共用方式為

在 Configuration Manager 中規劃以因特網為基礎的用戶端管理

  • 發行項

適用於:Configuration Manager (目前的分支)

使用以因特網為基礎的用戶端管理 (IBCM) ,在用戶端未連線到您的內部網路時管理 Configuration Manager 用戶端。 使用 IBCM 的優點:

  • 完全控制提供服務的伺服器和角色
  • 沒有雲端服務相依性
  • 可能不需要虛擬專用網 (VPN)
  • 所有成本都與內部部署服務相關聯

由於管理公用網路上用戶端計算機的安全性需求較高,因此IBCM需要使用 PKI 憑證。 此設定可確保連線是由獨立授權單位驗證。 當IBCM用戶端和月臺伺服器傳送數據時,數據會經過加密且安全。

用戶端通訊

主要站臺上的下列月台系統角色支援來自位於不受信任位置之用戶端的連線:

注意事項

雖然IBCM主要著重於以因特網為基礎的案例,但相同的行為也適用於不受信任 Active Directory 樹系中的用戶端。 次要月臺不支援來自不受信任位置的用戶端連線。

  • Configuration Manager 原則模組的憑證註冊點 (NDES)

    警告

    從2203版開始,不再支持憑證登錄點。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

  • 發佈點

  • 啟用內容的雲端管理閘道 (CMG)

  • 註冊 Proxy 點

  • 後援狀態點

  • 管理點

  • 軟體更新點

關於因特網對向月台系統

用戶端的樹系與月台系統伺服器的樹系之間不需要信任。 不過,當包含因特網對向月臺系統的樹系信任包含使用者帳戶的樹系時,當您啟用 [ 客戶 端原則用戶端] 設定 [ 啟用來自因特網用戶端的用戶原則要求] 時,此設定支援因特網上裝置的使用者型原則。

例如,下列設定說明IBCM何時支援因特網上裝置的用戶原則:

  • 以因特網為基礎的管理點位於周邊網路中。 該網路也有只讀域控制器來驗證使用者。 周邊和內部網路之間的防火牆允許 Active Directory 封包。

  • 用戶帳戶位於以內部網路為基礎的樹系中。 以因特網為基礎的管理點位於周邊樹系中。 周邊樹系信任內部樹系。 周邊和內部網路之間的防火牆允許驗證封包。

  • 用戶帳戶和以因特網為基礎的管理點都位於以內部網路為基礎的樹系中。 您可以使用 Web Proxy 伺服器將管理點發佈至因特網。

使用 Web Proxy 伺服器

當您使用 Web Proxy 伺服器將其發佈至因特網時,可以將以因特網為基礎的月臺系統放在內部網路中。 將這些站台系統設定為僅限來自因特網的用戶端連線,或來自因特網和內部網路的用戶端連線。 當您使用 Web Proxy 伺服器時,您可以將它設定為安全套接字層 (SSL) 橋接至 SSL 或 SSL 通道。

SSL 橋接至 SSL

SSL 橋接至 SSL 是建議且更安全的組態,因為它會使用 SSL 終止搭配驗證。 它會使用計算機驗證來驗證客戶端電腦。 您向 Configuration Manager 註冊的行動裝置不支援 SSL 橋接。

在 Proxy 終止 SSL 時,它會先檢查來自因特網的封包,再將封包轉送到內部網路。 Proxy 會驗證來自用戶端的連線、將其終止,然後開啟與以因特網為基礎的月台系統的新驗證連線。 當 Configuration Manager 用戶端使用 Proxy 時,用戶端會在封包承載中安全地包含其身分識別 (GUID) 。 管理點不會將 Proxy 視為用戶端。 Configuration Manager 不支援使用 HTTP 橋接至 HTTPS 或從 HTTPS 到 HTTP。

注意事項

Configuration Manager 不支持設定第三方 SSL 橋接組態。 例如,Citrix Netscaler 或 F5 BIG-IP。 請與您的裝置廠商合作,將它設定為與 Configuration Manager 搭配使用。

隧道

如果您的 Proxy 網頁伺服器無法支援 SSL 橋接的需求,Configuration Manager 也支援 SSL 通道。 您也可以使用 SSL 通道來支援使用 Configuration Manager 註冊的行動裝置。 這是較不安全的選項,因為 Proxy 會將 SSL 封包從因特網轉送到月台系統,而不會終止 SSL。 Proxy 不會檢查封包中的惡意內容。 當您使用 SSL 通道時,Proxy Web 伺服器沒有任何憑證需求。

規劃以因特網為基礎的用戶端

決定是否要設定以因特網為基礎的用戶端,以便在內部網路和因特網上進行管理,或設定僅限因特網的用戶端管理。 您只能在用戶端安裝期間設定此管理選項。 若要稍後變更,請重新安裝用戶端。

注意事項

如果您設定管理點以支援以因特網為基礎的用戶端,則連線到此管理點的用戶端會在下次重新整理其可用管理點清單時變成具備因特網功能。

您不需要將僅限因特網用戶端管理的設定限制為因特網。 您也可以在內部網路上使用它。

您設定為僅限因特網管理的用戶端,只會與您設定從因特網進行用戶端連線的月台系統通訊。 在下列案例中使用此設定:

