Autenticazione basata su token per il gateway di gestione cloud
Si applica a: Configuration Manager (Current Branch)
Il gateway di gestione cloud (CMG) supporta molti tipi di client, ma anche con HTTP avanzato, questi client richiedono un certificato di autenticazione client. Questo requisito di certificato può essere difficile da effettuare nei client basati su Internet che spesso non si connettono alla rete interna, non sono in grado di aggiungere Microsoft Entra ID e non hanno un metodo per installare un certificato rilasciato da PKI.
Per risolvere questi problemi, Configuration Manager estende il supporto del dispositivo rilasciando i propri token di autenticazione ai dispositivi. Per sfruttare appieno questa funzionalità, dopo aver aggiornato il sito, aggiornare anche i client alla versione più recente. Lo scenario completo non funziona fino a quando anche la versione client non è la più recente. Se necessario, assicurarsi di alzare di livello la nuova versione client in produzione.
I client inizialmente si registrano per questi token usando uno dei due metodi seguenti:
Rete interna
Registrazione in blocco
Il client Configuration Manager insieme al punto di gestione gestisce questo token, quindi non esiste alcuna dipendenza della versione del sistema operativo. Questa funzionalità è disponibile per qualsiasi versione del sistema operativo client supportata.
Nota
Questi metodi supportano solo scenari di gestione incentrati sul dispositivo.
Microsoft consiglia di aggiungere dispositivi a Microsoft Entra ID. I dispositivi basati su Internet possono usare Microsoft Entra ID per eseguire l'autenticazione con Configuration Manager. Consente anche scenari di dispositivo e utente, indipendentemente dal fatto che il dispositivo sia connesso a Internet o alla rete interna. Per altre informazioni, vedere Installare e registrare il client usando l'identità Microsoft Entra.
Assicurarsi di abilitare i client per l'uso di un gateway di gestione cloud nel gruppo di impostazioni client dei servizi cloud . Anche con un token del sito, i client non possono comunicare con un cmg se le impostazioni client non lo consentono. Per altre informazioni, vedere Informazioni sulle impostazioni client: servizi cloud.
Registrazione della rete interna
Questo metodo richiede che il client si registri prima con il punto di gestione nella rete interna. La registrazione client viene in genere eseguita subito dopo l'installazione. Il punto di gestione fornisce al client un token univoco che indica che usa un certificato autofirma. Quando il client esegue il roaming su Internet, per comunicare con il cmg associa il certificato autofirmati al token emesso dal punto di gestione.
Il sito abilita questo comportamento per impostazione predefinita.
Nota
Con un punto di gestione HTTPS, il client deve prima registrarsi indipendentemente dal punto di gestione Internet/Intranet. Il client deve presentare un certificato rilasciato da PKI valido, un token di Microsoft Entra o un token di registrazione bulk.
Token di registrazione bulk
Se non è possibile installare e registrare i client nella rete interna, creare un token di registrazione bulk. Usare questo token quando il client viene installato in un dispositivo basato su Internet e viene registrato tramite cmg. Il token di registrazione bulk ha un periodo di validità breve e non viene archiviato nel client o nel sito. Consente al client di generare un token univoco, associato al certificato autofirmato, che consente l'autenticazione con cmg.
Nota
Non confondere i token di registrazione bulk con quelli che Configuration Manager problemi ai singoli client. Il token di registrazione bulk consente al client di installare e comunicare inizialmente con il sito. Questa comunicazione iniziale è sufficientemente lunga da consentire al sito di rilasciare al client il proprio token di autenticazione client univoco. Il client usa quindi il token di autenticazione per tutte le comunicazioni con il sito mentre è su Internet. Oltre alla registrazione iniziale, il client non usa o archivia il token di registrazione bulk.
Per creare un token di registrazione bulk da usare durante l'installazione client nei dispositivi basati su Internet, completare le azioni seguenti:
Accedere al server del sito di primo livello nella gerarchia con privilegi di amministratore locale.
Aprire una finestra del prompt dei comandi come amministratore.
Eseguire lo strumento dalla
\bin\X64
cartella della directory di installazione Configuration Manager nel server del sito:BulkRegistrationTokenTool.exe
. Creare un nuovo token con il/new
parametro . Ad esempio,BulkRegistrationTokenTool.exe /new
. Per altre informazioni, vedere Utilizzo dello strumento token di registrazione bulk.Copiare il token e salvarlo in una posizione sicura.
Installare il client Configuration Manager in un dispositivo basato su Internet. Includere il parametro di installazione client:
/regtoken
. La riga di comando di esempio seguente include gli altri parametri e proprietà di installazione necessari:ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA
Consiglio
Per altre informazioni su questa riga di comando, vedere Installare e registrare il client usando l'identità Microsoft Entra. Questo processo è simile, ma non usa le proprietà Microsoft Entra.
Per verificare, esaminare il file di log seguente per una voce simile:
Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>
Per risolvere i problemi di installazione, vedere %WinDir%\ccmsetup\logs\ccmsetup.log
nel client. Dopo l'installazione, esaminare %WinDir%\ccm\logs\ClientIDManagerStartup.log
.
Nel server esaminare i log seguenti:
- Log di CMG
- Punto di gestione
- CCM_STS.log
- MP_RegistrationManager.log
- ClientAuth.log
Utilizzo dello strumento token di registrazione in blocco
Lo BulkRegistrationTokenTool.exe
strumento si trova nella \bin\X64
cartella della directory di installazione Configuration Manager nel server del sito. Accedere al server del sito ed eseguirlo come amministratore. Supporta i parametri della riga di comando seguenti:
/?
/new
/lifetime
/?
Visualizzare queste informazioni sull'utilizzo.
Esempio: BulkRegistrationTokenTool.exe /?
/new
Creare un nuovo token di registrazione bulk.
Esempio: BulkRegistrationTokenTool.exe /new
Lo strumento visualizza le informazioni seguenti:
- GUID usato dal sito per tenere traccia dei token rilasciati
- Periodo di validità del token, che è di tre giorni per impostazione predefinita.
- Token di registrazione bulk.
Il token non viene archiviato nel client o nel sito. Assicurarsi di copiare il token dal prompt dei comandi e di archiviarlo in un percorso sicuro.
/lifetime
Usare con /new
il parametro per specificare il periodo di validità del token. Specificare un valore intero in minuti. Il valore predefinito è 4.320 (tre giorni). Il valore massimo è 10.080 (sette giorni).
Esempio: BulkRegistrationTokenTool.exe /lifetime 4320
Gestione dei token di registrazione in blocco
È possibile visualizzare i token di registrazione bulk creati in precedenza e le relative durate nella console di Configuration Manager e, se necessario, bloccarne l'utilizzo. Il database del sito, tuttavia, non archivia i token di registrazione bulk.
Esaminare un token di registrazione bulk
Nella console Configuration Manager passare all'area di lavoro Amministrazione.
Espandere Sicurezza e selezionare il nodo Certificati . La console elenca tutti i certificati correlati al sito e i token di registrazione bulk nel riquadro dei dettagli.
Selezionare il token di registrazione bulk da esaminare.
È possibile filtrare o ordinare in base alla colonna Tipo . Identificare token di registrazione bulk specifici in base al GUID. Quando si crea un token di registrazione bulk, lo strumento visualizza il GUID.
Bloccare un token di registrazione bulk
Nella console Configuration Manager passare all'area di lavoro Amministrazione.
Espandere Sicurezza, selezionare il nodo Certificati e selezionare il token di registrazione bulk da bloccare.
Nella scheda Home della barra multifunzione o nel menu di scelta rapida fare clic con il pulsante destro del mouse su Blocca. Per sbloccare i token di registrazione bulk bloccati in precedenza, selezionare l'azione Sblocca .
Rinnovo del token
Il client rinnova il token univoco emesso Configuration Manager una volta al mese ed è valido per 90 giorni. Un client non deve connettersi alla rete interna per rinnovare il token. Se il token è ancora valido, è sufficiente connettersi al sito usando un cmg. Se il token non viene rinnovato entro 90 giorni, il client deve connettersi direttamente a un punto di gestione in una rete interna per ricevere un nuovo token.
Non è possibile rinnovare un token di registrazione bulk. Una volta scaduto un token di registrazione bulk, generarne uno nuovo per la registrazione dei dispositivi basata su Internet usando un cmg.