Dela via


CMG-klientautentisering

Gäller för: Configuration Manager (aktuell gren)

Klienter som ansluter till en molnhanteringsgateway (CMG) finns potentiellt på det offentliga Internet som inte är betrott. På grund av klientens ursprung har de ett högre autentiseringskrav. Det finns tre alternativ för identitet och autentisering med en CMG:

  • Microsoft Entra ID
  • PKI-certifikat
  • Configuration Manager token som utfärdats av webbplatsen

I följande tabell sammanfattas nyckelfaktorerna för varje metod:

Microsoft Entra ID PKI-certifikat Webbplatstoken
ConfigMgr-version Alla stöds Alla stöds Alla stöds
Windows-klientversion Windows 10 eller senare Alla stöds Alla stöds
Stöd för scenario Användare och enhet Endast enhet Endast enhet
Hanteringsplats E-HTTP eller HTTPS E-HTTP eller HTTPS E-HTTP eller HTTPS

Microsoft rekommenderar att du ansluter enheter till Microsoft Entra-ID. Internetbaserade enheter kan använda Microsoft Entra modern autentisering med Configuration Manager. Det möjliggör även både enhets- och användarscenarier oavsett om enheten är på Internet eller ansluten till det interna nätverket.

Du kan använda en eller flera metoder. Alla klienter behöver inte använda samma metod.

Vilken metod du än väljer kan du också behöva konfigurera om en eller flera hanteringsplatser. Mer information finns i Konfigurera klientautentisering för CMG.

Microsoft Entra ID

Om dina Internetbaserade enheter körs Windows 10 eller senare bör du överväga att använda Microsoft Entra modern autentisering med CMG. Den här autentiseringsmetoden är den enda som möjliggör användarcentrerade scenarier. Du kan till exempel distribuera appar till en användarsamling.

Först måste enheterna vara antingen molndomänanslutna eller Microsoft Entra hybridanslutna, och användaren behöver också en Microsoft Entra identitet. Om din organisation redan använder Microsoft Entra identiteter bör du ställas in med den här förutsättningen. Annars kan du prata med Azure-administratören för att planera för molnbaserade identiteter. Mer information finns i Microsoft Entra enhetsidentitet. Tills processen är klar bör du överväga tokenbaserad autentisering för Internetbaserade klienter med din CMG.

Det finns några andra krav, beroende på din miljö:

  • Aktivera metoder för användaridentifiering för hybrididentiteter
  • Aktivera ASP.NET 4.5 på hanteringsplatsen
  • Konfigurera klientinställningar

Mer information om dessa krav finns i Installera klienter med Microsoft Entra-ID.

Obs!

Om dina enheter finns i en Microsoft Entra klientorganisation som är separat från klientorganisationen med en prenumeration på CMG-beräkningsresurserna kan du från och med version 2010 inaktivera autentisering för klienter som inte är associerade med användare och enheter. Mer information finns i Konfigurera Azure-tjänster.

PKI-certifikat

Om du har en offentlig nyckelinfrastruktur (PKI) som kan utfärda certifikat för klientautentisering till enheter bör du överväga den här autentiseringsmetoden för Internetbaserade enheter med din CMG. Den stöder inte användarcentrerade scenarier, men stöder enheter som kör alla versioner av Windows som stöds.

Tips

Windows-enheter som är hybrid- eller molndomänanslutna kräver inte det här certifikatet eftersom de använder Microsoft Entra-ID för att autentisera.

Det här certifikatet kan också krävas på CMG-anslutningspunkten.

Webbplatstoken

Om du inte kan ansluta enheter till Microsoft Entra-ID eller använda PKI-klientautentiseringscertifikat använder du Configuration Manager tokenbaserad autentisering. Platsbaserade klientautentiseringstoken fungerar på alla klientoperativsystemversioner som stöds, men stöder bara enhetsscenarier.

Om klienter ibland ansluter till ditt interna nätverk utfärdas automatiskt en token. De måste kommunicera direkt med en lokal hanteringsplats för att registrera sig på platsen och hämta den här klienttoken.

Om du inte kan registrera klienter i det interna nätverket kan du skapa och distribuera en massregistreringstoken. Med massregistreringstoken kan klienten först installera och kommunicera med platsen. Den här inledande kommunikationen är tillräckligt lång för att platsen ska kunna utfärda en egen unik klientautentiseringstoken. Klienten använder sedan sin autentiseringstoken för all kommunikation med platsen när den är på Internet.

Nästa steg

Utforma sedan hur du använder en CMG i hierarkin: