Clientverificatie configureren voor cloudbeheergateway
Van toepassing op: Configuration Manager (current branch)
De volgende stap bij het instellen van een cloudbeheergateway (CMG) is het configureren van de wijze waarop clients worden geverifieerd. Omdat deze clients mogelijk verbinding maken met de service via het niet-vertrouwde openbare internet, hebben ze een hogere verificatievereiste. Er zijn drie opties:
- Microsoft Entra ID
- PKI-certificaten
- Configuration Manager door de site uitgegeven tokens
In dit artikel wordt beschreven hoe u elk van deze opties configureert. Zie Verificatiemethoden voor CMG-client plannen voor meer basisinformatie.
Microsoft Entra ID
Als uw internetapparaten Windows 10 of hoger worden uitgevoerd, gebruikt u Microsoft Entra moderne verificatie met de CMG. Deze verificatiemethode is de enige methode die gebruikersgerichte scenario's mogelijk maakt.
Voor deze verificatiemethode zijn de volgende configuraties vereist:
De apparaten moeten lid zijn van een clouddomein of Microsoft Entra hybride gekoppeld zijn en de gebruiker heeft ook een Microsoft Entra identiteit nodig.
Tip
Als u wilt controleren of een apparaat lid is van de cloud, voert u uit
dsregcmd.exe /status
in een opdrachtprompt. Als het apparaat is Microsoft Entra gekoppeld of hybride gekoppeld, wordt in het veld AzureAdjoined in de resultaten JA weergegeven. Zie de opdracht dsregcmd - apparaatstatus voor meer informatie.Een van de belangrijkste vereisten voor het gebruik van Microsoft Entra-verificatie voor internetclients met een CMG is het integreren van de site met Microsoft Entra-id. U hebt deze actie in de vorige stap al voltooid.
Er zijn nog enkele andere vereisten, afhankelijk van uw omgeving:
- Gebruikersdetectiemethoden inschakelen voor hybride identiteiten
- Schakel ASP.NET 4.5 in op het beheerpunt
- Clientinstellingen configureren
Zie Clients installeren met Microsoft Entra-id voor meer informatie over deze vereisten.
PKI-certificaat
Gebruik deze stappen als u een openbare-sleutelinfrastructuur (PKI) hebt die clientverificatiecertificaten aan apparaten kan uitgeven.
Dit certificaat is mogelijk vereist op het CMG-verbindingspunt. Zie CMG-verbindingspunt voor meer informatie.
Het certificaat uitgeven
Maak en geef dit certificaat uit vanuit uw PKI, dat zich buiten de context van Configuration Manager bevindt. U kunt bijvoorbeeld Active Directory Certificate Services en groepsbeleid gebruiken om automatisch clientverificatiecertificaten uit te geven aan apparaten die lid zijn van een domein. Zie Voorbeeld van implementatie van PKI-certificaten: Het clientcertificaat implementeren voor meer informatie.
Het CMG-clientverificatiecertificaat ondersteunt de volgende configuraties:
2048-bits of 4096-bits sleutellengte
Dit certificaat ondersteunt sleutelopslagproviders voor persoonlijke certificaatsleutels (v3). Zie Overzicht van CNG v3-certificaten voor meer informatie.
De vertrouwde basis van het clientcertificaat exporteren
De CMG moet de clientverificatiecertificaten vertrouwen om het HTTPS-kanaal met clients tot stand te brengen. Als u deze vertrouwensrelatie wilt uitvoeren, exporteert u de vertrouwde basiscertificaatketen. Geef deze certificaten vervolgens op wanneer u de CMG maakt in de Configuration Manager-console.
Zorg ervoor dat u alle certificaten in de vertrouwensketen exporteert. Als het clientverificatiecertificaat bijvoorbeeld is uitgegeven door een tussenliggende CA, exporteert u zowel de tussenliggende als de basis-CA-certificaten.
Opmerking
Exporteer dit certificaat wanneer een client PKI-certificaten gebruikt voor verificatie. Wanneer alle clients Microsoft Entra id of tokens voor verificatie gebruiken, is dit certificaat niet vereist.
Nadat u een clientverificatiecertificaat aan een computer hebt opgegeven, gebruikt u dit proces op die computer om het vertrouwde basiscertificaat te exporteren.
Open het Startmenu. Typ 'uitvoeren' om het venster Uitvoeren te openen. Open
mmc
.Kies in het menu Bestand de optie Module toevoegen/verwijderen....
Selecteer in het dialoogvenster Modules toevoegen of verwijderen de optie Certificaten en selecteer vervolgens Toevoegen.
Selecteer in het dialoogvenster Certificatenmodule de optie Computeraccount en selecteer vervolgens Volgende.
Selecteer in het dialoogvenster Computer selecteren de optie Lokale computer en selecteer vervolgens Voltooien.
Selecteer IN het dialoogvenster Modules toevoegen of verwijderen de optie OK.
Vouw Certificaten uit, vouw Persoonlijk uit en selecteer Certificaten.
Selecteer een certificaat waarvan het beoogde doel clientverificatie is.
Selecteer Openen in het menu Actie.
Ga naar het tabblad Certificeringspad .
Selecteer het volgende certificaat in de keten en selecteer Certificaat weergeven.
Ga in dit nieuwe dialoogvenster Certificaat naar het tabblad Details . Selecteer Kopiëren naar bestand....
Voltooi de wizard Certificaat exporteren met de standaardcertificaatindeling DER gecodeerd binair X.509 (. CER). Noteer de naam en locatie van het geëxporteerde certificaat.
Exporteer alle certificaten in het certificeringspad van het oorspronkelijke clientverificatiecertificaat. Noteer welke geëxporteerde certificaten tussenliggende CA's zijn en welke vertrouwde basis-CA's zijn.
CMG-verbindingspunt
Voor het veilig doorsturen van clientaanvragen vereist het CMG-verbindingspunt een beveiligde verbinding met het beheerpunt. Als u PKI-clientverificatie gebruikt en het beheerpunt met internet HTTPS is, geeft u een clientverificatiecertificaat uit aan de sitesysteemserver met de cmg-verbindingspuntrol.
Opmerking
Voor het CMG-verbindingspunt is geen clientverificatiecertificaat vereist in de volgende scenario's:
- Clients gebruiken Microsoft Entra-verificatie.
- Clients gebruiken verificatie op basis van Configuration Manager token.
- De site maakt gebruik van Verbeterde HTTP.
Zie Beheerpunt inschakelen voor HTTPS voor meer informatie.
Sitetoken
Als u apparaten niet kunt koppelen aan Microsoft Entra-id of PKI-clientverificatiecertificaten kunt gebruiken, gebruikt u Configuration Manager verificatie op basis van tokens. Zie Verificatie op basis van tokens voor cloudbeheergateway voor meer informatie of als u een bulkregistratietoken wilt maken.
Beheerpunt inschakelen voor HTTPS
Afhankelijk van hoe u de site configureert en welke clientverificatiemethode u kiest, moet u mogelijk uw beheerpunten met internet opnieuw configureren. Er zijn twee opties:
- De site configureren voor verbeterde HTTP en het beheerpunt voor HTTP configureren
- Het beheerpunt voor HTTPS configureren
De site configureren voor verbeterde HTTP
Wanneer u de siteoptie gebruikt om Configuration Manager gegenereerde certificaten voor HTTP-sitesystemen te gebruiken, kunt u het beheerpunt voor HTTP configureren. Wanneer u Verbeterde HTTP inschakelt, genereert de siteserver een zelfondertekend certificaat met de naam SMS-rol SSL-certificaat. Dit certificaat wordt uitgegeven door het certificaat van de hoofd-SMS-uitgifte . Het beheerpunt voegt dit certificaat toe aan de STANDAARD IIS-website die is gebonden aan poort 443.
Met deze optie kunnen interne clients blijven communiceren met het beheerpunt via HTTP. Internetclients die Microsoft Entra-id of een clientverificatiecertificaat gebruiken, kunnen veilig communiceren via de CMG met dit beheerpunt via HTTPS.
Zie Verbeterde HTTP voor meer informatie.
Het beheerpunt voor HTTPS configureren
Als u een beheerpunt voor HTTPS wilt configureren, geeft u het eerst een webservercertificaat uit. Schakel vervolgens de rol voor HTTPS in.
Maak en geef een webservercertificaat van uw PKI of een externe provider, die zich buiten de context van Configuration Manager bevinden. Gebruik bijvoorbeeld Active Directory Certificate Services en groepsbeleid om een webservercertificaat uit te geven aan de sitesysteemserver met de beheerpuntrol. Zie de volgende artikelen voor meer informatie:
Stel op de eigenschappen van de beheerpuntrol de clientverbindingen in op HTTPS.
Tip
Nadat u de CMG hebt ingesteld, configureert u andere instellingen voor dit beheerpunt.
Als uw omgeving meerdere beheerpunten heeft, hoeft u deze niet allemaal https in te schakelen voor CMG. Configureer de CMG-beheerpunten alleen als internet. Vervolgens proberen uw on-premises clients ze niet te gebruiken.
Samenvatting van clientverbindingsmodus voor beheerpunt
Deze tabellen vatten samen of voor het beheerpunt HTTP of HTTPS is vereist, afhankelijk van het type client. Ze gebruiken de volgende termen:
- Werkgroep: het apparaat is niet gekoppeld aan een domein of Microsoft Entra-id, maar heeft een clientverificatiecertificaat.
- Ad-domein toegevoegd: u voegt het apparaat toe aan een on-premises Active Directory domein.
- Microsoft Entra toegevoegd: u kunt het apparaat toevoegen aan een Microsoft Entra tenant. Zie Microsoft Entra gekoppelde apparaten voor meer informatie.
- Hybride gekoppeld: u koppelt het apparaat aan uw on-premises Active Directory en registreert het met uw Microsoft Entra-id. Zie Microsoft Entra hybride gekoppelde apparaten voor meer informatie.
- HTTP: Op de eigenschappen van het beheerpunt stelt u de clientverbindingen in op HTTP.
- HTTPS: Op de eigenschappen van het beheerpunt stelt u de clientverbindingen in op HTTPS.
- E-HTTP: op het tabblad Communicatiebeveiliging stelt u de sitesysteeminstellingen in op HTTPS of HTTP en schakelt u de optie Configuration Manager gegenereerde certificaten gebruiken voor HTTP-sitesystemen in. U configureert het beheerpunt voor HTTP en het HTTP-beheerpunt is gereed voor zowel HTTP- als HTTPS-communicatie.
Belangrijk
Vanaf Configuration Manager versie 2103 worden sites die HTTP-clientcommunicatie toestaan, afgeschaft. Configureer de site voor HTTPS of Verbeterde HTTP. Zie De site inschakelen voor alleen HTTPS of verbeterde HTTP voor meer informatie.
Voor internetclients die communiceren met de CMG
Configureer een on-premises beheerpunt om verbindingen vanuit de CMG toe te staan met de volgende clientverbindingsmodus:
Op internet gebaseerde client | Beheerpunt |
---|---|
Werkgroepnotitie 1 | E-HTTP, HTTPS |
Opmerking 1 dat lid is van een AD-domein | E-HTTP, HTTPS |
Microsoft Entra toegevoegd | E-HTTP, HTTPS |
Hybride gekoppeld | E-HTTP, HTTPS |
Opmerking
Opmerking 1: Voor deze configuratie is vereist dat de client een clientverificatiecertificaat heeft en alleen apparaatgerichte scenario's ondersteunt.
Voor on-premises clients die communiceren met het on-premises beheerpunt
Configureer een on-premises beheerpunt met de volgende clientverbindingsmodus:
On-premises client | Beheerpunt |
---|---|
Workgroup | HTTP, HTTPS |
AD-domein toegevoegd | HTTP, HTTPS |
Microsoft Entra toegevoegd | HTTPS |
Hybride gekoppeld | HTTP, HTTPS |
Opmerking
On-premises AD-domein-gekoppelde clients ondersteunen zowel apparaat- als gebruikersgerichte scenario's die communiceren met een HTTP- of HTTPS-beheerpunt.
On-premises Microsoft Entra gekoppelde en hybride clients kunnen communiceren via HTTP voor apparaatgerichte scenario's, maar hebben E-HTTP of HTTPS nodig om gebruikersgerichte scenario's mogelijk te maken. Anders gedragen ze zich hetzelfde als werkgroepclients.
Volgende stappen
U bent nu klaar om de CMG te maken in Configuration Manager: