Autenticação de cliente CMG
Aplica-se a: Configuration Manager (branch atual)
Os clientes que se ligam a um gateway de gestão da cloud (CMG) estão potencialmente na Internet pública não fidedigno. Devido à origem do cliente, têm um requisito de autenticação mais elevado. Existem três opções de identidade e autenticação com um CMG:
- Microsoft Entra ID
- Certificados PKI
- Configuration Manager tokens emitidos pelo site
A tabela seguinte resume os principais fatores para cada método:
| Microsoft Entra ID | Certificado PKI | Token de site | |
|---|---|---|---|
| ConfigMgr versão | Todos suportados | Todos suportados | Todos suportados |
| Versão do cliente Windows | Windows 10 ou posterior | Todos suportados | Todos suportados |
| Suporte do cenário | Utilizador e dispositivo | Apenas dispositivo | Apenas dispositivo |
| Ponto de gerenciamento | E-HTTP ou HTTPS | E-HTTP ou HTTPS | E-HTTP ou HTTPS |
A Microsoft recomenda a associação de dispositivos a Microsoft Entra ID. Os dispositivos baseados na Internet podem utilizar Microsoft Entra autenticação moderna com Configuration Manager. Também permite cenários de dispositivos e utilizadores, quer o dispositivo esteja na Internet ou ligado à rede interna.
Pode utilizar um ou mais métodos. Todos os clientes não têm de utilizar o mesmo método.
Que método escolher, também poderá ter de reconfigurar um ou mais pontos de gestão. Para obter mais informações, veja Configurar a autenticação de cliente para CMG.
Microsoft Entra ID
Se os seus dispositivos baseados na Internet estiverem a executar Windows 10 ou posterior, considere utilizar Microsoft Entra autenticação moderna com o CMG. Este método de autenticação é o único que permite cenários centrados no utilizador. Por exemplo, implementar aplicações numa coleção de utilizadores.
Em primeiro lugar, os dispositivos têm de estar associados a um domínio na cloud ou Microsoft Entra associados híbridos e o utilizador também precisa de uma identidade Microsoft Entra. Se a sua organização já estiver a utilizar Microsoft Entra identidades, deve ser definido com este pré-requisito. Caso contrário, contacte o administrador do Azure para planear identidades baseadas na cloud. Para obter mais informações, veja Microsoft Entra identidade do dispositivo. Até que esse processo esteja concluído, considere a autenticação baseada em tokens para clientes baseados na Internet com o seu CMG.
Existem outros requisitos, consoante o seu ambiente:
- Ativar métodos de deteção de utilizadores para identidades híbridas
- Ativar o ASP.NET 4.5 no ponto de gestão
- Definir configurações do cliente
Para obter mais informações sobre estes pré-requisitos, veja Instalar clientes com Microsoft Entra ID.
Observação
Se os seus dispositivos estiverem num inquilino Microsoft Entra separado do inquilino com uma subscrição dos recursos de computação CMG, a partir da versão 2010, pode desativar a autenticação para inquilinos não associados a utilizadores e dispositivos. Para obter mais informações, veja Configurar serviços do Azure.
Certificado PKI
Se tiver uma infraestrutura de chaves públicas (PKI) que possa emitir certificados de autenticação de cliente para dispositivos, considere este método de autenticação para dispositivos baseados na Internet com o cmG. Não suporta cenários centrados no utilizador, mas suporta dispositivos com qualquer versão suportada do Windows.
Dica
Os dispositivos Windows que estão associados a um domínio híbrido ou na cloud não necessitam deste certificado porque utilizam Microsoft Entra ID para autenticar.
Este certificado também pode ser necessário no ponto de ligação CMG.
Token de site
Se não conseguir associar dispositivos a Microsoft Entra ID ou utilizar certificados de autenticação de cliente PKI, utilize Configuration Manager autenticação baseada em tokens. Os tokens de autenticação de cliente emitidos pelo site funcionam em todas as versões do SO cliente suportadas, mas apenas suportam cenários de dispositivos.
Se os clientes se ligarem ocasionalmente à sua rede interna, é-lhes emitido automaticamente um token. Precisam de comunicar diretamente com um ponto de gestão no local para se registarem no site e obterem este token de cliente.
Se não conseguir registar clientes na rede interna, pode criar e implementar um token de registo em massa. O token de registo em massa permite ao cliente instalar e comunicar inicialmente com o site. Esta comunicação inicial é suficientemente longa para que o site emita o seu próprio token de autenticação de cliente exclusivo. Em seguida, o cliente utiliza o respetivo token de autenticação para toda a comunicação com o site enquanto está na Internet.
Próximas etapas
Em seguida, crie como utilizar um CMG na sua hierarquia: