为云管理网关配置客户端身份验证

适用于: Configuration Manager(current branch)

设置云管理网关 (CMG) 的下一步是配置客户端身份验证方式。 由于这些客户端可能从不受信任的公共 Internet 连接到服务,因此它们具有更高的身份验证要求。 There are three options:

  • Microsoft Entra ID
  • PKI 证书
  • Configuration Manager站点颁发的令牌

本文介绍如何配置其中每个选项。 有关更多基础信息,请参阅 规划 CMG 客户端身份验证方法

Microsoft Entra ID

如果基于 Internet 的设备运行Windows 10或更高版本,请将Microsoft Entra新式身份验证与 CMG 配合使用。 此身份验证方法是唯一一种启用以用户为中心的方案的方法。

此身份验证方法需要以下配置:

  • 设备需要加入云域或Microsoft Entra混合联接,并且用户还需要Microsoft Entra标识。

    提示

    若要检查设备是否已加入云,请在命令提示符中运行dsregcmd.exe /status。 如果设备Microsoft Entra联接或混合联接,则结果中的 AzureAdjoined 字段将显示“是”。 有关详细信息,请参阅 dsregcmd 命令 - 设备状态

  • 将基于 Internet 的客户端Microsoft Entra身份验证与 CMG 配合使用的主要要求之一是将站点与Microsoft Entra ID 集成。 已在 上一步中完成了该操作。

  • 还有一些其他要求,具体取决于你的环境:

    • 为混合标识启用用户发现方法
    • 在管理点上启用 ASP.NET 4.5
    • 配置客户端设置

有关这些先决条件的详细信息,请参阅使用 Microsoft Entra ID 安装客户端

PKI 证书

如果具有可向设备颁发客户端身份验证证书的公钥基础结构 (PKI) ,请使用这些步骤。

CMG 连接点上可能需要此证书。 有关详细信息,请参阅 CMG 连接点

颁发证书

从 PKI 创建并颁发此证书,该证书位于 Configuration Manager 上下文之外。 例如,可以使用 Active Directory 证书服务和组策略自动向已加入域的设备颁发客户端身份验证证书。 有关详细信息,请参阅 PKI 证书的示例部署:部署客户端证书

CMG 客户端身份验证证书支持以下配置:

  • 2048 位或 4096 位密钥长度

  • 此证书支持证书私钥的密钥存储提供程序 (v3) 。 有关详细信息,请参阅 CNG v3 证书概述

导出客户端证书的受信任根

CMG 必须信任客户端身份验证证书才能与客户端建立 HTTPS 通道。 若要实现此信任,请导出受信任的根证书链。 然后在 Configuration Manager 控制台中创建 CMG 时提供这些证书。

请确保导出信任链中的所有证书。 例如,如果客户端身份验证证书由中间 CA 颁发,请导出中间和根 CA 证书。

注意

当任何客户端使用 PKI 证书进行身份验证时,导出此证书。 当所有客户端都使用Microsoft Entra ID 或令牌进行身份验证时,不需要此证书。

向计算机颁发客户端身份验证证书后,在该计算机上使用此过程导出受信任的根证书。

  1. 打开“开始”菜单。 键入“运行”以打开“运行”窗口。 打开 mmc

  2. 在“文件”菜单中,选择 “添加/删除管理单元...”

  3. 在“添加或删除管理单元”对话框中,选择“ 证书”,然后选择“ 添加”。

    1. 在“证书”管理单元对话框中,选择“ 计算机帐户”,然后选择“ 下一步”。

    2. 在“选择计算机”对话框中,选择“ 本地计算机”,然后选择“ 完成”。

    3. 在“添加或删除管理单元”对话框中,选择“ 确定”。

  4. 展开 “证书”,展开“ 个人”,然后选择“ 证书”。

  5. 选择其预期用途为 客户端身份验证的证书。

    1. 从“操作”菜单中选择“ 打开”。

    2. 转到“ 认证路径 ”选项卡。

    3. 选择链上的下一个证书,然后选择“ 查看证书”。

  6. 在此新的“证书”对话框中,转到“ 详细信息 ”选项卡。选择“ 复制到文件...”

  7. 使用默认证书格式 DER 编码的二进制 X.509 ( 完成证书导出向导。CER) 。 记下导出证书的名称和位置。

  8. 导出原始客户端身份验证证书的证书路径中的所有证书。 记下哪些导出的证书是中间 CA,哪些证书是受信任的根 CA。

CMG 连接点

若要安全地转发客户端请求,CMG 连接点需要与管理点建立安全连接。 如果使用 PKI 客户端身份验证,并且已启用 Internet 的管理点为 HTTPS,请向具有 CMG 连接点角色的站点系统服务器颁发客户端身份验证证书。

注意

在以下情况下,CMG 连接点不需要客户端身份验证证书:

  • 客户端使用Microsoft Entra身份验证。
  • 客户端使用Configuration Manager基于令牌的身份验证。
  • 站点使用增强型 HTTP。

有关详细信息,请参阅 为 HTTPS 启用管理点

站点令牌

如果无法加入设备来Microsoft Entra ID 或使用 PKI 客户端身份验证证书,请使用Configuration Manager基于令牌的身份验证。 有关详细信息或创建批量注册令牌,请参阅 云管理网关的基于令牌的身份验证

为 HTTPS 启用管理点

根据站点的配置方式以及选择的客户端身份验证方法,可能需要重新配置已启用 Internet 的管理点。 有两个选项:

  • 为站点配置增强型 HTTP,并为 HTTP 配置管理点
  • 配置 HTTPS 的管理点

为增强型 HTTP 配置站点

使用站点选项为 HTTP 站点系统使用Configuration Manager生成的证书时,可以为 HTTP 配置管理点。 启用增强型 HTTP 时,站点服务器将生成名为 SMS 角色 SSL 证书的自签名证书。 此证书由根 SMS 颁发证书颁发 。 管理点将此证书添加到绑定到端口 443 的 IIS 默认网站。

使用此选项,内部客户端可以继续使用 HTTP 与管理点通信。 使用 Microsoft Entra ID 或客户端身份验证证书的基于 Internet 的客户端可以通过 HTTPS 通过 CMG 与此管理点进行安全通信。

有关详细信息,请参阅 增强型 HTTP

配置 HTTPS 的管理点

若要为 HTTPS 配置管理点,请先为其颁发 Web 服务器证书。 然后为 HTTPS 启用角色。

  1. 从 PKI 或第三方提供程序创建并颁发 Web 服务器证书,该证书不在 Configuration Manager 上下文中。 例如,使用 Active Directory 证书服务和组策略向具有管理点角色的站点系统服务器颁发 Web 服务器证书。 有关详细信息,请参阅以下文章:

  2. 在管理点角色的属性上,将客户端连接设置为 HTTPS

    提示

    设置 CMG 后,你将为此管理点配置其他设置。

如果环境有多个管理点,则无需为 CMG 启用 HTTPS。 将已启用 CMG 的管理点配置为 仅限 Internet。 然后,本地客户端不会尝试使用它们。

管理点客户端连接模式摘要

这些表汇总了管理点是否需要 HTTP 还是 HTTPS,具体取决于客户端的类型。 它们使用以下术语:

  • 工作组:设备未加入域或Microsoft Entra ID,但具有客户端身份验证证书
  • 已加入 AD 域:将设备加入本地 Active Directory域。
  • 已加入Microsoft Entra:也称为已加入云域,可将设备加入Microsoft Entra租户。 有关详细信息,请参阅已加入Microsoft Entra设备
  • 混合联接:将设备加入本地 Active Directory,并使用Microsoft Entra ID 注册设备。 有关详细信息,请参阅Microsoft Entra混合联接设备
  • HTTP:在管理点属性上,将客户端连接设置为 HTTP
  • HTTPS:在管理点属性上,将客户端连接设置为 HTTPS
  • E-HTTP:在“站点属性”“通信安全性”选项卡上,将站点系统设置设置为“HTTPS”或“HTTP”,并启用“为 HTTP 站点系统使用Configuration Manager生成的证书”选项。 为 HTTP 配置管理点,HTTP 管理点已准备好进行 HTTP 和 HTTPS 通信。

重要

从 Configuration Manager 版本 2103 开始,将弃用允许 HTTP 客户端通信的站点。 为 HTTPS 或增强 HTTP 配置站点。 有关详细信息,请参阅 为仅 HTTPS 或增强的 HTTP 启用站点

对于与 CMG 通信的基于 Internet 的客户端

配置本地管理点,以允许通过 CMG 使用以下客户端连接模式进行连接:

基于 Internet 的客户端 管理点
工作组 说明 1 E-HTTP、HTTPS
AD 域加入 说明 1 E-HTTP、HTTPS
已加入Microsoft Entra E-HTTP、HTTPS
混合联接 E-HTTP、HTTPS

注意

注意 1:此配置要求客户端具有 客户端身份验证证书,并且仅支持以设备为中心的方案。

对于与本地管理点通信的本地客户端

使用以下客户端连接模式配置本地管理点:

本地客户端 管理点
工作组 HTTP、HTTPS
已加入 AD 域 HTTP、HTTPS
已加入Microsoft Entra HTTPS
混合联接 HTTP、HTTPS

注意

本地 AD 域加入客户端支持以设备和用户为中心的方案与 HTTP 或 HTTPS 管理点通信。

对于以设备为中心的方案,本地Microsoft Entra联接和混合联接的客户端可以通过 HTTP 进行通信,但需要 E-HTTP 或 HTTPS 才能实现以用户为中心的方案。 否则,它们的行为与工作组客户端相同。

后续步骤

现在可以在 Configuration Manager 中创建 CMG: