CMG 用戶端驗證
適用於:Configuration Manager (目前的分支)
連線到雲端管理閘道 (CMG) 的用戶端可能位於不受信任的公用網際網路上。 由於用戶端的來源,因此具有較高的驗證需求。 使用 CMG 進行身分識別和驗證有三個選項:
- Microsoft Entra ID
- PKI 憑證
- Configuration Manager網站發行的權杖
下表摘要說明每個方法的主要因素:
Microsoft Entra ID | PKI 憑證 | 網站權杖 | |
---|---|---|---|
ConfigMgr 版本 | 全部支援 | 全部支援 | 全部支援 |
Windows 用戶端版本 | Windows 10 或更新版本 | 全部支援 | 全部支援 |
案例支援 | 使用者和裝置 | 僅限裝置 | 僅限裝置 |
管理點 | E-HTTP 或 HTTPS | E-HTTP 或 HTTPS | E-HTTP 或 HTTPS |
Microsoft 建議將裝置加入Microsoft Entra識別碼。 以網際網路為基礎的裝置可以搭配Configuration Manager使用Microsoft Entra新式驗證。 它也會同時啟用裝置和使用者案例,不論裝置是在網際網路上,還是連線到內部網路。
您可以使用一或多個方法。 所有用戶端都不需要使用相同的方法。
您選擇哪一種方法,也可能需要重新設定一或多個管理點。 如需詳細資訊, 請參閱設定 CMG 的用戶端驗證。
Microsoft Entra ID
如果您的網際網路型裝置Windows 10或更新版本執行,請考慮搭配 CMG 使用Microsoft Entra新式驗證。 此驗證方法是唯一啟用以使用者為中心的案例的方法。 例如,將應用程式部署至使用者集合。
首先,裝置必須已加入雲端網域或Microsoft Entra混合式加入,而且使用者也需要Microsoft Entra身分識別。 如果您的組織已經使用Microsoft Entra身分識別,則您應該使用此必要條件來設定。 如果沒有,請與您的 Azure 系統管理員洽談,以規劃雲端式身分識別。 如需詳細資訊,請參閱Microsoft Entra裝置身分識別。 在該程式完成之前,請考慮使用 CMG 針對以網際網路為基礎的用戶端進行令 牌型驗證 。
視您的環境而定,還有其他一些需求:
- 啟用混合式身分識別的使用者探索方法
- 在管理點上啟用 ASP.NET 4.5
- 設定用戶端設定
如需這些必要條件的詳細資訊,請參閱使用Microsoft Entra識別碼安裝用戶端。
注意事項
如果您的裝置位於與具有 CMG 計算資源訂用帳戶的租使用者不同的Microsoft Entra租使用者中,則從 2010 版開始,您可以針對未與使用者和裝置相關聯的租使用者停用驗證。 如需詳細資訊, 請參閱設定 Azure 服務。
PKI 憑證
如果您有公開金鑰基礎結構 (可將用戶端驗證憑證簽發給裝置的 PKI) ,請考慮使用 CMG 針對以網際網路為基礎的裝置使用此驗證方法。 它不支援以使用者為中心的案例,但支援執行任何支援 Windows 版本的裝置。
提示
混合式或已加入雲端網域的 Windows 裝置不需要此憑證,因為它們使用Microsoft Entra標識符進行驗證。
CMG 連接點上也可能需要此憑證。
網站權杖
如果您無法將裝置加入Microsoft Entra識別碼或使用 PKI 用戶端驗證憑證,請使用Configuration Manager權杖型驗證。 月臺發出的用戶端驗證權杖適用于所有支援的用戶端 OS 版本,但僅支援裝置案例。
如果用戶端偶爾會連線到您的內部網路,則會自動發出權杖。 他們必須直接與內部部署管理點通訊,以向月臺註冊並取得此用戶端權杖。
如果您無法在內部網路上註冊用戶端,您可以建立和部署大量註冊權杖。 大量註冊權杖可讓用戶端一開始安裝月臺並與之通訊。 此初始通訊的長度足以讓月臺發出用戶端自己的唯一用戶端驗證權杖。 用戶端接著會在月臺位於網際網路上時,使用其驗證權杖來進行與月臺的所有通訊。
後續步驟
接下來,設計如何在階層中使用 CMG: