云管理网关的基于令牌的身份验证

适用于: Configuration Manager(current branch)

云管理网关 (CMG) 支持多种类型的客户端，但即使使用 增强型 HTTP，这些客户端也需要 客户端身份验证证书。 在不经常连接到内部网络、无法加入Microsoft Entra ID 且没有安装 PKI 颁发的证书的方法的基于 Internet 的客户端上预配此证书要求可能具有挑战性。

为了克服这些挑战，Configuration Manager通过向设备颁发自己的身份验证令牌来扩展其设备支持。 若要充分利用此功能，请在更新站点后，将客户端更新到最新版本。 在客户端版本也是最新的之前，完整方案不起作用。 如有必要，请确保 将新的客户端版本提升到生产环境。

客户端最初使用以下两种方法之一注册这些令牌：

• 内部网络

• 批量注册

Configuration Manager客户端与管理点一起管理此令牌，因此没有 OS 版本依赖项。 此功能适用于任何 受支持的客户端 OS 版本。

注意

这些方法仅支持以设备为中心的管理方案。

Microsoft 建议将设备联接到Microsoft Entra ID。 基于 Internet 的设备可以使用Microsoft Entra ID 通过Configuration Manager进行身份验证。 它还支持设备和用户方案，无论设备是在 Internet 上还是连接到内部网络。 有关详细信息，请参阅使用Microsoft Entra标识安装和注册客户端。

确保 允许客户端在客户端 设置的云服务组中使用 云 管理网关。 即使使用站点令牌，如果客户端设置不允许，客户端也无法与 CMG 通信。 有关详细信息，请参阅 关于客户端设置：云服务。

内部网络注册

此方法要求客户端首先向内部网络上的管理点注册。 客户端注册通常在安装后立即进行。 管理点为客户端提供唯一令牌，以显示它正在使用自签名证书。 当客户端漫游到 Internet 时，为了与 CMG 通信，它会将其自签名证书与管理点颁发的令牌配对。

默认情况下，站点会启用此行为。

注意

使用 HTTPS 管理点时，无论 Internet/Intranet 管理点如何，客户端都需要首先注册。 客户端需要提供 PKI 颁发的有效证书、Microsoft Entra令牌或批量注册令牌。

批量注册令牌

如果无法在内部网络上安装和注册客户端，请创建批量注册令牌。 客户端在基于 Internet 的设备上安装并通过 CMG 注册时使用此令牌。 批量注册令牌的有效期较短，不会存储在客户端或站点上。 它允许客户端生成唯一令牌，该令牌与其自签名证书配对，允许其向 CMG 进行身份验证。

注意

不要将批量注册令牌与单个客户端Configuration Manager问题的令牌混淆。 批量注册令牌使客户端能够最初安装和与站点通信。 此初始通信足够长，站点可以向客户端颁发其自己的唯一客户端身份验证令牌。 然后，当站点在 Internet 上时，客户端会使用其身份验证令牌与站点进行所有通信。 除了初始注册之外，客户端不使用或存储批量注册令牌。

若要创建在基于 Internet 的设备上安装客户端期间使用的批量注册令牌，请完成以下操作：

1. 使用本地管理员权限登录到层次结构中的顶级站点服务器。

2. 以管理员身份打开命令提示符。

3. 从\bin\X64站点服务器上的 Configuration Manager 安装目录的文件夹运行该工具：BulkRegistrationTokenTool.exe。 使用 /new 参数创建新令牌。 例如，BulkRegistrationTokenTool.exe /new。 有关详细信息，请参阅 批量注册令牌工具用法。

4. 复制令牌并将其保存在安全位置。

5. 在基于 Internet 的设备上安装 Configuration Manager 客户端。 包括客户端安装参数： /regtoken。 以下示例命令行包括其他必需的安装参数和属性：

   ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

   提示

   有关此命令行的详细信息，请参阅使用 Microsoft Entra 标识安装和注册客户端。 此过程类似，只是不使用 Microsoft Entra 属性。

若要验证，请查看以下日志文件中的类似条目：

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

若要排查安装问题，请查看 %WinDir%\ccmsetup\logs\ccmsetup.log 客户端。 安装后，请查看 %WinDir%\ccm\logs\ClientIDManagerStartup.log。

在服务器上，查看以下日志：

• CMG 日志
• 管理点
  • CCM_STS.log
  • MP_RegistrationManager.log
  • ClientAuth.log

批量注册令牌工具使用情况

该工具BulkRegistrationTokenTool.exe位于\bin\X64站点服务器上Configuration Manager安装目录的 文件夹中。 登录到站点服务器，然后以管理员身份运行它。 它支持以下命令行参数：

• /?
• /new
• /lifetime

/?

显示此使用情况信息。

例如：BulkRegistrationTokenTool.exe /?

/new

创建新的批量注册令牌。

例如：BulkRegistrationTokenTool.exe /new

该工具显示以下信息：

• 站点用于跟踪已颁发令牌的 GUID
• 令牌有效期，默认为三天。
• 批量注册令牌。

令牌不存储在客户端或站点上。 请确保从命令提示符复制令牌，并将其存储在安全位置。

/lifetime

使用 与 /new 参数指定令牌的令牌有效期。 指定整数值（以分钟为单位）。 默认值为 4,320 (三天) 。 最大值为 10,080 (七天) 。

例如：BulkRegistrationTokenTool.exe /lifetime 4320

批量注册令牌管理

可以在 Configuration Manager 控制台中查看以前创建的批量注册令牌及其生存期，并在必要时阻止其使用。 但是，站点数据库不存储批量注册令牌。

查看批量注册令牌

1. 在Configuration Manager控制台中，转到“管理”工作区。

2. 展开 “安全性”，然后选择“ 证书” 节点。 控制台在详细信息窗格中列出所有与站点相关的证书和批量注册令牌。

3. 选择要查看的批量注册令牌。

可以对 “类型” 列进行筛选或排序。 根据特定批量注册令牌的 GUID 确定令牌。 创建批量注册令牌时，该工具会显示 GUID。

阻止批量注册令牌

1. 在Configuration Manager控制台中，转到“管理”工作区。

2. 展开 “安全性”，选择“ 证书” 节点，然后选择要阻止的批量注册令牌。

3. 在功能区栏的“ 开始 ”选项卡或右键单击上下文菜单中，选择“ 阻止”。 若要取消阻止以前阻止的批量注册令牌，请选择“ 取消阻止 ”操作。

令牌续订

客户端每月续订一次唯一Configuration Manager颁发的令牌，有效期为 90 天。 客户端无需连接到内部网络来续订其令牌。 只要令牌仍然有效，使用 CMG 连接到站点就足够了。 如果令牌未在 90 天内续订，则客户端必须直接连接到内部网络上的管理点才能接收新令牌。

无法续订批量注册令牌。 批量注册令牌过期后，使用 CMG 为基于 Internet 的设备注册生成新的令牌。

另请参阅

• 云管理网关概述

• 使用Microsoft Entra ID 安装并分配Configuration Manager客户端进行身份验证