Проверка подлинности на основе маркеров для шлюза управления облаком

  • Статья

Относится к Configuration Manager (Current Branch)

Шлюз управления облачными клиентами (CMG) поддерживает множество типов клиентов, но даже с расширенным протоколом HTTP для этих клиентов требуется сертификат проверки подлинности клиента. Это требование к сертификату может оказаться сложной задачей для интернет-клиентов, которые не часто подключаются к внутренней сети, не могут присоединиться к идентификатору Microsoft Entra и не имеют метода для установки сертификата, выданного PKI.

Чтобы преодолеть эти проблемы, Configuration Manager расширяет поддержку устройств, выдавая собственные маркеры проверки подлинности на устройства. Чтобы в полной мере воспользоваться этой функцией, после обновления сайта также обновите клиенты до последней версии. Полный сценарий не работает до тех пор, пока версия клиента не будет последней. При необходимости убедитесь, что вы повышаете уровень новой версии клиента до рабочей среды.

Клиенты изначально регистрируются для этих маркеров с помощью одного из следующих двух методов:

  • Внутренняя сеть

  • Массовая регистрация

Клиент Configuration Manager вместе с точкой управления управляют этим маркером, поэтому зависимость версии ОС отсутствует. Эта функция доступна для любой поддерживаемой версии клиентской ОС.

Примечание.

Эти методы поддерживают только сценарии управления, ориентированные на устройство.

Корпорация Майкрософт рекомендует присоединять устройства к идентификатору Microsoft Entra. Интернет-устройства могут использовать идентификатор Microsoft Entra для проверки подлинности с помощью Configuration Manager. Он также позволяет использовать сценарии как устройства, так и пользователей независимо от того, подключено ли устройство к Интернету или подключено к внутренней сети. Дополнительные сведения см. в статье Установка и регистрация клиента с помощью удостоверения Microsoft Entra.

Обязательно установите флажок Разрешить клиентам использовать шлюз управления облаком в группе параметров облачных служб . Даже с маркером сайта клиенты не могут взаимодействовать с CMG, если параметры клиента не разрешают это. Дополнительные сведения см. в разделе О параметрах клиента: Облачные службы.

Регистрация внутренней сети

Этот метод требует, чтобы клиент сначала зарегистрировал точку управления во внутренней сети. Регистрация клиента обычно происходит сразу после установки. Точка управления предоставляет клиенту уникальный маркер, который показывает, что он использует самозаверяющий сертификат. Когда клиент перемещается в Интернет, для связи с CMG он связывает свой самозаверяющий сертификат с маркером, выданным точкой управления.

Сайт включает это поведение по умолчанию.

Примечание.

В точке управления HTTPS клиент должен сначала зарегистрироваться независимо от точки управления Интернет или интрасети. Клиенту необходимо предоставить действительный сертификат, выданный PKI, маркер Microsoft Entra или маркер массовой регистрации.

Маркер массовой регистрации

Если не удается установить и зарегистрировать клиенты во внутренней сети, создайте маркер массовой регистрации. Используйте этот маркер, когда клиент устанавливается на интернет-устройстве и регистрируется через CMG. Маркер массовой регистрации имеет короткий срок действия и не хранится в клиенте или на сайте. Это позволяет клиенту создать уникальный маркер, который в сочетании с самозаверяющий сертификат позволяет ему проходить проверку подлинности с помощью CMG.

Примечание.

Не путайте маркеры массовой регистрации с маркерами, которые Configuration Manager проблемы для отдельных клиентов. Маркер массовой регистрации позволяет клиенту изначально установить сайт и взаимодействовать с ним. Этот первоначальный обмен данными достаточно длинный, чтобы сайт выдаст клиенту собственный уникальный маркер проверки подлинности клиента. Затем клиент использует свой маркер проверки подлинности для всего взаимодействия с сайтом, когда он находится в Интернете. Помимо начальной регистрации клиент не использует и не сохраняет маркер массовой регистрации.

Чтобы создать маркер массовой регистрации для использования во время установки клиента на интернет-устройствах, выполните следующие действия:

  1. Войдите на сервер сайта верхнего уровня в иерархии с правами локального администратора.

