CMG 客户端身份验证
适用于: Configuration Manager(current branch)
连接到云管理网关 (CMG) 的客户端可能位于不受信任的公共 Internet 上。 由于客户端的来源,它们具有更高的身份验证要求。 使用 CMG 进行标识和身份验证有三个选项:
- Microsoft Entra ID
- PKI 证书
- Configuration Manager站点颁发的令牌
下表汇总了每种方法的关键因素:
Microsoft Entra ID | PKI 证书 | 站点令牌 | |
---|---|---|---|
ConfigMgr 版本 | 全部支持 | 全部支持 | 全部支持 |
Windows 客户端版本 | Windows 10 或更高版本 | 全部支持 | 全部支持 |
方案支持 | 用户和设备 | 仅限设备 | 仅限设备 |
管理点 | E-HTTP 或 HTTPS | E-HTTP 或 HTTPS | E-HTTP 或 HTTPS |
Microsoft 建议将设备联接到Microsoft Entra ID。 基于 Internet 的设备可以通过Configuration Manager使用Microsoft Entra新式身份验证。 它还支持设备和用户方案,无论设备是在 Internet 上还是连接到内部网络。
可以使用一个或多个方法。 所有客户端不必使用相同的方法。
选择哪种方法,可能还需要重新配置一个或多个管理点。 有关详细信息,请参阅 为 CMG 配置客户端身份验证。
Microsoft Entra ID
如果基于 Internet 的设备运行Windows 10或更高版本,请考虑将Microsoft Entra新式身份验证与 CMG 配合使用。 此身份验证方法是唯一一种启用以用户为中心的方案的方法。 例如,将应用部署到用户集合。
首先,设备需要已加入云域或Microsoft Entra混合联接,并且用户还需要Microsoft Entra标识。 如果组织已在使用Microsoft Entra标识,则应设置此先决条件。 如果没有,请与 Azure 管理员联系,以规划基于云的标识。 有关详细信息,请参阅Microsoft Entra设备标识。 在该过程完成之前,请考虑使用 CMG 对基于 Internet 的客户端进行基于 令牌的身份验证 。
还有一些其他要求,具体取决于你的环境:
- 为混合标识启用用户发现方法
- 在管理点上启用 ASP.NET 4.5
- 配置客户端设置
有关这些先决条件的详细信息,请参阅使用 Microsoft Entra ID 安装客户端。
注意
如果设备位于与具有 CMG 计算资源订阅的租户分开的Microsoft Entra租户中,则从版本 2010 开始,可以禁用与用户和设备不关联的租户的身份验证。 有关详细信息,请参阅 配置 Azure 服务。
PKI 证书
如果你有可向设备颁发客户端身份验证证书的公钥基础结构 (PKI) ,请考虑使用 CMG 对基于 Internet 的设备使用此身份验证方法。 它不支持以用户为中心的方案,但支持运行任何受支持的 Windows 版本的设备。
提示
已加入混合域或云域的 Windows 设备不需要此证书,因为它们使用Microsoft Entra ID 进行身份验证。
CMG 连接点上可能还需要此证书。
站点令牌
如果无法加入设备来Microsoft Entra ID 或使用 PKI 客户端身份验证证书,请使用Configuration Manager基于令牌的身份验证。 站点颁发的客户端身份验证令牌适用于所有受支持的客户端 OS 版本,但仅支持设备方案。
如果客户端偶尔连接到内部网络,则会自动为它们颁发令牌。 他们需要直接与本地管理点通信才能向站点注册并获取此客户端令牌。
如果无法在内部网络上注册客户端,则可以创建和部署批量注册令牌。 批量注册令牌使客户端能够最初安装和与站点通信。 此初始通信足够长,站点可以向客户端颁发其自己的唯一客户端身份验证令牌。 然后,当站点在 Internet 上时,客户端会使用其身份验证令牌与站点进行所有通信。
后续步骤
接下来,设计如何在层次结构中使用 CMG: