Condividi tramite


Autenticazione client CMG

Si applica a: Configuration Manager (Current Branch)

I client che si connettono a un gateway di gestione cloud (CMG) si trovano potenzialmente su Internet pubblico non attendibile. A causa dell'origine del client, hanno un requisito di autenticazione più elevato. Sono disponibili tre opzioni per l'identità e l'autenticazione con un cmg:

  • Microsoft Entra ID
  • Certificati PKI
  • Configuration Manager token rilasciati dal sito

La tabella seguente riepiloga i fattori chiave per ogni metodo:

Microsoft Entra ID Certificato PKI Token del sito
Versione di ConfigMgr Tutti supportati Tutti supportati Tutti supportati
Versione del client Windows Windows 10 o versioni successive Tutti supportati Tutti supportati
Supporto dello scenario Utente e dispositivo Solo dispositivo Solo dispositivo
Punto di gestione E-HTTP o HTTPS E-HTTP o HTTPS E-HTTP o HTTPS

Microsoft consiglia di aggiungere dispositivi a Microsoft Entra ID. I dispositivi basati su Internet possono usare Microsoft Entra autenticazione moderna con Configuration Manager. Consente anche scenari di dispositivo e utente, indipendentemente dal fatto che il dispositivo sia connesso a Internet o alla rete interna.

È possibile usare uno o più metodi. Tutti i client non devono usare lo stesso metodo.

Quale metodo si sceglie, potrebbe anche essere necessario riconfigurare uno o più punti di gestione. Per altre informazioni, vedere Configurare l'autenticazione client per CMG.

Microsoft Entra ID

Se i dispositivi basati su Internet eseguono Windows 10 o versioni successive, provare a usare Microsoft Entra autenticazione moderna con cmg. Questo metodo di autenticazione è l'unico che consente scenari incentrati sull'utente. Ad esempio, la distribuzione di app in una raccolta di utenti.

In primo luogo, i dispositivi devono essere aggiunti a un dominio cloud o Microsoft Entra aggiunti all'ambiente ibrido e l'utente deve anche avere un'identità Microsoft Entra. Se l'organizzazione usa già identità Microsoft Entra, è necessario impostare con questo prerequisito. In caso contrario, rivolgersi all'amministratore di Azure per pianificare le identità basate sul cloud. Per altre informazioni, vedere Microsoft Entra'identità del dispositivo. Fino al completamento di tale processo, prendere in considerazione l'autenticazione basata su token per i client basati su Internet con il cmg.

Esistono alcuni altri requisiti, a seconda dell'ambiente in uso:

  • Abilitare i metodi di individuazione utente per le identità ibride
  • Abilitare ASP.NET 4.5 nel punto di gestione
  • Configurare le impostazioni dei client

Per altre informazioni su questi prerequisiti, vedere Installare i client usando Microsoft Entra ID.

Nota

Se i dispositivi si trovano in un tenant Microsoft Entra separato dal tenant con una sottoscrizione per le risorse di calcolo di CMG, a partire dalla versione 2010 è possibile disabilitare l'autenticazione per i tenant non associati a utenti e dispositivi. Per altre informazioni, vedere Configurare i servizi di Azure.

Certificato PKI

Se si dispone di un'infrastruttura a chiave pubblica (PKI) che può rilasciare certificati di autenticazione client ai dispositivi, prendere in considerazione questo metodo di autenticazione per i dispositivi basati su Internet con il cmg. Non supporta scenari incentrati sull'utente, ma supporta i dispositivi che eseguono qualsiasi versione supportata di Windows.

Consiglio

I dispositivi Windows aggiunti a un dominio ibrido o cloud non richiedono questo certificato perché usano Microsoft Entra ID per l'autenticazione.

Questo certificato può essere necessario anche nel punto di connessione del gateway di gestione cloud.

Token del sito

Se non è possibile aggiungere dispositivi a Microsoft Entra ID o usare certificati di autenticazione client PKI, usare Configuration Manager autenticazione basata su token. I token di autenticazione client rilasciati dal sito funzionano in tutte le versioni del sistema operativo client supportate, ma supportano solo scenari di dispositivo.

Se occasionalmente i client si connettono alla rete interna, viene emesso automaticamente un token. Devono comunicare direttamente con un punto di gestione locale per registrarsi con il sito e ottenere questo token client.

Se non è possibile registrare i client nella rete interna, è possibile creare e distribuire un token di registrazione bulk. Il token di registrazione bulk consente al client di installare e comunicare inizialmente con il sito. Questa comunicazione iniziale è sufficientemente lunga da consentire al sito di rilasciare al client il proprio token di autenticazione client univoco. Il client usa quindi il token di autenticazione per tutte le comunicazioni con il sito mentre è su Internet.

Passaggi successivi

Progettare quindi come usare un cmg nella gerarchia: