云管理网关的安全和隐私

适用于: Configuration Manager(current branch)

本文包括Configuration Manager云管理网关 (CMG) 的安全和隐私信息。 有关详细信息,请参阅 云管理网关概述

安全详细信息

CMG 接受和管理来自 CMG 连接点的连接。 它使用证书和连接 ID 进行相互身份验证。

CMG 使用以下方法接受和转发客户端请求:

  • 使用基于 PKI 的客户端身份验证证书或Microsoft Entra ID 使用相互 HTTPS 对连接进行预身份验证。

    • CMG VM 实例上的 IIS 根据上传到 CMG 的受信任根证书验证证书路径。

    • 如果启用证书吊销,VM 实例上的 IIS 也会验证客户端证书吊销。 有关详细信息,请参阅 发布证书吊销列表

  • 证书信任列表 (CTL) 检查客户端身份验证证书的根。 它还执行与客户端的管理点相同的验证。 有关详细信息,请参阅 查看站点证书信任列表中的条目

  • 验证和筛选客户端请求 (URL) ,以检查是否有任何 CMG 连接点可以为请求提供服务。

  • 检查每个发布终结点的内容长度。

  • 使用轮循机制行为对同一站点中的 CMG 连接点进行负载均衡。

CMG 连接点使用以下方法:

  • 与 CMG 的所有 VM 实例建立一致的 HTTPS/TCP 连接。 它每隔一分钟检查和维护这些连接。

  • 使用证书对 CMG 使用相互身份验证。

  • 根据 URL 映射转发客户端请求。

  • 报告连接状态以在控制台中显示服务运行状况状态。

  • 每五分钟报告一次终结点的流量。

Configuration Manager轮换 CMG 的存储帐户密钥。 此过程每 180 天自动发生一次。

安全机制和保护

Azure 中的 CMG 资源是 Azure 平台即服务 (PaaS) 的一部分。 它们受到与 Azure 中所有其他资源相同的保护方式和默认保护。 不支持更改 Azure 中 CMG 资源或体系结构的任何配置。 这些更改包括在 CMG 前面使用任何类型的防火墙,在流量到达 CMG 之前拦截、筛选或以其他方式处理流量。 发往 CMG 的所有流量都通过 Azure 负载均衡器进行处理。 作为虚拟机规模集的 CMG 部署受 Microsoft Defender for Cloud 的保护。

服务主体和身份验证

服务主体由服务器应用注册Microsoft Entra ID 进行身份验证。 此应用也称为 Web 应用。 创建 CMG 时自动创建此应用注册,或者由 Azure 管理员提前手动创建。 有关详细信息,请参阅为 CMG 手动注册Microsoft Entra应用

Azure 应用的密钥已加密并存储在 Configuration Manager 站点数据库中。 在安装过程中,服务器应用具有对 Microsoft 图形 API的“读取目录数据”权限。 它还对托管 CMG 的资源组具有参与者角色。 每当应用需要访问 Microsoft Graph 等资源时,它都会从 Azure 获取访问令牌,该令牌用于访问云资源。

Microsoft Entra ID 可以自动轮换这些应用的密钥,也可以手动轮换。 当密钥发生更改时,需要续订Configuration Manager中的密钥

有关详细信息,请参阅 应用注册的用途

Configuration Manager面向客户端的角色

IIS 中为客户端请求提供服务的管理点和软件更新点主机终结点。 CMG 不会公开所有内部终结点。 发布到 CMG 的每个终结点都有一个 URL 映射。

  • 外部 URL 是客户端用于与 CMG 通信的 URL。

  • 内部 URL 是用于将请求转发到内部服务器的 CMG 连接点。

URL 映射示例

在管理点上启用 CMG 流量时,Configuration Manager为每个管理点服务器创建一组内部 URL 映射。 例如:ccm_system、ccm_incoming和sms_mp。 管理点ccm_system终结点的外部 URL 可能如下所示:
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
每个管理点的 URL 都是唯一的。 然后,Configuration Manager客户端将已启用 CMG 的管理点名称放入其 Internet 管理点列表中。 此名称如下所示:
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
站点会自动将所有已发布的外部 URL 上传到 CMG。 此行为允许 CMG 执行 URL 筛选。 所有 URL 映射都复制到 CMG 连接点。 然后,它会根据来自客户端请求的外部 URL 将通信转发到内部服务器。

安全指南

发布证书吊销列表

(CRL) 发布 PKI 的证书吊销列表,以供基于 Internet 的客户端访问。 使用 PKI 部署 CMG 时,请在“设置”选项卡上将服务配置为 验证客户端证书吊销 。此设置将服务配置为使用已发布的 CRL。 有关详细信息,请参阅 规划 PKI 证书吊销

此 CMG 选项验证客户端身份验证证书。

  • 如果客户端使用Microsoft Entra ID 或Configuration Manager基于令牌的身份验证,则 CRL 并不重要。

  • 如果使用 PKI 并在外部发布 CRL,则启用此选项 (建议) 。

  • 如果使用 PKI,请不要发布 CRL,然后禁用此选项。

  • 如果错误配置此选项,可能会导致更多流量从客户端发到 CMG。 此流量会增加 Azure 出口数据,从而增加 Azure 成本。

查看站点证书信任列表中的条目

每个Configuration Manager站点都包含受信任的根证书颁发机构列表,证书信任列表 (CTL) 。 查看和修改列表,方法是转到 “管理 ”工作区,展开“ 站点配置”,然后选择“ 站点”。 选择一个网站,然后在功能区中选择 “属性 ”。 切换到“ 通信安全性 ”选项卡,然后选择“受信任的根证书颁发机构”下的 “设置 ”。

使用 PKI 客户端身份验证对具有 CMG 的站点使用限制性更高的 CTL。 否则,将自动接受具有由管理点上已存在的任何受信任的根颁发的客户端身份验证证书的客户端进行客户端注册。

此子集为管理员提供了对安全性的更多控制。 CTL 将服务器限制为仅接受 CTL 中证书颁发机构颁发的客户端证书。 例如,Windows 附带许多公共和全局受信任的证书提供程序的证书。 默认情况下,运行 IIS 的计算机信任链接到这些已知证书颁发机构的证书 (CA) 。 如果不使用 CTL 配置 IIS,任何具有从这些 CA 颁发的客户端证书的计算机都将被接受为有效的Configuration Manager客户端。 如果使用不包含这些 CA 的 CTL 配置 IIS,则如果证书链接到这些 CA,则会拒绝客户端连接。

强制实施 TLS 1.2

使用 CMG 设置 强制实施 TLS 1.2。 它仅适用于 Azure 云服务 VM。 它不适用于任何本地Configuration Manager站点服务器或客户端。

更新汇总版本 2107 开始,此设置也适用于 CMG 存储帐户。

有关 TLS 1.2 的详细信息,请参阅 如何启用 TLS 1.2

使用基于令牌的身份验证

如果设备具有以下一个或多个条件,请考虑使用Configuration Manager基于令牌的身份验证:

  • 不经常连接到内部网络的基于 Internet 的设备
  • 设备无法加入Microsoft Entra ID
  • 你没有安装 PKI 颁发的证书的方法

使用基于令牌的身份验证,站点会自动为在内部网络上注册的设备颁发令牌。 可以为基于 Internet 的设备创建批量注册令牌。 有关详细信息,请参阅 CMG 的基于令牌的身份验证