  • 對於您知道永遠不會連線到內部網路的計算機。 例如,遠端位置的銷售點計算機。
  • 將客戶端通訊限制為僅限 HTTPS。 例如,若要支援防火牆和受限制的安全策略。
  • 當您在周邊網路中安裝以因特網為基礎的月台系統時,您想要以 Configuration Manager 用戶端身分管理這些伺服器。

注意事項

當您想要管理因特網上的工作組用戶端時,請將它們安裝為僅限因特網。

當您將行動裝置設定為使用以因特網為基礎的管理點時,它會自動設定為僅限因特網。

您可以為因特網和內部網路用戶端管理設定其他用戶端。 當他們偵測到網路變更時,會自動在IBCM與內部網路用戶端管理之間切換。 如果這些客戶端可以尋找並連線到支援內部網路上用戶端連線的管理點,則這些用戶端會以內部網路用戶端身分進行管理。 內部網路用戶端具有完整的 Configuration Manager 功能。 如果用戶端找不到或無法連線到支援內部網路上用戶端連線的管理點,則會嘗試連線到以因特網為基礎的管理點。 如果此動作成功,則這些用戶端會由其指派站台中的因特網型月臺系統管理。

自動切換的好處是用戶端可以在連線到內部網路時使用所有功能,並在客戶端位於因特網上時接收基本管理。 從因特網開始的內容下載可以在內部網路上順暢地繼續進行,相反地。

必要條件

Configuration Manager 中的 IBCM 具有下列相依性:

  • 用戶端需要因特網連線。 Configuration Manager 使用裝置現有的因特網連線。 行動裝置必須有直接因特網連線。 完整客戶端電腦可以有直接因特網連線,或使用 Proxy 網頁伺服器進行連線。

  • 支援IBCM的站台系統需要因特網連線,且必須位於Active Directory網域中。 以因特網為基礎的月臺系統不需要與月台伺服器的Active Directory 樹系建立信任關係。 不過,當以因特網為基礎的管理點可以使用 Windows 驗證 來驗證使用者時,它支援用戶原則。 如果 Windows 驗證 失敗,它只支援裝置原則。

    注意事項

    若要支援用戶原則,也請在客戶端設定:

    • 在用戶端上啟用用戶原則輪詢
    • 啟用來自因特網用戶端的用戶原則要求

  • 公鑰基礎結構 (PKI) ,以部署和管理因特網型用戶端和站台系統伺服器所需的憑證。 如需詳細資訊,請參閱 PKI 憑證需求

  • (支援 IBCM 之站台系統的 FQDN) ,註冊因特網完整功能變數名稱的公用 DNS 主機專案。

  • 在月臺內容的 [通訊安全性] 索引標籤上提供時,啟用 [使用 PKI 用戶端憑證 (用戶端驗證功能] 選項) 。 這是必要選項。

用戶端通訊需求

介入防火牆或 Proxy 伺服器必須允許以因特網為基礎的月台系統的用戶端通訊:

  • 支援 HTTP 1.1

  • 允許多部分MIME附件的 HTTP 內容類型 (multipart/mixed 和 application/octet-stream)

動詞

針對以因特網為基礎的月臺系統伺服器角色,允許下列動詞:

角色 動詞
管理點 -頭
- CCM_POST
- BITS_POST
-獲取
- PROPFIND
發佈點 -頭
-獲取
- PROPFIND
後援狀態點 POST

HTTP 標頭

針對以因特網為基礎的月台系統伺服器角色,允許下列 HTTP 標頭:

角色 HTTP 標頭
管理點 -範圍:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
發佈點 範圍:

如需從因特網使用軟體更新點進行用戶端連線時的類似通訊需求,請參閱 Windows Server Update Services (WSUS) 檔。

不支援的功能

並非所有用戶端管理功能都適用於因特網。 Configuration Manager 不支援因特網上用戶端的某些功能。 這些不支援的功能通常依賴 Active Directory 網域服務 或不適用於公用網路。

當您使用 IBCM 管理因特網上的用戶端時,不支援下列功能:

  • 透過因特網進行用戶端部署,例如用戶端推送和以軟體更新為基礎的用戶端部署。 使用手動用戶端安裝。

  • 自動月臺指派

  • 網路喚醒

  • OS 部署。 不過,您可以部署不會部署OS的工作順序。

  • 遠端控制

  • 軟體部署給使用者。 這項功能依賴不再支援的應用程式類別目錄。

  • 用戶端漫遊。 漫遊可讓用戶端一律尋找最接近的發佈點來下載內容。 用戶端不具決定性地選取其中一個以因特網為基礎的月臺系統,不論頻寬或實體位置為何。

當您設定軟體更新點以接受來自因特網的連線時,以因特網為基礎的用戶端一律會掃描此軟體更新點,以判斷需要哪些軟體更新。 當這些客戶端位於因特網上時,他們會先嘗試從 Microsoft Update 下載軟體更新,而不是從以因特網為基礎的發佈點下載軟體更新。 如果此行為失敗,他們會嘗試從以因特網為基礎的發佈點下載必要的軟體更新。

提示

Configuration Manager 客戶端會自動判斷其位於內部網路或因特網上。 如果用戶端可以連絡域控制器或內部部署管理點,它會將其連線類型設定為「目前 內部網路」。 否則,它會切換至「目前因 特網」,並與指派給其月臺的月臺系統通訊。