja meg ezt a hitelesítési módszert az internetalapú eszközökhöz a CMG-vel. Nem támogatja a felhasználóközpontú forgatókönyveket, de támogatja a Windows bármely támogatott verzióját futtató eszközöket.
Tipp
A hibrid vagy felhőbeli tartományhoz csatlakoztatott Windows-eszközöknek nincs szükségük erre a tanúsítványra, mert Microsoft Entra azonosítót használnak a hitelesítéshez.
Erre a tanúsítványra a CMG csatlakozási pontján is szükség lehet.
Webhely jogkivonata
Ha nem tud eszközöket csatlakoztatni Microsoft Entra azonosítóhoz vagy PKI-ügyfélhitelesítési tanúsítványokat használni, használja Configuration Manager jogkivonatalapú hitelesítést. A helyalapú ügyfél-hitelesítési jogkivonatok az ügyfél operációs rendszerének minden támogatott verzióján működnek, de csak az eszközforgatókönyveket támogatják.
Ha az ügyfelek időnként csatlakoznak a belső hálózathoz, a rendszer automatikusan kibocsát egy jogkivonatot. Közvetlenül egy helyszíni felügyeleti ponttal kell kommunikálniuk, hogy regisztráljanak a helyen, és megkapják ezt az ügyféljogkivonatot.
Ha nem tud ügyfeleket regisztrálni a belső hálózaton, létrehozhat és üzembe helyezhet egy tömeges regisztrációs jogkivonatot. A tömeges regisztrációs jogkivonat lehetővé teszi, hogy az ügyfél először telepítse és kommunikáljon a hellyel. Ez a kezdeti kommunikáció elég hosszú ahhoz, hogy a hely kiadja az ügyfélnek a saját egyedi ügyfél-hitelesítési jogkivonatát. Az ügyfél ezután a hitelesítési jogkivonatát használja a hellyel folytatott összes kommunikációhoz, amíg az az interneten van.
Következő lépések
Ezután tervezzen meg egy CMG-t a hierarchiában:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: