Bulut yönetimi ağ geçidi için belirteç tabanlı kimlik doğrulaması
Uygulama hedefi: Configuration Manager (güncel dalı)
Bulut yönetimi ağ geçidi (CMG) birçok istemci türünü destekler, ancak Gelişmiş HTTP ile bile bu istemciler bir istemci kimlik doğrulama sertifikası gerektirir. Bu sertifika gereksinimi, genellikle iç ağa bağlanmamış, Microsoft Entra kimliğine katılamayacak ve PKI tarafından verilmiş bir sertifika yükleme yöntemi olmayan İnternet tabanlı istemcilerde sağlanması zor olabilir.
Configuration Manager bu zorlukların üstesinden gelmek için cihazlara kendi kimlik doğrulama belirteçlerini vererek cihaz desteğini genişletir. Bu özelliğin tüm avantajlarından yararlanmak için, siteyi güncelleştirdikten sonra istemcileri de en son sürüme güncelleştirin. İstemci sürümü de en son sürüme gelene kadar senaryonun tamamı işlevsel değildir. Gerekirse , yeni istemci sürümünü üretime yükseltdiğinizden emin olun.
İstemciler başlangıçta aşağıdaki iki yöntemden birini kullanarak bu belirteçlere kaydolur:
İç ağ
Toplu kayıt
yönetim noktasıyla birlikte Configuration Manager istemcisi bu belirteci yönetir, bu nedenle işletim sistemi sürümü bağımlılığı yoktur. Bu özellik desteklenen tüm istemci işletim sistemi sürümlerinde kullanılabilir.
Not
Bu yöntemler yalnızca cihaz merkezli yönetim senaryolarını destekler.
Microsoft, cihazların Microsoft Entra kimliğine katılmasını önerir. İnternet tabanlı cihazlar, Configuration Manager ile kimlik doğrulaması yapmak için Microsoft Entra kimliğini kullanabilir. Ayrıca, cihazın İnternet'te veya iç ağa bağlı olması farketmeksizin hem cihaz hem de kullanıcı senaryolarını etkinleştirir. Daha fazla bilgi için bkz. Microsoft Entra kimliği kullanarak istemciyi yükleme ve kaydetme.
İstemci ayarlarının Bulut hizmetleri grubunda istemcilerin bulut yönetimi ağ geçidi kullanmasını etkinleştir'i seçin. Site belirteci ile bile istemci ayarları izin vermiyorsa istemciler CMG ile iletişim kuramaz. Daha fazla bilgi için bkz . İstemci ayarları hakkında: Bulut hizmetleri.
İç ağ kaydı
Bu yöntem, istemcinin önce iç ağdaki yönetim noktasına kaydolmasını gerektirir. İstemci kaydı genellikle yüklemeden hemen sonra gerçekleşir. Yönetim noktası, istemciye otomatik olarak imzalanan bir sertifika kullandığını gösteren benzersiz bir belirteç verir. İstemci İnternet'e dolaştığında, CMG ile iletişim kurmak için otomatik olarak imzalanan sertifikasını yönetim noktası tarafından verilen belirteçle eşleştirir.
Site bu davranışı varsayılan olarak etkinleştirir.
Not
HTTPS yönetim noktasıyla, istemcinin internet/intranet yönetim noktasından bağımsız olarak önce kaydolması gerekir. İstemcinin geçerli bir PKI tarafından verilen sertifika, Microsoft Entra belirteci veya toplu kayıt belirteci sunması gerekir.
Toplu kayıt belirteci
İstemcileri iç ağa yükleyip kaydedemiyorsanız toplu kayıt belirteci oluşturun. İstemci İnternet tabanlı bir cihaza yüklenirken ve CMG aracılığıyla kaydolduğunda bu belirteci kullanın. Toplu kayıt belirtecinin kısa bir geçerlilik süresi vardır ve istemcide veya sitede depolanmaz. İstemcinin, otomatik olarak imzalanan sertifikasıyla eşleştirilmiş benzersiz bir belirteç oluşturmasına olanak tanır ve CMG ile kimlik doğrulaması yapmasına olanak tanır.
Not
Toplu kayıt belirteçlerini tek tek istemcilere sorun Configuration Manager olanlarla karıştırmayın. Toplu kayıt belirteci, istemcinin başlangıçta siteyi yüklemesine ve siteyle iletişim kurmasına olanak tanır. Bu ilk iletişim, sitenin istemciye kendi benzersiz istemci kimlik doğrulama belirtecini vermesine yetecek kadar uzundur. ardından istemci, internet üzerindeyken siteyle tüm iletişimler için kimlik doğrulama belirtecini kullanır. İstemci, ilk kaydın ötesinde toplu kayıt belirtecini kullanmaz veya depolamaz.
İnternet tabanlı cihazlarda istemci yüklemesi sırasında kullanılacak bir toplu kayıt belirteci oluşturmak için aşağıdaki eylemleri tamamlayın:
Hiyerarşideki en üst düzey site sunucusunda yerel yönetici ayrıcalıklarıyla oturum açın.
Bir komut istemini yönetici olarak açın.
