Aracılığıyla paylaş

kimlik doğrulaması iş akışını Microsoft Entra

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

Bu makale, Microsoft Entra kimliğine katılmış bir Windows cihazında Configuration Manager istemci yükleme ve kayıt işlemi için teknik bir başvurudur. Cihaz kimlik doğrulaması için iş akışı işlemini ayrıntılı olarak açıklar.

Not

Windows istemcileri, bir Microsoft Entra kiracıya katıldıklarında çalışma alanına katılma (WPJ) sertifikası alır. Sertifika bulunamazsa, Configuration Manager istemcisi Microsoft Entra belirteçleri isteyemez. Belirteç olmadan istemci, Configuration Manager site sistemleriyle Microsoft Entra kimlik doğrulaması için Configuration Manager güvenlik belirteci hizmeti (CCM_STS) iletişim kanalını kullanamaz.

İstemci yüklemesi

Bu iş akışı örneğinde, aşağıdaki ccmsetup komut satırı özellikleriyle Configuration Manager istemcisini İnternet üzerinden bir Windows cihazına yüklemişsinizdir:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

Microsoft Entra kimlik doğrulaması ile CcmSetup iş akışı diyagramı

1. ccmsetup'tan bilgi isteği Microsoft Entra

İnternet'ten yüklenen istemcilerin Microsoft Entra kimlik doğrulamasını kullanabilmesi için belirli komut satırı özellikleri gerekir. Bu özellikleri internet ccmsetup komut satırına ekleyebilirsiniz, ancak gerekli değildir. Microsoft Entra özelliklerini kullanmadığınızda, ccmsetup bulut yönetimi ağ geçidinden (CMG) ve AADRESOURCEURI özelliklerini isterAADCLIENTAPPID. Başvuru olarak cihazın Microsoft Entra TenantID değerini kullanır. İstemcinin TenantID değerini Configuration Manager eklemediyseniz, CMG istemci yüklemeye devam etmek için ccmsetup için gerekli özellikleri vermez.

Aşağıdaki girdiler istemcinin ccmsetup.log dosyasına kaydedilir:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Önemli

Ccmsetup sırasında cihazın CMG sunucusu kimlik doğrulama sertifikasını doğrulaması gerekir. CMG sunucusu kimlik doğrulama sertifikası için kök sertifika yetkilisi (CA) sertifikasının, zincir doğrulaması için istemcide kullanılabilir olması gerekir. PKI kullanıyorsanız, kök CA İnternet'te yayımlanmadığında, kök CA sertifikasını cihazın kök CA deposuna ekleyin.

Kök CA sertifika iptal listesi (CRL) İnternet'te yayımlanmamışsa, ccmsetup komut satırına parametresini ekleyin /nocrlcheck .

2. belirteç isteğini Microsoft Entra

Windows Azure AD etki alanına katılmış bir cihazda ccmsetup, ADALOperation sağlayıcısını çağıran bir Microsoft Entra belirteci istemek için Microsoft Entra özelliklerini kullanır. aşağıdaki girdiler istemcide ccmsetup.log dosyasına kaydedilir:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Cihaz belirteci isteği başarısız olursa ccmsetup geri dönüp Microsoft Entra kullanıcı belirteci istemeye çalışır. Cihaz bir Microsoft Entra cihazı veya kullanıcı belirtecini alamıyorsa ccmsetup devam etmez.

Not

Cihazın geçerli bir PKI istemci kimlik doğrulama sertifikası varsa ccmsetup her zaman sertifikayı tercih eder. Bu durumda, istemci PKI istemcisi olarak yüklenir ve Microsoft Entra kimlik doğrulamasını kullanmaz.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. İstemci belirteci isteğini Configuration Manager

İstemci, Configuration Manager istemcisi (CCM) belirtecini istemek için Microsoft Entra belirtecini kullanır. ccmsetup ile site arasındaki operasyonel iletişim, yetkilendirme belirteci olarak CCM belirtecini kullanır (CcmTokenAuth=1).

3.1 İstemci CMG'ye CCM belirteç isteği gönderir

aşağıdaki girdiler istemcide ccmsetup.log dosyasına kaydedilir:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2 CMG, CMG bağlantı noktasına iletilir

Aşağıdaki girdiler CMG VM örneğinde CMGService.log dosyasına kaydedilir.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

İpucu

Configuration Manager CMGService.log dosyasını beş dakikada bir olarak CMG-<CMGname>-ProxyService_IN_<%>-CMGService.logsite sunucusu günlükleri klasörüne eşitler.

3.3 CMG bağlantı noktası, CMG istemci isteğini yönetim noktası istemci isteğine dönüştürür

Aşağıdaki girdiler, CMG bağlantı noktası rolünü barındıran site sisteminin SMS_CLOUD_PROXYCONNECTOR.log (ayrıntılı mod) içinde günlüğe kaydedilir:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 Yönetim noktası site veritabanında kullanıcı belirtecini doğrular

Aşağıdaki girdiler, istemci isteğini işleyen yönetim noktasını barındıran site sisteminin CCM_STS.log dosyasına kaydedilir:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. İçerik konumu isteği

İstemci CCM belirtecini aldıktan sonra, ccmsetup.cab site bilgilerini ve içerik konumunu istemek için önbelleğe alır ve kullanır. Cihaz istemci içeriğini indirdikten sonra yüklemeyi başlatır. aşağıdaki girdiler istemcide ccmsetup.log dosyasına kaydedilir:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Not

İstemci içeriği etkinleştirilmiş bir CMG'den bulursa ccmsetup içeriği bulut depolama alanından indirir. En son istemci sürümü bulutta kullanılamıyorsa, içeriği bir CMG isteği aracılığıyla yönetim noktasından indirir.

İstemci kaydı

Microsoft Entra kimlik doğrulaması ile istemci kaydının iş akışı diyagramı

1. İstemci isteği kaydını Configuration Manager

ccmsetup Configuration Manager istemcisini başarıyla yükledikten sonra kayıt başlatılır. Aşağıdaki girdiler istemcinin ClientIDManagerStartup.log dosyasına kaydedilir:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. İstemciyi kaydetmek için Microsoft Entra belirteci Configuration Manager

İstemci, Microsoft Entra kimlik doğrulaması kullanarak kaydolmak için yeni bir Microsoft Entra belirteci istemektedir. Cihaz belirtecini tercih eder, ancak kullanılamıyorsa istemci Microsoft Entra kullanıcı belirteci istemek için geri döner. Aşağıdaki girdiler istemcinin ADALOperationProvider.log dosyasına kaydedilir:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Kayıt isteği

Yönetim noktasındaki kayıt bileşeni, istemci kayıt işlemini işler. İstemci , MP_ClientRegistration uç noktasına bir kayıt iletisi gönderir.

3.1 CMG, istemci kayıt isteğini yönetim noktasına iletir

Aşağıdaki girdiler, istemci isteğini işleyen yönetim noktasını barındıran site sisteminin MP_RegistrationManager.log dosyasına kaydedilir:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager istemcisi kaydedildi

Kayıt başarılı olursa, istemci Microsoft Entra kimlik tabanlı kayıt için Onay 3 ile kayıt onay iletisi alır. Aşağıdaki girdiler istemcinin ClientIDManagerStartup.log dosyasına kaydedilir:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. İstemci belirteci isteğini Configuration Manager

Sunucu istemci kaydını onayladıktan sonra, istemci yanıt iletisini işler. İstemci daha sonra yeni bir CCM belirteci isteğinde bulunur ve önbelleğe alır. Aşağıdaki girdiler istemcinin ClientIDManagerStartup.log dosyasına kaydedilir:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG, CCM_Token isteği alır ve CMG bağlantı noktasına iletir

Aşağıdaki girdiler , CMG VM'sinin VE CMG bağlantı noktası rolünü barındıran site sisteminin CMGService.log dosyasına kaydedilir:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 CMG bağlantı noktası CMG istemci isteğini yönetim noktası istemci isteğine dönüştürür

Aşağıdaki girdiler, CMG bağlantı noktası rolünü barındıran site sisteminin SMS_CLOUD_PROXYCONNECTOR.log dosyasına kaydedilir:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 Yönetim noktası site veritabanında kullanıcı belirtecini doğrular

Aşağıdaki girdiler, istemci isteğini işleyen yönetim noktasını barındıran site sisteminin CCM_STS.log dosyasına kaydedilir:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

Sunucu, istemciden siteye iletişimin geri kalanı için CCM belirtecini istemciye döndürür.

Not

İstemci kaydı sırasında sertifika doğrulaması her zaman çalışır. İstemciyi kaydetmek için Microsoft Entra kimlik doğrulama yöntemini kullanıyor olsanız bile bu işlem gerçekleşir. Microsoft Entra kimlik doğrulamasının başarılı olmaması durumunda bu davranış bir geri dönüş seçeneğidir.

CCM belirteci yenileme

CCM belirtecinin ömrü sekiz saattir. İstemci CCM belirtecinin süresinin dolduğunu veya süresi dolmak üzere olduğunu algıladığında yeni bir CCM belirteci isteği gönderir. CcmMessaging bileşeni bu yenileme işlemini işler. Aşağıdaki girdiler istemcinin CcmMessaging.log dosyasına kaydedilir:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Yaygın sorunlar

  • Kök CA yok: İstemcilerin CMG sunucusu kimlik doğrulama sertifikasını doğrulamak için kök CA sertifikasına ihtiyacı vardır.

  • CRL denetimi etkin: CRL'yi İnternet'te yayımlayın. Alternatif olarak ccmsetup parametresini /NoCRLCheck kullanın. Aşağıdaki seçeneği de devre dışı bırakabilirsiniz: İstemciler, site sistemleri için sertifika iptal listesini (CRL) denetler. Bu ayarı site özelliklerinin İletişim Güvenliği sekmesinde bulabilirsiniz.

  • WPJ sertifikası bulunamadı: Cihazın Microsoft Entra katılmış olduğundan emin olun. dsregcmd.exekullanın. Örneğin, dsregcmd /statusCihaz Durumu bölümüne bakın.

İpucu

CMG, CMG bağlantı noktası ve yönetim noktası üzerinden istemci iletişimi HTTPS üzerinden çalışır. Siteyi gelişmiş HTTP için yapılandırdıysanız, YINE de HTTP için yönetim noktasını yapılandırabilirsiniz.

  • İstemci, CMG sunucusu kimlik doğrulama sertifikasını doğrular:

    • PKI sertifikası: İstemci, yerel deposunda CMG sertifikasının kök CA'sını gerektirir.
    • Üçüncü taraf sertifikası: İstemciler, bir sertifikayı İnternet'te yayımlanan kök CA'sı ile otomatik olarak doğrular.

  • CMG, CMG bağlantı noktası ve yönetim noktası kimlik ve CCM belirteçleri Microsoft Entra doğrulayın.

  • CMG bağlantı noktası ile yönetim noktası arasındaki iletişim de her iki uçta da güvenli hale getirilir:

    • CMG bağlantı noktası istemci kimlik doğrulaması sertifikasını kullanır.
    • MP, HTTPS yapılandırması için bir PKI sertifikası veya gelişmiş HTTP için otomatik olarak imzalanan bir sertifika kullanır.