CMG-clientverificatie
Van toepassing op: Configuration Manager (current branch)
Clients die verbinding maken met een cloudbeheergateway (CMG) bevinden zich mogelijk op het niet-vertrouwde openbare internet. Vanwege de oorsprong van de client hebben ze een hogere verificatievereiste. Er zijn drie opties voor identiteit en verificatie met een CMG:
- Microsoft Entra ID
- PKI-certificaten
- Configuration Manager door de site uitgegeven tokens
De volgende tabel bevat een overzicht van de belangrijkste factoren voor elke methode:
| Microsoft Entra ID | PKI-certificaat | Sitetoken | |
|---|---|---|---|
| ConfigMgr-versie | Alle ondersteunde | Alle ondersteunde | Alle ondersteunde |
| Windows-clientversie | Windows 10 of hoger | Alle ondersteunde | Alle ondersteunde |
| Ondersteuning voor scenario's | Gebruiker en apparaat | Alleen apparaat | Alleen apparaat |
| Beheerpunt | E-HTTP of HTTPS | E-HTTP of HTTPS | E-HTTP of HTTPS |
Microsoft raadt aan apparaten toe te voegen aan Microsoft Entra-id. Internetapparaten kunnen gebruikmaken van Microsoft Entra moderne verificatie met Configuration Manager. Het maakt ook zowel apparaat- als gebruikersscenario's mogelijk, ongeacht of het apparaat zich op internet bevindt of is verbonden met het interne netwerk.
U kunt een of meer methoden gebruiken. Niet alle clients hoeven dezelfde methode te gebruiken.
Welke methode u kiest, moet u mogelijk ook een of meer beheerpunten opnieuw configureren. Zie Clientverificatie configureren voor CMG voor meer informatie.
Microsoft Entra ID
Als uw internetapparaten Windows 10 of hoger worden uitgevoerd, kunt u overwegen om Microsoft Entra moderne verificatie te gebruiken met de CMG. Deze verificatiemethode is de enige methode die gebruikersgerichte scenario's mogelijk maakt. Bijvoorbeeld het implementeren van apps in een gebruikersverzameling.
Ten eerste moeten de apparaten lid zijn van een clouddomein of Microsoft Entra hybride gekoppeld zijn, en de gebruiker heeft ook een Microsoft Entra identiteit nodig. Als uw organisatie al gebruikmaakt van Microsoft Entra identiteiten, moet u deze vereiste hebben. Zo niet, neem dan contact op met uw Azure-beheerder om cloudidentiteiten te plannen. Zie Microsoft Entra apparaatidentiteit voor meer informatie. Totdat dit proces is voltooid, kunt u overwegen om verificatie op basis van tokens voor internetclients met uw CMG te gebruiken.
Er zijn nog enkele andere vereisten, afhankelijk van uw omgeving:
- Gebruikersdetectiemethoden inschakelen voor hybride identiteiten
- Schakel ASP.NET 4.5 in op het beheerpunt
- Clientinstellingen configureren
Zie Clients installeren met Microsoft Entra-id voor meer informatie over deze vereisten.
Opmerking
Als uw apparaten zich in een Microsoft Entra-tenant bevinden die gescheiden is van de tenant met een abonnement voor de CMG-rekenresources, kunt u vanaf versie 2010 verificatie uitschakelen voor tenants die niet zijn gekoppeld aan gebruikers en apparaten. Zie Azure-services configureren voor meer informatie.
PKI-certificaat
Als u een openbare-sleutelinfrastructuur (PKI) hebt die clientverificatiecertificaten aan apparaten kan verlenen, kunt u deze verificatiemethode overwegen voor internetapparaten met uw CMG. Het biedt geen ondersteuning voor gebruikersgerichte scenario's, maar ondersteunt apparaten waarop een ondersteunde versie van Windows wordt uitgevoerd.
Tip
Voor Windows-apparaten die lid zijn van een hybride of clouddomein is dit certificaat niet vereist omdat ze Microsoft Entra id gebruiken om te verifiëren.
Dit certificaat kan ook vereist zijn op het CMG-verbindingspunt.
Sitetoken
Als u apparaten niet kunt koppelen aan Microsoft Entra-id of PKI-clientverificatiecertificaten kunt gebruiken, gebruikt u Configuration Manager verificatie op basis van tokens. Door de site uitgegeven clientverificatietokens werken op alle ondersteunde versies van het clientbesturingssysteem, maar ondersteunen alleen apparaatscenario's.
Als clients af en toe verbinding maken met uw interne netwerk, wordt er automatisch een token uitgegeven. Ze moeten rechtstreeks communiceren met een on-premises beheerpunt om zich te registreren bij de site en dit clienttoken op te halen.
Als u clients niet kunt registreren op het interne netwerk, kunt u een bulkregistratietoken maken en implementeren. Met het token voor bulkregistratie kan de client in eerste instantie de site installeren en ermee communiceren. Deze eerste communicatie is lang genoeg voor de site om de client een eigen, uniek clientverificatietoken uit te geven. De client gebruikt vervolgens het verificatietoken voor alle communicatie met de site terwijl deze zich op internet bevindt.
Volgende stappen
Ontwerp vervolgens hoe u een CMG in uw hiërarchie gebruikt:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor