Compartilhar via

Autenticação baseada em tokens para o gateway de gestão da cloud

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

O gateway de gestão da cloud (CMG) suporta muitos tipos de clientes, mas mesmo com HTTP avançado, estes clientes necessitam de um certificado de autenticação de cliente. Este requisito de certificado pode ser um desafio para aprovisionar em clientes baseados na Internet que muitas vezes não se ligam à rede interna, não conseguem associar Microsoft Entra ID e não têm um método para instalar um certificado emitido por PKI.

Para ultrapassar estes desafios, Configuration Manager expande o suporte do dispositivo ao emitir os seus próprios tokens de autenticação para dispositivos. Para tirar o máximo partido desta funcionalidade, depois de atualizar o site, atualize também os clientes para a versão mais recente. O cenário completo não está funcional até que a versão do cliente também seja a mais recente. Se necessário, certifique-se de que promove a nova versão do cliente para produção.

Inicialmente, os clientes registam-se nestes tokens através de um dos dois métodos seguintes:

  • Rede interna

  • Registo em massa

O cliente Configuration Manager juntamente com o ponto de gestão gere este token, pelo que não existe nenhuma dependência da versão do SO ao nível do cliente. Esta funcionalidade está disponível para qualquer versão suportada do SO cliente.

Observação

Estes métodos só suportam cenários de gestão centrados no dispositivo.

A Microsoft recomenda a associação de dispositivos a Microsoft Entra ID. Os dispositivos baseados na Internet podem utilizar Microsoft Entra ID para se autenticarem com Configuration Manager. Também permite cenários de dispositivos e utilizadores, quer o dispositivo esteja na Internet ou ligado à rede interna. Para obter mais informações, veja Instalar e registar o cliente com Microsoft Entra identidade.

Certifique-se de que Permite que os clientes utilizem um gateway de gestão da cloud no grupo de serviços cloud das definições de cliente. Mesmo com um token de site, os clientes não podem comunicar com um CMG se as definições do cliente não o permitirem. Para obter mais informações, veja Acerca das definições do cliente: Serviços cloud.

Registo de rede interno

Este método requer que o cliente se registe primeiro com o ponto de gestão na rede interna. Normalmente, o registo de cliente ocorre logo após a instalação. O ponto de gestão dá ao cliente um token exclusivo que mostra que está a utilizar um certificado autoassinado. Quando o cliente percorre a Internet, para comunicar com o CMG, emparelha o certificado autoassinado com o token emitido pelo ponto de gestão.

Este comportamento está ativado por predefinição na Hierarquia.

Observação

Com um ponto de gestão HTTPS, o cliente tem primeiro de se registar independentemente do ponto de gestão da Internet/intranet. O cliente tem de apresentar um certificado emitido por PKI válido, um token de Microsoft Entra ou um token de registo em massa.

Token de registo em massa

Se não conseguir instalar e registar clientes na rede interna, crie um token de registo em massa. Utilize este token quando o cliente for instalado num dispositivo baseado na Internet e registado através do CMG. O token de registo em massa tem um período de validade curto e não é armazenado no cliente ou no site. Permite ao cliente gerar um token exclusivo, que emparelhado com o respetivo certificado autoassinado, permite-lhe autenticar com o CMG.

Observação

Não confunda tokens de registo em massa com aqueles que Configuration Manager problemas a clientes individuais. O token de registo em massa permite ao cliente instalar e comunicar inicialmente com o site. Esta comunicação inicial é suficientemente longa para que o site emita o seu próprio token de autenticação de cliente exclusivo. Em seguida, o cliente utiliza o respetivo token de autenticação para toda a comunicação com o site enquanto está na Internet. Para além do registo inicial, o cliente não utiliza nem armazena o token de registo em massa.

Para criar um token de registo em massa para utilização durante a instalação do cliente em dispositivos baseados na Internet, conclua as seguintes ações:

  1. Inicie sessão no servidor de site de nível superior na hierarquia com privilégios de administrador local.

  2. Abra um prompt de comando como administrador.

  3. Execute a ferramenta a \bin\X64 partir da pasta do Configuration Manager diretório de instalação no servidor do site: BulkRegistrationTokenTool.exe. Crie um novo token com o /new parâmetro . Por exemplo, BulkRegistrationTokenTool.exe /new. Para obter mais informações, veja Utilização de ferramentas de tokens de registo em massa.

  4. Copie o token e guarde-o numa localização segura.

  5. Instale o cliente Configuration Manager num dispositivo baseado na Internet. Inclua o parâmetro de instalação do cliente: /regtoken. A linha de comandos de exemplo seguinte inclui os outros parâmetros e propriedades de configuração necessários:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    Dica

    Para obter mais informações sobre esta linha de comandos, consulte Instalar e registar o cliente com Microsoft Entra identidade. Este processo é semelhante, apenas não utiliza as propriedades Microsoft Entra.

Para verificar, reveja o seguinte ficheiro de registo para obter uma entrada semelhante:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

Para resolver problemas de instalação, reveja %WinDir%\ccmsetup\logs\ccmsetup.log no cliente. Após a instalação, reveja %WinDir%\ccm\logs\ClientIDManagerStartup.log.

No servidor, reveja os seguintes registos:

  • Registos CMG
  • Ponto de gerenciamento
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

Utilização da ferramenta de tokens de registo em massa

A BulkRegistrationTokenTool.exe ferramenta está na \bin\X64 pasta do diretório de instalação Configuration Manager no servidor do site. Inicie sessão no servidor do site e execute-o como administrador. Suporta os seguintes parâmetros da linha de comandos:

  • /?
  • /new
  • /lifetime

/?

Apresentar estas informações de utilização.

Exemplo: BulkRegistrationTokenTool.exe /?

/new

Crie um novo token de registo em massa.

Exemplo: BulkRegistrationTokenTool.exe /new

A ferramenta apresenta as seguintes informações:

  • Um GUID que o site utiliza para controlar os tokens emitidos
  • O período de validade do token, que é de três dias por predefinição.
  • O token de registo em massa.

O token não está armazenado no cliente ou no site. Certifique-se de que copia o token da linha de comandos e armazena numa localização segura.

/lifetime

Utilize com /new o parâmetro para especificar o período de validade do token. Especifique um valor inteiro em minutos. O valor predefinido é 4320 (três dias). O valor máximo é 10 080 (sete dias).

Exemplo: BulkRegistrationTokenTool.exe /lifetime 4320

Gestão de tokens de registo em massa

Pode ver tokens de registo em massa criados anteriormente e as respetivas durações na consola do Configuration Manager e bloquear a respetiva utilização, se necessário. No entanto, a base de dados do site não armazena tokens de registo em massa.

Rever um token de registo em massa

  1. Na consola do Configuration Manager, aceda à área de trabalho Administração.

  2. Expanda Segurança e selecione o nó Certificados . A consola do lista todos os certificados relacionados com o site e os tokens de registo em massa no painel de detalhes.

  3. Selecione o token de registo em massa a rever.

Pode filtrar ou ordenar na coluna Tipo . Identifique tokens de registo em massa específicos com base no GUID. Quando cria um token de registo em massa, a ferramenta apresenta o GUID.

Bloquear um token de registo em massa

  1. Na consola do Configuration Manager, aceda à área de trabalho Administração.

  2. Expanda Segurança, selecione o nó Certificados e selecione o token de registo em massa a bloquear.

  3. No separador Base da barra do friso ou no menu de contexto do clique com o botão direito do rato, selecione Bloquear. Para desbloquear tokens de registo em massa bloqueados anteriormente, selecione a ação Desbloquear .

Assinatura de Tokens

O token que o cliente obtém do Ponto de Gestão (quando registado internamente) ou quando instalado com o token em massa é assinado pelo Certificado de Assinatura de Token de SMS. Trata-se de um certificado autoassinado criado pelo componente Gestor de Certificados com o certificado de raiz Emissão de SMS . O token emitido Configuration Manager inclui a referência do Certificado de Assinatura de Token de SMS, para além de outros cabeçalhos de autenticação ao enviar um pedido para o Ponto de Gestão através do CMG.

Embora não seja típico que a Emissão de SMS ou o Certificado de Assinatura de Token de SMS precise de ser renovado, existem alguns cenários incertos que podem exigir que o certificado seja renovado:

  • O certificado está danificado
  • O certificado de emissão de SMS é renovado
  • Atualização do sistema operativo do site, onde foi utilizado um algoritmo hash SHA-1 para assinar o certificado.

Observação

Se o Certificado de Assinatura de Token de SMS for renovado, os clientes que utilizam o token emitido Configuration Manager não poderão autenticar até que o novo token, assinado com o certificado mais recente, seja fornecido.

Renovação de tokens

O cliente renova o token exclusivo Configuration Manager emitido uma vez por mês e é válido durante 90 dias. Um cliente não precisa de se ligar à rede interna para renovar o token. Desde que o token ainda seja válido, a ligação ao site através de um CMG é suficiente. Se o token não for renovado no prazo de 90 dias, o cliente tem de ligar diretamente a um ponto de gestão numa rede interna para receber um novo token.

Observação

O token só será renovado durante o arranque do Cliente Configuration Manager. Por conseguinte, o Serviço anfitrião do agente SMS (CCMExec) ou o computador cliente têm de reiniciar, pelo menos, a cada 90 dias.

Não pode renovar um token de registo em massa. Assim que um token de registo em massa expirar, gere um novo para o registo de dispositivos baseados na Internet com um CMG.

Confira também