Uwierzytelnianie oparte na tokenach dla bramy zarządzania chmurą

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Brama zarządzania chmurą (CMG) obsługuje wiele typów klientów, ale nawet w przypadku rozszerzonego protokołu HTTP ci klienci wymagają certyfikatu uwierzytelniania klienta. To wymaganie dotyczące certyfikatu może być trudne do aprowizowania na klientach internetowych, którzy często nie łączą się z siecią wewnętrzną, nie mogą dołączyć do Microsoft Entra identyfikatora i nie mają metody instalowania certyfikatu wystawionego przez infrastrukturę kluczy publicznych.

Aby sprostać tym wyzwaniom, Configuration Manager rozszerza obsługę urządzeń, wystawiając własne tokeny uwierzytelniania na urządzenia. Aby w pełni wykorzystać tę funkcję, po zaktualizowaniu lokacji zaktualizuj również klientów do najnowszej wersji. Kompletny scenariusz nie działa, dopóki wersja klienta nie będzie również najnowsza. W razie potrzeby upewnij się, że nowa wersja klienta jest promowana do środowiska produkcyjnego.

Klienci początkowo rejestrują się dla tych tokenów przy użyciu jednej z następujących dwóch metod:

  • Sieć wewnętrzna

  • Rejestracja zbiorcza

Klient Configuration Manager razem z punktem zarządzania zarządza tym tokenem, więc nie ma zależności wersji systemu operacyjnego. Ta funkcja jest dostępna dla dowolnej obsługiwanej wersji systemu operacyjnego klienta.

Uwaga

Te metody obsługują tylko scenariusze zarządzania zorientowane na urządzenia.

Firma Microsoft zaleca dołączanie urządzeń w celu Microsoft Entra identyfikatora. Urządzenia internetowe mogą używać identyfikatora Microsoft Entra do uwierzytelniania przy użyciu Configuration Manager. Umożliwia również scenariusze dotyczące urządzeń i użytkowników, niezależnie od tego, czy urządzenie znajduje się w Internecie, czy jest połączone z siecią wewnętrzną. Aby uzyskać więcej informacji, zobacz Instalowanie i rejestrowanie klienta przy użyciu tożsamości Microsoft Entra.

Pamiętaj, aby umożliwić klientom korzystanie z bramy zarządzania chmurą w grupie usług w chmurze ustawień klienta. Nawet przy użyciu tokenu lokacji klienci nie mogą komunikować się z usługą CMG, jeśli ustawienia klienta na to nie zezwalają. Aby uzyskać więcej informacji, zobacz Informacje o ustawieniach klienta: usługi w chmurze.

Wewnętrzna rejestracja sieci

Ta metoda wymaga, aby klient najpierw zarejestrował się w punkcie zarządzania w sieci wewnętrznej. Rejestracja klienta zwykle odbywa się bezpośrednio po instalacji. Punkt zarządzania daje klientowi unikatowy token, który pokazuje, że używa certyfikatu z podpisem własnym. Gdy klient wędruje do Internetu, aby komunikować się z grupą cmg, łączy swój certyfikat z podpisem własnym z tokenem wystawionym przez punkt zarządzania.

Witryna domyślnie włącza to zachowanie.

Uwaga

W przypadku punktu zarządzania HTTPS klient musi najpierw zarejestrować się niezależnie od punktu zarządzania Internetem/intranetem. Klient musi przedstawić prawidłowy certyfikat wystawiony przez infrastrukturę PKI, token Microsoft Entra lub token rejestracji zbiorczej.

Token rejestracji zbiorczej

Jeśli nie możesz zainstalować i zarejestrować klientów w sieci wewnętrznej, utwórz token rejestracji zbiorczej. Użyj tego tokenu, gdy klient instaluje się na urządzeniu internetowym i rejestruje się za pośrednictwem usługi CMG. Token rejestracji zbiorczej ma krótki okres ważności i nie jest przechowywany na kliencie ani w lokacji. Umożliwia klientowi wygenerowanie unikatowego tokenu, który w połączeniu z certyfikatem z podpisem własnym umożliwia uwierzytelnianie za pomocą usługi CMG.

Uwaga

Nie należy mylić tokenów rejestracji zbiorczej z tokenami, które Configuration Manager problemy z poszczególnymi klientami. Token rejestracji zbiorczej umożliwia klientowi początkową instalację i komunikację z lokacją. Ta początkowa komunikacja jest wystarczająco długa, aby lokacja wystawiała klientowi własny, unikatowy token uwierzytelniania klienta. Następnie klient używa tokenu uwierzytelniania do całej komunikacji z lokacją, gdy znajduje się w Internecie. Poza rejestracją początkową klient nie używa ani nie przechowuje tokenu rejestracji zbiorczej.

Aby utworzyć token rejestracji zbiorczej do użycia podczas instalacji klienta na urządzeniach internetowych, wykonaj następujące czynności:

  1. Zaloguj się do serwera lokacji najwyższego poziomu w hierarchii przy użyciu uprawnień administratora lokalnego.

  2. Otwórz okno wiersza polecenia jako administrator.

  3. Uruchom narzędzie z folderu \bin\X64 katalogu instalacji Configuration Manager na serwerze lokacji: BulkRegistrationTokenTool.exe. Utwórz nowy token przy użyciu parametru /new . Na przykład BulkRegistrationTokenTool.exe /new. Aby uzyskać więcej informacji, zobacz Użycie narzędzia tokenu rejestracji zbiorczej.

  4. Skopiuj token i zapisz go w bezpiecznej lokalizacji.

  5. Zainstaluj klienta Configuration Manager na urządzeniu internetowym. Dołącz parametr instalacji klienta: /regtoken. Poniższy przykładowy wiersz polecenia zawiera inne wymagane parametry i właściwości konfiguracji:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Porada

    Aby uzyskać więcej informacji na temat tego wiersza polecenia, zobacz Instalowanie i rejestrowanie klienta przy użyciu tożsamości Microsoft Entra. Ten proces jest podobny, po prostu nie używa właściwości Microsoft Entra.

Aby sprawdzić, przejrzyj następujący plik dziennika, aby uzyskać podobny wpis:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Aby rozwiązać problemy z instalacją, przejrzyj %WinDir%\ccmsetup\logs\ccmsetup.log informacje o kliencie. Po instalacji zapoznaj się z artykułem %WinDir%\ccm\logs\ClientIDManagerStartup.log.

Na serwerze przejrzyj następujące dzienniki:

  • Dzienniki cmg
  • Punkt zarządzania
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Użycie narzędzia tokenu rejestracji zbiorczej

Narzędzie BulkRegistrationTokenTool.exe znajduje się w folderze \bin\X64 katalogu instalacji Configuration Manager na serwerze lokacji. Zaloguj się do serwera lokacji i uruchom go jako administrator. Obsługuje następujące parametry wiersza polecenia:

  • /?
  • /new
  • /lifetime

/?

Wyświetl te informacje o użyciu.

Przykład: BulkRegistrationTokenTool.exe /?

/new

Utwórz nowy token rejestracji zbiorczej.

Przykład: BulkRegistrationTokenTool.exe /new

Narzędzie wyświetla następujące informacje:

  • Identyfikator GUID używany przez witrynę do śledzenia wystawionych tokenów
  • Okres ważności tokenu, który domyślnie wynosi trzy dni.
  • Token rejestracji zbiorczej.

Token nie jest przechowywany na kliencie ani w lokacji. Pamiętaj, aby skopiować token z wiersza polecenia i zapisać go w bezpiecznej lokalizacji.

/lifetime

Użyj parametru z /new parametrem, aby określić okres ważności tokenu. Określ wartość całkowitą w minutach. Wartość domyślna to 4320 (trzy dni). Maksymalna wartość to 10 080 (siedem dni).

Przykład: BulkRegistrationTokenTool.exe /lifetime 4320

Zbiorcze zarządzanie tokenami rejestracji

Wcześniej utworzone tokeny rejestracji zbiorczej i ich okresy istnienia można zobaczyć w konsoli Configuration Manager i w razie potrzeby zablokować ich użycie. Baza danych lokacji nie przechowuje jednak tokenów rejestracji zbiorczej.

Przeglądanie tokenu rejestracji zbiorczej

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja.

  2. Rozwiń węzeł Zabezpieczenia i wybierz węzeł Certyfikaty . Konsola wyświetla listę wszystkich certyfikatów związanych z witryną i tokenów rejestracji zbiorczej w okienku szczegółów.

  3. Wybierz token rejestracji zbiorczej do przejrzenia.

Możesz filtrować lub sortować w kolumnie Typ . Identyfikowanie określonych tokenów rejestracji zbiorczej na podstawie ich identyfikatora GUID. Podczas tworzenia tokenu rejestracji zbiorczej narzędzie wyświetla identyfikator GUID.

Blokowanie tokenu rejestracji zbiorczej

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja.

  2. Rozwiń węzeł Zabezpieczenia, wybierz węzeł Certyfikaty i wybierz token rejestracji zbiorczej do zablokowania.

  3. Na karcie Narzędzia główne na pasku wstążki lub w menu kontekstowym kliknij prawym przyciskiem myszy pozycję Blokuj. Aby odblokować wcześniej zablokowane tokeny rejestracji zbiorczej, wybierz akcję Odblokuj .

Odnawianie tokenu

Klient odnawia swój unikatowy token wystawiony Configuration Manager raz w miesiącu i jest ważny przez 90 dni. Klient nie musi łączyć się z siecią wewnętrzną w celu odnowienia tokenu. Dopóki token jest nadal prawidłowy, wystarczy nawiązać połączenie z lokacją przy użyciu cmg. Jeśli token nie zostanie odnowiony w ciągu 90 dni, klient musi bezpośrednio połączyć się z punktem zarządzania w sieci wewnętrznej, aby otrzymać nowy token.

Nie można odnowić tokenu rejestracji zbiorczej. Po wygaśnięciu tokenu rejestracji zbiorczej wygeneruj nowy na potrzeby rejestracji urządzeń internetowych przy użyciu usługi CMG.

Zobacz też