Beveiliging en privacy voor de cloudbeheergateway
Van toepassing op: Configuration Manager (current branch)
Dit artikel bevat informatie over beveiliging en privacy voor de Configuration Manager cloudbeheergateway (CMG). Zie Overzicht van cloudbeheergateway voor meer informatie.
Beveiligingsgegevens
De CMG accepteert en beheert verbindingen van CMG-verbindingspunten. Er wordt gebruikgemaakt van wederzijdse verificatie met behulp van certificaten en verbindings-id's.
De CMG accepteert en stuurt clientaanvragen door met behulp van de volgende methoden:
Hiermee worden verbindingen vooraf geverifieerd met behulp van wederzijdse HTTPS met het op PKI gebaseerde clientverificatiecertificaat of Microsoft Entra-id.
IIS op de CMG VM-exemplaren controleert het certificaatpad op basis van de vertrouwde basiscertificaten die u uploadt naar de CMG.
Als u certificaatintrekking inschakelt, controleert IIS op het VM-exemplaar ook of het clientcertificaat wordt ingetrokken. Zie De certificaatintrekkingslijst publiceren voor meer informatie.
De certificaatvertrouwenslijst (CTL) controleert de hoofdmap van het clientverificatiecertificaat. Ook wordt dezelfde validatie uitgevoerd als het beheerpunt voor de client. Zie Vermeldingen controleren in de lijst met certificaatvertrouwensrelaties van de site voor meer informatie.
Valideert en filtert clientaanvragen (URL's) om te controleren of een CMG-verbindingspunt de aanvraag kan verwerken.
Hiermee wordt de inhoudslengte voor elk publicatie-eindpunt gecontroleerd.
Maakt gebruik van round robin-gedrag om cmg-verbindingspunten in dezelfde site te verdelen.
Het CMG-verbindingspunt gebruikt de volgende methoden:
Bouwt consistente HTTPS/TCP-verbindingen met alle VM-exemplaren van de CMG. Deze verbindingen worden elke minuut gecontroleerd en onderhouden.
Maakt gebruik van wederzijdse verificatie met de CMG met behulp van certificaten.
Stuurt clientaanvragen door op basis van URL-toewijzingen.
Rapporteert de verbindingsstatus om de status van de service weer te geven in de console.
Rapporteert verkeer per eindpunt elke vijf minuten.
Configuration Manager draait de sleutel van het opslagaccount voor de CMG. Dit proces vindt elke 180 dagen automatisch plaats.
Beveiligingsmechanismen en beveiligingen
De CMG-resources in Azure maken deel uit van het Azure-platform als een service (PaaS). Ze worden op dezelfde manier en met dezelfde standaardbeveiliging beveiligd als alle andere resources in Azure. Het wijzigen van de configuraties van de CMG-resources of -architectuur in Azure wordt niet ondersteund. Deze wijzigingen omvatten het gebruik van een firewall vóór de CMG om verkeer te onderscheppen, te filteren of anderszins te verwerken voordat het de CMG bereikt. Al het verkeer dat is bestemd voor een CMG wordt verwerkt via een Azure-load balancer. CMG-implementaties als een virtuele-machineschaalset worden beveiligd door Microsoft Defender voor cloud.
Service-principals en verificatie
De service-principals worden geverifieerd door de registratie van de server-app in Microsoft Entra-id. Deze app wordt ook wel de web-app genoemd. U maakt deze app-registratie automatisch wanneer u de CMG maakt, of handmatig vooraf door een Azure-beheerder. Zie Handmatig Microsoft Entra-apps registreren voor de CMG voor meer informatie.
De geheime sleutels voor de Azure-apps worden versleuteld en opgeslagen in de Configuration Manager sitedatabase. Als onderdeel van het installatieproces heeft de server-app de machtiging Directorygegevens lezen voor de Microsoft Graph API. Het heeft ook de rol inzender voor de resourcegroep die als host fungeert voor de CMG. Telkens wanneer de app toegang nodig heeft tot resources zoals Microsoft Graph, krijgt deze een toegangstoken van Azure, dat wordt gebruikt om toegang te krijgen tot de cloudresource.
Microsoft Entra id kan de geheime sleutel voor deze apps automatisch draaien, of u kunt dit handmatig doen. Wanneer de geheime sleutel wordt gewijzigd, moet u de geheime sleutel vernieuwen in Configuration Manager.
Zie Doel van app-registraties voor meer informatie.
Configuration Manager clientgerichte rollen
Het beheerpunt en het software-updatepunt hosteindpunten in IIS om clientaanvragen te verwerken. De CMG maakt niet alle interne eindpunten beschikbaar. Elk eindpunt dat naar de CMG wordt gepubliceerd, heeft een URL-toewijzing.
De externe URL is de URL die de client gebruikt om te communiceren met de CMG.
De interne URL is het CMG-verbindingspunt dat wordt gebruikt om aanvragen door te sturen naar de interne server.
Voorbeeld van URL-toewijzing
Wanneer u CMG-verkeer op een beheerpunt inschakelt, maakt Configuration Manager een interne set URL-toewijzingen voor elke beheerpuntserver. Bijvoorbeeld: ccm_system, ccm_incoming en sms_mp. De externe URL voor het beheerpunt ccm_system eindpunt kan er als volgt uitzien:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
De URL is uniek voor elk beheerpunt. De Configuration Manager-client plaatst vervolgens de naam van het cmg-beheerpunt in de lijst met internetbeheerpunten. Deze naam ziet er als volgt uit:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
De site uploadt automatisch alle gepubliceerde externe URL's naar de CMG. Met dit gedrag kan de CMG URL-filtering uitvoeren. Alle URL-toewijzingen worden gerepliceerd naar het CMG-verbindingspunt. Vervolgens wordt de communicatie doorgestuurd naar interne servers op basis van de externe URL van de clientaanvraag.
Beveiligingsrichtlijnen
De certificaatintrekkingslijst publiceren
Publiceer de certificaatintrekkingslijst (CRL) van uw PKI voor toegang tot clients op internet. Wanneer u een CMG implementeert met behulp van PKI, configureert u de service om de intrekking van clientcertificaten te verifiëren op het tabblad Instellingen. Met deze instelling configureert u de service voor het gebruik van een gepubliceerde CRL. Zie Plannen voor intrekking van PKI-certificaten voor meer informatie.
Met deze CMG-optie wordt het clientverificatiecertificaat gecontroleerd.
Als de client gebruikmaakt van Microsoft Entra id of Configuration Manager verificatie op basis van tokens, maakt de CRL niet uit.
Als u PKI gebruikt en de CRL extern publiceert, schakelt u deze optie in (aanbevolen).
Als u PKI gebruikt, publiceert u de CRL niet en schakelt u deze optie uit.
Als u deze optie onjuist configureert, kan dit meer verkeer van clients naar de CMG veroorzaken. Dit verkeer kan de uitgaande Azure-gegevens verhogen, waardoor uw Azure-kosten kunnen toenemen.
Vermeldingen in de lijst met certificaatvertrouwensrelaties van de site controleren
Elke Configuration Manager site bevat een lijst met vertrouwde basiscertificeringsinstanties, de certificaatvertrouwenslijst (CTL). Bekijk en wijzig de lijst door naar de werkruimte Beheer te gaan, Siteconfiguratie uit te vouwen en Sites te selecteren. Selecteer een site en selecteer vervolgens Eigenschappen op het lint. Ga naar het tabblad Communicatiebeveiliging en selecteer vervolgens Instellen onder Vertrouwde basiscertificeringsinstanties.
Gebruik een meer beperkende CTL voor een site met een CMG met behulp van PKI-clientverificatie. Anders worden clients met clientverificatiecertificaten die zijn uitgegeven door een vertrouwde hoofdmap die al op het beheerpunt bestaat, automatisch geaccepteerd voor clientregistratie.
Deze subset biedt beheerders meer controle over de beveiliging. De CTL beperkt de server om alleen clientcertificaten te accepteren die zijn uitgegeven door de certificeringsinstanties in de CTL. Windows wordt bijvoorbeeld geleverd met certificaten voor veel openbare en wereldwijd vertrouwde certificaatproviders. Standaard vertrouwt de computer met IIS certificaten die zijn gekoppeld aan deze bekende certificeringsinstanties (CA). Zonder IIS te configureren met een CTL, wordt elke computer met een clientcertificaat dat is uitgegeven door deze CA's geaccepteerd als een geldige Configuration Manager client. Als u IIS configureert met een CTL die deze CA's niet bevat, worden clientverbindingen geweigerd als het certificaat is gekoppeld aan deze CA's.
TLS 1.2 afdwingen
Gebruik de CMG-instelling om TLS 1.2 af te dwingen. Dit geldt alleen voor de AZURE-cloudservice-VM. Deze is niet van toepassing op on-premises Configuration Manager siteservers of -clients.
Vanaf versie 2107 met het updatepakket is deze instelling ook van toepassing op het CMG-opslagaccount.
Zie TLS 1.2 inschakelen voor meer informatie over TLS 1.2.
Verificatie op basis van tokens gebruiken
Als u apparaten hebt met een of meer van de volgende voorwaarden, kunt u overwegen om verificatie op basis van Configuration Manager token te gebruiken:
- Een internetapparaat dat niet vaak verbinding maakt met het interne netwerk
- Het apparaat kan niet deelnemen aan Microsoft Entra-id
- U hebt geen methode voor het installeren van een door PKI uitgegeven certificaat
Met verificatie op basis van tokens geeft de site automatisch tokens uit voor apparaten die zich registreren in het interne netwerk. U kunt een bulkregistratietoken maken voor internetapparaten. Zie Verificatie op basis van tokens voor CMG voor meer informatie.