Aracı, site sunucusundaki
\bin\X64
Configuration Manager yükleme dizininin klasöründen çalıştırın:BulkRegistrationTokenTool.exe
. parametresiyle/new
yeni bir belirteç oluşturun. Örneğin,BulkRegistrationTokenTool.exe /new
. Daha fazla bilgi için bkz . Toplu kayıt belirteci aracı kullanımı.Belirteci kopyalayın ve güvenli bir konuma kaydedin.
Configuration Manager istemcisini İnternet tabanlı bir cihaza yükleyin. İstemci yükleme parametresini ekleyin:
/regtoken
. Aşağıdaki örnek komut satırı, diğer gerekli kurulum parametrelerini ve özelliklerini içerir:ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA
İpucu
Bu komut satırı hakkında daha fazla bilgi için bkz. Microsoft Entra kimliği kullanarak istemciyi yükleme ve kaydetme. Bu işlem benzerdir, yalnızca Microsoft Entra özelliklerini kullanmaz.
Doğrulamak için, benzer bir girdi için aşağıdaki günlük dosyasını gözden geçirin:
Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>
Yükleme sorunlarını gidermek için istemciyi gözden geçirin %WinDir%\ccmsetup\logs\ccmsetup.log
. Yüklemeden sonra öğesini gözden geçirin %WinDir%\ccm\logs\ClientIDManagerStartup.log
.
Sunucuda aşağıdaki günlükleri gözden geçirin:
- CMG günlükleri
- Yönetim noktası
- CCM_STS.log
- MP_RegistrationManager.log
- ClientAuth.log
Toplu kayıt belirteci aracı kullanımı
AraçBulkRegistrationTokenTool.exe
, site sunucusundaki \bin\X64
Configuration Manager yükleme dizininin klasöründedir. Site sunucusunda oturum açın ve yönetici olarak çalıştırın. Aşağıdaki komut satırı parametrelerini destekler:
/?
/new
/lifetime
/?
Bu kullanım bilgilerini görüntüleyin.
Örnek: BulkRegistrationTokenTool.exe /?
/new
Yeni bir toplu kayıt belirteci oluşturun.
Örnek: BulkRegistrationTokenTool.exe /new
Araç aşağıdaki bilgileri görüntüler:
- Sitenin verilen belirteçleri izlemek için kullandığı GUID
- Varsayılan olarak üç gün olan belirteç geçerlilik süresi.
- Toplu kayıt belirteci.
Belirteç istemcide veya sitede depolanmaz. Belirteci komut isteminden kopyaladığınızdan ve güvenli bir konumda depoladığınızdan emin olun.
/lifetime
Belirtecin belirteç geçerlilik süresini belirtmek için parametresiyle /new
kullanın. Dakika cinsinden bir tamsayı değeri belirtin. Varsayılan değer 4.320'dir (üç gün). En yüksek değer 10.080 'dir (yedi gün).
Örnek: BulkRegistrationTokenTool.exe /lifetime 4320
Toplu kayıt belirteci yönetimi
Daha önce oluşturulmuş toplu kayıt belirteçlerini ve bunların kullanım ömrünü Configuration Manager konsolunda görebilir ve gerekirse kullanımlarını engelleyebilirsiniz. Ancak site veritabanı toplu kayıt belirteçlerini depolamaz.
Toplu kayıt belirtecini gözden geçirme
Configuration Manager konsolunda Yönetim çalışma alanına gidin.
Güvenlik'i genişletin ve Sertifikalar düğümünü seçin. Konsol, ayrıntılar bölmesinde siteyle ilgili tüm sertifikaları ve toplu kayıt belirteçlerini listeler.
Gözden geçirmek için toplu kayıt belirtecini seçin.
Tür sütununu filtreleyebilir veya sıralayabilirsiniz. Belirli toplu kayıt belirteçlerini GUID'lerine göre tanımlayın. Toplu kayıt belirteci oluşturduğunuzda araç GUID'yi görüntüler.
Toplu kayıt belirtecini engelleme
Configuration Manager konsolunda Yönetim çalışma alanına gidin.
Güvenlik'i genişletin, Sertifikalar düğümünü seçin ve engelleyecek toplu kayıt belirtecini seçin.
Şerit çubuğunun Giriş sekmesinde veya sağ tıklama bağlam menüsünde Engelle'yi seçin. Önceden engellenen toplu kayıt belirteçlerinin engellemesini kaldırmak için Engellemeyi Kaldır eylemini seçin.
Belirteç yenileme
İstemci benzersiz, Configuration Manager verilen belirtecini ayda bir kez yeniler ve 90 gün boyunca geçerlidir. İstemcinin belirtecini yenilemek için iç ağa bağlanması gerekmez. Belirteç hala geçerli olduğu sürece, cmg kullanarak siteye bağlanmak yeterlidir. Belirteç 90 gün içinde yenilenmezse, istemcinin yeni bir belirteç almak için iç ağdaki bir yönetim noktasına doğrudan bağlanması gerekir.
Toplu kayıt belirtecini yenileyemezsiniz. Toplu kayıt belirtecinin süresi dolduktan sonra, CMG kullanarak İnternet tabanlı cihaz kaydı için yeni bir tane oluşturun.