CMG 用戶端驗證
適用於:Configuration Manager (目前的分支)
連線到雲端管理閘道 (CMG) 的用戶端可能位於不受信任的公用因特網上。 由於用戶端的來源,因此具有較高的驗證需求。 使用 CMG 進行身分識別和驗證有三個選項:
- Microsoft Entra ID
- PKI 憑證
- Configuration Manager 網站發行的令牌
下表摘要說明每個方法的主要因素:
| Microsoft Entra ID | PKI 憑證 | 網站令牌 | |
|---|---|---|---|
| ConfigMgr 版本 | 全部支援 | 全部支援 | 全部支援 |
| Windows 用戶端版本 | Windows 10 或更新版本 | 全部支援 | 全部支援 |
| 案例支援 | 用戶和裝置 | 僅限裝置 | 僅限裝置 |
| 管理點 | E-HTTP 或 HTTPS | E-HTTP 或 HTTPS | E-HTTP 或 HTTPS |
Microsoft建議將裝置加入 Microsoft Entra ID。 以因特網為基礎的裝置可以搭配 Configuration Manager 使用 Microsoft Entra 新式驗證。 它也會同時啟用裝置和使用者案例,不論裝置是在因特網上,還是連線到內部網路。
您可以使用一或多個方法。 所有用戶端都不需要使用相同的方法。
您選擇哪一種方法,也可能需要重新設定一或多個管理點。 如需詳細資訊, 請參閱設定CMG的客戶端驗證。
Microsoft Entra ID
如果您的因特網型裝置 Windows 10 或更新版本執行,請考慮搭配CMG使用 Microsoft Entra 新式驗證。 此驗證方法是唯一啟用以使用者為中心的案例的方法。 例如,將應用程式部署至使用者集合。
首先,裝置必須已加入雲端網域或 Microsoft Entra 混合式加入,而且使用者也需要 Microsoft Entra 身分識別。 如果您的組織已經使用 Microsoft Entra 身分識別,則您應該使用此必要條件來設定。 如果沒有,請與您的 Azure 系統管理員洽談,以規劃雲端式身分識別。 如需詳細資訊,請參閱 Microsoft Entra 裝置身分識別。 在該程式完成之前,請考慮使用CMG針對以因特網為基礎的客戶端進行令 牌型驗證 。
視您的環境而定,還有其他一些需求:
- 啟用混合式身分識別的用戶發現方法
- 在管理點上啟用 ASP.NET 4.5
- 設定用戶端設定
如需這些必要條件的詳細資訊,請參閱使用 Microsoft Entra ID 安裝用戶端。
注意事項
如果您的裝置位於與具有 CMG 計算資源訂用帳戶的租使用者不同的 Microsoft Entra 租使用者中,則從 2010 版開始,您可以針對未與使用者和裝置相關聯的租使用者停用驗證。 如需詳細資訊, 請參閱設定 Azure 服務。
PKI 憑證
如果您有公鑰基礎結構 (可將用戶端驗證憑證簽發給裝置的 PKI) ,請考慮使用 CMG 針對以因特網為基礎的裝置使用此驗證方法。 它不支援以使用者為中心的案例,但支持執行任何支援 Windows 版本的裝置。
提示
混合式或已加入雲端網域的 Windows 裝置不需要此憑證,因為它們會使用 Microsoft Entra ID 進行驗證。
CMG 連接點上也可能需要此憑證。
網站令牌
如果您無法將裝置加入 Microsoft Entra ID 或使用 PKI 用戶端驗證憑證,請使用 Configuration Manager 令牌型驗證。 月臺發出的客戶端驗證令牌適用於所有支援的用戶端 OS 版本,但僅支援裝置案例。
如果客戶端偶爾會連線到您的內部網路,則會自動發出令牌。 他們必須直接與內部部署管理點通訊,以向月臺註冊並取得此用戶端令牌。
如果您無法在內部網路上註冊用戶端,您可以建立和部署大量註冊令牌。 大量註冊令牌可讓客戶端一開始安裝月臺並與之通訊。 此初始通訊的長度足以讓月臺發出用戶端自己的唯一用戶端驗證令牌。 客戶端接著會在月臺位於因特網上時,使用其驗證令牌來進行與月臺的所有通訊。
後續步驟
接下來,設計如何在階層中使用CMG: