Compartir a través de


Autenticación de cliente de CMG

Se aplica a: Configuration Manager (rama actual)

Los clientes que se conectan a una puerta de enlace de administración en la nube (CMG) pueden estar en la Internet pública que no es de confianza. Debido al origen del cliente, tienen un requisito de autenticación más alto. Hay tres opciones para la identidad y la autenticación con un CMG:

  • Microsoft Entra ID
  • Certificados PKI
  • Configuration Manager tokens emitidos por el sitio

En la tabla siguiente se resumen los factores clave de cada método:

Microsoft Entra ID Certificado PKI Token de sitio
Versión de ConfigMgr Todos los admitidos Todos los admitidos Todos los admitidos
Versión de cliente de Windows Windows 10 o posterior Todos los admitidos Todos los admitidos
Compatibilidad con escenarios Usuario y dispositivo Solo dispositivo Solo dispositivo
Punto de administración E-HTTP o HTTPS E-HTTP o HTTPS E-HTTP o HTTPS

Microsoft recomienda unir dispositivos a Microsoft Entra id. Los dispositivos basados en Internet pueden usar Microsoft Entra autenticación moderna con Configuration Manager. También permite escenarios de dispositivo y usuario tanto si el dispositivo está en Internet como si está conectado a la red interna.

Puede usar uno o varios métodos. Todos los clientes no tienen que usar el mismo método.

El método que elija, es posible que también tenga que volver a configurar uno o varios puntos de administración. Para obtener más información, consulte Configuración de la autenticación de cliente para CMG.

Microsoft Entra ID

Si los dispositivos basados en Internet se ejecutan Windows 10 o versiones posteriores, considere la posibilidad de usar Microsoft Entra autenticación moderna con CMG. Este método de autenticación es el único que permite escenarios centrados en el usuario. Por ejemplo, implementar aplicaciones en una colección de usuarios.

En primer lugar, los dispositivos deben estar unidos a un dominio en la nube o Microsoft Entra unidos a un dominio híbrido, y el usuario también necesita una identidad de Microsoft Entra. Si su organización ya usa identidades de Microsoft Entra, debe establecerse con este requisito previo. Si no es así, póngase en contacto con el administrador de Azure para planear identidades basadas en la nube. Para obtener más información, consulte Microsoft Entra identidad del dispositivo. Hasta que se complete ese proceso, considere la posibilidad de usar la autenticación basada en tokens para los clientes basados en Internet con la instancia de CMG.

Hay algunos otros requisitos, en función de su entorno:

  • Habilitación de métodos de detección de usuarios para identidades híbridas
  • Habilitar ASP.NET 4.5 en el punto de administración
  • Configurar las opciones de cliente

Para obtener más información sobre estos requisitos previos, consulte Instalación de clientes mediante Microsoft Entra id.

Nota:

Si los dispositivos están en un inquilino de Microsoft Entra que es independiente del inquilino con una suscripción para los recursos de proceso de CMG, a partir de la versión 2010 puede deshabilitar la autenticación para inquilinos no asociados a usuarios y dispositivos. Para más información, consulte Configuración de servicios de Azure.

Certificado PKI

Si tiene una infraestructura de clave pública (PKI) que puede emitir certificados de autenticación de cliente a los dispositivos, considere este método de autenticación para dispositivos basados en Internet con cmg. No admite escenarios centrados en el usuario, pero admite dispositivos que ejecutan cualquier versión compatible de Windows.

Sugerencia

Los dispositivos Windows que están unidos a dominios híbridos o en la nube no requieren este certificado porque usan Microsoft Entra id. para autenticarse.

Este certificado también puede ser necesario en el punto de conexión de CMG.

Token de sitio

Si no puede unir dispositivos para Microsoft Entra identificador o usar certificados de autenticación de cliente PKI, use Configuration Manager autenticación basada en tokens. Los tokens de autenticación de cliente emitidos por el sitio funcionan en todas las versiones del sistema operativo cliente compatibles, pero solo admiten escenarios de dispositivo.

Si los clientes se conectan ocasionalmente a la red interna, se les emite automáticamente un token. Deben comunicarse directamente con un punto de administración local para registrarse en el sitio y obtener este token de cliente.

Si no puede registrar clientes en la red interna, puede crear e implementar un token de registro masivo. El token de registro masivo permite al cliente instalar y comunicarse inicialmente con el sitio. Esta comunicación inicial es lo suficientemente larga como para que el sitio emita al cliente su propio token de autenticación de cliente único. A continuación, el cliente usa su token de autenticación para toda la comunicación con el sitio mientras está en Internet.

Siguientes pasos

A continuación, diseñe cómo usar un CMG en la jerarquía: