Autenticação baseada em token para gateway de gerenciamento de nuvem

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

O CMG (gateway de gerenciamento de nuvem) dá suporte a muitos tipos de clientes, mas mesmo com HTTP aprimorado, esses clientes exigem um certificado de autenticação do cliente. Esse requisito de certificado pode ser desafiador para provisionar clientes baseados na Internet que não se conectam com frequência à rede interna, não podem ingressar Microsoft Entra ID e não têm um método para instalar um certificado emitido por PKI.

Para superar esses desafios, Configuration Manager estende o suporte ao dispositivo emitindo seus próprios tokens de autenticação para dispositivos. Para aproveitar ao máximo esse recurso, depois de atualizar o site, atualize também os clientes para a versão mais recente. O cenário completo não é funcional até que a versão do cliente também seja a mais recente. Se necessário, promova a nova versão do cliente para produção.

Os clientes inicialmente se registram para esses tokens usando um dos dois métodos a seguir:

  • Rede interna

  • Registro em massa

O Configuration Manager cliente junto com o ponto de gerenciamento gerenciar esse token, portanto, não há dependência de versão do sistema operacional. Esse recurso está disponível para qualquer versão do sistema operacional cliente com suporte.

Observação

Esses métodos só dão suporte a cenários de gerenciamento centrados no dispositivo.

A Microsoft recomenda unir dispositivos para Microsoft Entra ID. Dispositivos baseados na Internet podem usar Microsoft Entra ID para autenticar com Configuration Manager. Ele também permite cenários de dispositivo e usuário se o dispositivo está na Internet ou conectado à rede interna. Para obter mais informações, consulte Instalar e registrar o cliente usando Microsoft Entra identidade.

Certifique-se de permitir que os clientes usem um gateway de gerenciamento de nuvem no grupo de configurações de cliente dos serviços de nuvem . Mesmo com um token de site, os clientes não poderão se comunicar com um CMG se as configurações do cliente não permitirem. Para obter mais informações, confira Sobre as configurações do cliente: serviços de nuvem.

Registro de rede interno

Esse método exige que o cliente primeiro se registre com o ponto de gerenciamento na rede interna. Normalmente, o registro do cliente ocorre logo após a instalação. O ponto de gerenciamento fornece ao cliente um token exclusivo que mostra que ele está usando um certificado autoassinado. Quando o cliente percorre a Internet, para se comunicar com o CMG, ele emparelha seu certificado autoassinado com o token emitido por ponto de gerenciamento.

O site habilita esse comportamento por padrão.

Observação

Com um ponto de gerenciamento HTTPS, o cliente precisa primeiro se registrar independentemente do ponto de gerenciamento de internet/intranet. O cliente precisa apresentar um certificado emitido por PKI válido, um token Microsoft Entra ou um token de registro em massa.

Token de registro em massa

Se você não puder instalar e registrar clientes na rede interna, crie um token de registro em massa. Use esse token quando o cliente for instalado em um dispositivo baseado na Internet e se registrar por meio do CMG. O token de registro em massa tem um período de validade curta e não é armazenado no cliente ou no site. Ele permite que o cliente gere um token exclusivo, que emparelhado com seu certificado autoassinado, permite que ele se autentique com o CMG.

Observação

Não confunda tokens de registro em massa com aqueles que Configuration Manager problemas para clientes individuais. O token de registro em massa permite que o cliente instale e se comunique inicialmente com o site. Essa comunicação inicial é longa o suficiente para o site emitir ao cliente seu próprio token de autenticação de cliente exclusivo. Em seguida, o cliente usa seu token de autenticação para toda a comunicação com o site enquanto ele está na Internet. Além do registro inicial, o cliente não usa nem armazena o token de registro em massa.

Para criar um token de registro em massa para uso durante a instalação do cliente em dispositivos baseados na Internet, conclua as seguintes ações:

  1. Entre no servidor de site de nível superior na hierarquia com privilégios de administrador local.

  2. Abra um prompt de comando como administrador.

  3. Execute a ferramenta na \bin\X64 pasta do diretório de instalação Configuration Manager no servidor do site: BulkRegistrationTokenTool.exe. Crie um novo token com o /new parâmetro. Por exemplo, BulkRegistrationTokenTool.exe /new. Para obter mais informações, consulte Uso da ferramenta de token de registro em massa.

