Share via


Microsoft Entra verificatiewerkstroom

Van toepassing op: Configuration Manager (current branch)

Dit artikel is een technische referentie voor het Configuration Manager clientinstallatie- en registratieproces op een Windows-apparaat dat is gekoppeld aan Microsoft Entra-id. Hierin wordt het werkstroomproces voor de apparaatverificatie beschreven.

Opmerking

Windows-clients krijgen een WPJ-certificaat (Workplace Join) wanneer ze lid worden van een Microsoft Entra tenant. Als het certificaat niet wordt gevonden, kan de Configuration Manager-client geen Microsoft Entra-tokens aanvragen. Zonder een token kan de client het communicatiekanaal Configuration Manager beveiligingstokenservice (CCM_STS) niet gebruiken voor Microsoft Entra verificatie met Configuration Manager sitesystemen.

Clientinstallatie

In dit werkstroomvoorbeeld hebt u de Configuration Manager-client geïnstalleerd op een Windows-apparaat via internet met de volgende ccmsetup-opdrachtregeleigenschappen:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

Werkstroomdiagram van CcmSetup met Microsoft Entra-verificatie

1. Microsoft Entra informatieaanvraag van ccmsetup

Clients die via internet zijn geïnstalleerd, hebben specifieke opdrachtregeleigenschappen nodig om Microsoft Entra verificatie te kunnen gebruiken. U kunt deze eigenschappen opnemen in de opdrachtregel voor internet-ccmsetup, maar ze zijn niet vereist. Wanneer u geen Microsoft Entra-eigenschappen gebruikt, vraagt ccmsetup de AADCLIENTAPPID eigenschappen en AADRESOURCEURI aan bij de cloudbeheergateway (CMG). Als referentie wordt de Microsoft Entra TenantID van het apparaat gebruikt. Als u de TenantID van de client niet hebt onboarded in Configuration Manager, geeft de CMG niet de vereiste eigenschappen voor ccmsetup om de clientinstallatie voort te zetten.

De volgende vermeldingen worden vastgelegd in ccmsetup.log van de client:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Belangrijk

Tijdens ccmsetup moet het apparaat het CMG-serververificatiecertificaat valideren. Het CA-certificaat (basiscertificaat) voor het CMG-serververificatiecertificaat moet beschikbaar zijn op de client voor de ketenvalidatie. Als u PKI gebruikt en de basis-CA niet is gepubliceerd op internet, voegt u het basis-CA-certificaat toe aan het basis-CA-archief van het apparaat.

Als de basis-CA-certificaatintrekkingslijst (CRL) niet is gepubliceerd op internet, voegt u de /nocrlcheck parameter toe in de ccmsetup-opdrachtregel.

2. Microsoft Entra tokenaanvraag

Op een Windows Azure AD-apparaat dat lid is van een domein, gebruikt ccmsetup de Microsoft Entra eigenschappen om een Microsoft Entra-token aan te vragen dat de ADALOperation-provider aanroept. De volgende vermeldingen worden vastgelegd in ccmsetup.log op de client:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Als de aanvraag van het apparaattoken mislukt, wordt ccmsetup teruggezet om een Microsoft Entra-gebruikerstoken aan te vragen. Als het apparaat geen Microsoft Entra apparaat of een gebruikerstoken kan krijgen, wordt ccmsetup niet voortgezet.

Opmerking

Als het apparaat een geldig PKI-clientverificatiecertificaat heeft, geeft ccmsetup altijd de voorkeur aan het certificaat. In dit geval wordt de client geïnstalleerd als een PKI-client en wordt geen gebruikgemaakt van Microsoft Entra-verificatie.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Configuration Manager clienttokenaanvraag

De client gebruikt het Microsoft Entra-token om het CCM-token (Configuration Manager client) aan te vragen. Operationele communicatie tussen ccmsetup en de site gebruikt het CCM-token als autorisatietoken (CcmTokenAuth=1).

3.1 Client verzendt CCM-tokenaanvraag naar CMG

De volgende vermeldingen worden vastgelegd in ccmsetup.log op de client:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 CMG stuurt door naar cmg-verbindingspunt

De volgende vermeldingen worden vastgelegd in CMGService.log op het CMG VM-exemplaar.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

Tip

Configuration Manager synchroniseert de CMGService.log elke vijf minuten met de map met siteserverlogboeken als CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log.

3.3 CMG-verbindingspunt transformeert CMG-clientaanvraag naar beheerpuntclientaanvraag

De volgende vermeldingen worden vastgelegd in SMS_CLOUD_PROXYCONNECTOR.log (uitgebreide modus) van het sitesysteem dat als host fungeert voor de cmg-verbindingspuntrol:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 Beheerpunt verifieert gebruikerstoken in sitedatabase

De volgende vermeldingen worden vastgelegd in CCM_STS.log van het sitesysteem dat als host fungeert voor het beheerpunt dat de clientaanvraag verwerkt:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. Aanvraag voor inhoudslocatie

Zodra de client het CCM-token heeft opgehaald, wordt deze in de cache opgeslagen en gebruikt om site-informatie en inhoudslocatie van ccmsetup.cab op te vragen. Zodra het apparaat de clientinhoud heeft gedownload, wordt de installatie gestart. De volgende vermeldingen worden vastgelegd in ccmsetup.log op de client:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Opmerking

Als de client de inhoud van een CMG met inhoud vindt, downloadt ccmsetup de inhoud uit de cloudopslag. Als de nieuwste clientversie niet beschikbaar is in de cloud, downloadt deze de inhoud van het beheerpunt via een CMG-aanvraag.

Clientregistratie

Werkstroomdiagram van clientregistratie met Microsoft Entra-verificatie

1. Configuration Manager clientaanvraagregistratie

Zodra ccmsetup de Configuration Manager-client heeft geïnstalleerd, wordt de registratie geïnitialiseerd. De volgende vermeldingen worden vastgelegd in ClientIDManagerStartup.log van de client:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. Configuration Manager vraagt Microsoft Entra token aan om client te registreren

De client vraagt een nieuw Microsoft Entra-token aan om te registreren met behulp van Microsoft Entra-verificatie. Het geeft de voorkeur aan een apparaattoken, maar als dit niet beschikbaar is, valt de client terug om een Microsoft Entra-gebruikerstoken aan te vragen. De volgende vermeldingen worden vastgelegd in ADALOperationProvider.log van de client:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Registratieaanvraag

Het registratieonderdeel op het beheerpunt verwerkt het clientregistratieproces. De client verzendt een registratiebericht naar het MP_ClientRegistration-eindpunt .

3.1 CMG stuurt de clientregistratieaanvraag door naar het beheerpunt

De volgende vermeldingen worden vastgelegd in het MP_RegistrationManager.log van het sitesysteem dat als host fungeert voor het beheerpunt dat de clientaanvraag verwerkt:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager client is geregistreerd

Als de registratie slaagt, krijgt de client een bevestigingsbericht van registratie met Goedkeuring 3 voor Microsoft Entra registratie op basis van id's. De volgende vermeldingen worden vastgelegd in ClientIDManagerStartup.log van de client:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. Configuration Manager clienttokenaanvraag

Zodra de server de clientregistratie heeft bevestigd, verwerkt de client het antwoordbericht. De client vraagt vervolgens een nieuw CCM-token aan en slaat deze in de cache op. De volgende vermeldingen worden vastgelegd in ClientIDManagerStartup.log van de client:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG haalt CCM_Token aanvraag op en stuurt deze door naar het CMG-verbindingspunt

De volgende vermeldingen worden vastgelegd in CMGService.log van de CMG-VM en het sitesysteem dat als host fungeert voor de cmg-verbindingspuntrol:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 CMG-verbindingspunt transformeert CMG-clientaanvraag naar beheerpuntclientaanvraag

De volgende vermeldingen worden vastgelegd in SMS_CLOUD_PROXYCONNECTOR.log van het sitesysteem dat als host fungeert voor de cmg-verbindingspuntrol:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 Beheerpunt verifieert gebruikerstoken in sitedatabase

De volgende vermeldingen worden vastgelegd in CCM_STS.log van het sitesysteem dat als host fungeert voor het beheerpunt dat de clientaanvraag verwerkt:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

De server retourneert het CCM-token naar de client voor de rest van client-naar-site-communicatie.

Opmerking

Tijdens de clientregistratie wordt certificaatvalidatie altijd uitgevoerd. Dit proces vindt zelfs plaats als u de verificatiemethode Microsoft Entra gebruikt om de client te registreren. Dit gedrag is een terugvaloptie voor het geval Microsoft Entra verificatie niet lukt.

CCM-token verlengen

Het CCM-token heeft een levensduur van acht uur. Wanneer de client detecteert dat het CCM-token is verlopen of bijna is verlopen, verzendt deze een nieuwe CCM-tokenaanvraag. Het onderdeel CcmMessaging verwerkt dit verlengingsproces. De volgende vermeldingen worden vastgelegd in CcmMessaging.log van de client:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Veelvoorkomende problemen

  • Basis-CA niet aanwezig: clients hebben het basis-CA-certificaat nodig om het CMG-serververificatiecertificaat te valideren.

  • CRL-controle is ingeschakeld: Publiceer de CRL op internet. Gebruik als alternatief de /NoCRLCheck parameter voor ccmsetup. U kunt ook de volgende optie uitschakelen: Clients controleren de certificaatintrekkingslijst (CRL) voor sitesystemen. Zoek deze instelling op het tabblad Communicatiebeveiliging van de site-eigenschappen.

  • Het WPJ-certificaat is niet gevonden: controleer of het apparaat Microsoft Entra lid is. Gebruik dsregcmd.exe. Bekijk bijvoorbeeld dsregcmd /status de sectie Apparaatstatus .

Tip

Clientcommunicatie via CMG, CMG-verbindingspunt en beheerpunt verloopt via HTTPS. Als u de site configureert voor verbeterde HTTP, kunt u nog steeds het beheerpunt voor HTTP configureren.

  • Client controleert het CMG-serververificatiecertificaat:

    • PKI-certificaat: Client vereist de basis-CA van het CMG-certificaat in het lokale archief.
    • Certificaat van derden: clients valideren automatisch een certificaat met de basis-CA die op internet is gepubliceerd.
  • CMG, CMG-verbindingspunt en beheerpunt valideren Microsoft Entra ID- en CCM-tokens.

  • De communicatie tussen het CMG-verbindingspunt en het beheerpunt wordt ook aan beide uiteinden beveiligd:

    • CMG-verbindingspunt maakt gebruik van clientverificatiecertificaat.
    • MP gebruikt een PKI-certificaat voor HTTPS-configuratie of een zelfondertekend certificaat voor verbeterde HTTP.