クラウド管理ゲートウェイのトークン ベースの認証
Configuration Manager (現在のブランチ) に適用
クラウド管理ゲートウェイ (CMG) ではさまざまな種類のクライアントがサポートされていますが、 拡張 HTTP の場合でも、これらのクライアントには クライアント認証証明書が必要です。 この証明書の要件は、内部ネットワークに接続する頻度が高く、Microsoft Entra ID に参加できず、PKI で発行された証明書をインストールする方法がないインターネット ベースのクライアントでプロビジョニングするのが困難な場合があります。
これらの課題を克服するために、Configuration Manager独自の認証トークンをデバイスに発行することで、デバイスのサポートを拡張します。 この機能を最大限に活用するには、サイトを更新した後、クライアントも最新バージョンに更新します。 完全なシナリオは、クライアント バージョンも最新であるまで機能しません。 必要に応じて、 新しいクライアント バージョンを運用環境に昇格させます。
クライアントは、最初に次の 2 つの方法のいずれかを使用して、これらのトークンに登録します。
内部ネットワーク
一括登録
Configuration Manager クライアントと管理ポイントは、このトークンを管理するため、OS バージョンの依存関係はありません。 この機能は、 サポートされている任意のクライアント OS バージョンで使用できます。
注:
これらの方法では、デバイス中心の管理シナリオのみがサポートされます。
Microsoft では、デバイスを Microsoft Entra ID に参加することをお勧めします。 インターネット ベースのデバイスでは、Microsoft Entra ID を使用して、Configuration Managerで認証できます。 また、デバイスがインターネット上にあるか、内部ネットワークに接続されているかに関係なく、デバイスとユーザーの両方のシナリオが可能になります。 詳細については、「Microsoft Entra ID を使用してクライアントをインストールして登録する」を参照してください。
クライアント設定の [クラウド サービス] グループで[クライアントがクラウド管理ゲートウェイを使用できるようにする] を必ずオンにします。 サイト トークンを使用しても、クライアント設定で許可されていない場合、クライアントは CMG と通信できません。 詳細については、「 クライアント設定について: クラウド サービス」を参照してください。
内部ネットワーク登録
この方法では、クライアントが最初に内部ネットワーク上の管理ポイントに登録する必要があります。 通常、クライアントの登録はインストール直後に行われます。 管理ポイントは、自己署名証明書を使用していることを示す一意のトークンをクライアントに提供します。 クライアントがインターネットにローミングすると、CMG と通信するために、自己署名証明書と管理ポイント発行トークンがペアになります。
サイトでは、既定でこの動作が有効になります。
注:
HTTPS 管理ポイントでは、クライアントはインターネット/イントラネット管理ポイントに関係なく最初に登録する必要があります。 クライアントは、有効な PKI 発行の証明書、Microsoft Entra トークン、または一括登録トークンを提示する必要があります。
一括登録トークン
内部ネットワークにクライアントをインストールして登録できない場合は、一括登録トークンを作成します。 クライアントがインターネット ベースのデバイスにインストールし、CMG を介して登録するときに、このトークンを使用します。 一括登録トークンの有効期間は短く、クライアントやサイトには格納されません。 これにより、クライアントは、自己署名証明書と組み合わせて一意のトークンを生成し、CMG で認証できます。
注:
一括登録トークンと、個々のクライアントに問題Configuration Managerするものを混同しないでください。 一括登録トークンを使用すると、クライアントは最初にサイトをインストールして通信できます。 この初期通信は、サイトがクライアント独自の一意のクライアント認証トークンを発行するのに十分な長さです。 その後、クライアントは、インターネット上にある間、サイトとのすべての通信に認証トークンを使用します。 最初の登録以外に、クライアントは一括登録トークンを使用または格納しません。
インターネット ベースのデバイスにクライアントをインストールする際に使用する一括登録トークンを作成するには、次の操作を実行します。
階層内の最上位サイト サーバーにローカル管理者特権でサインインします。
管理者としてコマンド プロンプトを開きます。
サイト サーバー上の Configuration Manager インストール ディレクトリのフォルダーから
\bin\X64ツールを実行します。BulkRegistrationTokenTool.exeパラメーターを使用して新しいトークンを/new作成します。 たとえば、「BulkRegistrationTokenTool.exe /new」のように入力します。 詳細については、「 一括登録トークン ツールの使用状況」を参照してください。トークンをコピーし、セキュリティで保護された場所に保存します。
Configuration Manager クライアントをインターネット ベースのデバイスにインストールします。 クライアント インストール パラメーターを含めます。
/regtoken次のコマンド ラインの例には、他の必要なセットアップ パラメーターとプロパティが含まれています。ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAAヒント
このコマンド ラインの詳細については、「Microsoft Entra ID を使用してクライアントをインストールして登録する」を参照してください。 このプロセスは似ていますが、Microsoft Entraプロパティは使用しません。
確認するには、次のログ ファイルで同様のエントリを確認します。
Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>
インストールのトラブルシューティングを行うには、クライアントで確認 %WinDir%\ccmsetup\logs\ccmsetup.log します。 インストール後、を確認します %WinDir%\ccm\logs\ClientIDManagerStartup.log。
サーバーで、次のログを確認します。
- CMG ログ
- 管理ポイント
- CCM_STS.log
- MP_RegistrationManager.log
- ClientAuth.log
一括登録トークン ツールの使用状況
このBulkRegistrationTokenTool.exeツールは、サイト サーバー上\bin\X64のConfiguration Manager インストール ディレクトリのフォルダーにあります。 サイト サーバーにサインインし、管理者として実行します。 次のコマンド ライン パラメーターがサポートされています。
/?/new/lifetime
/?
この使用状況情報を表示します。
例: BulkRegistrationTokenTool.exe /?
/new
新しい一括登録トークンを作成します。
例: BulkRegistrationTokenTool.exe /new
ツールには、次の情報が表示されます。
- 発行されたトークンを追跡するためにサイトが使用する GUID
- トークンの有効期間。既定では 3 日間です。
- 一括登録トークン。
トークンは、クライアントまたはサイトに格納されません。 コマンド プロンプトからトークンをコピーし、セキュリティで保護された場所に格納してください。
/lifetime
with パラメーターを /new 使用して、トークンのトークン有効期間を指定します。 整数値を分単位で指定します。 既定値は 4,320 (3 日間) です。 最大値は 10,080 (7 日間) です。
例: BulkRegistrationTokenTool.exe /lifetime 4320
一括登録トークン管理
以前に作成した一括登録トークンとその有効期間は、Configuration Manager コンソールで確認し、必要に応じて使用をブロックできます。 ただし、サイト データベースには一括登録トークンは格納されません。
一括登録トークンを確認する
Configuration Manager コンソールで、[管理] ワークスペースに移動します。
[ セキュリティ] を展開し、[ 証明書 ] ノードを選択します。 コンソールには、サイト関連のすべての証明書と一括登録トークンが詳細ウィンドウに一覧表示されます。
確認する一括登録トークンを選択します。
[種類] 列でフィルター処理または並べ替えを行うことができます。 GUID に基づいて特定の一括登録トークンを識別します。 一括登録トークンを作成すると、ツールに GUID が表示されます。
一括登録トークンをブロックする
Configuration Manager コンソールで、[管理] ワークスペースに移動します。
[ セキュリティ] を展開し、[ 証明書 ] ノードを選択し、ブロックする一括登録トークンを選択します。
リボン バーまたは右クリック コンテキスト メニューの [ ホーム ] タブで、[ ブロック] を選択します。 以前にブロックされた一括登録トークンのブロックを解除するには、[ ブロック解除 ] アクションを選択します。
トークンの更新
クライアントは、一意のConfiguration Manager発行されたトークンを月に 1 回更新し、90 日間有効です。 クライアントは、トークンを更新するために内部ネットワークに接続する必要はありません。 トークンがまだ有効である限り、CMG を使用してサイトに接続するだけで十分です。 トークンが 90 日以内に更新されない場合、クライアントは内部ネットワーク上の管理ポイントに直接接続して新しいトークンを受信する必要があります。
一括登録トークンを更新することはできません。 一括登録トークンの有効期限が切れたら、CMG を使用してインターネット ベースのデバイス登録用に新しいトークンを生成します。