Delen via


CMG-clientverificatie

Van toepassing op: Configuration Manager (current branch)

Clients die verbinding maken met een cloudbeheergateway (CMG) bevinden zich mogelijk op het niet-vertrouwde openbare internet. Vanwege de oorsprong van de client hebben ze een hogere verificatievereiste. Er zijn drie opties voor identiteit en verificatie met een CMG:

  • Microsoft Entra ID
  • PKI-certificaten
  • Configuration Manager door de site uitgegeven tokens

De volgende tabel bevat een overzicht van de belangrijkste factoren voor elke methode:

Microsoft Entra ID PKI-certificaat Sitetoken
ConfigMgr-versie Alle ondersteunde Alle ondersteunde Alle ondersteunde
Windows-clientversie Windows 10 of hoger Alle ondersteunde Alle ondersteunde
Ondersteuning voor scenario's Gebruiker en apparaat Alleen apparaat Alleen apparaat
Beheerpunt E-HTTP of HTTPS E-HTTP of HTTPS E-HTTP of HTTPS

Microsoft raadt aan apparaten toe te voegen aan Microsoft Entra-id. Internetapparaten kunnen gebruikmaken van Microsoft Entra moderne verificatie met Configuration Manager. Het maakt ook zowel apparaat- als gebruikersscenario's mogelijk, ongeacht of het apparaat zich op internet bevindt of is verbonden met het interne netwerk.

U kunt een of meer methoden gebruiken. Niet alle clients hoeven dezelfde methode te gebruiken.

Welke methode u kiest, moet u mogelijk ook een of meer beheerpunten opnieuw configureren. Zie Clientverificatie configureren voor CMG voor meer informatie.

Microsoft Entra ID

Als uw internetapparaten Windows 10 of hoger worden uitgevoerd, kunt u overwegen om Microsoft Entra moderne verificatie te gebruiken met de CMG. Deze verificatiemethode is de enige methode die gebruikersgerichte scenario's mogelijk maakt. Bijvoorbeeld het implementeren van apps in een gebruikersverzameling.

Ten eerste moeten de apparaten lid zijn van een clouddomein of Microsoft Entra hybride gekoppeld zijn, en de gebruiker heeft ook een Microsoft Entra identiteit nodig. Als uw organisatie al gebruikmaakt van Microsoft Entra identiteiten, moet u deze vereiste hebben. Zo niet, neem dan contact op met uw Azure-beheerder om cloudidentiteiten te plannen. Zie Microsoft Entra apparaatidentiteit voor meer informatie. Totdat dit proces is voltooid, kunt u overwegen om verificatie op basis van tokens voor internetclients met uw CMG te gebruiken.

Er zijn nog enkele andere vereisten, afhankelijk van uw omgeving:

  • Gebruikersdetectiemethoden inschakelen voor hybride identiteiten
  • Schakel ASP.NET 4.5 in op het beheerpunt
  • Clientinstellingen configureren

Zie Clients installeren met Microsoft Entra-id voor meer informatie over deze vereisten.

Opmerking

Als uw apparaten zich in een Microsoft Entra-tenant bevinden die gescheiden is van de tenant met een abonnement voor de CMG-rekenresources, kunt u vanaf versie 2010 verificatie uitschakelen voor tenants die niet zijn gekoppeld aan gebruikers en apparaten. Zie Azure-services configureren voor meer informatie.

PKI-certificaat

Als u een openbare-sleutelinfrastructuur (PKI) hebt die clientverificatiecertificaten aan apparaten kan verlenen, kunt u deze verificatiemethode overwegen voor internetapparaten met uw CMG. Het biedt geen ondersteuning voor gebruikersgerichte scenario's, maar ondersteunt apparaten waarop een ondersteunde versie van Windows wordt uitgevoerd.

Tip

Voor Windows-apparaten die lid zijn van een hybride of clouddomein is dit certificaat niet vereist omdat ze Microsoft Entra id gebruiken om te verifiëren.

Dit certificaat kan ook vereist zijn op het CMG-verbindingspunt.

Sitetoken

Als u apparaten niet kunt koppelen aan Microsoft Entra-id of PKI-clientverificatiecertificaten kunt gebruiken, gebruikt u Configuration Manager verificatie op basis van tokens. Door de site uitgegeven clientverificatietokens werken op alle ondersteunde versies van het clientbesturingssysteem, maar ondersteunen alleen apparaatscenario's.

Als clients af en toe verbinding maken met uw interne netwerk, wordt er automatisch een token uitgegeven. Ze moeten rechtstreeks communiceren met een on-premises beheerpunt om zich te registreren bij de site en dit clienttoken op te halen.

Als u clients niet kunt registreren op het interne netwerk, kunt u een bulkregistratietoken maken en implementeren. Met het token voor bulkregistratie kan de client in eerste instantie de site installeren en ermee communiceren. Deze eerste communicatie is lang genoeg voor de site om de client een eigen, uniek clientverificatietoken uit te geven. De client gebruikt vervolgens het verificatietoken voor alle communicatie met de site terwijl deze zich op internet bevindt.

Volgende stappen

Ontwerp vervolgens hoe u een CMG in uw hiërarchie gebruikt: