Настройка проверки подлинности клиента для шлюза управления облаком

Относится к Configuration Manager (Current Branch)

Следующий шаг в настройке шлюза управления облаком (CMG) — настройка проверки подлинности клиентов. Так как эти клиенты потенциально подключаются к службе из ненадежного общедоступного Интернета, для них требуется более высокий уровень проверки подлинности. Существует три варианта:

• Microsoft Entra ID
• PKI-сертификаты
• Configuration Manager маркеры, выданные сайтом

В этой статье описывается настройка каждого из этих параметров. Дополнительные основные сведения см. в статье Планирование методов проверки подлинности клиента CMG.

Microsoft Entra ID

Если ваши интернет-устройства работают Windows 10 или более поздней версии, используйте Microsoft Entra современную проверку подлинности с CMG. Этот метод проверки подлинности является единственным, который позволяет использовать сценарии, ориентированные на пользователя.

Для этого метода проверки подлинности требуются следующие конфигурации:

• Устройства должны быть присоединены к облачному домену или Microsoft Entra гибридным присоединением, а пользователю также требуется Microsoft Entra удостоверение.

  Совет

  Чтобы проверка, если устройство присоединено к облаку, выполните команду dsregcmd.exe /status в командной строке. Если устройство Microsoft Entra присоединено или присоединено к гибридному соединению, в поле AzureAdjoined в результатах отображается значение ДА. Дополнительные сведения см. в разделе команда dsregcmd — состояние устройства.

• Одним из основных требований для использования проверки подлинности Microsoft Entra для интернет-клиентов с CMG является интеграция сайта с Microsoft Entra ID. Вы уже выполнили это действие на предыдущем шаге.

• Существует несколько других требований, в зависимости от вашей среды:

  • Включение методов обнаружения пользователей для гибридных удостоверений
  • Включение ASP.NET 4.5 в точке управления
  • Настройка параметров клиента

Дополнительные сведения об этих предварительных требованиях см. в разделе Установка клиентов с помощью Microsoft Entra ID.

PKI-сертификат

Выполните следующие действия, если у вас есть инфраструктура открытых ключей (PKI), которая может выдавать сертификаты проверки подлинности клиента на устройства.

Этот сертификат может потребоваться в точке подключения шлюза управления облачными клиентами. Дополнительные сведения см. в разделе Точка подключения CMG.

Выдача сертификата

Создайте и выдаст этот сертификат из PKI, который находится вне контекста Configuration Manager. Например, можно использовать службы сертификатов Active Directory и групповую политику для автоматической выдачи сертификатов проверки подлинности клиента устройствам, присоединенным к домену. Дополнительные сведения см. в разделе Пример развертывания PKI-сертификатов. Развертывание сертификата клиента.

Сертификат проверки подлинности клиента CMG поддерживает следующие конфигурации:

• Длина ключа 2048 или 4096 бит

• Этот сертификат поддерживает поставщиков хранилища ключей для закрытых ключей сертификатов (версия 3). Дополнительные сведения см. в статье Обзор сертификатов CNG версии 3.

Экспорт доверенного корневого каталога сертификата клиента

CMG должен доверять сертификатам проверки подлинности клиента, чтобы установить канал HTTPS с клиентами. Чтобы обеспечить это доверие, экспортируйте цепочку доверенных корневых сертификатов. Затем укажите эти сертификаты при создании шлюза управления облачными клиентами в консоли Configuration Manager.

Обязательно экспортируйте все сертификаты в цепочке доверия. Например, если сертификат проверки подлинности клиента выдан промежуточным ЦС, экспортируйте как промежуточный, так и корневой сертификаты ЦС.

После выдачи сертификата проверки подлинности клиента на компьютер используйте этот процесс на этом компьютере для экспорта доверенного корневого сертификата.

1. Откройте меню Пуск. Введите "run", чтобы открыть окно Выполнить. Откройте .mmc

2. В меню Файл выберите Добавить или удалить оснастку....

3. В диалоговом окне Добавление или удаление оснастки выберите Сертификаты, а затем нажмите кнопку Добавить.

   1. В диалоговом окне оснастки "Сертификаты" выберите Учетная запись компьютера, а затем нажмите кнопку Далее.

   2. В диалоговом окне Выбор компьютера выберите Локальный компьютер, а затем нажмите кнопку Готово.

   3. В диалоговом окне Добавление и удаление оснастки нажмите кнопку ОК.

4. Разверните узлы Сертификаты, Личные и Сертификаты.

5. Выберите сертификат, назначение которого — проверка подлинности клиента.

   1. В меню Действие выберите Открыть.

   2. Перейдите на вкладку Путь сертификации .

   3. Выберите следующий сертификат в цепочке и выберите Просмотреть сертификат.

6. В этом диалоговом окне Новый сертификат перейдите на вкладку Сведения . Выберите Копировать в файл....

7. Завершите работу мастера экспорта сертификатов, используя формат сертификата по умолчанию, двоичный файл X.509 в кодировке DER (. CER). Запишите имя и расположение экспортированного сертификата.

8. Экспортируйте все сертификаты в пути сертификации исходного сертификата проверки подлинности клиента. Запишите, какие экспортированные сертификаты являются промежуточными ЦС, а какие — доверенными корневыми ЦС.

Точка подключения шлюза управления облачными клиентами

Для безопасной пересылки клиентских запросов точка подключения CMG требует безопасного подключения к точке управления. Если вы используете проверку подлинности PKI-клиента, а точка управления с поддержкой Интернета — HTTPS, выдаст сертификат проверки подлинности клиента серверу системы сайта с ролью точки подключения CMG.

• Клиенты используют проверку подлинности на основе маркеров Configuration Manager.

• Точки управления, включенные для трафика CMG, настроены для расширенного HTTP.

Дополнительные сведения см. в разделе Включение точки управления для HTTPS.

Параметры проверки подлинности

Точки управления, включенные для трафика CMG, могут быть EHTTP или HTTPS. Если вы не можете присоединить устройства к Microsoft Entra ID или использовать PKI-сертификаты проверки подлинности клиента, используйте проверку подлинности на основе Configuration Manager маркеров. Дополнительные сведения или о создании маркера массовой регистрации см. в статье Проверка подлинности на основе маркеров для шлюза управления облаком.

Включение точки управления для HTTPS

При включении расширенного ПРОТОКОЛА HTTP сервер сайта создает самозаверяющий сертификат с именем SSL-сертификат роли SMS. Этот сертификат выдается корневым сертификатом выдачи SMS . Точка управления добавляет этот сертификат на веб-сайт IIS по умолчанию, привязанный к порту 443.

С помощью этого параметра внутренние клиенты могут продолжать взаимодействовать с точкой управления без дополнительной настройки. Интернет-клиенты, использующие Microsoft Entra ID, могут безопасно взаимодействовать через CMG с любой точкой управления, включенной для EHTTP.

Дополнительные сведения см. в разделе Расширенный протокол HTTP.

Настройка точки управления для HTTPS

Если проверка подлинности Entra ID недоступна, настройте точку управления для HTTPS. Сначала выдаст ему сертификат веб-сервера, а затем включите роль для HTTPS.

1. Создайте и выдаст сертификат веб-сервера из PKI или стороннего поставщика, которые находятся вне контекста Configuration Manager. Например, используйте службы сертификатов Active Directory и групповую политику, чтобы выдать сертификат веб-сервера серверу системы сайта с ролью точки управления. Дополнительные сведения см. в следующих статьях:

   • Требования к PKI-сертификатам
   • Пример развертывания PKI-сертификатов. Развертывание сертификата веб-сервера для систем сайта под управлением IIS

2. В свойствах роли точки управления задайте для клиентских подключений значение HTTPS.

   Совет

   После настройки CMG вы настроите другие параметры для этой точки управления.

Если в вашей среде есть несколько точек управления, вам не нужно включать их все для CMG. Настройте точки управления с поддержкой CMG только для Интернета. Тогда локальные клиенты не пытаются использовать их.

Сводка по режиму подключения клиента точки управления

В этих таблицах приведена сводка о том, требуется ли точка управления EHTTP или HTTPS в зависимости от типа клиента. Они используют следующие термины:

• Рабочая группа. Устройство не присоединено к домену или Microsoft Entra ID, но имеет сертификат проверки подлинности клиента.
• Присоединение к домену AD. Присоединение устройства к домену локальная служба Active Directory.
• Microsoft Entra присоединено. Также известное как присоединение к облачному домену, вы присоединяете устройство к Microsoft Entra арендатору. Дополнительные сведения см. в разделе Microsoft Entra присоединенных устройств.
• Гибридное присоединение. Вы присоединяете устройство к локальная служба Active Directory и регистрируете его в Microsoft Entra ID. Дополнительные сведения см. в разделе Microsoft Entra устройства с гибридным присоединением.
• HTTPS. В свойствах точки управления для клиентских подключений задается значение HTTPS.
• E-HTTP. На вкладке "Безопасность взаимодействия" для свойств сайта задайте для параметров системы сайта значение HTTPS или EHTTP и включите параметр Использовать сертификаты, созданные Configuration Manager, для систем сайта HTTP. Вы настраиваете точку управления для EHTTP, и точка управления готова к обмену данными CMG.

Для интернет-клиентов, взаимодействующих с CMG

Настройте локальную точку управления, чтобы разрешить подключения из CMG в следующем режиме подключения клиента:

Для локальных клиентов, взаимодействующих с локальной точкой управления

Настройте локальную точку управления со следующим режимом подключения клиента:

Дальнейшие действия

Теперь вы можете создать шлюз управления облачными клиентами в Configuration Manager: