Проверка подлинности клиента CMG
Относится к Configuration Manager (Current Branch)
Клиенты, которые подключаются к шлюзу управления облаком (CMG), потенциально находятся в ненадежном общедоступном Интернете. Из-за происхождения клиента для них требуется более высокий уровень проверки подлинности. Существует три варианта идентификации и проверки подлинности с помощью шлюза управления облачными клиентами:
- Microsoft Entra ID
- PKI-сертификаты
- Configuration Manager маркеры, выданные сайтом
В следующей таблице перечислены ключевые факторы для каждого метода.
| Microsoft Entra ID | PKI-сертификат | Токен сайта | |
|---|---|---|---|
| Версия ConfigMgr | Все поддерживаемые | Все поддерживаемые | Все поддерживаемые |
| Версия клиента Windows | Windows 10 или более поздней версии | Все поддерживаемые | Все поддерживаемые |
| Поддержка сценариев | Пользователь и устройство | Только устройство | Только устройство |
| Точка управления | E-HTTP или HTTPS | E-HTTP или HTTPS | E-HTTP или HTTPS |
Корпорация Майкрософт рекомендует присоединять устройства к идентификатору Microsoft Entra. Интернет-устройства могут использовать Microsoft Entra современную проверку подлинности с Configuration Manager. Он также позволяет использовать сценарии как устройства, так и пользователей независимо от того, подключено ли устройство к Интернету или подключено к внутренней сети.
Можно использовать один или несколько методов. Все клиенты не должны использовать один и тот же метод.
Какой бы способ вы ни выбрали, вам также может потребоваться перенастроить одну или несколько точек управления. Дополнительные сведения см. в разделе Настройка проверки подлинности клиента для CMG.
Microsoft Entra ID
Если ваши интернет-устройства работают Windows 10 или более поздней версии, рассмотрите возможность использования Microsoft Entra современной проверки подлинности с CMG. Этот метод проверки подлинности является единственным, который позволяет использовать сценарии, ориентированные на пользователя. Например, развертывание приложений в коллекции пользователей.
Во-первых, устройства должны быть присоединены к облачному домену или Microsoft Entra гибридного присоединения, а пользователю также требуется Microsoft Entra удостоверение. Если в вашей организации уже используются Microsoft Entra удостоверения, необходимо настроить это условие. В противном случае обратитесь к администратору Azure, чтобы спланировать облачные удостоверения. Дополнительные сведения см. в разделе Microsoft Entra удостоверения устройства. До завершения этого процесса рассмотрите возможность проверки подлинности на основе маркеров для интернет-клиентов с помощью шлюза управления облачными клиентами.
Существует несколько других требований, в зависимости от вашей среды:
- Включение методов обнаружения пользователей для гибридных удостоверений
- Включение ASP.NET 4.5 в точке управления
- Настройка параметров клиента
Дополнительные сведения об этих предварительных требованиях см. в статье Установка клиентов с помощью идентификатора Microsoft Entra.
Примечание.
Если ваши устройства находятся в клиенте Microsoft Entra, который отделен от клиента с подпиской на вычислительные ресурсы CMG, начиная с версии 2010 можно отключить проверку подлинности для клиентов, не связанных с пользователями и устройствами. Дополнительные сведения см. в статье Настройка служб Azure.
PKI-сертификат
Если у вас есть инфраструктура открытых ключей (PKI), которая может выдавать сертификаты проверки подлинности клиента устройствам, рассмотрите этот метод проверки подлинности для интернет-устройств с помощью шлюза управления облачными клиентами. Он не поддерживает сценарии, ориентированные на пользователей, но поддерживает устройства под управлением любой поддерживаемой версии Windows.
Совет
Устройствам Windows, присоединенным к гибридному или облачному домену, этот сертификат не требуется, так как они используют идентификатор Microsoft Entra для проверки подлинности.
Этот сертификат также может потребоваться в точке подключения шлюза управления облачными клиентами.
Токен сайта
Если вы не можете присоединить устройства к Microsoft Entra идентификатору или использовать PKI-сертификаты проверки подлинности клиента, используйте проверку подлинности на основе маркера Configuration Manager. Маркеры проверки подлинности клиента, выданные сайтом, работают во всех поддерживаемых версиях клиентских ОС, но поддерживают только сценарии устройств.
Если клиенты иногда подключаются к внутренней сети, им автоматически выдается маркер. Они должны взаимодействовать напрямую с локальной точкой управления, чтобы зарегистрироваться на сайте и получить этот маркер клиента.
Если не удается зарегистрировать клиенты во внутренней сети, можно создать и развернуть маркер массовой регистрации. Маркер массовой регистрации позволяет клиенту изначально установить сайт и взаимодействовать с ним. Этот первоначальный обмен данными достаточно длинный, чтобы сайт выдаст клиенту собственный уникальный маркер проверки подлинности клиента. Затем клиент использует свой маркер проверки подлинности для всего взаимодействия с сайтом, когда он находится в Интернете.
Дальнейшие действия
Затем разработайте, как использовать CMG в иерархии: