Поделиться через


Настройка проверки подлинности клиента для шлюза управления облаком

Относится к Configuration Manager (Current Branch)

Следующий шаг в настройке шлюза управления облаком (CMG) — настройка проверки подлинности клиентов. Так как эти клиенты потенциально подключаются к службе из ненадежного общедоступного Интернета, для них требуется более высокий уровень проверки подлинности. Существует три варианта:

  • Microsoft Entra ID
  • PKI-сертификаты
  • Configuration Manager маркеры, выданные сайтом

В этой статье описывается настройка каждого из этих параметров. Дополнительные основные сведения см. в статье Планирование методов проверки подлинности клиента CMG.

Microsoft Entra ID

Если ваши интернет-устройства работают Windows 10 или более поздней версии, используйте Microsoft Entra современную проверку подлинности с CMG. Этот метод проверки подлинности является единственным, который позволяет использовать сценарии, ориентированные на пользователя.

Для этого метода проверки подлинности требуются следующие конфигурации:

  • Устройства должны быть присоединены к облачному домену или Microsoft Entra гибридным присоединением, а пользователю также требуется Microsoft Entra удостоверение.

    Совет

    Чтобы проверка, если устройство присоединено к облаку, выполните команду dsregcmd.exe /status в командной строке. Если устройство Microsoft Entra присоединено или присоединено к гибридному соединению, в поле AzureAdjoined в результатах отображается значение ДА. Дополнительные сведения см. в разделе команда dsregcmd — состояние устройства.

  • Одним из основных требований к использованию проверки подлинности Microsoft Entra для интернет-клиентов с CMG является интеграция сайта с идентификатором Microsoft Entra. Вы уже выполнили это действие на предыдущем шаге.

  • Существует несколько других требований, в зависимости от вашей среды:

    • Включение методов обнаружения пользователей для гибридных удостоверений
    • Включение ASP.NET 4.5 в точке управления
    • Настройка параметров клиента

Дополнительные сведения об этих предварительных требованиях см. в статье Установка клиентов с помощью идентификатора Microsoft Entra.

PKI-сертификат

Выполните следующие действия, если у вас есть инфраструктура открытых ключей (PKI), которая может выдавать сертификаты проверки подлинности клиента на устройства.

Этот сертификат может потребоваться в точке подключения шлюза управления облачными клиентами. Дополнительные сведения см. в разделе Точка подключения CMG.

Выдача сертификата

Создайте и выдаст этот сертификат из PKI, который находится вне контекста Configuration Manager. Например, можно использовать службы сертификатов Active Directory и групповую политику для автоматической выдачи сертификатов проверки подлинности клиента устройствам, присоединенным к домену. Дополнительные сведения см. в разделе Пример развертывания PKI-сертификатов. Развертывание сертификата клиента.

Сертификат проверки подлинности клиента CMG поддерживает следующие конфигурации:

  • Длина ключа 2048 или 4096 бит

  • Этот сертификат поддерживает поставщиков хранилища ключей для закрытых ключей сертификатов (версия 3). Дополнительные сведения см. в статье Обзор сертификатов CNG версии 3.

Экспорт доверенного корневого каталога сертификата клиента

CMG должен доверять сертификатам проверки подлинности клиента, чтобы установить канал HTTPS с клиентами. Чтобы обеспечить это доверие, экспортируйте цепочку доверенных корневых сертификатов. Затем укажите эти сертификаты при создании шлюза управления облачными клиентами в консоли Configuration Manager.

Обязательно экспортируйте все сертификаты в цепочке доверия. Например, если сертификат проверки подлинности клиента выдан промежуточным ЦС, экспортируйте как промежуточный, так и корневой сертификаты ЦС.

Примечание.

Экспортируйте этот сертификат, если любой клиент использует PKI-сертификаты для проверки подлинности. Если все клиенты используют Microsoft Entra идентификатор или маркеры для проверки подлинности, этот сертификат не требуется.

После выдачи сертификата проверки подлинности клиента на компьютер используйте этот процесс на этом компьютере для экспорта доверенного корневого сертификата.

  1. Откройте меню Пуск. Введите "run", чтобы открыть окно Выполнить. Откройте .mmc

  2. В меню Файл выберите Добавить или удалить оснастку....

  3. В диалоговом окне Добавление или удаление оснастки выберите Сертификаты, а затем нажмите кнопку Добавить.

    1. В диалоговом окне оснастки "Сертификаты" выберите Учетная запись компьютера, а затем нажмите кнопку Далее.

    2. В диалоговом окне Выбор компьютера выберите Локальный компьютер, а затем нажмите кнопку Готово.

    3. В диалоговом окне Добавление и удаление оснастки нажмите кнопку ОК.

  4. Разверните узлы Сертификаты, Личные и Сертификаты.

  5. Выберите сертификат, назначение которого — проверка подлинности клиента.

    1. В меню Действие выберите Открыть.

    2. Перейдите на вкладку Путь сертификации .

    3. Выберите следующий сертификат в цепочке и выберите Просмотреть сертификат.

  6. В этом диалоговом окне Новый сертификат перейдите на вкладку Сведения . Выберите Копировать в файл....

  7. Завершите работу мастера экспорта сертификатов, используя формат сертификата по умолчанию, двоичный файл X.509 в кодировке DER (. CER). Запишите имя и расположение экспортированного сертификата.

  8. Экспортируйте все сертификаты в пути сертификации исходного сертификата проверки подлинности клиента. Запишите, какие экспортированные сертификаты являются промежуточными ЦС, а какие — доверенными корневыми ЦС.

Точка подключения шлюза управления облачными клиентами

Для безопасной пересылки клиентских запросов точка подключения CMG требует безопасного подключения к точке управления. Если вы используете проверку подлинности PKI-клиента, а точка управления с поддержкой Интернета — HTTPS, выдаст сертификат проверки подлинности клиента серверу системы сайта с ролью точки подключения CMG.

Примечание.

Точке подключения CMG не требуется сертификат проверки подлинности клиента в следующих сценариях:

  • Клиенты используют проверку подлинности Microsoft Entra.
  • Клиенты используют проверку подлинности на основе маркеров Configuration Manager.
  • Сайт использует расширенный ПРОТОКОЛ HTTP.

Дополнительные сведения см. в разделе Включение точки управления для HTTPS.

Токен сайта

Если вы не можете присоединить устройства к Microsoft Entra идентификатору или использовать PKI-сертификаты проверки подлинности клиента, используйте проверку подлинности на основе маркера Configuration Manager. Дополнительные сведения или о создании маркера массовой регистрации см. в статье Проверка подлинности на основе маркеров для шлюза управления облаком.

Включение точки управления для HTTPS

В зависимости от настройки сайта и выбранного метода проверки подлинности клиента может потребоваться перенастроить точки управления с поддержкой Интернета. Возможны два варианта:

  • Настройка сайта для расширенного ПРОТОКОЛА HTTP и настройка точки управления для HTTP
  • Настройка точки управления для HTTPS

Настройка сайта для расширенного HTTP

Если вы используете параметр сайта Использовать сертификаты, созданные Configuration Manager для систем сайта HTTP, вы можете настроить точку управления для HTTP. При включении расширенного ПРОТОКОЛА HTTP сервер сайта создает самозаверяющий сертификат с именем SSL-сертификат роли SMS. Этот сертификат выдается корневым сертификатом выдачи SMS . Точка управления добавляет этот сертификат на веб-сайт IIS по умолчанию, привязанный к порту 443.

С помощью этого параметра внутренние клиенты могут продолжать взаимодействовать с точкой управления по протоколу HTTP. Интернет-клиенты, использующие идентификатор Microsoft Entra или сертификат проверки подлинности клиента, могут безопасно обмениваться данными через CMG с этой точкой управления по протоколу HTTPS.

Дополнительные сведения см. в разделе Расширенный протокол HTTP.

