Microsoft Entra fluxo de trabalho de autenticação

Aplica-se a: Configuration Manager (branch atual)

Este artigo é uma referência técnica para o processo de instalação e registro do cliente Configuration Manager em um dispositivo Windows que está ingressado no Microsoft Entra ID. Ele detalha o processo de fluxo de trabalho para a autenticação do dispositivo.

Observação

Os clientes windows recebem um certificado WPJ (ingresso no local de trabalho) quando ingressarem em um locatário Microsoft Entra. Se o certificado não for encontrado, o Configuration Manager cliente não poderá solicitar tokens Microsoft Entra. Sem um token, o cliente não pode usar o canal de comunicação Configuration Manager serviço de token de segurança (CCM_STS) para autenticação Microsoft Entra com Configuration Manager sistemas de site.

Instalação do cliente

Neste exemplo de fluxo de trabalho, você instalou o cliente Configuration Manager em um dispositivo Windows pela Internet com as seguintes propriedades da linha de comando ccmsetup:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

Diagrama de fluxo de trabalho do CcmSetup com autenticação Microsoft Entra

1. Microsoft Entra solicitação de informações do ccmsetup

Os clientes instalados na Internet precisam de propriedades específicas da linha de comando para usar Microsoft Entra autenticação. Você pode incluir essas propriedades na linha de comando para o ccmsetup da Internet, mas elas não são necessárias. Quando você não usa Microsoft Entra propriedades, o ccmsetup solicita as AADCLIENTAPPID propriedades e AADRESOURCEURI do CMG (gateway de gerenciamento de nuvem). Ele usa o tenantID Microsoft Entra do dispositivo como referência. Se você não integrou o TenantID do cliente no Configuration Manager, o CMG não fornecerá as propriedades necessárias ao ccmsetup para continuar a instalação do cliente.

As seguintes entradas são registradas em ccmsetup.log do cliente:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Importante

Durante o ccmsetup, o dispositivo precisa validar o certificado de autenticação do servidor CMG. O certificado de autoridade de certificado raiz (AC) para o certificado de autenticação do servidor CMG precisa estar disponível no cliente para a validação da cadeia. Se você usar o PKI, quando a AC raiz não for publicada na Internet, adicione o certificado de AC raiz ao repositório de CAs raiz do dispositivo.

Se a CRL (lista de revogação de certificado de AC raiz) não for publicada na Internet, adicione o /nocrlcheck parâmetro na linha de comando ccmsetup.

2. Microsoft Entra solicitação de token

Em um dispositivo ingressado no domínio do Windows Azure AD, o ccmsetup usa as propriedades Microsoft Entra para solicitar um token Microsoft Entra chamando o provedor ADALOperation. As seguintes entradas são registradas em ccmsetup.log no cliente:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Se a solicitação de token de dispositivo falhar, o ccmsetup retornará para tentar solicitar um token de usuário Microsoft Entra. Se o dispositivo não conseguir obter um Microsoft Entra dispositivo ou token de usuário, o ccmsetup não continuará.

Observação

Se o dispositivo tiver um certificado de autenticação de cliente PKI válido, o ccmsetup sempre preferirá o certificado. Nesse caso, o cliente é instalado como um cliente PKI e não usa Microsoft Entra autenticação.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Configuration Manager solicitação de token de cliente

O cliente usa o token Microsoft Entra para solicitar o token CCM (cliente Configuration Manager). A comunicação operacional entre ccmsetup e o site usa o token CCM como token de autorização (CcmTokenAuth=1).

Cliente 3.1 envia solicitação de token CCM para CMG

As seguintes entradas são registradas em ccmsetup.log no cliente:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 CMG encaminha para o ponto de conexão CMG

As entradas a seguir são registradas no CMGService.log na instância da VM CMG.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

Dica

Configuration Manager sincroniza a pasta CMGService.log para a pasta logs do servidor do site a cada cinco minutos como CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log.

Ponto de conexão 3.3 CMG transforma solicitação de cliente CMG em solicitação de cliente de ponto de gerenciamento

As entradas a seguir são registradas em SMS_CLOUD_PROXYCONNECTOR.log (modo verboso) do sistema de sites que hospeda a função de ponto de conexão CMG:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 Ponto de gerenciamento verifica token de usuário no banco de dados do site

As entradas a seguir são registradas no CCM_STS.log do sistema de sites que hospeda o ponto de gerenciamento que manipula a solicitação do cliente:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. Solicitação de local de conteúdo

Depois que o cliente obtém o token CCM, ele armazena em cache e o usa para solicitar informações do site e o local do conteúdo do ccmsetup.cab. Depois que o dispositivo baixa o conteúdo do cliente, ele inicia a instalação. As seguintes entradas são registradas em ccmsetup.log no cliente:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Observação

Se o cliente encontrar o conteúdo de um CMG habilitado para conteúdo, o ccmsetup baixará o conteúdo do armazenamento na nuvem. Se a versão mais recente do cliente não estiver disponível na nuvem, ela baixará o conteúdo do ponto de gerenciamento por meio de uma solicitação CMG.

Registro do cliente

Diagrama de fluxo de trabalho do registro do cliente com autenticação Microsoft Entra

1. Configuration Manager registro de solicitação de cliente

Depois que o ccmsetup instala com êxito o cliente Configuration Manager, o registro é inicializado. As entradas a seguir são registradas no ClientIDManagerStartup.log do cliente:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. Configuration Manager solicita Microsoft Entra token para registrar cliente

O cliente solicita um novo token Microsoft Entra para se registrar usando Microsoft Entra autenticação. Ele prefere um token de dispositivo, mas se ele não estiver disponível, o cliente retornará para solicitar um token de usuário Microsoft Entra. As entradas a seguir são registradas no ADALOperationProvider.log do cliente:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Solicitação de registro

O componente de registro no ponto de gerenciamento manipula o processo de registro do cliente. O cliente envia uma mensagem de registro para o ponto de extremidade MP_ClientRegistration .

3.1 CMG encaminha a solicitação de registro do cliente para o ponto de gerenciamento

As entradas a seguir são registradas no MP_RegistrationManager.log do sistema de sites que hospeda o ponto de gerenciamento que manipula a solicitação do cliente:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager cliente está registrado

Se o registro for bem-sucedido, o cliente receberá uma mensagem de confirmação de registro com a Aprovação 3 para Microsoft Entra registro baseado em ID. As entradas a seguir são registradas no ClientIDManagerStartup.log do cliente:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. Configuration Manager solicitação de token de cliente

Depois que o servidor confirma o registro do cliente, o cliente processa a mensagem de resposta. Em seguida, o cliente solicita e armazena em cache um novo token CCM. As entradas a seguir são registradas no ClientIDManagerStartup.log do cliente:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG obtém e encaminha CCM_Token solicitação ao ponto de conexão CMG

As entradas a seguir são registradas no CMGService.log da VM CMG e no sistema de site que hospeda a função de ponto de conexão CMG:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

Ponto de conexão 4.2 CMG transforma solicitação de cliente CMG em solicitação de cliente ponto de gerenciamento

As entradas a seguir são registradas em SMS_CLOUD_PROXYCONNECTOR.log do sistema de sites que hospeda a função de ponto de conexão CMG:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 Ponto de gerenciamento verifica token de usuário no banco de dados do site

As entradas a seguir são registradas no CCM_STS.log do sistema de sites que hospeda o ponto de gerenciamento que manipula a solicitação do cliente:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

O servidor retorna o token CCM ao cliente para o restante da comunicação cliente a site.

Observação

Durante o registro do cliente, a validação de certificado sempre é executada. Esse processo acontece mesmo se você estiver usando o método de autenticação Microsoft Entra para registrar o cliente. Esse comportamento é uma opção de fallback, caso Microsoft Entra autenticação não tenha êxito.

Renovação do token CCM

O token CCM tem um tempo de vida de oito horas. Quando o cliente detecta que o token CCM expirou ou está próximo da expiração, ele envia uma nova solicitação de token CCM. O componente CcmMessaging manipula esse processo de renovação. As entradas a seguir são registradas no CcmMessaging.log do cliente:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Problemas comuns

  • AC raiz não presente: os clientes precisam do certificado de AC raiz para validar o certificado de autenticação do servidor CMG.

  • O CRL marcar está habilitado: Publique o CRL na Internet. Como alternativa, use o /NoCRLCheck parâmetro para ccmsetup. Você também pode desabilitar a seguinte opção: clientes marcar a CRL (lista de revogação de certificado) para sistemas de site. Localize essa configuração na guia Segurança de Comunicação das propriedades do site.

  • O certificado WPJ não foi encontrado: verifique se o dispositivo está Microsoft Entra ingressado. Use dsregcmd.exe. Por exemplo, dsregcmd /status e examine a seção Estado do Dispositivo .

Dica

A comunicação do cliente por meio de CMG, ponto de conexão CMG e ponto de gerenciamento é executada por HTTPS. Se você configurar o site para HTTP aprimorado, ainda poderá configurar o ponto de gerenciamento para HTTP.

  • O cliente verifica o certificado de autenticação do servidor CMG:

    • Certificado PKI: o cliente requer a AC raiz do certificado CMG em seu repositório local.
    • Certificado de terceiros: os clientes validam automaticamente um certificado com sua AC raiz publicada na Internet.
  • CMG, ponto de conexão CMG e ponto de gerenciamento validam Microsoft Entra tokens de ID e CCM.

  • A comunicação entre o ponto de conexão CMG e o ponto de gerenciamento também é protegida em ambas as extremidades:

    • O ponto de conexão CMG usa o certificado de auth do cliente.
    • O MP usa um certificado PKI para configuração HTTPS ou um certificado autoassinado para HTTP aprimorado.