Sicherheit und Datenschutz für das Cloudverwaltungsgateway
Gilt für: Configuration Manager (Current Branch)
Dieser Artikel enthält Sicherheits- und Datenschutzinformationen für das Configuration Manager Cloud Management Gateway (CMG). Weitere Informationen finden Sie unter Übersicht über das Cloudverwaltungsgateway.
Sicherheitsdetails
Das CMG akzeptiert und verwaltet Verbindungen von CMG-Verbindungspunkten. Dabei wird die gegenseitige Authentifizierung mithilfe von Zertifikaten und Verbindungs-IDs verwendet.
Das CMG akzeptiert und leitet Clientanforderungen mithilfe der folgenden Methoden weiter:
Authentifiziert Verbindungen vorab mithilfe von gegenseitigem HTTPS mit dem PKI-basierten Clientauthentifizierungszertifikat oder Microsoft Entra-ID.
IIS auf den CMG-VM-Instanzen überprüft den Zertifikatpfad basierend auf den vertrauenswürdigen Stammzertifikaten, die Sie in das CMG hochladen.
Wenn Sie die Zertifikatsperrung aktivieren, überprüft IIS auf dem virtuellen Computer instance auch die Clientzertifikatsperrung. Weitere Informationen finden Sie unter Veröffentlichen der Zertifikatsperrliste.
Die Zertifikatvertrauensliste (Certificate Trust List, CTL) überprüft den Stamm des Clientauthentifizierungszertifikats. Er führt auch die gleiche Überprüfung wie der Verwaltungspunkt für den Client durch. Weitere Informationen finden Sie unter Überprüfen von Einträgen in der Zertifikatvertrauensliste der Website.
Überprüft und filtert Clientanforderungen (URLs), um zu überprüfen, ob ein CMG-Verbindungspunkt die Anforderung verarbeiten kann.
Überprüft die Inhaltslänge für jeden Veröffentlichungsendpunkt.
Verwendet roundrobin-Verhalten zum Lastenausgleich von CMG-Verbindungspunkten am selben Standort.
Der CMG-Verbindungspunkt verwendet die folgenden Methoden:
Erstellt konsistente HTTPS/TCP-Verbindungen mit allen VM-Instanzen des CMG. Diese Verbindungen werden minütlich überprüft und verwaltet.
Verwendet die gegenseitige Authentifizierung mit dem CMG mithilfe von Zertifikaten.
Leitet Clientanforderungen basierend auf URL-Zuordnungen weiter.
Meldet Verbindungs-status, um dienstintegritäts-status in der Konsole anzuzeigen.
Meldet Datenverkehr pro Endpunkt alle fünf Minuten.
Configuration Manager rotiert den Speicherkontoschlüssel für das CMG. Dieser Vorgang erfolgt automatisch alle 180 Tage.
Sicherheitsmechanismen und Schutzmaßnahmen
Die CMG-Ressourcen in Azure sind Teil der Azure-PaaS-Plattform (Platform-as-a-Service). Sie werden auf die gleiche Weise und mit den gleichen Standardschutzfunktionen wie alle anderen Ressourcen in Azure geschützt. Es wird nicht unterstützt, die Konfigurationen der CMG-Ressourcen oder der Architektur in Azure zu ändern. Diese Änderungen umfassen die Verwendung einer beliebigen Firewall vor dem CMG, um Datenverkehr abzufangen, zu filtern oder anderweitig zu verarbeiten, bevor er das CMG erreicht. Der gesamte datenverkehr, der für ein CMG bestimmt ist, wird über einen Azure Load Balancer verarbeitet. CMG-Bereitstellungen als VM-Skalierungsgruppe werden durch Microsoft Defender für Cloud geschützt.
Dienstprinzipale und Authentifizierung
Die Dienstprinzipale werden von der Server-App-Registrierung in Microsoft Entra ID authentifiziert. Diese App wird auch als Web-App bezeichnet. Sie erstellen diese App-Registrierung automatisch, wenn Sie das CMG erstellen, oder manuell von einem Azure-Administrator im Voraus. Weitere Informationen finden Sie unter Manuelles Registrieren von Microsoft Entra-Apps für das CMG.
Die geheimen Schlüssel für die Azure-Apps werden verschlüsselt und in der Configuration Manager Standortdatenbank gespeichert. Im Rahmen des Setupprozesses verfügt die Server-App über die Berechtigung Verzeichnisdaten lesen für die Microsoft Graph-API. Außerdem verfügt sie über die Rolle Mitwirkender für die Ressourcengruppe, die das CMG hostet. Jedes Mal, wenn die App auf Ressourcen wie Microsoft Graph zugreifen muss, erhält sie ein Zugriffstoken von Azure, das sie für den Zugriff auf die Cloudressource verwendet.
Microsoft Entra ID kann den geheimen Schlüssel für diese Apps automatisch rotieren, oder Sie können dies manuell tun. Wenn sich der geheime Schlüssel ändert, müssen Sie den geheimen Schlüssel in Configuration Manager erneuern.
Weitere Informationen finden Sie unter Zweck von App-Registrierungen.
Configuration Manager clientseitiger Rollen
Der Verwaltungspunkt und der Softwareupdatepunkt hosten Endpunkte in IIS, um Clientanforderungen zu verarbeiten. Das CMG macht nicht alle internen Endpunkte verfügbar. Jeder im CMG veröffentlichte Endpunkt verfügt über eine URL-Zuordnung.
Die externe URL wird vom Client für die Kommunikation mit dem CMG verwendet.
Die interne URL ist der CMG-Verbindungspunkt, der zum Weiterleiten von Anforderungen an den internen Server verwendet wird.
URL-Zuordnungsbeispiel
Wenn Sie CMG-Datenverkehr auf einem Verwaltungspunkt aktivieren, erstellt Configuration Manager einen internen Satz von URL-Zuordnungen für jeden Verwaltungspunktserver. Beispiel: ccm_system, ccm_incoming und sms_mp. Die externe URL für den Verwaltungspunkt ccm_system Endpunkts kann wie folgt aussehen:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
Die URL ist für jeden Verwaltungspunkt eindeutig. Der Configuration Manager-Client fügt dann den CMG-fähigen Verwaltungspunktnamen in seine Internetverwaltungspunktliste ein. Dieser Name sieht wie folgt aus:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
Die Website lädt automatisch alle veröffentlichten externen URLs in das CMG hoch. Dieses Verhalten ermöglicht es dem CMG, URL-Filterung durchzuführen. Alle URL-Zuordnungen werden zum CMG-Verbindungspunkt repliziert. Anschließend wird die Kommunikation an interne Server gemäß der externen URL der Clientanforderung weitergeleitet.
Sicherheitsleitfaden
Veröffentlichen der Zertifikatsperrliste
Veröffentlichen Sie die Zertifikatsperrliste (Certificate Revocation List, CRL) Ihrer PKI, auf die internetbasierte Clients zugreifen können. Wenn Sie ein CMG mithilfe der PKI bereitstellen, konfigurieren Sie den Dienst auf der Registerkarte Einstellungen auf Überprüfen der Clientzertifikatsperrung . Diese Einstellung konfiguriert den Dienst für die Verwendung einer veröffentlichten Zertifikatsperrliste. Weitere Informationen finden Sie unter Planen der PKI-Zertifikatsperrung.
Diese CMG-Option überprüft das Clientauthentifizierungszertifikat.
Wenn der Client Microsoft Entra-ID oder Configuration Manager tokenbasierte Authentifizierung verwendet, spielt die Zertifikatsperrliste keine Rolle.
Wenn Sie die PKI verwenden und die Zertifikatsperrliste extern veröffentlichen, aktivieren Sie diese Option (empfohlen).
Wenn Sie PKI verwenden, veröffentlichen Sie die Zertifikatsperrliste nicht, und deaktivieren Sie diese Option.
Wenn Sie diese Option falsch konfigurieren, kann dies zu mehr Datenverkehr von Clients zum CMG führen. Dieser Datenverkehr kann die ausgehenden Azure-Daten erhöhen, was Ihre Azure-Kosten erhöhen kann.
Überprüfen von Einträgen in der Zertifikatvertrauensliste der Website
Jede Configuration Manager Website enthält eine Liste der vertrauenswürdigen Stammzertifizierungsstellen, die Zertifikatvertrauensliste (Certificate Trust List, CTL). Zeigen Sie die Liste an, und ändern Sie sie, indem Sie zum Arbeitsbereich Verwaltung wechseln, Standortkonfiguration erweitern und Standorte auswählen. Wählen Sie einen Standort und dann im Menüband Eigenschaften aus. Wechseln Sie zur Registerkarte Kommunikationssicherheit , und wählen Sie dann unter Vertrauenswürdige Stammzertifizierungsstellen die Option Festlegen aus.
Verwenden Sie eine restriktivere CTL für einen Standort mit einem CMG mithilfe der PKI-Clientauthentifizierung. Andernfalls werden Clients mit Clientauthentifizierungszertifikaten, die von einem vertrauenswürdigen Stamm ausgestellt wurden, der bereits auf dem Verwaltungspunkt vorhanden ist, automatisch für die Clientregistrierung akzeptiert.
Diese Teilmenge bietet Administratoren mehr Kontrolle über die Sicherheit. Die CTL schränkt den Server so ein, dass nur Clientzertifikate akzeptiert werden, die von den Zertifizierungsstellen in der CTL ausgestellt wurden. Windows wird beispielsweise mit Zertifikaten für viele öffentliche und global vertrauenswürdige Zertifikatanbieter ausgeliefert. Standardmäßig vertraut der Computer, auf dem IIS ausgeführt wird, Zertifikaten, die mit diesen bekannten Zertifizierungsstellen verkettet sind. Ohne Konfigurieren von IIS mit einer CTL werden alle Computer, auf denen ein Clientzertifikat von diesen Zertifizierungsstellen ausgestellt wurde, als gültiger Configuration Manager-Client akzeptiert. Wenn Sie IIS mit einer CTL konfigurieren, die diese Zertifizierungsstellen nicht enthält, werden Clientverbindungen abgelehnt, wenn das Zertifikat mit diesen Zertifizierungsstellen verkettet ist.
Erzwingen von TLS 1.2
Verwenden Sie die CMG-Einstellung, um TLS 1.2 zu erzwingen. Sie gilt nur für die Azure-Clouddienst-VM. Sie gilt nicht für lokale Configuration Manager-Standortserver oder -clients.
Ab Version 2107 mit dem Updaterollup gilt diese Einstellung auch für das CMG-Speicherkonto.
Weitere Informationen zu TLS 1.2 finden Sie unter Aktivieren von TLS 1.2.
Verwenden der tokenbasierten Authentifizierung
Wenn Sie über Geräte mit einer oder mehreren der folgenden Bedingungen verfügen, sollten Sie Configuration Manager tokenbasierte Authentifizierung verwenden:
- Ein internetbasiertes Gerät, das nicht häufig eine Verbindung mit dem internen Netzwerk herstellt
- Das Gerät kann Microsoft Entra ID nicht beitreten.
- Sie verfügen nicht über eine Methode zum Installieren eines von der PKI ausgestellten Zertifikats.
Bei der tokenbasierten Authentifizierung stellt der Standort automatisch Token für Geräte aus, die sich im internen Netzwerk registrieren. Sie können ein Massenregistrierungstoken für internetbasierte Geräte erstellen. Weitere Informationen finden Sie unter Tokenbasierte Authentifizierung für CMG.