Come configurare il servizio di amministrazione in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Usare la procedura descritta in questo articolo per configurare il servizio di amministrazione nel provider SMS. Prima di iniziare, leggere i prerequisiti del servizio di amministrazione.
Abilitare la comunicazione HTTPS sicura
Configurare il servizio di amministrazione per l'uso di una connessione HTTPS sicura per proteggere i dati in transito attraverso la rete.
A partire dalla versione 2010, non è più necessario abilitare IIS nel provider SMS per il servizio di amministrazione. Il sito crea un certificato autofirmati per il provider SMS e lo associa automaticamente senza richiedere IIS. Se IIS è stato installato in precedenza nel provider SMS, è possibile rimuoverlo. Riavviare quindi il componente SMS_REST_PROVIDER. Tenere presente che è necessario aprire la porta HTTPS 443 nel firewall.
Il servizio di amministrazione usa automaticamente il certificato autofirma del sito. Questo comportamento consente di ridurre l'attrito per semplificare l'uso del servizio di amministrazione. Il sito genera sempre questo certificato. Il servizio di amministrazione ignora l'impostazione del sito HTTP avanzato, in quanto usa sempre il certificato del sito anche se nessun altro sistema del sito usa HTTP avanzato. È comunque possibile associare manualmente un certificato di autenticazione server basato su PKI. Se è già stato associato un certificato PKI alla porta 443 nel server del provider SMS, il servizio di amministrazione usa tale certificato esistente.
Usare un certificato di autenticazione server
Nota
Per impostazione predefinita, il servizio di amministrazione usa automaticamente il certificato autofirma del sito. È comunque possibile associare manualmente un certificato di autenticazione server basato su PKI. Prima di poter associare il certificato basato su PKI, annullare manualmente l'associazione del certificato autofirma del sito dalla porta 443 nel provider SMS.
Esistono due metodi principali per l'uso di un certificato di autenticazione server:
Dall'infrastruttura a chiave pubblica (PKI) dell'organizzazione
Se l'ambiente dispone già di un'infrastruttura a chiave pubblica, è possibile usarla per rilasciare un certificato di autenticazione server per il provider SMS. Questo certificato è simile al certificato che si userebbe per un punto di gestione o un punto di distribuzione. Per altre informazioni, vedere Requisiti del certificato PKI.
La maggior parte delle implementazioni PKI aziendali aggiunge le CA radice attendibili ai client Windows. Ad esempio, l'uso di Servizi certificati Active Directory con Criteri di gruppo. Se si rilascia il certificato da una CA che i client non considerano attendibile automaticamente, aggiungere il certificato radice attendibile della CA ai client. È possibile definire l'ambito di questo trust solo per i client che devono accedere al servizio di amministrazione.
Usare un certificato da un provider di certificati pubblico e attendibile a livello globale. I client Windows includono autorità di certificazione radice attendibili da questi provider. Usando un certificato di autenticazione server emesso da uno di questi provider, i client lo considerano automaticamente attendibile.
Dopo aver creato un certificato di autenticazione server per il provider SMS, è necessario associarlo manualmente alla porta 443 in IIS nel server che ospita il ruolo provider SMS.
Prima di tutto, aggiungere il certificato al server. Importare il certificato nell'archivio personale del computer locale. Usare quindi una delle opzioni seguenti per associare il certificato:
Associare il certificato a IIS
Se il server con il ruolo provider SMS dispone della Console di gestione IIS, usare l'azione Modifica associazioni nel sito Web predefinito. Aggiungere la porta 443 e specificare il certificato dall'archivio certificati del computer.
Nota
Il ruolo provider SMS non richiede IIS. Questa procedura usa la console IIS per associare il certificato. Queste associazioni di certificati sono per il computer, non per alcun servizio specifico.
Associare il certificato a netsh
Usare la riga di comando netsh per associare il certificato:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Dove <thumbprint>
è l'identificazione personale del certificato installato ed <GUID>
è un GUID casuale.
Consiglio
Usare il cmdlet New-Guid
Windows PowerShell per generare un GUID casuale.
Ad esempio:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
Abilitare l'accesso a Internet
È possibile usare il servizio di amministrazione solo in locale oppure abilitarlo per l'accesso tramite cloud management gateway (CMG). Alcuni scenari richiedono l'accesso al servizio di amministrazione da Internet, ad esempio il collegamento del tenant o l'approvazione dell'app tramite posta elettronica.
Prima di configurare il provider SMS per consentire il traffico cmg, configurare prima un cmg. Per altre informazioni, vedere Panoramica di CMG.
Usare quindi il processo seguente per abilitare il servizio di amministrazione tramite cmg:
Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Server e ruoli del sistema del sito.
Selezionare il server con il ruolo Provider SMS .
Consiglio
Nella scheda Home della barra multifunzione selezionare Server con ruolo e quindi selezionare Provider SMS. Questa azione mostra i sistemi del sito con tale ruolo.
Nel riquadro dei dettagli selezionare il ruolo Provider SMS e selezionare Proprietà nella barra multifunzione nella scheda Ruolo sito .
Selezionare l'opzione Consenti traffico del gateway di gestione cloud Configuration Manager per il servizio di amministrazione.
Per accedere al servizio di amministrazione da Internet, sostituire il nome di dominio completo del provider SMS con l'endpoint cmg. Ad esempio:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
Consiglio
Per ottenere il valore per questo endpoint, seguire questa procedura:
Creare un cmg. Per altre informazioni, vedere Configurare un cmg.
In un client attivo aprire un prompt dei comandi Windows PowerShell come amministratore.
Eseguire il comando riportato di seguito:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Abilitare l'utilizzo della console
Nota
A partire dalla versione 2111, l'opzione Abilita la console di Configuration Manager per l'uso del servizio di amministrazione viene rimossa. Il servizio di amministrazione è sempre attivo, quindi la console lo userà quando necessario.
Abilitare alcuni nodi della console di Configuration Manager per l'uso del servizio di amministrazione. Questa modifica consente alla console di comunicare con il provider SMS tramite HTTPS anziché tramite WMI.
Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Siti. Nella barra multifunzione selezionare Impostazioni gerarchia.
Nella pagina Generale selezionare l'opzione Abilita la console di Configuration Manager per l'uso del servizio di amministrazione.
Questa modifica interessa solo i nodi seguenti nel nodo Sicurezza nell'area di lavoro Amministrazione :
- Utenti amministrativi
- Ruoli di sicurezza
- Ambiti di sicurezza
- Connessioni console
Quando si seleziona uno di questi nodi, se viene visualizzato il messaggio di errore seguente:
Configuration Manager non è possibile connettersi al servizio di amministrazione
Esaminare le informazioni sotto l'errore. Verificare quindi che il servizio di amministrazione sia abilitato, configurato e funzionante. Per altre informazioni, inclusi i file di log da esaminare, vedere la sezione Verifica .
Verificare
Quando il sito installa il servizio di amministrazione, registra l'attività nel file RESTPROVIDERSetup.log nella directory di installazione Configuration Manager. Per impostazione predefinita, questo percorso è C:\Program Files\Microsoft Configuration Manager\logs
.
Il sito tiene traccia dello stato di integrità del servizio di amministrazione nel file SMS_REST_PROVIDER.log . È possibile visualizzare l'avvio del servizio e le informazioni sul certificato.
Testare il servizio di amministrazione eseguendo una semplice query in un Web browser, ad esempio:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
Il servizio di amministrazione registra l'attività nel file adminservice.log nel server del provider SMS nella directory di installazione Configuration Manager.
Per la query sui metadati precedente, il file di log mostra le righe seguenti:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]