Konfigurera klientautentisering för molnhanteringsgateway

Gäller för: Configuration Manager (aktuell gren)

Nästa steg i konfigurationen av en molnhanteringsgateway (CMG) är att konfigurera hur klienter autentiseras. Eftersom dessa klienter potentiellt ansluter till tjänsten från det ej betrodda offentliga Internet har de ett högre autentiseringskrav. Det finns tre alternativ:

  • Microsoft Entra ID
  • PKI-certifikat
  • Configuration Manager token som utfärdats av webbplatsen

I den här artikeln beskrivs hur du konfigurerar vart och ett av dessa alternativ. Mer grundläggande information finns i Planera för CMG-klientautentiseringsmetoder.

Microsoft Entra ID

Om dina Internetbaserade enheter körs Windows 10 eller senare använder du Microsoft Entra modern autentisering med CMG. Den här autentiseringsmetoden är den enda som möjliggör användarcentrerade scenarier.

Den här autentiseringsmetoden kräver följande konfigurationer:

  • Enheterna måste vara antingen molndomänanslutna eller Microsoft Entra hybridanslutna, och användaren behöver också en Microsoft Entra identitet.

    Tips

    Om du vill kontrollera om en enhet är molnansluten kör dsregcmd.exe /status du i en kommandotolk. Om enheten är Microsoft Entra ansluten eller hybridkopplad visas JA i fältet AzureAdjoined i resultatet. Mer information finns i dsregcmd-kommandot – enhetstillstånd.

  • Ett av de främsta kraven för att använda Microsoft Entra autentisering för Internetbaserade klienter med en CMG är att integrera platsen med Microsoft Entra-ID. Du har redan slutfört den åtgärden i föregående steg.

  • Det finns några andra krav, beroende på din miljö:

    • Aktivera metoder för användaridentifiering för hybrididentiteter
    • Aktivera ASP.NET 4.5 på hanteringsplatsen
    • Konfigurera klientinställningar

Mer information om dessa krav finns i Installera klienter med Microsoft Entra-ID.

PKI-certifikat

Använd de här stegen om du har en offentlig nyckelinfrastruktur (PKI) som kan utfärda klientautentiseringscertifikat till enheter.

Det här certifikatet kan krävas på CMG-anslutningspunkten. Mer information finns i CMG-anslutningspunkt.

Utfärda certifikatet

Skapa och utfärda det här certifikatet från din PKI, som ligger utanför kontexten för Configuration Manager. Du kan till exempel använda Active Directory Certificate Services och grupprincip för att automatiskt utfärda klientautentiseringscertifikat till domänanslutna enheter. Mer information finns i Exempeldistribution av PKI-certifikat: Distribuera klientcertifikatet.

CMG-klientautentiseringscertifikatet stöder följande konfigurationer:

  • 2048-bitars eller 4096-bitars nyckellängd

  • Det här certifikatet stöder nyckellagringsproviders för privata certifikatnycklar (v3). Mer information finns i översikten över CNG v3-certifikat.

Exportera klientcertifikatets betrodda rot

CMG måste lita på klientautentiseringscertifikaten för att upprätta HTTPS-kanalen med klienter. För att uppnå det här förtroendet exporterar du den betrodda rotcertifikatkedjan. Ange sedan dessa certifikat när du skapar CMG:en i Configuration Manager-konsolen.

Se till att exportera alla certifikat i förtroendekedjan. Om certifikatet för klientautentisering till exempel utfärdas av en mellanliggande certifikatutfärdare exporterar du både mellanliggande certifikat och rotcertifikatutfärdarcertifikat.

Obs!

Exportera det här certifikatet när en klient använder PKI-certifikat för autentisering. När alla klienter använder antingen Microsoft Entra-ID eller token för autentisering krävs inte det här certifikatet.

När du har utfärdat ett klientautentiseringscertifikat till en dator använder du den här processen på datorn för att exportera det betrodda rotcertifikatet.

  1. Öppna Start-menyn. Skriv "kör" för att öppna fönstret Kör. Öppna mmc.

  2. På arkivmenyn väljer du Lägg till/ta bort snapin-modul....

  3. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du Certifikat och sedan Lägg till.

    1. I dialogrutan Snapin-modul för certifikat väljer du Datorkonto och sedan Nästa.

    2. I dialogrutan Välj dator väljer du Lokal dator och sedan Slutför.

    3. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du OK.

  4. Expandera Certifikat, expandera Personligt och välj Certifikat.

  5. Välj ett certifikat vars avsedda syfte är klientautentisering.

    1. Välj Öppna på åtgärdsmenyn.

    2. Gå till fliken Certifieringssökväg .

    3. Välj nästa certifikat i kedjan och välj Visa certifikat.

  6. I dialogrutan Nytt certifikat går du till fliken Information . Välj Kopiera till fil....

  7. Slutför guiden Exportera certifikat med standardcertifikatformatet DER-kodad binär X.509 (. CER). Anteckna namnet och platsen för det exporterade certifikatet.

  8. Exportera alla certifikat i certifieringssökvägen för det ursprungliga klientautentiseringscertifikatet. Anteckna vilka exporterade certifikat som är mellanliggande certifikatutfärdare och vilka som är betrodda rotcertifikatutfärdare.

CMG-anslutningspunkt

För att vidarebefordra klientbegäranden på ett säkert sätt kräver CMG-anslutningspunkten en säker anslutning till hanteringsplatsen. Om du använder PKI-klientautentisering och den Internetaktiverade hanteringsplatsen är HTTPS utfärdar du ett klientautentiseringscertifikat till platssystemservern med rollen CMG-anslutningspunkt.

Obs!

CMG-anslutningspunkten kräver inget klientautentiseringscertifikat i följande scenarier:

  • Klienter använder Microsoft Entra autentisering.
  • Klienter använder Configuration Manager tokenbaserad autentisering.
  • Webbplatsen använder utökad HTTP.

Mer information finns i Aktivera hanteringsplats för HTTPS.

Webbplatstoken

Om du inte kan ansluta enheter till Microsoft Entra-ID eller använda PKI-klientautentiseringscertifikat använder du Configuration Manager tokenbaserad autentisering. Mer information eller om du vill skapa en massregistreringstoken finns i Tokenbaserad autentisering för molnhanteringsgateway.

Aktivera hanteringsplats för HTTPS

Beroende på hur du konfigurerar platsen och vilken klientautentiseringsmetod du väljer kan du behöva konfigurera om dina Internetaktiverade hanteringsplatser. Det finns två alternativ:

  • Konfigurera platsen för utökad HTTP och konfigurera hanteringsplatsen för HTTP
  • Konfigurera hanteringsplatsen för HTTPS

Konfigurera webbplatsen för utökad HTTP

När du använder platsalternativet För att använda Configuration Manager-genererade certifikat för HTTP-platssystem kan du konfigurera hanteringsplatsen för HTTP. När du aktiverar utökad HTTP genererar platsservern ett självsignerat certifikat med namnet SMS Role SSL Certificate. Det här certifikatet utfärdas av det utfärdande rotcertifikatet för SMS. Hanteringsplatsen lägger till det här certifikatet på IIS-standardwebbplatsen som är bunden till port 443.

Med det här alternativet kan interna klienter fortsätta att kommunicera med hanteringsplatsen med hjälp av HTTP. Internetbaserade klienter som använder Microsoft Entra-ID eller ett klientautentiseringscertifikat kan kommunicera säkert via CMG med den här hanteringsplatsen via HTTPS.

Mer information finns i Förbättrad HTTP.

Konfigurera hanteringsplatsen för HTTPS

Om du vill konfigurera en hanteringsplats för HTTPS utfärdar du först ett webbservercertifikat. Aktivera sedan rollen för HTTPS.

  1. Skapa och utfärda ett webbservercertifikat från din PKI eller en tredjepartsleverantör, som ligger utanför kontexten för Configuration Manager. Använd till exempel Active Directory Certificate Services och grupprincip för att utfärda ett webbservercertifikat till platssystemservern med hanteringsplatsrollen. Mer information finns i följande artiklar:

  2. På egenskaperna för hanteringsplatsrollen anger du klientanslutningarna till HTTPS.

    Tips

    När du har konfigurerat CMG konfigurerar du andra inställningar för den här hanteringsplatsen.

Om din miljö har flera hanteringsplatser behöver du inte HTTPS-aktivera alla för CMG. Konfigurera endast CMG-aktiverade hanteringsplatser som Internet. Sedan försöker inte dina lokala klienter använda dem.

Sammanfattning av anslutningsläge för hanteringsplatsklient

Dessa tabeller sammanfattar om hanteringsplatsen kräver HTTP eller HTTPS, beroende på typen av klient. De använder följande termer:

  • Arbetsgrupp: Enheten är inte ansluten till en domän eller Microsoft Entra-ID, utan har ett certifikat för klientautentisering.
  • AD-domänansluten: Du ansluter enheten till en lokal Active Directory domän.
  • Microsoft Entra ansluten: Du kallas även molndomänansluten och ansluter enheten till en Microsoft Entra klientorganisation. Mer information finns i Microsoft Entra anslutna enheter.
  • Hybridansluten: Du ansluter enheten till din lokal Active Directory och registrerar den med ditt Microsoft Entra-ID. Mer information finns i Microsoft Entra hybrid-anslutna enheter.
  • HTTP: På hanteringsplatsegenskaperna anger du klientanslutningarna till HTTP.
  • HTTPS: På hanteringsplatsegenskaperna anger du klientanslutningarna till HTTPS.
  • E-HTTP: På webbplatsegenskaperna, fliken Kommunikationssäkerhet, ställer du in platssysteminställningarna på HTTPS eller HTTP och aktiverar alternativet Använd Configuration Manager-genererade certifikat för HTTP-platssystem. Du konfigurerar hanteringsplatsen för HTTP och HTTP-hanteringsplatsen är redo för både HTTP- och HTTPS-kommunikation.

Viktigt

Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.

För Internetbaserade klienter som kommunicerar med CMG

Konfigurera en lokal hanteringsplats för att tillåta anslutningar från CMG:en med följande klientanslutningsläge:

Internetbaserad klient Hanteringsplats
Arbetsgruppsanteckning 1 E-HTTP, HTTPS
AD-domänansluten anteckning 1 E-HTTP, HTTPS
Microsoft Entra ansluten E-HTTP, HTTPS
Hybrid-ansluten E-HTTP, HTTPS

Obs!

Obs! Den här konfigurationen kräver att klienten har ett certifikat för klientautentisering och endast stöder enhetscentrerade scenarier.

För lokala klienter som kommunicerar med den lokala hanteringsplatsen

Konfigurera en lokal hanteringsplats med följande klientanslutningsläge:

Lokal klient Hanteringsplats
Workgroup HTTP, HTTPS
AD-domänansluten HTTP, HTTPS
Microsoft Entra ansluten HTTPS
Hybrid-ansluten HTTP, HTTPS

Obs!

Lokala AD-domänanslutna klienter stöder både enhets- och användarcentrerade scenarier som kommunicerar med en HTTP- eller HTTPS-hanteringsplats.

Lokala Microsoft Entra anslutna och hybridanslutna klienter kan kommunicera via HTTP för enhetscentrerade scenarier, men behöver E-HTTP eller HTTPS för att aktivera användarcentrerade scenarier. Annars beter de sig på samma sätt som arbetsgruppsklienter.

Nästa steg

Nu är du redo att skapa cmg-filen i Configuration Manager: