共用方式為

雲端管理閘道的令牌型驗證

  • 發行項

適用於:Configuration Manager (目前的分支)

雲端管理閘道 (CMG) 支援許多類型的用戶端,但即使使用 增強的 HTTP,這些用戶端也需要 客戶端驗證憑證。 在不常連線到內部網路、無法加入 Microsoft Entra ID,而且沒有安裝 PKI 發行憑證之方法的因特網型用戶端上布建此憑證需求可能很困難。

為了克服這些挑戰,Configuration Manager 向裝置發出自己的驗證令牌來擴充其裝置支援。 若要充分利用這項功能,請在更新月臺之後,同時將用戶端更新為最新版本。 在用戶端版本也是最新的之前,完整的案例無法運作。 如有必要,請務必將 新的用戶端版本升階至生產環境

用戶端一開始會使用下列兩種方法之一來註冊這些令牌:

  • 內部網路

  • 大量註冊

Configuration Manager 用戶端與管理點一起管理此令牌,因此用戶端層級沒有OS版本相依性。 這項功能適用於任何 支援的用戶端 OS 版本

注意事項

這些方法僅支援以裝置為中心的管理案例。

Microsoft建議將裝置加入 Microsoft Entra ID。 以因特網為基礎的裝置可以使用 Microsoft Entra ID 向 Configuration Manager 進行驗證。 它也會同時啟用裝置和使用者案例,不論裝置是在因特網上,還是連線到內部網路。 如需詳細資訊,請參閱使用 Microsoft Entra 身分識別安裝和註冊用戶端

請務必讓用戶端在用戶端設定的雲端服務群組中使用雲端管理網關。 即使使用網站令牌,如果用戶端設定不允許,用戶端仍無法與 CMG 通訊。 如需詳細資訊,請 參閱關於用戶端設定:雲端服務

內部網路註冊

此方法需要用戶端先向內部網路上的管理點註冊。 用戶端註冊通常會在安裝之後立即進行。 管理點會為用戶端提供唯一的令牌,以顯示其使用自我簽署憑證。 當用戶端漫遊到因特網時,若要與 CMG 通訊,它會將其自我簽署憑證與管理點核發的令牌配對。

此行為預設會在階層上啟用。

注意事項

使用 HTTPS 管理點時,無論因特網/內部網路管理點為何,用戶端都必須先註冊。 客戶端必須出示有效的 PKI 核發憑證、Microsoft Entra 令牌或大量註冊令牌。

大量註冊令牌

如果您無法在內部網路上安裝和註冊用戶端,請建立大量註冊令牌。 當用戶端安裝在以因特網為基礎的裝置上,並透過 CMG 註冊時,請使用此令牌。 大量註冊令牌具有簡短的有效期間,且不會儲存在用戶端或站臺上。 它可讓客戶端產生與自我簽署憑證配對的唯一令牌,讓它向 CMG 進行驗證。

注意事項

請勿將大量註冊令牌與 Configuration Manager 問題給個別用戶端的令牌混淆。 大量註冊令牌可讓客戶端一開始安裝月臺並與之通訊。 此初始通訊的長度足以讓月臺發出用戶端自己的唯一用戶端驗證令牌。 客戶端接著會在月臺位於因特網上時,使用其驗證令牌來進行與月臺的所有通訊。 除了初始註冊之外,用戶端不會使用或儲存大量註冊令牌。

若要建立大量註冊令牌,以便在以因特網為基礎的裝置上安裝客戶端期間使用,請完成下列動作:

  1. 使用本機系統管理員許可權登入階層中的頂層月台伺服器。

  2. 以系統管理員身分開啟命令提示字元。

  3. \bin\X64站臺伺服器上 Configuration Manager 安裝目錄的資料夾執行工具:BulkRegistrationTokenTool.exe。 使用 參數建立新的令牌 /new 。 例如,BulkRegistrationTokenTool.exe /new。 如需詳細資訊,請 參閱大量註冊令牌工具使用方式

  4. 複製令牌,並將它儲存在安全的位置。

  5. 在以因特網為基礎的裝置上安裝 Configuration Manager 用戶端。 包含客戶端安裝參數: /regtoken。 下列範例命令列包含其他必要的安裝參數和屬性:

    ccmsetup.exe /mp:https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCAA

    提示

    如需此命令行的詳細資訊,請參閱使用 Microsoft Entra 身分識別安裝和註冊用戶端。 此程式很類似,只是不使用 Microsoft Entra 屬性。

若要確認,請檢閱下列記錄檔中的類似專案:

Rotating internet management point, new management point [1] is: https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 (0) with capabilities: <Capabilities SchemaVersion ="1.0"><Property Name="SSL" Version="1" /></Capabilities>

若要針對安裝進行疑難解答,請檢閱 %WinDir%\ccmsetup\logs\ccmsetup.log 用戶端。 安裝之後,請檢閱 %WinDir%\ccm\logs\ClientIDManagerStartup.log

在伺服器上,檢閱下列記錄:

  • CMG 記錄
  • 管理點
    • CCM_STS.log
    • MP_RegistrationManager.log
    • ClientAuth.log

大量註冊令牌工具使用方式

BulkRegistrationTokenTool.exe工具位於\bin\X64月台伺服器上 Configuration Manager 安裝目錄的資料夾中。 登入月台伺服器,並以系統管理員身分執行。 它支援下列命令列參數:

  • /?
  • /new
  • /lifetime

/?

顯示此使用方式資訊。

範例:BulkRegistrationTokenTool.exe /?

/new

建立新的大量註冊令牌。

範例:BulkRegistrationTokenTool.exe /new

此工具會顯示下列資訊:

  • 網站用來追蹤已發行令牌的 GUID
  • 令牌有效期間,預設為三天。
  • 大量註冊令牌。

令牌不會儲存在用戶端或站臺上。 請務必從命令提示字元複製令牌,並儲存在安全的位置。

/lifetime

使用with /new 參數來指定令牌的令牌有效期間。 以分鐘為單位指定整數值。 默認值為 4,320 (三天) 。 最大值為 10,080 (七天) 。

範例:BulkRegistrationTokenTool.exe /lifetime 4320

大量註冊令牌管理

您可以在 Configuration Manager 控制台中看到先前建立的大量註冊令牌及其存留期,並視需要封鎖其使用量。 不過,月臺資料庫不會儲存大量註冊令牌。

檢閱大量註冊令牌

  1. 在 Configuration Manager 控制台中,移至 [系統管理] 工作區。

  2. 展開 [安全性],然後選取 [ 憑證 ] 節點。 主控台會在詳細數據窗格中列出所有網站相關的憑證和大量註冊令牌。

  3. 選取要檢閱的大量註冊令牌。

您可以篩選或排序 [類型] 資料 行。 根據其 GUID 識別特定的大量註冊令牌。 當您建立大量註冊令牌時,工具會顯示 GUID。

封鎖大量註冊令牌

  1. 在 Configuration Manager 控制台中,移至 [系統管理] 工作區。

  2. 展開 [安全性],選取 [憑證 ] 節點,然後選取要封鎖的大量註冊令牌。

  3. 在功能區列的 [ 常用 ] 索引標籤上,或以滑鼠右鍵按兩下作功能表,選取 [ 封鎖]。 若要解除封鎖先前封鎖的大量註冊令牌,請選取 [解除封鎖 ] 動作。

令牌簽署

用戶端在內部註冊時) 或使用大量令牌安裝時,從管理點 (取得的令牌是由 SMS 令牌簽署憑證簽署。 這是憑證管理員元件使用 SMS發行 跟證書所建立的自我簽署憑證。 Configuration Manager 發出的令牌包含SMS令牌簽署憑證的參考,除了透過CMG將要求傳送至管理點時的其他驗證標頭。

雖然通常不需要更新 SMS 發行或 SMS 令牌簽署憑證,但有一些不確定的案例可能需要更新憑證:

  • 憑證已損毀
  • SMS 發行憑證已更新
  • 月臺作系統升級,其中使用 SHA-1哈希演算法 來簽署憑證。

注意事項

如果 SMS 令牌簽署憑證已更新,使用 Configuration Manager 核發令牌的用戶端將無法進行驗證,直到提供使用較新憑證簽署的新令牌為止。

令牌更新

用戶端會每月更新唯一 Configuration Manager 發行的令牌一次,且有效期為90天。 用戶端不需要連線到內部網路即可更新其令牌。 只要令牌仍然有效,使用CMG連線到網站就已足夠。 如果令牌未在90天內更新,客戶端必須直接連線到內部網路上的管理點,才能接收新的令牌。

注意事項

令牌只會在 Configuration Manager Client 啟動期間更新。 因此,SMS 代理程式主機 (CCMExec) Service 或用戶端電腦必須至少每隔 90 天重新啟動一次。

您無法更新大量註冊令牌。 大量註冊令牌到期后,使用CMG為以因特網為基礎的裝置註冊產生新的令牌。

另請參閱