  4. Copie o token e salve-o em um local seguro.

  5. Instale o cliente Configuration Manager em um dispositivo baseado na Internet. Inclua o parâmetro de instalação do cliente: /regtoken. A linha de comando de exemplo a seguir inclui os outros parâmetros e propriedades de instalação necessários:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Dica

    Para obter mais informações sobre essa linha de comando, consulte Instalar e registrar o cliente usando Microsoft Entra identidade. Esse processo é semelhante, apenas não usa as propriedades Microsoft Entra.

Para verificar, examine o seguinte arquivo de log para obter uma entrada semelhante:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Para solucionar problemas de instalação, examine %WinDir%\ccmsetup\logs\ccmsetup.log o cliente. Após a instalação, examine %WinDir%\ccm\logs\ClientIDManagerStartup.log.

No servidor, examine os seguintes logs:

  • Logs CMG
  • Ponto de gerenciamento
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Uso da ferramenta de token de registro em massa

A BulkRegistrationTokenTool.exe ferramenta está na \bin\X64 pasta do diretório de instalação Configuration Manager no servidor do site. Entre no servidor do site e execute-o como administrador. Ele dá suporte aos seguintes parâmetros de linha de comando:

  • /?
  • /new
  • /lifetime

/?

Exiba essas informações de uso.

Exemplo: BulkRegistrationTokenTool.exe /?

/new

Crie um novo token de registro em massa.

Exemplo: BulkRegistrationTokenTool.exe /new

A ferramenta exibe as seguintes informações:

  • Um GUID que o site usa para rastrear tokens emitidos
  • O período de validade do token, que é de três dias por padrão.
  • O token de registro em massa.

O token não é armazenado no cliente ou no site. Copie o token do prompt de comando e armazene em um local seguro.

/lifetime

Use com /new parâmetro para especificar o período de validade do token do token. Especifique um valor inteiro em minutos. O valor padrão é 4.320 (três dias). O valor máximo é de 10.080 (sete dias).

Exemplo: BulkRegistrationTokenTool.exe /lifetime 4320

Gerenciamento de token de registro em massa

Você pode ver tokens de registro em massa criados anteriormente e suas vidas no console Configuration Manager e bloquear seu uso, se necessário. No entanto, o banco de dados do site não armazena tokens de registro em massa.

Examinar um token de registro em massa

  1. No console Configuration Manager, acesse o workspace Administração.

  2. Expanda Segurança e selecione o nó Certificados . O console lista todos os certificados relacionados ao site e tokens de registro em massa no painel de detalhes.

  3. Selecione o token de registro em massa a ser revisado.

Você pode filtrar ou classificar na coluna Tipo . Identifique tokens de registro em massa específicos com base em seu GUID. Quando você cria um token de registro em massa, a ferramenta exibe o GUID.

Bloquear um token de registro em massa

  1. No console Configuration Manager, acesse o workspace Administração.

  2. Expanda Segurança, selecione o nó Certificados e selecione o token de registro em massa a ser bloqueado.

  3. Na guia Página Inicial da barra de opções ou no menu de contexto com o botão direito do mouse, selecione Bloquear. Para desbloquear tokens de registro em massa bloqueados anteriormente, selecione a ação Desbloquear .

Renovação de token

O cliente renova seu token exclusivo emitido por Configuration Manager uma vez por mês e é válido por 90 dias. Um cliente não precisa se conectar à rede interna para renovar seu token. Desde que o token ainda seja válido, conectar-se ao site usando um CMG é suficiente. Se o token não for renovado dentro de 90 dias, o cliente deverá se conectar diretamente a um ponto de gerenciamento em uma rede interna para receber um novo token.

Você não pode renovar um token de registro em massa. Depois que um token de registro em massa expirar, gere um novo para registro de dispositivo baseado na Internet usando um CMG.

Confira também