  2. Откройте окно командной строки c правами администратора.

  3. Запустите средство из \bin\X64 папки каталога установки Configuration Manager на сервере сайта: BulkRegistrationTokenTool.exe. Создайте новый маркер с параметром /new . Например, BulkRegistrationTokenTool.exe /new. Дополнительные сведения см. в разделе Использование средства массовой регистрации маркеров.

  4. Скопируйте маркер и сохраните его в безопасном расположении.

  5. Установите клиент Configuration Manager на интернет-устройстве. Включите параметр установки клиента: /regtoken. В следующем примере командной строки содержатся другие необходимые параметры и свойства установки.

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Совет

    Дополнительные сведения об этой командной строке см. в статье Установка и регистрация клиента с помощью Microsoft Entra удостоверения. Этот процесс аналогичен, просто не использует свойства Microsoft Entra.

Чтобы проверить это, просмотрите следующий файл журнала для аналогичной записи:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Чтобы устранить неполадки с установкой, проверьте %WinDir%\ccmsetup\logs\ccmsetup.log на клиенте. После установки просмотрите .%WinDir%\ccm\logs\ClientIDManagerStartup.log

На сервере просмотрите следующие журналы:

  • Журналы CMG
  • Точка управления
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Использование средства массовой регистрации маркеров

Средство BulkRegistrationTokenTool.exe находится в папке \bin\X64 каталога установки Configuration Manager на сервере сайта. Войдите на сервер сайта и запустите его от имени администратора. Он поддерживает следующие параметры командной строки:

  • /?
  • /new
  • /lifetime

/?

Отображение этих сведений об использовании.

Пример: BulkRegistrationTokenTool.exe /?

/new

Создайте новый маркер массовой регистрации.

Пример: BulkRegistrationTokenTool.exe /new

Средство отображает следующие сведения:

  • GUID, который сайт использует для отслеживания выданных маркеров.
  • Срок действия маркера, который по умолчанию составляет три дня.
  • Маркер массовой регистрации.

Маркер не хранится на клиенте или на сайте. Обязательно скопируйте маркер из командной строки и сохраните его в безопасном расположении.

/lifetime

Используйте параметр с /new параметром , чтобы указать срок действия маркера. Укажите целочисленное значение в минутах. Значение по умолчанию — 4320 (три дня). Максимальное значение — 10 080 (семь дней).

Пример: BulkRegistrationTokenTool.exe /lifetime 4320

Управление маркерами массовой регистрации

Вы можете просмотреть созданные ранее маркеры массовой регистрации и их время существования в консоли Configuration Manager и при необходимости заблокировать их использование. Однако в базе данных сайта не хранятся маркеры массовой регистрации.

Проверка маркера массовой регистрации

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование.

  2. Разверните узел Безопасность и выберите узел Сертификаты . В консоли перечислены все сертификаты, связанные с сайтом, и маркеры массовой регистрации в области сведений.

  3. Выберите маркер массовой регистрации для проверки.

Вы можете фильтровать или сортировать по столбцу Тип . Определите конкретные маркеры массовой регистрации на основе их GUID. При создании маркера массовой регистрации средство отображает GUID.

Блокировка маркера массовой регистрации

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование.

  2. Разверните узел Безопасность, выберите узел Сертификаты и маркер массовой регистрации для блокировки.

  3. На вкладке Главная на панели ленты или контекстном меню щелкните пункт Блокировать. Чтобы разблокировать ранее заблокированные маркеры массовой регистрации, выберите действие Разблокировать .

Продление маркера

Клиент обновляет свой уникальный маркер, выданный Configuration Manager раз в месяц, и он действителен в течение 90 дней. Клиенту не нужно подключаться к внутренней сети для обновления маркера. Пока маркер по-прежнему действителен, достаточно подключиться к сайту с помощью шлюза управления облачными клиентами. Если маркер не продлевается в течение 90 дней, клиент должен напрямую подключиться к точке управления во внутренней сети, чтобы получить новый маркер.

Вы не можете продлить маркер массовой регистрации. После истечения срока действия маркера массовой регистрации создайте новый для регистрации устройств через Интернет с помощью CMG.

См. также