Pianificare la gestione client basata su Internet in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Usare IBCM (Internet-based client management) per gestire Configuration Manager client quando non sono connessi alla rete interna. Vantaggi dell'uso di IBCM:
- Controllo completo di server e ruoli che forniscono il servizio
- Nessuna dipendenza del servizio cloud
- Potrebbe non essere necessaria una rete privata virtuale (VPN)
- Tutti i costi sono associati al servizio locale
A causa dei requisiti di sicurezza più elevati per la gestione dei computer client in una rete pubblica, IBCM richiede l'uso di certificati PKI. Questa configurazione garantisce che le connessioni vengano autenticate da un'autorità indipendente. Quando i client E i server del sito IBCM inviano dati, vengono crittografati e protetti.
Comunicazioni client
I ruoli del sistema del sito seguenti nei siti primari supportano le connessioni da client che si trovano in posizioni non attendibili:
Nota
Anche se IBCM è incentrato principalmente sullo scenario basato su Internet, gli stessi comportamenti si applicano ai client in una foresta active directory non attendibile. I siti secondari non supportano le connessioni client da posizioni non attendibili.
Punto di registrazione del certificato per il modulo criteri di Configuration Manager (NDES)
Avviso
A partire dalla versione 2203, il punto di registrazione del certificato non è più supportato. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.
Punto di distribuzione
Gateway di gestione cloud (CMG) abilitato per il contenuto
Punto proxy di registrazione
Punto di stato di fallback
Punto di gestione
Punto di aggiornamento software
Informazioni sui sistemi del sito con connessione Internet
Non è necessario avere un trust tra la foresta di un client e quella del server del sistema del sito. Tuttavia, quando la foresta che contiene un sistema del sito con connessione Internet considera attendibile la foresta che contiene gli account utente, questa configurazione supporta i criteri basati sull'utente per i dispositivi su Internet quando si abilita l'impostazione client Criteri clientAbilita le richieste dei criteri utente dai client Internet.
Ad esempio, le configurazioni seguenti illustrano quando IBCM supporta i criteri utente per i dispositivi su Internet:
Il punto di gestione basato su Internet si trova nella rete perimetrale. Tale rete ha anche un controller di dominio di sola lettura per autenticare l'utente. Un firewall tra il perimetro e le reti interne consente i pacchetti di Active Directory.
L'account utente si trova nella foresta basata su Intranet. Il punto di gestione basato su Internet si trova nella foresta basata sul perimetro. La foresta perimetrale considera attendibile la foresta interna. Un firewall tra il perimetro e le reti interne consente i pacchetti di autenticazione.
L'account utente e il punto di gestione basato su Internet si trovano entrambi nella foresta basata su Intranet. Il punto di gestione viene pubblicato in Internet con un server proxy Web.
Usare un server proxy Web
È possibile inserire i sistemi del sito basati su Internet nella intranet quando vengono pubblicati in Internet con un server proxy Web. Configurare questi sistemi del sito per le connessioni client solo da Internet o per le connessioni client da Internet e Intranet. Quando si usa un server proxy Web, è possibile configurarlo per il bridging SSL (Secure Sockets Layer) al tunneling SSL o SSL.
Bridging SSL a SSL
Il bridging SSL a SSL è la configurazione consigliata e più sicura, perché usa la terminazione SSL con l'autenticazione. Autentica i computer client con l'autenticazione del computer. I dispositivi mobili registrati con Configuration Manager non supportano il bridging SSL.
Con la terminazione SSL nel proxy, controlla i pacchetti da Internet prima di inoltrarli alla rete interna. Il proxy autentica la connessione dal client, la termina e quindi apre una nuova connessione autenticata ai sistemi del sito basati su Internet. Quando Configuration Manager client usano un proxy, il client contiene in modo sicuro la relativa identità (GUID) nel payload del pacchetto. Il punto di gestione non considera il proxy come client. Configuration Manager non supporta il bridging con HTTP a HTTPS o da HTTPS a HTTP.
Nota
Configuration Manager non supporta l'impostazione di configurazioni bridging SSL di terze parti. Ad esempio, Citrix Netscaler o F5 BIG-IP. Collaborare con il fornitore del dispositivo per configurarlo per l'uso con Configuration Manager.
Tunneling
Se il server Web proxy non supporta i requisiti per il bridging SSL, Configuration Manager supporta anche il tunneling SSL. È anche possibile usare il tunneling SSL per supportare i dispositivi mobili registrati con Configuration Manager. Si tratta di un'opzione meno sicura perché il proxy inoltra i pacchetti SSL da Internet ai sistemi del sito senza terminazione SSL. Il proxy non controlla la presenza di contenuto dannoso nei pacchetti. Quando si usa il tunneling SSL, non sono previsti requisiti di certificato per il server Web proxy.
Pianificare i client basati su Internet
Decidere se configurare i client basati su Internet per la gestione su Intranet e Internet o per la gestione client solo Internet. È possibile configurare questa opzione di gestione solo durante l'installazione client. Per modificarlo in un secondo momento, reinstallare il client.
Nota
Se si configura un punto di gestione per supportare i client basati su Internet, i client che si connettono a questo punto di gestione diventeranno compatibili con Internet al successivo aggiornamento dell'elenco dei punti di gestione disponibili.
Non è necessario limitare la configurazione della gestione client solo Internet a Internet. È anche possibile usarlo nella Intranet.
I client configurati per la gestione solo Internet comunicano solo con i sistemi del sito configurati per le connessioni client da Internet. Usare questa configurazione negli scenari seguenti:
- Per i computer noti non si connetteranno mai alla intranet. Ad esempio, computer pos vendita in posizioni remote.
- Per limitare la comunicazione client solo a HTTPS. Ad esempio, per supportare il firewall e i criteri di sicurezza con restrizioni.
- Quando si installano sistemi del sito basati su Internet in una rete perimetrale e si vogliono gestire questi server come client Configuration Manager.
Nota
Quando si desidera gestire i client del gruppo di lavoro su Internet, installarli come solo Internet.
Quando si configura un dispositivo mobile per l'uso di un punto di gestione basato su Internet, viene configurato automaticamente come solo Internet.
È possibile configurare altri client per la gestione dei client Internet e Intranet. Quando rilevano un cambiamento di rete, passano automaticamente dalla gestione client IBCM alla gestione client Intranet. Se questi client possono trovare e connettersi a un punto di gestione che supporta le connessioni client nella Intranet, questi client vengono gestiti come client Intranet. I client Intranet hanno funzionalità di Configuration Manager complete. Se i client non riescono a trovare o connettersi a un punto di gestione che supporta le connessioni client nella Intranet, tentano di connettersi a un punto di gestione basato su Internet. Se questa azione ha esito positivo, questi client vengono quindi gestiti dai sistemi del sito basati su Internet nel sito assegnato.
Il vantaggio del cambio automatico è che i client possono usare tutte le funzionalità quando si connettono alla Intranet e ricevere la gestione essenziale quando si trovano su Internet. Il download di contenuti che inizia su Internet può riprendere facilmente nella intranet e viceversa.
Prerequisiti
IBCM in Configuration Manager presenta le dipendenze seguenti:
I client richiedono una connessione Internet. Configuration Manager usa la connessione Internet esistente del dispositivo. I dispositivi mobili devono avere una connessione Internet diretta. I computer client completi possono avere una connessione Internet diretta o connettersi usando un server Web proxy.
I sistemi del sito che supportano IBCM richiedono una connessione Internet e devono trovarsi in un dominio di Active Directory. I sistemi del sito basati su Internet non richiedono una relazione di trust con la foresta Active Directory del server del sito. Tuttavia, quando il punto di gestione basato su Internet può autenticare l'utente usando autenticazione di Windows, supporta i criteri utente. Se autenticazione di Windows ha esito negativo, supporta solo i criteri del dispositivo.
Nota
Per supportare i criteri utente, abilitare anche le impostazioni client seguenti nel gruppo Criteri client :
- Abilitare il polling dei criteri utente nei client
- Abilitare le richieste di criteri utente dai client Internet
Un'infrastruttura a chiave pubblica (PKI) per distribuire e gestire i certificati necessari per i client basati su Internet e i server del sistema del sito. Per altre informazioni, vedere Requisiti del certificato PKI.
Registrare le voci dell'host DNS pubblico per i nomi di dominio completi (FQDN) Internet dei sistemi del sito che supportano IBCM.
Abilitare l'opzione Usa certificato client PKI (funzionalità di autenticazione client) se disponibile nella scheda Sicurezza delle comunicazioni delle proprietà del sito. Questa opzione è obbligatoria.
Requisiti di comunicazione client
I firewall o i server proxy intermedi devono consentire la comunicazione client per i sistemi del sito basati su Internet:
Supporto di HTTP 1.1
Consenti il tipo di contenuto HTTP dell'allegato MIME multipart (multipart/mixed e application/octet-stream)
Verbi
Consentire i verbi seguenti per i ruoli del server del sistema del sito basati su Internet:
| Ruolo | Verbi |
|---|---|
| Punto di gestione | -TESTA - CCM_POST - BITS_POST -OTTIENI -PROPFIND |
| Punto di distribuzione | -TESTA -OTTIENI -PROPFIND |
| Punto di stato di fallback | POST |
Intestazioni HTTP
Consentire le intestazioni HTTP seguenti per i ruoli del server del sistema del sito basati su Internet:
| Ruolo | Intestazioni HTTP |
|---|---|
| Punto di gestione | -Gamma: - CCMClientID: - CCMClientIDSignature: - CCMClientTimestamp: - CCMClientTimestampsSignature: |
| Punto di distribuzione | Gamma: |
Per requisiti di comunicazione simili quando si usa il punto di aggiornamento software per le connessioni client da Internet, vedere la documentazione per Windows Server Update Services (WSUS).
Funzionalità non supportate
Non tutte le funzionalità di gestione client sono appropriate per Internet. Configuration Manager non supporta alcune funzionalità per i client su Internet. Queste funzionalità non supportate si basano in genere su Active Directory Domain Services o non sono appropriate per una rete pubblica.
Le funzionalità seguenti non sono supportate quando si gestiscono i client su Internet con IBCM:
Distribuzione client su Internet, ad esempio push client e distribuzione client basata su aggiornamento software. Usare l'installazione manuale del client.
Assegnazione automatica del sito
Riattivazione LAN
Distribuzione del sistema operativo. Tuttavia, è possibile distribuire sequenze di attività che non distribuiscono un sistema operativo.
Controllo remoto
Distribuzione del software agli utenti. Questa funzionalità si basava sul catalogo applicazioni, che non è più supportato.
Roaming client. Il roaming consente ai client di trovare sempre i punti di distribuzione più vicini per scaricare il contenuto. I client selezionano in modo non deterministico uno dei sistemi del sito basati su Internet, indipendentemente dalla larghezza di banda o dalla posizione fisica.
Quando si configura un punto di aggiornamento software per accettare connessioni da Internet, i client basati su Internet analizzano sempre questo punto di aggiornamento software per determinare quali aggiornamenti software sono necessari. Quando questi client sono su Internet, provano prima a scaricare gli aggiornamenti software da Microsoft Update, anziché da un punto di distribuzione basato su Internet. Se questo comportamento ha esito negativo, prova a scaricare gli aggiornamenti software necessari da un punto di distribuzione basato su Internet.
Consiglio
Il client Configuration Manager determina automaticamente se si tratta della rete Intranet o internet. Se il client può contattare un controller di dominio o un punto di gestione locale, imposta il tipo di connessione su "Attualmente intranet". In caso contrario, passa a "Attualmente Internet" e comunica con i sistemi del sito assegnati al relativo sito.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per