CMG-Clientauthentifizierung.
Gilt für: Configuration Manager (Current Branch)
Clients, die eine Verbindung mit einem Cloudverwaltungsgateway (CLOUD Management Gateway, CMG) herstellen, befinden sich möglicherweise im nicht vertrauenswürdigen öffentlichen Internet. Aufgrund des Ursprungs des Clients besteht eine höhere Authentifizierungsanforderung. Es gibt drei Optionen für Identität und Authentifizierung mit einem CMG:
- Microsoft Entra-ID
- PKI-Zertifikate
- Configuration Manager vom Standort ausgestellten Token
In der folgenden Tabelle sind die wichtigsten Faktoren für die einzelnen Methoden zusammengefasst:
Microsoft Entra-ID | PKI-Zertifikat | Websitetoken | |
---|---|---|---|
ConfigMgr-Version | Alle unterstützten | Alle unterstützten | Alle unterstützten |
Windows-Clientversion | Windows 10 oder höher | Alle unterstützten | Alle unterstützten |
Szenariounterstützung | Benutzer und Gerät | Nur Gerät | Nur Gerät |
Verwaltungspunkt | E-HTTP oder HTTPS | E-HTTP oder HTTPS | E-HTTP oder HTTPS |
Microsoft empfiehlt, Geräte mit Microsoft Entra-ID zu verknüpfen. Internetbasierte Geräte können Microsoft Entra moderne Authentifizierung mit Configuration Manager verwenden. Es ermöglicht auch Geräte- und Benutzerszenarien, unabhängig davon, ob das Gerät im Internet oder mit dem internen Netzwerk verbunden ist.
Sie können eine oder mehrere Methoden verwenden. Nicht alle Clients müssen dieselbe Methode verwenden.
Für welche Methode Sie sich entscheiden, müssen Sie möglicherweise auch einen oder mehrere Verwaltungspunkte neu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Clientauthentifizierung für CMG.
Microsoft Entra-ID
Wenn Auf Ihren internetbasierten Geräten Windows 10 oder höher ausgeführt wird, sollten Sie Microsoft Entra moderne Authentifizierung mit dem CMG in Betracht ziehen. Diese Authentifizierungsmethode ist die einzige, die benutzerorientierte Szenarien ermöglicht. Beispiel: Bereitstellen von Apps in einer Benutzersammlung.
Erstens müssen die Geräte entweder in die Clouddomäne eingebunden oder Microsoft Entra hybrid eingebunden sein, und der Benutzer benötigt auch eine Microsoft Entra Identität. Wenn Ihr organization bereits Microsoft Entra Identitäten verwendet, sollten Sie diese Voraussetzung erfüllen. Falls nicht, wenden Sie sich an Ihren Azure-Administrator, um cloudbasierte Identitäten zu planen. Weitere Informationen finden Sie unter Microsoft Entra Geräteidentität. Bis dieser Prozess abgeschlossen ist, sollten Sie die tokenbasierte Authentifizierung für internetbasierte Clients mit Ihrem CMG in Betracht ziehen.
Je nach Umgebung gibt es einige weitere Anforderungen:
- Aktivieren von Benutzerermittlungsmethoden für Hybrididentitäten
- Aktivieren von ASP.NET 4.5 auf dem Verwaltungspunkt
- Konfigurieren von Clienteinstellungen
Weitere Informationen zu diesen Voraussetzungen finden Sie unter Installieren von Clients mit Microsoft Entra-ID.
Hinweis
Wenn sich Ihre Geräte in einem Microsoft Entra Mandanten befinden, der vom Mandanten mit einem Abonnement für die CMG-Computeressourcen getrennt ist, können Sie ab Version 2010 die Authentifizierung für Mandanten deaktivieren, die nicht Benutzern und Geräten zugeordnet sind. Weitere Informationen finden Sie unter Konfigurieren von Azure-Diensten.
PKI-Zertifikat
Wenn Sie über eine Public Key-Infrastruktur (PKI) verfügen, die Clientauthentifizierungszertifikate für Geräte ausstellen kann, sollten Sie diese Authentifizierungsmethode für internetbasierte Geräte mit Ihrem CMG in Betracht ziehen. Es unterstützt keine benutzerorientierten Szenarien, aber Geräte, auf denen eine beliebige unterstützte Version von Windows ausgeführt wird.
Tipp
Windows-Geräte, die in eine Hybrid- oder Clouddomäne eingebunden sind, benötigen dieses Zertifikat nicht, da sie Microsoft Entra-ID für die Authentifizierung verwenden.
Dieses Zertifikat kann auch für den CMG-Verbindungspunkt erforderlich sein.
Websitetoken
Wenn Sie geräte nicht mit Microsoft Entra ID verbinden oder PKI-Clientauthentifizierungszertifikate verwenden können, verwenden Sie Configuration Manager tokenbasierte Authentifizierung. Vom Standort ausgestellte Clientauthentifizierungstoken funktionieren unter allen unterstützten Clientbetriebssystemversionen, unterstützen jedoch nur Geräteszenarien.
Wenn Clients gelegentlich eine Verbindung mit Ihrem internen Netzwerk herstellen, wird automatisch ein Token ausgestellt. Sie müssen direkt mit einem lokalen Verwaltungspunkt kommunizieren, um sich beim Standort zu registrieren und dieses Clienttoken abzurufen.
Wenn Sie keine Clients im internen Netzwerk registrieren können, können Sie ein Massenregistrierungstoken erstellen und bereitstellen. Das Massenregistrierungstoken ermöglicht es dem Client, zunächst den Standort zu installieren und mit diesem zu kommunizieren. Diese anfängliche Kommunikation ist so lang, dass der Standort dem Client ein eigenes, eindeutiges Clientauthentifizierungstoken ausgibt. Der Client verwendet dann sein Authentifizierungstoken für die gesamte Kommunikation mit dem Standort, während er sich im Internet befindet.
Nächste Schritte
Entwerfen Sie als Nächstes, wie Sie ein CMG in Ihrer Hierarchie verwenden: