Autenticação de cliente CMG
Aplica-se a: Configuration Manager (branch atual)
Os clientes que se conectam a um CMG (gateway de gerenciamento de nuvem) estão potencialmente na internet pública não confiável. Devido à origem do cliente, eles têm um requisito de autenticação mais alto. Há três opções para identidade e autenticação com um CMG:
- Microsoft Entra ID
- Certificados PKI
- Configuration Manager tokens emitidos pelo site
A tabela a seguir resume os principais fatores para cada método:
| Microsoft Entra ID | Certificado PKI | Token de site | |
|---|---|---|---|
| Versão ConfigMgr | Todos com suporte | Todos com suporte | Todos com suporte |
| Versão do cliente do Windows | Windows 10 ou posterior | Todos com suporte | Todos com suporte |
| Suporte ao cenário | Usuário e dispositivo | Somente dispositivo | Somente dispositivo |
| Ponto de gerenciamento | E-HTTP ou HTTPS | E-HTTP ou HTTPS | E-HTTP ou HTTPS |
A Microsoft recomenda unir dispositivos para Microsoft Entra ID. Dispositivos baseados na Internet podem usar Microsoft Entra autenticação moderna com Configuration Manager. Ele também permite cenários de dispositivo e usuário se o dispositivo está na Internet ou conectado à rede interna.
Você pode usar um ou mais métodos. Todos os clientes não precisam usar o mesmo método.
Qual método você escolher, talvez você também precise reconfigurar um ou mais pontos de gerenciamento. Para obter mais informações, consulte Configurar a autenticação do cliente para CMG.
Microsoft Entra ID
Se seus dispositivos baseados na Internet estiverem executando Windows 10 ou posteriores, considere usar Microsoft Entra autenticação moderna com o CMG. Esse método de autenticação é o único que permite cenários centrados no usuário. Por exemplo, implantar aplicativos em uma coleção de usuários.
Primeiro, os dispositivos precisam ser ingressados no domínio de nuvem ou Microsoft Entra híbridos ingressados, e o usuário também precisa de uma identidade Microsoft Entra. Se sua organização já estiver usando Microsoft Entra identidades, você deverá ser definido com esse pré-requisito. Caso contrário, converse com o administrador do Azure para planejar identidades baseadas em nuvem. Para obter mais informações, consulte Microsoft Entra identidade do dispositivo. Até que esse processo seja concluído, considere a autenticação baseada em token para clientes baseados na Internet com seu CMG.
Há alguns outros requisitos, dependendo do seu ambiente:
- Habilitar métodos de descoberta de usuário para identidades híbridas
- Habilitar ASP.NET 4.5 no ponto de gerenciamento
- Definir configurações do cliente
Para obter mais informações sobre esses pré-requisitos, consulte Instalar clientes usando Microsoft Entra ID.
Observação
Se seus dispositivos estiverem em um locatário Microsoft Entra separado do locatário com uma assinatura para os recursos de computação CMG, a partir da versão 2010, você poderá desabilitar a autenticação para locatários não associados a usuários e dispositivos. Para obter mais informações, consulte Configurar serviços do Azure.
Certificado PKI
Se você tiver uma PKI (infraestrutura de chave pública) que possa emitir certificados de autenticação do cliente para dispositivos, considere esse método de autenticação para dispositivos baseados na Internet com seu CMG. Ele não dá suporte a cenários centrados no usuário, mas dá suporte a dispositivos que executam qualquer versão com suporte do Windows.
Dica
Dispositivos Windows que são híbridos ou ingressados no domínio de nuvem não exigem esse certificado porque usam Microsoft Entra ID para autenticar.
Esse certificado também pode ser necessário no ponto de conexão CMG.
Token de site
Se você não puder unir dispositivos para Microsoft Entra ID ou usar certificados de autenticação de cliente PKI, use Configuration Manager autenticação baseada em token. Os tokens de autenticação de cliente emitidos pelo site funcionam em todas as versões de sistema operacional cliente com suporte, mas só dão suporte a cenários de dispositivo.
Se os clientes ocasionalmente se conectarem à sua rede interna, eles serão emitidos automaticamente em um token. Eles precisam se comunicar diretamente com um ponto de gerenciamento local para se registrar no site e obter esse token de cliente.
Se você não conseguir registrar clientes na rede interna, poderá criar e implantar um token de registro em massa. O token de registro em massa permite que o cliente instale e se comunique inicialmente com o site. Essa comunicação inicial é longa o suficiente para o site emitir ao cliente seu próprio token de autenticação de cliente exclusivo. Em seguida, o cliente usa seu token de autenticação para toda a comunicação com o site enquanto ele está na Internet.
Próximas etapas
Em seguida, projete como usar um CMG em sua hierarquia: