Configurare l'autenticazione client per il gateway di gestione cloud
Si applica a: Configuration Manager (Current Branch)
Il passaggio successivo nella configurazione di un gateway di gestione cloud consiste nel configurare il modo in cui i client eseguono l'autenticazione. Poiché questi client si connettono potenzialmente al servizio da Internet pubblico non attendibile, hanno un requisito di autenticazione più elevato. Sono disponibili tre opzioni:
- Microsoft Entra ID
- Certificati PKI
- Configuration Manager token rilasciati dal sito
Questo articolo descrive come configurare ognuna di queste opzioni. Per altre informazioni di base, vedere Pianificare i metodi di autenticazione client di CMG.
Microsoft Entra ID
Se i dispositivi basati su Internet eseguono Windows 10 o versioni successive, usare Microsoft Entra autenticazione moderna con cmg. Questo metodo di autenticazione è l'unico che consente scenari incentrati sull'utente.
Questo metodo di autenticazione richiede le configurazioni seguenti:
I dispositivi devono essere aggiunti a un dominio cloud o Microsoft Entra aggiunti all'ambiente ibrido e l'utente deve anche avere un'identità Microsoft Entra.
Consiglio
Per verificare se un dispositivo è aggiunto al cloud, eseguire
dsregcmd.exe /status
in un prompt dei comandi. Se il dispositivo è Microsoft Entra aggiunto o aggiunto a un ibrido, il campo AzureAdjoined nei risultati mostra SÌ. Per altre informazioni, vedere comando dsregcmd - stato del dispositivo.Uno dei requisiti principali per l'uso dell'autenticazione Microsoft Entra per i client basati su Internet con un gateway di gestione cloud consiste nell'integrare il sito con Microsoft Entra ID. L'azione è già stata completata nel passaggio precedente.
Esistono alcuni altri requisiti, a seconda dell'ambiente in uso:
- Abilitare i metodi di individuazione utente per le identità ibride
- Abilitare ASP.NET 4.5 nel punto di gestione
- Configurare le impostazioni dei client
Per altre informazioni su questi prerequisiti, vedere Installare i client usando Microsoft Entra ID.
Certificato PKI
Usare questi passaggi se si dispone di un'infrastruttura a chiave pubblica (PKI) in grado di rilasciare certificati di autenticazione client ai dispositivi.
Questo certificato può essere necessario nel punto di connessione del gateway di gestione cloud. Per altre informazioni, vedere Punto di connessione CMG.
Rilasciare il certificato
Creare ed emettere questo certificato dall'infrastruttura a chiave pubblica, che non rientra nel contesto di Configuration Manager. Ad esempio, è possibile usare Servizi certificati Active Directory e criteri di gruppo per rilasciare automaticamente i certificati di autenticazione client ai dispositivi aggiunti a un dominio. Per altre informazioni, vedere Distribuzione di esempio di certificati PKI: Distribuire il certificato client.
Il certificato di autenticazione client cmg supporta le configurazioni seguenti:
Lunghezza chiave a 2048 bit o a 4096 bit
Questo certificato supporta i provider di archiviazione delle chiavi per le chiavi private del certificato (v3). Per altre informazioni, vedere Panoramica dei certificati CNG v3.
Esportare la radice attendibile del certificato client
Il cmg deve considerare attendibili i certificati di autenticazione client per stabilire il canale HTTPS con i client. Per ottenere questo trust, esportare la catena di certificati radice attendibile. Specificare quindi questi certificati quando si crea il cmg nella console di Configuration Manager.
Assicurarsi di esportare tutti i certificati nella catena di attendibilità. Ad esempio, se il certificato di autenticazione client viene emesso da una CA intermedia, esportare sia i certificati CA intermedi che i certificati CA radice.
Nota
Esportare questo certificato quando un client usa certificati PKI per l'autenticazione. Quando tutti i client usano Microsoft Entra ID o token per l'autenticazione, questo certificato non è obbligatorio.
Dopo aver eseguito il rilascio di un certificato di autenticazione client a un computer, usare questo processo in tale computer per esportare il certificato radice attendibile.
Aprire il menu Start. Digitare "run" per aprire la finestra Esegui. Aprire
mmc
.Scegliere Aggiungi/Rimuovi snap-in dal menu File.
Nella finestra di dialogo Aggiungi o rimuovi snap-in selezionare Certificati e quindi selezionare Aggiungi.
Nella finestra di dialogo Snap-in Certificati selezionare Account computer e quindi avanti.
Nella finestra di dialogo Seleziona computer selezionare Computer locale, quindi selezionare Fine.
Nella finestra di dialogo Aggiungi o rimuovi snap-in selezionare OK.
Espandere Certificati, Espandere Personale e selezionare Certificati.
Selezionare un certificato il cui scopo previsto è l'autenticazione client.
Dal menu Azione selezionare Apri.
Passare alla scheda Percorso di certificazione .
Selezionare il certificato successivo nella catena e selezionare Visualizza certificato.
In questa nuova finestra di dialogo Certificato passare alla scheda Dettagli . Selezionare Copia nel file....
Completare l'Esportazione guidata certificati usando il formato di certificato predefinito, il file binario con codifica DER X.509 (. CER). Prendere nota del nome e della posizione del certificato esportato.
Esportare tutti i certificati nel percorso di certificazione del certificato di autenticazione client originale. Prendere nota di quali certificati esportati sono CA intermedie e quali sono ca radice attendibili.
Punto di connessione cmg
Per inoltrare in modo sicuro le richieste client, il punto di connessione cmg richiede una connessione sicura con il punto di gestione. Se si usa l'autenticazione client PKI e il punto di gestione abilitato per Internet è HTTPS, rilasciare un certificato di autenticazione client al server del sistema del sito con il ruolo del punto di connessione cmg.
Nota
Il punto di connessione del gateway di gestione cloud non richiede un certificato di autenticazione client negli scenari seguenti:
- I client usano l'autenticazione Microsoft Entra.
- I client usano Configuration Manager autenticazione basata su token.
- Il sito usa HTTP avanzato.
Per altre informazioni, vedere Abilitare il punto di gestione per HTTPS.
Token del sito
Se non è possibile aggiungere dispositivi a Microsoft Entra ID o usare certificati di autenticazione client PKI, usare Configuration Manager autenticazione basata su token. Per altre informazioni o per creare un token di registrazione bulk, vedere Autenticazione basata su token per il gateway di gestione cloud.
Abilitare il punto di gestione per HTTPS
A seconda di come si configura il sito e del metodo di autenticazione client scelto, potrebbe essere necessario riconfigurare i punti di gestione abilitati per Internet. Esistono due opzioni:
- Configurare il sito per HTTP avanzato e configurare il punto di gestione per HTTP
- Configurare il punto di gestione per HTTPS
Configurare il sito per HTTP avanzato
Quando si usa l'opzione del sito per Usare i certificati generati da Configuration Manager per i sistemi del sito HTTP, è possibile configurare il punto di gestione per HTTP. Quando si abilita HTTP avanzato, il server del sito genera un certificato autofirma denominato certificato SSL del ruolo SMS. Questo certificato viene emesso dal certificato di emissione SMS radice. Il punto di gestione aggiunge questo certificato al sito Web predefinito IIS associato alla porta 443.
Con questa opzione, i client interni possono continuare a comunicare con il punto di gestione usando HTTP. I client basati su Internet che usano Microsoft Entra ID o un certificato di autenticazione client possono comunicare in modo sicuro tramite cmg con questo punto di gestione tramite HTTPS.
Per altre informazioni, vedere HTTP avanzato.
Configurare il punto di gestione per HTTPS
Per configurare un punto di gestione per HTTPS, emettere prima un certificato del server Web. Abilitare quindi il ruolo per HTTPS.
Creare ed emettere un certificato del server Web dall'infrastruttura a chiave pubblica o da un provider di terze parti, che si trovano all'esterno del contesto di Configuration Manager. Ad esempio, usare Servizi certificati Active Directory e criteri di gruppo per rilasciare un certificato del server Web al server del sistema del sito con il ruolo del punto di gestione. Per altre informazioni, vedere gli articoli seguenti:
Nelle proprietà del ruolo del punto di gestione impostare le connessioni client su HTTPS.
Consiglio
Dopo aver configurato cmg, verranno configurate altre impostazioni per questo punto di gestione.
Se l'ambiente include più punti di gestione, non è necessario abilitarli tutti con HTTPS per CMG. Configurare i punti di gestione abilitati per CMG come solo Internet. Quindi i client locali non provano a usarli.
Riepilogo della modalità di connessione client del punto di gestione
Queste tabelle riepilogano se il punto di gestione richiede HTTP o HTTPS, a seconda del tipo di client. Usano i termini seguenti:
- Gruppo di lavoro: il dispositivo non è aggiunto a un dominio o a un ID Microsoft Entra, ma ha un certificato di autenticazione client.
- Aggiunto al dominio di Active Directory: si aggiunge il dispositivo a un dominio Active Directory locale.
- Microsoft Entra aggiunto: noto anche come aggiunto a un dominio cloud, si aggiunge il dispositivo a un tenant Microsoft Entra. Per altre informazioni, vedere Microsoft Entra dispositivi aggiunti.
- Aggiunta ibrida: si aggiunge il dispositivo al Active Directory locale e lo si registra con l'ID Microsoft Entra. Per altre informazioni, vedere Microsoft Entra dispositivi aggiunti ibridi.
- HTTP: nelle proprietà del punto di gestione impostare le connessioni client su HTTP.
- HTTPS: nelle proprietà del punto di gestione impostare le connessioni client su HTTPS.
- E-HTTP: nella scheda Sicurezza delle comunicazioni delle proprietà del sito impostare le impostazioni del sistema del sito su HTTPS o HTTP e si abilita l'opzione Usa certificati generati da Configuration Manager per i sistemi del sito HTTP. Si configura il punto di gestione per HTTP e il punto di gestione HTTP è pronto per la comunicazione HTTP e HTTPS.
Importante
A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.
Per i client basati su Internet che comunicano con cmg
Configurare un punto di gestione locale per consentire le connessioni dal cmg con la modalità di connessione client seguente:
Client basato su Internet | Punto di gestione |
---|---|
Nota 1 del gruppo di lavoro | E-HTTP, HTTPS |
Nota 1 aggiunta al dominio DI Active Directory | E-HTTP, HTTPS |
Microsoft Entra aggiunto | E-HTTP, HTTPS |
Aggiunta ibrida | E-HTTP, HTTPS |
Nota
Nota 1: questa configurazione richiede che il client disponga di un certificato di autenticazione client e supporti solo scenari incentrati sul dispositivo.
Per i client locali che comunicano con il punto di gestione locale
Configurare un punto di gestione locale con la modalità di connessione client seguente:
Client locale | Punto di gestione |
---|---|
Workgroup | HTTP, HTTPS |
Aggiunta a un dominio ad Active Directory | HTTP, HTTPS |
Microsoft Entra aggiunto | HTTPS |
Aggiunta ibrida | HTTP, HTTPS |
Nota
I client aggiunti al dominio DI Active Directory locali supportano scenari incentrati sul dispositivo e sugli utenti che comunicano con un punto di gestione HTTP o HTTPS.
I client Microsoft Entra aggiunti e aggiunti all'ibrido possono comunicare tramite HTTP per scenari incentrati sul dispositivo, ma necessitano di E-HTTP o HTTPS per abilitare scenari incentrati sull'utente. In caso contrario, si comportano allo stesso modo dei client del gruppo di lavoro.
Passaggi successivi
A questo punto è possibile creare il cmg in Configuration Manager: