共用方式為

設定雲端管理閘道的用戶端驗證

  • 發行項

適用於:Configuration Manager (目前的分支)

設定雲端管理閘道 (CMG) 的下一個步驟是設定用戶端的驗證方式。 由於這些用戶端可能會從不受信任的公用網際網路連線到服務,因此具有較高的驗證需求。 There are three options:

  • Microsoft Entra ID
  • PKI 憑證
  • Configuration Manager網站發行的權杖

本文說明如何設定每個選項。 如需詳細基礎資訊,請參閱 規劃 CMG 用戶端驗證方法

Microsoft Entra ID

如果您的網際網路型裝置Windows 10或更新版本執行,請使用 Microsoft Entra CMG 的新式驗證。 此驗證方法是唯一啟用以使用者為中心的案例的方法。

此驗證方法需要下列設定:

  • 裝置必須已加入雲端網域或Microsoft Entra混合式加入,且使用者也需要Microsoft Entra身分識別。

    提示

    若要檢查裝置是否已加入雲端,請 dsregcmd.exe /status 在命令提示字元中執行 。 如果裝置Microsoft Entra加入或混合式加入,結果中的[AzureAdjoined] 欄位會顯示[是]。 如需詳細資訊,請參 閱 dsregcmd 命令 - 裝置狀態

  • 針對以網際網路為基礎的用戶端搭配 CMG 使用Microsoft Entra驗證,其中一個主要需求是整合網站與Microsoft Entra識別碼。 您已在上一個步驟中完成該 動作

  • 視您的環境而定,還有其他一些需求:

    • 啟用混合式身分識別的使用者探索方法
    • 在管理點上啟用 ASP.NET 4.5
    • 設定用戶端設定

如需這些必要條件的詳細資訊,請參閱使用Microsoft Entra識別碼安裝用戶端

PKI 憑證

如果您的公開金鑰基礎結構 (PKI) 可以將用戶端驗證憑證簽發給裝置,請使用這些步驟。

CMG 連接點上可能需要此憑證。 如需詳細資訊,請參閱 CMG 連接點

發出憑證

從 PKI 建立併發行此憑證,該 PKI 不在Configuration Manager的內容之外。 例如,您可以使用 Active Directory 憑證服務和群組原則,自動將用戶端驗證憑證簽發給已加入網域的裝置。 如需詳細資訊,請參閱 PKI 憑證的部署範例:部署用戶端憑證

CMG 用戶端驗證憑證支援下列設定:

  • 2048 位或 4096 位金鑰長度

  • 此憑證支援憑證私密金鑰的金鑰儲存提供者, (v3) 。 如需詳細資訊,請參閱 CNG v3 憑證概觀

匯出用戶端憑證的受根信任目錄

CMG 必須信任用戶端驗證憑證,才能與用戶端建立 HTTPS 通道。 若要完成此信任,請匯出受信任的根憑證鏈結。 然後,當您在 Configuration Manager 主控台中建立 CMG 時提供這些憑證。

請務必匯出信任鏈結中的所有憑證。 例如,如果用戶端驗證憑證是由中繼 CA 簽發,請匯出中繼和根 CA 憑證。

注意事項

當任何用戶端使用 PKI 憑證進行驗證時,請匯出此憑證。 當所有用戶端都使用Microsoft Entra識別碼或權杖進行驗證時,就不需要此憑證。

將用戶端驗證憑證簽發給電腦之後,請在該電腦上使用此程式來匯出受信任的根憑證。

  1. 開啟 [開始] 功能表。 輸入 「run」 以開啟 [執行] 視窗。 開啟 mmc

  2. 從 [檔案] 功能表中,選擇 [ 新增/移除嵌入式管理單元...]

  3. 在 [新增或移除嵌入式管理單元] 對話方塊中,選取 [ 憑證],然後選取 [ 新增]

    1. 在 [憑證嵌入式管理單元] 對話方塊中,選取 [ 電腦帳戶],然後選取 [ 下一步]

    2. 在 [選取電腦] 對話方塊中,選取 [ 本機電腦],然後選取 [ 完成]

    3. 在 [新增或移除嵌入式管理單元] 對話方塊中,選取 [ 確定]

  4. 依序展開 [憑證]、[ 個人],然後選取 [ 憑證]

  5. 選取其預定用途為 用戶端驗證的憑證。

    1. 從 [動作] 功能表中,選取 [ 開啟]

    2. 移至 [ 認證路徑] 索引卷 標。

    3. 選取鏈結上的下一個憑證,然後選 取 [檢視憑證]

  6. 在這個新的 [憑證] 對話方塊中,移至 [ 詳細資料] 索引卷 標。選 取 [複製到檔案...]

  7. 使用預設憑證格式 DER 編碼二進位 X.509 (,完成憑證匯出精靈。CER) 。 記下匯出憑證的名稱和位置。

  8. 匯出原始用戶端驗證憑證之認證路徑中的所有憑證。 請記下哪些匯出的憑證是中繼 CA,以及哪些是受信任的根 CA。

CMG 連接點

若要安全地轉送用戶端要求,CMG 連接點需要與管理點的安全連線。 如果您使用 PKI 用戶端驗證,且啟用網際網路的管理點是 HTTPS,請使用 CMG 連接點角色,向月臺系統伺服器發出用戶端驗證憑證。

注意事項

在下列案例中,CMG 連接點不需要用戶端驗證憑證:

  • 用戶端會使用Microsoft Entra驗證。
  • 用戶端會使用Configuration Manager權杖型驗證。
  • 網站使用增強 HTTP。

如需詳細資訊,請參閱 啟用 HTTPS 的管理點

網站權杖

如果您無法將裝置加入Microsoft Entra識別碼或使用 PKI 用戶端驗證憑證,請使用Configuration Manager權杖型驗證。 如需詳細資訊,或建立大量註冊權杖,請參閱 雲端管理閘道的權杖型驗證

啟用 HTTPS 的管理點

視您設定月臺的方式,以及您選擇的用戶端驗證方法而定,您可能需要重新設定啟用網際網路的管理點。 其中有兩個選項:

  • 設定增強式 HTTP 的月臺,並設定 HTTP 的管理點
  • 設定 HTTPS 的管理點

設定增強式 HTTP 的網站

當您使用月臺選項來針對 HTTP 月臺系統使用Configuration Manager產生的憑證時,您可以設定 HTTP 的管理點。 當您啟用增強式 HTTP 時,月臺伺服器會產生名為 SMS 角色 SSL 憑證的自我簽署憑證。 此憑證是由根 SMS 發行 憑證所發行。 管理點會將此憑證新增至系結至埠 443 的 IIS 預設網站。

使用此選項,內部用戶端可以使用 HTTP 繼續與管理點通訊。 使用Microsoft Entra識別碼或用戶端驗證憑證的網際網路型用戶端,可以透過 HTTPS 透過此管理點透過 CMG 安全地進行通訊。

如需詳細資訊,請參閱 增強 HTTP

設定 HTTPS 的管理點

若要設定 HTTPS 的管理點,請先發出 Web 服務器證書。 然後啟用 HTTPS 的角色。

  1. 從您的 PKI 或協力廠商提供者建立併發行網頁伺服器憑證,這不在Configuration Manager的內容之外。 例如,使用 Active Directory 憑證服務和群組原則,將 Web 服務器證書發行至具有管理點角色的月臺系統伺服器。 如需詳細資訊,請參閱下列文章:

  2. 在管理點角色的屬性上,將用戶端連線設定為 HTTPS

    提示

    設定 CMG 之後,您將為此管理點設定其他設定。

如果您的環境有多個管理點,您就不需要針對 CMG 將它們全部啟用 HTTPS。 將啟用 CMG 的管理點 設定為僅限網際網路。 然後,您的內部部署用戶端不會嘗試使用它們。

管理點用戶端連線模式摘要

這些資料表摘要說明管理點是否需要 HTTP 或 HTTPS,視用戶端類型而定。 它們會使用下列詞彙:

  • 工作組:裝置未加入網域或Microsoft Entra識別碼,但具有用戶端驗證憑證
  • 已加入 AD 網域:您將裝置加入內部部署的 Active Directory網域。
  • Microsoft Entra加入:也稱為已加入雲端網域,您可以將裝置加入Microsoft Entra租使用者。 如需詳細資訊,請參閱Microsoft Entra加入的裝置
  • 混合式加入:您將裝置加入您的內部部署的 Active Directory,並使用您的Microsoft Entra識別碼進行註冊。 如需詳細資訊,請參閱Microsoft Entra混合式聯結裝置
  • HTTP:在管理點屬性上,您會將用戶端連線設定為 HTTP
  • HTTPS:在管理點屬性上,您會將用戶端連線設定為 HTTPS
  • E-HTTP:在 [月臺內容] 的 [通訊安全性] 索引標籤上,將月臺系統設定設為[HTTPS] 或 [HTTP],然後啟用 [針對 HTTP 月臺系統使用Configuration Manager產生的憑證] 選項。 您可以設定 HTTP 的管理點,且 HTTP 管理點已準備好進行 HTTP 和 HTTPS 通訊。

重要事項

從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站

針對與 CMG 通訊的網際網路型用戶端

設定內部部署管理點,以允許來自 CMG 且具有下列用戶端連線模式的連線:

以網際網路為基礎的用戶端 管理點
工作組 附注 1 E-HTTP、HTTPS
已加入 AD 網域 附注 1 E-HTTP、HTTPS
已加入Microsoft Entra E-HTTP、HTTPS
混合式聯結 E-HTTP、HTTPS

注意事項

附注 1:此設定需要用戶端具有 用戶端驗證憑證,且僅支援以裝置為中心的案例。

針對與內部部署管理點通訊的內部部署用戶端

使用下列用戶端連線模式設定內部部署管理點:

內部部署用戶端 管理點
Workgroup HTTP、HTTPS
已加入 AD 網域 HTTP、HTTPS
已加入Microsoft Entra HTTPS
混合式聯結 HTTP、HTTPS

注意事項

已加入網域的內部部署 AD 用戶端支援與 HTTP 或 HTTPS 管理點通訊的裝置和使用者中心案例。

內部部署Microsoft Entra加入和混合式加入的用戶端可以透過 HTTP 進行以裝置為中心的案例通訊,但需要 E-HTTP 或 HTTPS 才能啟用以使用者為中心的案例。 否則,其行為會與工作組用戶端相同。

後續步驟

您現在已準備好在 Configuration Manager 中建立 CMG:

設定 CMG