Autenticação baseada em token para gateway de gestão de nuvens

Aplica-se a: Configuration Manager (ramo atual)

O gateway de gestão de nuvem (CMG) suporta muitos tipos de clientes, mas mesmo com HTTP Melhorado,estes clientes requerem um certificado de autenticação do cliente. Este requisito de certificado pode ser desafiante para a oferta de clientes baseados na Internet que muitas vezes não se ligam à rede interna, não são capazes de aderir a Azure Ative Directory (Azure AD), e não têm um método para instalar um certificado emitido por PKI.

Para superar estes desafios, o Configuration Manager alarga o suporte ao dispositivo, emitindo os seus próprios tokens de autenticação para dispositivos. Para tirar o máximo partido desta funcionalidade, depois de atualizar o site, também atualize os clientes para a versão mais recente. O cenário completo não é funcional até que a versão do cliente seja também a mais recente. Se necessário, certifique-se de promover a nova versão do cliente para a produção.

Os clientes inicialmente registam-se para estes tokens utilizando um dos dois métodos seguintes:

• Rede interna

• Registo a granel

O cliente Do Gestor de Configuração juntamente com o ponto de gestão gerem este token, por isso não há dependência da versão OS. Esta funcionalidade está disponível para qualquer versão de SO do cliente suportado.

Nota

Estes métodos suportam apenas cenários de gestão centrados no dispositivo.

A Microsoft recomenda a junção de dispositivos ao Azure AD. Os dispositivos baseados na Internet podem usar o AZure AD para autenticar com o Gestor de Configuração. Também permite cenários tanto do dispositivo como do utilizador, quer o dispositivo esteja na internet ou ligado à rede interna. Para mais informações, consulte instalar e registar o cliente utilizando a identidade AZure AD.

Certifique-se de que os clientes utilizam uma porta de entrada de gestão de nuvem no grupo de serviços Cloud de configurações de clientes. Mesmo com um token do site, os clientes não podem comunicar com um CMG se as configurações do cliente não o permitirem. Para obter mais informações, consulte sobre as definições do cliente: Serviços cloud.

Registo interno da rede

Este método requer que o cliente se registe primeiro com o ponto de gestão na rede interna. O registo do cliente normalmente acontece logo após a instalação. O ponto de gestão dá ao cliente um símbolo único que mostra que está a usar um certificado auto-assinado. Quando o cliente vagueia pela internet, para comunicar com a CMG, emparelha o seu certificado auto-assinado com o sinal de ponto de gestão emitido.

O site permite este comportamento por defeito.

Nota

Com um ponto de gestão HTTPS, o cliente precisa primeiro de se registar independentemente do ponto de gestão internet/intranet. O cliente precisa de apresentar um certificado emitido por PKI válido, um token AD Azure ou um sinal de registo a granel.

Ficha de registo a granel

Se não conseguir instalar e registar clientes na rede interna, crie um token de registo a granel. Utilize este token quando o cliente instala num dispositivo baseado na Internet e regista-se através da CMG. O sinal de registo a granel tem um curto período de validade, e não está armazenado no cliente ou no site. Permite ao cliente gerar um token único, que emparelhado com o seu certificado auto-assinado, permite-lhe autenticar com o CMG.

Nota

Não confunda fichas de registo a granel com aquelas que o Gestor de Configuração emite a clientes individuais. O sinal de registo a granel permite ao cliente inicialmente instalar e comunicar com o site. Esta comunicação inicial é suficientemente longa para que o site emita o seu próprio e único símbolo de autenticação do cliente. Em seguida, o cliente usa o seu símbolo de autenticação para toda a comunicação com o site enquanto está na internet. Além do registo inicial, o cliente não utiliza nem armazena o token de registo a granel.

Para criar um token de registo a granel para utilização durante a instalação do cliente em dispositivos baseados na Internet, complete as seguintes ações:

1. Inscreva-se no servidor de site de alto nível na hierarquia com privilégios de administrador local.

2. Abra uma linha de comandos como administrador.

3. Executar a ferramenta a partir da \bin\X64 pasta do diretório de instalação do Gestor de Configuração no servidor do site: BulkRegistrationTokenTool.exe . Crie um novo símbolo com o /new parâmetro. Por exemplo, BulkRegistrationTokenTool.exe /new. Para obter mais informações, consulte a utilização da ferramenta simbólica de registo a granel.

