Säkerhet och sekretess för molnhanteringsgatewayen

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Den här artikeln innehåller säkerhets- och sekretessinformation för Configuration Manager cloud management gateway (CMG). Mer information finns i Översikt över molnhanteringsgateway.

Säkerhetsinformation

CMG accepterar och hanterar anslutningar från CMG-anslutningspunkter. Den använder ömsesidig autentisering med hjälp av certifikat och anslutnings-ID:t.

CMG accepterar och vidarebefordrar klientbegäranden med hjälp av följande metoder:

  • Förautentiserar anslutningar med ömsesidig HTTPS med PKI-baserat klientautentiseringscertifikat eller Microsoft Entra-ID.

    • IIS på CMG VM-instanserna verifierar certifikatsökvägen baserat på de betrodda rotcertifikat som du laddar upp till CMG:n.

    • Om du aktiverar återkallning av certifikat verifierar IIS på den virtuella datorinstansen även återkallning av klientcertifikat. Mer information finns i Publicera listan över återkallade certifikat.

  • Listan över betrodda certifikat (CTL) kontrollerar roten för klientautentiseringscertifikatet. Den utför också samma validering som hanteringsplatsen för klienten. Mer information finns i Granska poster i webbplatsens lista över betrodda certifikat.

  • Verifierar och filtrerar klientbegäranden (URL:er) för att kontrollera om någon CMG-anslutningspunkt kan hantera begäran.

  • Kontrollerar innehållslängden för varje publiceringsslutpunkt.

  • Använder resursallokeringsbeteende för att belastningsutjämning av CMG-anslutningspunkter på samma plats.

CMG-anslutningspunkten använder följande metoder:

  • Skapar konsekventa HTTPS/TCP-anslutningar till alla VM-instanser av CMG:n. Den kontrollerar och underhåller dessa anslutningar varje minut.

  • Använder ömsesidig autentisering med CMG med hjälp av certifikat.

  • Vidarebefordrar klientbegäranden baserat på URL-mappningar.

  • Rapporterar anslutningsstatus för att visa status för tjänstens hälsotillstånd i konsolen.

  • Rapporterar trafik per slutpunkt var femte minut.

Configuration Manager roterar lagringskontonyckeln för CMG:en. Den här processen sker automatiskt var 180:e dag.

Säkerhetsmekanismer och skydd

CMG-resurserna i Azure är en del av Azure-plattformen som en tjänst (PaaS). De skyddas på samma sätt och med samma standardskydd som alla andra resurser i Azure. Det finns inte stöd för att ändra någon av konfigurationerna för CMG-resurserna eller arkitekturen i Azure. Dessa ändringar omfattar användning av någon form av brandvägg framför CMG:en för att fånga upp, filtrera eller på annat sätt bearbeta trafik innan den når CMG:en. All trafik som är avsedd för en CMG bearbetas via en Azure-lastbalanserare. CMG-distributioner som en VM-skalningsuppsättning skyddas av Microsoft Defender för molnet.

Tjänstens huvudnamn och autentisering

Tjänstens huvudnamn autentiseras av serverappregistreringen i Microsoft Entra-ID. Den här appen kallas även för webbappen. Du skapar den här appregistreringen automatiskt när du skapar CMG:en eller manuellt av en Azure-administratör i förväg. Mer information finns i Registrera Microsoft Entra appar manuellt för CMG.

De hemliga nycklarna för Azure-apparna krypteras och lagras i Configuration Manager-platsdatabasen. Som en del av konfigurationsprocessen har serverappen behörighet att läsa katalogdata till Microsoft Graph API. Den har också deltagarrollen i den resursgrupp som är värd för CMG:en. Varje gång appen behöver åtkomst till resurser som Microsoft Graph får den en åtkomsttoken från Azure som den använder för att komma åt molnresursen.

Microsoft Entra ID kan automatiskt rotera den hemliga nyckeln för dessa appar, eller så kan du göra det manuellt. När den hemliga nyckeln ändras måste du förnya den hemliga nyckeln i Configuration Manager.

Mer information finns i Syftet med appregistreringar.

Configuration Manager klientinriktade roller

Hanteringsplatsen och programuppdateringsplatsens värdslutpunkter i IIS för att hantera klientbegäranden. CMG:en exponerar inte alla interna slutpunkter. Varje slutpunkt som publiceras till CMG:en har en URL-mappning.

  • Den externa URL:en är den som klienten använder för att kommunicera med CMG:en.

  • Den interna URL:en är den CMG-anslutningspunkt som används för att vidarebefordra begäranden till den interna servern.

Exempel på URL-mappning

När du aktiverar CMG-trafik på en hanteringsplats skapar Configuration Manager en intern uppsättning URL-mappningar för varje hanteringsplatsserver. Till exempel: ccm_system, ccm_incoming och sms_mp. Den externa URL:en för hanteringsplatsen ccm_system slutpunkt kan se ut så här:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
URL:en är unik för varje hanteringsplats. Den Configuration Manager klienten placerar sedan det CMG-aktiverade hanteringsplatsens namn i listan över internethanteringsplatser. Det här namnet ser ut så här:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Webbplatsen laddar automatiskt upp alla publicerade externa URL:er till CMG:en. Det här beteendet gör att CMG kan göra URL-filtrering. Alla URL-mappningar replikeras till CMG-anslutningspunkten. Sedan vidarebefordras kommunikationen till interna servrar enligt den externa URL:en från klientbegäran.

Säkerhetsvägledning

Publicera listan över återkallade certifikat

Publicera din PKI:s lista över återkallade certifikat (CRL) så att internetbaserade klienter kan komma åt dem. När du distribuerar en CMG med PKI konfigurerar du tjänsten för att verifiera återkallning av klientcertifikat på fliken Inställningar. Den här inställningen konfigurerar tjänsten för att använda en publicerad CRL. Mer information finns i Planera för återkallning av PKI-certifikat.

Det här CMG-alternativet verifierar klientautentiseringscertifikatet.

  • Om klienten använder Microsoft Entra-ID eller Configuration Manager tokenbaserad autentisering spelar CRL ingen roll.

  • Om du använder PKI och publicerar listan över återkallade certifikat externt aktiverar du det här alternativet (rekommenderas).

  • Om du använder PKI ska du inte publicera listan över återkallade certifikat och sedan inaktivera det här alternativet.

  • Om du konfigurerar det här alternativet fel kan det orsaka mer trafik från klienter till CMG. Den här trafiken kan öka Azure-utgående data, vilket kan öka dina Azure-kostnader.

Granska poster i webbplatsens lista över betrodda certifikat

Varje Configuration Manager plats innehåller en lista över betrodda rotcertifikatutfärdare, listan över betrodda certifikat (CTL). Visa och ändra listan genom att gå till arbetsytan Administration , expandera Platskonfiguration och välja Platser. Välj en webbplats och välj sedan Egenskaper i menyfliksområdet. Växla till fliken Kommunikationssäkerhet och välj sedan Ange under Betrodda rotcertifikatutfärdare.

Använd en mer restriktiv CTL för en plats med en CMG med PKI-klientautentisering. Annars godkänns klienter med klientautentiseringscertifikat som utfärdats av en betrodd rot som redan finns på hanteringsplatsen automatiskt för klientregistrering.

Den här delmängden ger administratörer mer kontroll över säkerheten. Ctl begränsar servern till att endast acceptera klientcertifikat som utfärdas från certifikatutfärdarna i CTL. Windows levereras till exempel med certifikat för många offentliga och globalt betrodda certifikatleverantörer. Som standard litar den dator som kör IIS på certifikat som länkas till dessa välkända certifikatutfärdare (CA). Utan att konfigurera IIS med en CTL godkänns alla datorer som har ett klientcertifikat utfärdat från dessa certifikatutfärdare som en giltig Configuration Manager klient. Om du konfigurerar IIS med en CTL som inte inkluderade dessa certifikatutfärdare nekas klientanslutningar om certifikatet är kopplat till dessa certifikatutfärdare.

Framtvinga TLS 1.2

Använd CMG-inställningen för att framtvinga TLS 1.2. Det gäller endast den virtuella azure-molntjänstdatorn. Den gäller inte för lokala Configuration Manager platsservrar eller klienter.

Från och med version 2107 med samlad uppdatering gäller den här inställningen även för CMG-lagringskontot.

Mer information om TLS 1.2 finns i Så här aktiverar du TLS 1.2.

Använda tokenbaserad autentisering

Om du har enheter som har ett eller flera av följande villkor bör du överväga att använda Configuration Manager tokenbaserad autentisering:

  • En Internetbaserad enhet som inte ofta ansluter till det interna nätverket
  • Enheten kan inte ansluta Microsoft Entra-ID
  • Du har ingen metod för att installera ett PKI-utfärdat certifikat

Med tokenbaserad autentisering utfärdar webbplatsen automatiskt token för enheter som registreras i det interna nätverket. Du kan skapa en massregistreringstoken för Internetbaserade enheter. Mer information finns i Tokenbaserad autentisering för CMG.