Verificatie op basis van tokens voor cloudbeheergateway

  • Artikel

Van toepassing op: Configuration Manager (current branch)

De cloudbeheergateway (CMG) ondersteunt veel soorten clients, maar zelfs met verbeterde HTTP vereisen deze clients een certificaat voor clientverificatie. Deze certificaatvereiste kan lastig zijn om in te richten op internetclients die niet vaak verbinding maken met het interne netwerk, niet kunnen deelnemen aan Microsoft Entra-id en geen methode hebben om een door PKI uitgegeven certificaat te installeren.

Om deze uitdagingen te overwinnen, breidt Configuration Manager de ondersteuning van het apparaat uit door eigen verificatietokens uit te geven aan apparaten. Als u optimaal gebruik wilt maken van deze functie, werkt u na het bijwerken van de site ook clients bij naar de nieuwste versie. Het volledige scenario is pas functioneel als de clientversie ook de meest recente is. Zorg er zo nodig voor dat u de nieuwe clientversie promoveren naar productie.

Clients registreren zich in eerste instantie voor deze tokens met behulp van een van de volgende twee methoden:

  • Intern netwerk

  • Bulkregistratie

De Configuration Manager-client samen met het beheerpunt beheren dit token, zodat er geen afhankelijkheid is van de versie van het besturingssysteem. Deze functie is beschikbaar voor elke ondersteunde clientversie van het besturingssysteem.

Opmerking

Deze methoden ondersteunen alleen apparaatgerichte beheerscenario's.

Microsoft raadt aan apparaten toe te voegen aan Microsoft Entra-id. Internetapparaten kunnen Microsoft Entra id gebruiken om te verifiëren met Configuration Manager. Het maakt ook zowel apparaat- als gebruikersscenario's mogelijk, ongeacht of het apparaat zich op internet bevindt of is verbonden met het interne netwerk. Zie De client installeren en registreren met behulp van Microsoft Entra identiteit voor meer informatie.

Zorg ervoor dat clients een cloudbeheergateway kunnen gebruiken in de groep Cloudservices met clientinstellingen. Zelfs met een sitetoken kunnen clients niet communiceren met een CMG als clientinstellingen dit niet toestaan. Zie Over clientinstellingen: Cloudservices voor meer informatie.

Interne netwerkregistratie

Voor deze methode moet de client zich eerst registreren bij het beheerpunt in het interne netwerk. Clientregistratie vindt doorgaans direct na de installatie plaats. Het beheerpunt geeft de client een uniek token dat laat zien dat het een zelfondertekend certificaat gebruikt. Wanneer de client op internet zwerven, om te communiceren met de CMG, wordt het zelfondertekende certificaat gekoppeld aan het beheerpunt-uitgegeven token.

De site schakelt dit gedrag standaard in.

Opmerking

Met een HTTPS-beheerpunt moet de client zich eerst registreren, ongeacht het beheerpunt voor internet/intranet. De client moet een geldig door PKI uitgegeven certificaat, een Microsoft Entra-token of een bulkregistratietoken presenteren.

Bulkregistratietoken

Als u clients niet kunt installeren en registreren op het interne netwerk, maakt u een token voor bulkregistratie. Gebruik dit token wanneer de client wordt geïnstalleerd op een apparaat op internet en wordt geregistreerd via de CMG. Het token voor bulkregistratie heeft een korte geldigheidsperiode en wordt niet opgeslagen op de client of de site. Hiermee kan de client een uniek token genereren, dat is gekoppeld aan het zelfondertekende certificaat, kan worden geverifieerd met de CMG.

Opmerking

Verwar bulkregistratietokens niet met tokens die Configuration Manager problemen met afzonderlijke clients. Met het token voor bulkregistratie kan de client in eerste instantie de site installeren en ermee communiceren. Deze eerste communicatie is lang genoeg voor de site om de client een eigen, uniek clientverificatietoken uit te geven. De client gebruikt vervolgens het verificatietoken voor alle communicatie met de site terwijl deze zich op internet bevindt. Naast de eerste registratie gebruikt of slaat de client het bulkregistratietoken niet op.

Voer de volgende acties uit om een bulkregistratietoken te maken voor gebruik tijdens de clientinstallatie op internetapparaten:

  1. Meld u aan bij de siteserver op het hoogste niveau in de hiërarchie met lokale beheerdersbevoegdheden.

  2. Open een opdrachtprompt-venster als beheerder.

  3. Voer het hulpprogramma uit vanuit de \bin\X64 map van de Configuration Manager installatiemap op de siteserver: BulkRegistrationTokenTool.exe. Maak een nieuw token met de /new parameter. Bijvoorbeeld BulkRegistrationTokenTool.exe /new. Zie Bulksgewijs gebruik van tokenprogramma voor registratie voor meer informatie.

  4. Kopieer het token en sla het op een veilige locatie op.

  5. Installeer de Configuration Manager-client op een apparaat op internet. Neem de clientinstallatieparameter op: /regtoken. De volgende voorbeeldopdrachtregel bevat de andere vereiste installatieparameters en -eigenschappen:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Tip

    Zie De client installeren en registreren met behulp van Microsoft Entra identiteit voor meer informatie over deze opdrachtregel. Dit proces is vergelijkbaar, maar maakt alleen geen gebruik van de Microsoft Entra-eigenschappen.

Controleer het volgende logboekbestand voor een vergelijkbare vermelding om dit te controleren:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Als u problemen met de installatie wilt oplossen, controleert u %WinDir%\ccmsetup\logs\ccmsetup.log op de client. Controleer %WinDir%\ccm\logs\ClientIDManagerStartup.logna de installatie .

Controleer op de server de volgende logboeken:

  • CMG-logboeken
  • Beheerpunt
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Gebruik van het hulpprogramma voor bulkregistratietoken

Het BulkRegistrationTokenTool.exe hulpprogramma bevindt zich in de \bin\X64 map van de Configuration Manager installatiemap op de siteserver. Meld u aan bij de siteserver en voer deze uit als beheerder. Het ondersteunt de volgende opdrachtregelparameters:

  • /?
  • /new
  • /lifetime

/?

Geef deze gebruiksgegevens weer.

Voorbeeld: BulkRegistrationTokenTool.exe /?

/new

Maak een nieuw bulkregistratietoken.

Voorbeeld: BulkRegistrationTokenTool.exe /new

Het hulpprogramma geeft de volgende informatie weer:

  • Een GUID die de site gebruikt om uitgegeven tokens bij te houden
  • De geldigheidsperiode van het token, die standaard drie dagen is.
  • Het token voor bulkregistratie.

Het token wordt niet opgeslagen op de client of de site. Zorg ervoor dat u het token kopieert vanaf de opdrachtprompt en op een veilige locatie opslaat.

/lifetime

Gebruik met /new parameter om de geldigheidsperiode van het token van het token op te geven. Geef een geheel getal op in minuten. De standaardwaarde is 4.320 (drie dagen). De maximumwaarde is 10.080 (zeven dagen).

Voorbeeld: BulkRegistrationTokenTool.exe /lifetime 4320

Bulksgewijs beheer van registratietoken

U kunt eerder gemaakte bulkregistratietokens en hun levensduur zien in de Configuration Manager-console en het gebruik ervan zo nodig blokkeren. De sitedatabase slaat echter geen tokens voor bulkregistratie op.

Een bulkregistratietoken controleren

  1. Ga in de Configuration Manager-console naar de werkruimte Beheer.

  2. Vouw Beveiliging uit en selecteer het knooppunt Certificaten . De console bevat alle sitegerelateerde certificaten en bulkregistratietokens in het detailvenster.

  3. Selecteer het token voor bulkregistratie dat u wilt controleren.

U kunt filteren of sorteren op de kolom Type . Identificeer specifieke bulkregistratietokens op basis van hun GUID. Wanneer u een token voor bulkregistratie maakt, wordt in het hulpprogramma de GUID weergegeven.

Een bulkregistratietoken blokkeren

  1. Ga in de Configuration Manager-console naar de werkruimte Beheer.

  2. Vouw Beveiliging uit, selecteer het knooppunt Certificaten en selecteer het token voor bulkregistratie dat u wilt blokkeren.

  3. Selecteer op het tabblad Start van de lintbalk of het snelmenu de optie Blokkeren. Als u eerder geblokkeerde bulkregistratietokens wilt deblokkeren, selecteert u de actie Deblokkeren .

Token verlengen

De client vernieuwt het unieke, Configuration Manager uitgegeven token eenmaal per maand en is 90 dagen geldig. Een client hoeft geen verbinding te maken met het interne netwerk om het token te vernieuwen. Zolang het token nog geldig is, is het voldoende om verbinding te maken met de site met behulp van een CMG. Als het token niet binnen 90 dagen wordt vernieuwd, moet de client rechtstreeks verbinding maken met een beheerpunt op een intern netwerk om een nieuw token te ontvangen.

U kunt een bulkregistratietoken niet verlengen. Zodra een bulkregistratietoken is verlopen, genereert u een nieuw token voor apparaatregistratie op internet met behulp van een CMG.

Zie ook