4. Copie o símbolo e guarde-o num local seguro.

5. Instale o cliente Gestor de Configuração num dispositivo baseado na Internet. Incluir o parâmetro de instalação do cliente: /regtoken. A linha de comando de exemplo a seguir inclui os outros parâmetros e propriedades de configuração necessários:

   ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

   Dica

   Para obter mais informações sobre esta linha de comando, consulte instalar e registar o cliente utilizando a identidade AD da Azure. Este processo é semelhante, apenas não usa as propriedades AD Azure.

Para verificar, reveja o seguinte ficheiro de registo para uma entrada semelhante:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Para resolver problemas de instalação, reveja %WinDir%\ccmsetup\logs\ccmsetup.log o cliente. Após a instalação, reveja %WinDir%\ccm\logs\ClientIDManagerStartup.log .

No servidor, reveja os seguintes registos:

• Registos CMG
• Ponto de gestão
  • CCM_STS.log
  • MP_RegistrationManager.log
  • ClientAuth.log

Problemas conhecidos

Aplica-se à versão 2002

Não é possível criar um sinal de registo em massa num site que tenha um servidor de site em modo passivo.

Utilização da ferramenta simbólica de registo a granel

A BulkRegistrationTokenTool.exe ferramenta está na pasta do \bin\X64 diretório de instalação do Gestor de Configuração no servidor do site. Inscreva-se no servidor do site e execute-o como administrador. Suporta os seguintes parâmetros de linha de comando:

• /?
• /new
• /lifetime

/?

Exiba esta informação de utilização.

Exemplo: BulkRegistrationTokenTool.exe /?

/novo

Criar um novo símbolo de registo a granel.

Exemplo: BulkRegistrationTokenTool.exe /new

A ferramenta apresenta as seguintes informações:

• Um GUID que o site usa para rastrear fichas emitidas
• O período de validade do símbolo, que é de três dias por defeito.
• O sinal de registo em massa.

O símbolo não está guardado no cliente ou no site. Certifique-se de copiar o sinal da solicitação de comando e armazenar num local seguro.

/vida útil

Utilize com /new parâmetro para especificar o período de validade do token do token. Especifique um valor inteiro em minutos. O valor predefinido é de 4.320 (três dias). O valor máximo é de 10.080 (sete dias).

Exemplo: BulkRegistrationTokenTool.exe /lifetime 4320

Gestão de fichas de registo a granel

Pode ver fichas de registo a granel previamente criadas e as suas vidas na consola Do Gestor de Configuração e bloquear a sua utilização se necessário. A base de dados do site não armazena, no entanto, fichas de registo a granel.

Reveja um sinal de registo a granel

1. Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração.

2. Expandir segurança, e selecione o nó certificados. A consola lista todos os certificados relacionados com o site e fichas de registo em massa no painel de detalhes.

3. Selecione o sinal de registo em massa para rever.

Pode filtrar ou ordenar na coluna Tipo. Identifique fichas específicas de registo a granel com base no seu GUID. Quando cria um sinal de registo a granel, a ferramenta exibe o GUID.

Bloqueie um sinal de registo a granel

1. Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração.

2. Expandir segurança, selecione o nó certificados e selecione o token de registo a granel para bloquear.

3. No separador 'Casa' da barra de fita ou no menu de contexto de clique à direita, selecione Bloco. Para desbloquear fichas de registo a granel previamente bloqueadas, selecione a ação Desbloqueio.

Renovação simbólica

O cliente renova o seu token único, o Gestor de Configuração emitido uma vez por mês, e é válido por 90 dias. Um cliente não precisa de se ligar à rede interna para renovar o seu símbolo. Enquanto o token ainda for válido, a ligação ao site utilizando um CMG é suficiente. Se o token não for renovado no prazo de 90 dias, o cliente deve ligar-se diretamente a um ponto de gestão de uma rede interna para receber um novo token.

Não pode renovar um sinal de registo em massa. Uma vez expirado um sinal de registo a granel, gere um novo para o registo do dispositivo baseado na Internet utilizando um CMG.

Ver também

• Visão geral do gateway de gestão de nuvens

• Instale e atribua o Gestor de Configuração Windows 10 clientes que utilizem a Azure AD para autenticação