Uwierzytelnianie klienta usługi CMG
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Klienci łączący się z bramą zarządzania chmurą (CMG) są potencjalnie w niezaufanym publicznym Internecie. Ze względu na pochodzenie klienta mają wyższe wymagania dotyczące uwierzytelniania. Istnieją trzy opcje tożsamości i uwierzytelniania za pomocą usługi CMG:
- Microsoft Entra ID
- Certyfikaty infrastruktury kluczy publicznych
- Configuration Manager tokeny wystawione przez witrynę
Poniższa tabela zawiera podsumowanie kluczowych czynników dla każdej metody:
| Microsoft Entra ID | Certyfikat PKI | Token witryny | |
|---|---|---|---|
| Wersja programu ConfigMgr | Wszystkie obsługiwane | Wszystkie obsługiwane | Wszystkie obsługiwane |
| Wersja klienta systemu Windows | Windows 10 lub nowsze | Wszystkie obsługiwane | Wszystkie obsługiwane |
| Obsługa scenariuszy | Użytkownik i urządzenie | Tylko urządzenie | Tylko urządzenie |
| Punkt zarządzania | Protokół E-HTTP lub HTTPS | Protokół E-HTTP lub HTTPS | Protokół E-HTTP lub HTTPS |
Firma Microsoft zaleca dołączanie urządzeń w celu Microsoft Entra identyfikatora. Urządzenia internetowe mogą używać Microsoft Entra nowoczesnego uwierzytelniania z Configuration Manager. Umożliwia również scenariusze dotyczące urządzeń i użytkowników, niezależnie od tego, czy urządzenie znajduje się w Internecie, czy jest połączone z siecią wewnętrzną.
Można użyć co najmniej jednej metody. Wszyscy klienci nie muszą używać tej samej metody.
W przypadku wybranej metody konieczne może być również ponowne skonfigurowanie co najmniej jednego punktu zarządzania. Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania klienta dla usługi CMG.
Microsoft Entra ID
Jeśli urządzenia internetowe działają Windows 10 lub nowszym, rozważ użycie Microsoft Entra nowoczesnego uwierzytelniania z usługą CMG. Ta metoda uwierzytelniania jest jedyną metodą, która umożliwia scenariusze zorientowane na użytkowników. Na przykład wdrażanie aplikacji w kolekcji użytkowników.
Najpierw urządzenia muszą być przyłączone do domeny w chmurze lub Microsoft Entra przyłączone hybrydowo, a użytkownik potrzebuje również tożsamości Microsoft Entra. Jeśli Twoja organizacja już używa tożsamości Microsoft Entra, należy ustawić to wymaganie wstępne. Jeśli nie, skontaktuj się z administratorem platformy Azure, aby zaplanować tożsamości oparte na chmurze. Aby uzyskać więcej informacji, zobacz Microsoft Entra tożsamość urządzenia. Do czasu ukończenia tego procesu należy rozważyć uwierzytelnianie oparte na tokenach dla klientów internetowych za pomocą usługi CMG.
W zależności od środowiska istnieje kilka innych wymagań:
- Włączanie metod odnajdywania użytkowników dla tożsamości hybrydowych
- Włącz ASP.NET 4.5 w punkcie zarządzania
- Konfigurowanie ustawień klienta
Aby uzyskać więcej informacji na temat tych wymagań wstępnych, zobacz Instalowanie klientów przy użyciu identyfikatora Microsoft Entra.
Uwaga
Jeśli urządzenia znajdują się w dzierżawie Microsoft Entra, która jest oddzielona od dzierżawy z subskrypcją zasobów obliczeniowych cmg, począwszy od wersji 2010, możesz wyłączyć uwierzytelnianie dla dzierżaw, które nie są skojarzone z użytkownikami i urządzeniami. Aby uzyskać więcej informacji, zobacz Konfigurowanie usług platformy Azure.
Certyfikat PKI
Jeśli masz infrastrukturę kluczy publicznych (PKI), która może wystawiać certyfikaty uwierzytelniania klienta dla urządzeń, rozważ tę metodę uwierzytelniania dla urządzeń internetowych z usługą CMG. Nie obsługuje ona scenariuszy zorientowanych na użytkowników, ale obsługuje urządzenia z dowolną obsługiwaną wersją systemu Windows.
Porada
Urządzenia z systemem Windows przyłączone hybrydowo lub do domeny w chmurze nie wymagają tego certyfikatu, ponieważ używają identyfikatora Microsoft Entra do uwierzytelniania.
Ten certyfikat może być również wymagany w punkcie połączenia cmg.
Token witryny
Jeśli nie możesz dołączyć urządzeń do Microsoft Entra identyfikatora lub użyć certyfikatów uwierzytelniania klienta infrastruktury kluczy publicznych, użyj Configuration Manager uwierzytelniania opartego na tokenach. Tokeny uwierzytelniania klienta wystawione przez lokację działają we wszystkich obsługiwanych wersjach systemu operacyjnego klienta, ale obsługują tylko scenariusze urządzeń.
Jeśli klienci od czasu do czasu nawiązują połączenie z siecią wewnętrzną, automatycznie otrzymują token. Muszą komunikować się bezpośrednio z lokalnym punktem zarządzania, aby zarejestrować się w lokacji i pobrać ten token klienta.
Jeśli nie możesz zarejestrować klientów w sieci wewnętrznej, możesz utworzyć i wdrożyć token rejestracji zbiorczej. Token rejestracji zbiorczej umożliwia klientowi początkową instalację i komunikację z lokacją. Ta początkowa komunikacja jest wystarczająco długa, aby lokacja wystawiała klientowi własny, unikatowy token uwierzytelniania klienta. Następnie klient używa tokenu uwierzytelniania do całej komunikacji z lokacją, gdy znajduje się w Internecie.
Następne kroki
Następnie zaprojektuj sposób używania cmg w hierarchii: