Tokenbaserad autentisering för molnhanteringsgateway

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Molnhanteringsgatewayen (CMG) stöder många typer av klienter, men även med förbättrad HTTP kräver dessa klienter ett klientautentiseringscertifikat. Det här certifikatkravet kan vara svårt att etablera på Internetbaserade klienter som inte ofta ansluter till det interna nätverket, inte kan ansluta Microsoft Entra-ID och inte har någon metod för att installera ett PKI-utfärdat certifikat.

För att lösa dessa utmaningar utökar Configuration Manager sitt enhetsstöd genom att utfärda egna autentiseringstoken till enheter. Om du vill dra full nytta av den här funktionen uppdaterar du även klienterna till den senaste versionen när du har uppdaterat webbplatsen. Det fullständiga scenariot fungerar inte förrän klientversionen också är den senaste. Om det behövs måste du flytta upp den nya klientversionen till produktion.

Klienter registrerar sig ursprungligen för dessa token med någon av följande två metoder:

  • Internt nätverk

  • Massregistrering

Den Configuration Manager klienten tillsammans med hanteringsplatsen hanterar denna token, så det finns inget beroende för operativsystemversion. Den här funktionen är tillgänglig för alla klientoperativsystemversioner som stöds.

Obs!

Dessa metoder stöder endast enhetscentrerade hanteringsscenarier.

Microsoft rekommenderar att du ansluter enheter till Microsoft Entra-ID. Internetbaserade enheter kan använda Microsoft Entra-ID för att autentisera med Configuration Manager. Det möjliggör även både enhets- och användarscenarier oavsett om enheten är på Internet eller ansluten till det interna nätverket. Mer information finns i Installera och registrera klienten med hjälp av Microsoft Entra identitet.

Se till att Aktivera klienter att använda en molnhanteringsgateway i gruppen Molntjänster med klientinställningar. Även med en platstoken kan klienter inte kommunicera med en CMG om klientinställningarna inte tillåter det. Mer information finns i Om klientinställningar: Molntjänster.

Intern nätverksregistrering

Den här metoden kräver att klienten först registrerar sig på hanteringsplatsen i det interna nätverket. Klientregistrering sker vanligtvis direkt efter installationen. Hanteringsplatsen ger klienten en unik token som visar att den använder ett självsignerat certifikat. När klienten strömmar till Internet, för att kommunicera med CMG:en, parkopplar den sitt självsignerade certifikat med den hanteringsplatsutfärdade token.

Webbplatsen aktiverar det här beteendet som standard.

Obs!

Med en HTTPS-hanteringsplats måste klienten först registrera sig oavsett hanteringsplats för Internet/intranät. Klienten måste presentera ett giltigt PKI-utfärdat certifikat, en Microsoft Entra-token eller en massregistreringstoken.

Massregistreringstoken

Om du inte kan installera och registrera klienter i det interna nätverket skapar du en massregistreringstoken. Använd den här token när klienten installeras på en Internetbaserad enhet och registreras via CMG. Massregistreringstoken har en kort giltighetsperiod och lagras inte på klienten eller platsen. Det gör att klienten kan generera en unik token, som paras ihop med sitt självsignerade certifikat, så att den kan autentisera med CMG:en.

Obs!

Blanda inte ihop massregistreringstoken med de som Configuration Manager problem för enskilda klienter. Med massregistreringstoken kan klienten först installera och kommunicera med platsen. Den här inledande kommunikationen är tillräckligt lång för att platsen ska kunna utfärda en egen unik klientautentiseringstoken. Klienten använder sedan sin autentiseringstoken för all kommunikation med platsen när den är på Internet. Utöver den första registreringen använder eller lagrar klienten inte massregistreringstoken.

Utför följande åtgärder för att skapa en massregistreringstoken för användning under klientinstallationen på Internetbaserade enheter:

  1. Logga in på platsservern på den översta nivån i hierarkin med lokal administratörsbehörighet.

  2. Öppna en kommandotolk som administratör.

  3. Kör verktyget från mappen i \bin\X64 Configuration Manager installationskatalogen på platsservern: BulkRegistrationTokenTool.exe. Skapa en ny token med parametern /new . Till exempel BulkRegistrationTokenTool.exe /new. Mer information finns i Användning av verktyg för massregistreringstoken.

  4. Kopiera token och spara den på en säker plats.

  5. Installera Configuration Manager-klienten på en Internetbaserad enhet. Inkludera klientinstallationsparametern: /regtoken. Följande exempel på kommandoraden innehåller andra obligatoriska konfigurationsparametrar och egenskaper:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Tips

    Mer information om den här kommandoraden finns i Installera och registrera klienten med hjälp av Microsoft Entra identitet. Den här processen är liknande, men använder inte egenskaperna för Microsoft Entra.

Kontrollera följande loggfil för en liknande post:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Om du vill felsöka installationen läser %WinDir%\ccmsetup\logs\ccmsetup.log du på klienten. Granska efter installationen %WinDir%\ccm\logs\ClientIDManagerStartup.log.

Granska följande loggar på servern:

  • CMG-loggar
  • Hanteringsplats
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Användning av verktyg för massregistreringstoken

Verktyget BulkRegistrationTokenTool.exe finns i mappen för \bin\X64 Configuration Manager installationskatalogen på platsservern. Logga in på platsservern och kör den som administratör. Den stöder följande kommandoradsparametrar:

  • /?
  • /new
  • /lifetime

/?

Visa den här användningsinformationen.

Exempel: BulkRegistrationTokenTool.exe /?

/new

Skapa en ny massregistreringstoken.

Exempel: BulkRegistrationTokenTool.exe /new

Verktyget visar följande information:

  • Ett GUID som webbplatsen använder för att spåra utfärdade token
  • Token-giltighetsperioden, som är tre dagar som standard.
  • Massregistreringstoken.

Token lagras inte på klienten eller platsen. Se till att kopiera token från kommandotolken och lagra den på en säker plats.

/lifetime

Använd med /new parameter för att ange tokens giltighetsperiod för token. Ange ett heltalsvärde i minuter. Standardvärdet är 4 320 (tre dagar). Det maximala värdet är 10 080 (sju dagar).

Exempel: BulkRegistrationTokenTool.exe /lifetime 4320

Hantering av massregistreringstoken

Du kan se tidigare skapade massregistreringstoken och deras livslängd i Configuration Manager-konsolen och blockera deras användning om det behövs. Platsdatabasen lagrar dock inte massregistreringstoken.

Granska en massregistreringstoken

  1. I Configuration Manager-konsolen går du till arbetsytan Administration.

  2. Expandera Säkerhet och välj noden Certifikat . Konsolen visar alla platsrelaterade certifikat och massregistreringstoken i informationsfönstret.

  3. Välj den massregistreringstoken som du vill granska.

Du kan filtrera eller sortera efter kolumnen Typ . Identifiera specifika massregistreringstoken baserat på deras GUID. När du skapar en massregistreringstoken visar verktyget GUID:et.

Blockera en massregistreringstoken

  1. I Configuration Manager-konsolen går du till arbetsytan Administration.

  2. Expandera Säkerhet, välj noden Certifikat och välj den massregistreringstoken som ska blockeras .

  3. På fliken Start i menyfliksområdet eller snabbmenyn för högerklicka väljer du Blockera. Om du vill avblockera tidigare blockerade massregistreringstoken väljer du åtgärden Avblockera .

Tokenförnyelse

Klienten förnyar sin unika Configuration Manager utfärdade token en gång i månaden och den är giltig i 90 dagar. En klient behöver inte ansluta till det interna nätverket för att förnya sin token. Så länge token fortfarande är giltig räcker det att ansluta till platsen med hjälp av en CMG. Om token inte förnyas inom 90 dagar måste klienten ansluta direkt till en hanteringsplats i ett internt nätverk för att ta emot en ny token.

Du kan inte förnya en massregistreringstoken. När en massregistreringstoken upphör att gälla genererar du en ny för internetbaserad enhetsregistrering med hjälp av en CMG.

Se även