Настройка точки управления для HTTPS

Чтобы настроить точку управления для HTTPS, сначала выдаст ей сертификат веб-сервера. Затем включите роль для HTTPS.

  1. Создайте и выдаст сертификат веб-сервера из PKI или стороннего поставщика, которые находятся вне контекста Configuration Manager. Например, используйте службы сертификатов Active Directory и групповую политику, чтобы выдать сертификат веб-сервера серверу системы сайта с ролью точки управления. Дополнительные сведения см. в следующих статьях:

  2. В свойствах роли точки управления задайте для клиентских подключений значение HTTPS.

    Совет

    После настройки CMG вы настроите другие параметры для этой точки управления.

Если в вашей среде есть несколько точек управления, вам не нужно включать их все по ПРОТОКОЛу HTTPS для CMG. Настройте точки управления с поддержкой CMG только для Интернета. Тогда локальные клиенты не пытаются использовать их.

Сводка по режиму подключения клиента точки управления

В этих таблицах приводится сводка о том, требуется ли точка управления HTTP или HTTPS в зависимости от типа клиента. Они используют следующие термины:

  • Рабочая группа. Устройство не присоединено к домену или идентификатору Microsoft Entra, но имеет сертификат проверки подлинности клиента.
  • Присоединение к домену AD. Присоединение устройства к домену локальная служба Active Directory.
  • Microsoft Entra присоединено. Также известное как присоединение к облачному домену, вы присоединяете устройство к Microsoft Entra арендатору. Дополнительные сведения см. в разделе Microsoft Entra присоединенных устройств.
  • Гибридное присоединение. Вы присоединяете устройство к локальная служба Active Directory и регистрируете его с помощью идентификатора Microsoft Entra. Дополнительные сведения см. в разделе Microsoft Entra устройства с гибридным присоединением.
  • HTTP. В свойствах точки управления для клиентских подключений задается значение HTTP.
  • HTTPS. В свойствах точки управления для клиентских подключений задается значение HTTPS.
  • E-HTTP. На вкладке "Безопасность связи" в свойствах сайта задайте для параметров системы сайта значение HTTPS или HTTP и включите параметр Использовать Configuration Manager созданные сертификаты для систем сайта HTTP. Вы настраиваете точку управления для HTTP, и точка управления HTTP готова к обмену данными http и HTTPS.

Важно!

Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.

Для интернет-клиентов, взаимодействующих с CMG

Настройте локальную точку управления, чтобы разрешить подключения из CMG в следующем режиме подключения клиента:

Интернет-клиент Точка управления
Примечание 1 к рабочей группе E-HTTP, HTTPS
Присоединение к домену AD Примечание 1 E-HTTP, HTTPS
Microsoft Entra присоединено E-HTTP, HTTPS
Гибридное присоединение E-HTTP, HTTPS

Примечание.

Примечание 1. Для этой конфигурации требуется, чтобы у клиента был сертификат проверки подлинности клиента, и он поддерживает только сценарии, ориентированные на устройство.

Для локальных клиентов, взаимодействующих с локальной точкой управления

Настройте локальную точку управления со следующим режимом подключения клиента:

Локальный клиент Точка управления
Рабочая группа HTTP, HTTPS
Присоединение к домену AD HTTP, HTTPS
Microsoft Entra присоединено HTTPS
Гибридное присоединение HTTP, HTTPS

Примечание.

Локальные клиенты AD, присоединенные к домену, поддерживают сценарии, ориентированные на устройство и пользователя, взаимодействуя с точкой управления HTTP или HTTPS.

Локальные Microsoft Entra присоединенные и гибридные клиенты могут обмениваться данными по протоколу HTTP для сценариев, ориентированных на устройства, но для реализации сценариев, ориентированных на пользователей, требуется E-HTTP или HTTPS. В противном случае они ведут себя так же, как клиенты рабочей группы.

Дальнейшие действия

Теперь вы можете создать шлюз управления облачными клиентами в Configuration Manager: