Udostępnij za pośrednictwem


Uwierzytelnianie klienta usługi CMG

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Klienci łączący się z bramą zarządzania chmurą (CMG) są potencjalnie w niezaufanym publicznym Internecie. Ze względu na pochodzenie klienta mają wyższe wymagania dotyczące uwierzytelniania. Istnieją trzy opcje tożsamości i uwierzytelniania za pomocą usługi CMG:

  • Microsoft Entra ID
  • Certyfikaty infrastruktury kluczy publicznych
  • Configuration Manager tokeny wystawione przez witrynę

Poniższa tabela zawiera podsumowanie kluczowych czynników dla każdej metody:

Microsoft Entra ID Certyfikat PKI Token witryny
Wersja programu ConfigMgr Wszystkie obsługiwane Wszystkie obsługiwane Wszystkie obsługiwane
Wersja klienta systemu Windows Windows 10 lub nowsze Wszystkie obsługiwane Wszystkie obsługiwane
Obsługa scenariuszy Użytkownik i urządzenie Tylko urządzenie Tylko urządzenie
Punkt zarządzania Protokół E-HTTP lub HTTPS Protokół E-HTTP lub HTTPS Protokół E-HTTP lub HTTPS

Firma Microsoft zaleca dołączanie urządzeń w celu Microsoft Entra identyfikatora. Urządzenia internetowe mogą używać Microsoft Entra nowoczesnego uwierzytelniania z Configuration Manager. Umożliwia również scenariusze dotyczące urządzeń i użytkowników, niezależnie od tego, czy urządzenie znajduje się w Internecie, czy jest połączone z siecią wewnętrzną.

Można użyć co najmniej jednej metody. Wszyscy klienci nie muszą używać tej samej metody.

W przypadku wybranej metody konieczne może być również ponowne skonfigurowanie co najmniej jednego punktu zarządzania. Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania klienta dla usługi CMG.

Microsoft Entra ID

Jeśli urządzenia internetowe działają Windows 10 lub nowszym, rozważ użycie Microsoft Entra nowoczesnego uwierzytelniania z usługą CMG. Ta metoda uwierzytelniania jest jedyną metodą, która umożliwia scenariusze zorientowane na użytkowników. Na przykład wdrażanie aplikacji w kolekcji użytkowników.

Najpierw urządzenia muszą być przyłączone do domeny w chmurze lub Microsoft Entra przyłączone hybrydowo, a użytkownik potrzebuje również tożsamości Microsoft Entra. Jeśli Twoja organizacja już używa tożsamości Microsoft Entra, należy ustawić to wymaganie wstępne. Jeśli nie, skontaktuj się z administratorem platformy Azure, aby zaplanować tożsamości oparte na chmurze. Aby uzyskać więcej informacji, zobacz Microsoft Entra tożsamość urządzenia. Do czasu ukończenia tego procesu należy rozważyć uwierzytelnianie oparte na tokenach dla klientów internetowych za pomocą usługi CMG.

W zależności od środowiska istnieje kilka innych wymagań:

  • Włączanie metod odnajdywania użytkowników dla tożsamości hybrydowych
  • Włącz ASP.NET 4.5 w punkcie zarządzania
  • Konfigurowanie ustawień klienta

Aby uzyskać więcej informacji na temat tych wymagań wstępnych, zobacz Instalowanie klientów przy użyciu identyfikatora Microsoft Entra.

Uwaga

Jeśli urządzenia znajdują się w dzierżawie Microsoft Entra, która jest oddzielona od dzierżawy z subskrypcją zasobów obliczeniowych cmg, począwszy od wersji 2010, możesz wyłączyć uwierzytelnianie dla dzierżaw, które nie są skojarzone z użytkownikami i urządzeniami. Aby uzyskać więcej informacji, zobacz Konfigurowanie usług platformy Azure.

Certyfikat PKI

Jeśli masz infrastrukturę kluczy publicznych (PKI), która może wystawiać certyfikaty uwierzytelniania klienta dla urządzeń, rozważ tę metodę uwierzytelniania dla urządzeń internetowych z usługą CMG. Nie obsługuje ona scenariuszy zorientowanych na użytkowników, ale obsługuje urządzenia z dowolną obsługiwaną wersją systemu Windows.

Porada

Urządzenia z systemem Windows przyłączone hybrydowo lub do domeny w chmurze nie wymagają tego certyfikatu, ponieważ używają identyfikatora Microsoft Entra do uwierzytelniania.

Ten certyfikat może być również wymagany w punkcie połączenia cmg.

Token witryny

Jeśli nie możesz dołączyć urządzeń do Microsoft Entra identyfikatora lub użyć certyfikatów uwierzytelniania klienta infrastruktury kluczy publicznych, użyj Configuration Manager uwierzytelniania opartego na tokenach. Tokeny uwierzytelniania klienta wystawione przez lokację działają we wszystkich obsługiwanych wersjach systemu operacyjnego klienta, ale obsługują tylko scenariusze urządzeń.

Jeśli klienci od czasu do czasu nawiązują połączenie z siecią wewnętrzną, automatycznie otrzymują token. Muszą komunikować się bezpośrednio z lokalnym punktem zarządzania, aby zarejestrować się w lokacji i pobrać ten token klienta.

Jeśli nie możesz zarejestrować klientów w sieci wewnętrznej, możesz utworzyć i wdrożyć token rejestracji zbiorczej. Token rejestracji zbiorczej umożliwia klientowi początkową instalację i komunikację z lokacją. Ta początkowa komunikacja jest wystarczająco długa, aby lokacja wystawiała klientowi własny, unikatowy token uwierzytelniania klienta. Następnie klient używa tokenu uwierzytelniania do całej komunikacji z lokacją, gdy znajduje się w Internecie.

Następne kroki

Następnie zaprojektuj sposób używania cmg w hierarchii: