Compartilhar via


Autenticação de cliente CMG

Aplica-se a: Configuration Manager (branch atual)

Os clientes que se conectam a um CMG (gateway de gerenciamento de nuvem) estão potencialmente na internet pública não confiável. Devido à origem do cliente, eles têm um requisito de autenticação mais alto. Há três opções para identidade e autenticação com um CMG:

  • Microsoft Entra ID
  • Certificados PKI
  • Configuration Manager tokens emitidos pelo site

A tabela a seguir resume os principais fatores para cada método:

Microsoft Entra ID Certificado PKI Token de site
Versão ConfigMgr Todos com suporte Todos com suporte Todos com suporte
Versão do cliente do Windows Windows 10 ou posterior Todos com suporte Todos com suporte
Suporte ao cenário Usuário e dispositivo Somente dispositivo Somente dispositivo
Ponto de gerenciamento E-HTTP ou HTTPS E-HTTP ou HTTPS E-HTTP ou HTTPS

A Microsoft recomenda unir dispositivos para Microsoft Entra ID. Dispositivos baseados na Internet podem usar Microsoft Entra autenticação moderna com Configuration Manager. Ele também permite cenários de dispositivo e usuário se o dispositivo está na Internet ou conectado à rede interna.

Você pode usar um ou mais métodos. Todos os clientes não precisam usar o mesmo método.

Qual método você escolher, talvez você também precise reconfigurar um ou mais pontos de gerenciamento. Para obter mais informações, consulte Configurar a autenticação do cliente para CMG.

Microsoft Entra ID

Se seus dispositivos baseados na Internet estiverem executando Windows 10 ou posteriores, considere usar Microsoft Entra autenticação moderna com o CMG. Esse método de autenticação é o único que permite cenários centrados no usuário. Por exemplo, implantar aplicativos em uma coleção de usuários.

Primeiro, os dispositivos precisam ser ingressados no domínio de nuvem ou Microsoft Entra híbridos ingressados, e o usuário também precisa de uma identidade Microsoft Entra. Se sua organização já estiver usando Microsoft Entra identidades, você deverá ser definido com esse pré-requisito. Caso contrário, converse com o administrador do Azure para planejar identidades baseadas em nuvem. Para obter mais informações, consulte Microsoft Entra identidade do dispositivo. Até que esse processo seja concluído, considere a autenticação baseada em token para clientes baseados na Internet com seu CMG.

Há alguns outros requisitos, dependendo do seu ambiente:

  • Habilitar métodos de descoberta de usuário para identidades híbridas
  • Habilitar ASP.NET 4.5 no ponto de gerenciamento
  • Definir configurações do cliente

Para obter mais informações sobre esses pré-requisitos, consulte Instalar clientes usando Microsoft Entra ID.

Observação

Se seus dispositivos estiverem em um locatário Microsoft Entra separado do locatário com uma assinatura para os recursos de computação CMG, a partir da versão 2010, você poderá desabilitar a autenticação para locatários não associados a usuários e dispositivos. Para obter mais informações, consulte Configurar serviços do Azure.

Certificado PKI

Se você tiver uma PKI (infraestrutura de chave pública) que possa emitir certificados de autenticação do cliente para dispositivos, considere esse método de autenticação para dispositivos baseados na Internet com seu CMG. Ele não dá suporte a cenários centrados no usuário, mas dá suporte a dispositivos que executam qualquer versão com suporte do Windows.

Dica

Dispositivos Windows que são híbridos ou ingressados no domínio de nuvem não exigem esse certificado porque usam Microsoft Entra ID para autenticar.

Esse certificado também pode ser necessário no ponto de conexão CMG.

Token de site

Se você não puder unir dispositivos para Microsoft Entra ID ou usar certificados de autenticação de cliente PKI, use Configuration Manager autenticação baseada em token. Os tokens de autenticação de cliente emitidos pelo site funcionam em todas as versões de sistema operacional cliente com suporte, mas só dão suporte a cenários de dispositivo.

Se os clientes ocasionalmente se conectarem à sua rede interna, eles serão emitidos automaticamente em um token. Eles precisam se comunicar diretamente com um ponto de gerenciamento local para se registrar no site e obter esse token de cliente.

Se você não conseguir registrar clientes na rede interna, poderá criar e implantar um token de registro em massa. O token de registro em massa permite que o cliente instale e se comunique inicialmente com o site. Essa comunicação inicial é longa o suficiente para o site emitir ao cliente seu próprio token de autenticação de cliente exclusivo. Em seguida, o cliente usa seu token de autenticação para toda a comunicação com o site enquanto ele está na Internet.

Próximas etapas

Em seguida, projete como usar um CMG em sua hierarquia: