Was Administratoren über die CMG-Client-Authentifizierung wissen müssen

Während viele Mitarbeiter zu einer Remote-Arbeitsroutine übergegangen sind, hat sich die Aufgabe der IT nicht verändert: Halten Sie die Geräte des Unternehmens instand, egal wo sie sich befinden.

Die Coronavirus-Pandemie hat eine ungezählte Anzahl von Mitarbeitern dazu veranlasst, von zu Hause aus zu arbeiten, was es schwieriger macht, sicherzustellen, dass Arbeits-Laptops konform bleiben und eine Sicherheitsbasis einhalten. Um dieses Vorhaben zu unterstützen, können Sie das Cloud Management Gateway (CMG)-Feature in System Center Configuration Manager (SCCM) verwenden. Ein häufiges SCCM-Problem besteht darin, dass der Client in der SCCM-Konsole als “unbekannt” angezeigt wird, wenn die VPN-Verbindung des Clients unterbrochen wird oder nicht verwendet wird. Die Verwendung eines CMG wird dieses Problem lösen, aber Sie müssen entscheiden, welche der drei Client-Authentifizierungsoptionen basierend auf Ihren spezifischen Anforderungen und Ihrem Setup am besten funktioniert.

Wie kommunizieren Kunden mit dem CMG?

Da der Zweck eines CMG darin besteht, Internetgeräte mit SCCM zu verbinden, müssen Sie die Clientkommunikation mit dem Dienst sichern. Internetclients haben keinen Kontakt mit dem lokalen Verwaltungspunkt in SCCM. Clientverbindungen über VPN zählen eher als Intranetverbindung als als Internetverbindung.
Traditionell würden Sie Zertifikate verwenden, die von der PKI. SCCM-Administratoren haben jedoch zwei zusätzliche Authentifizierungsoptionen: über Azure Active Directory (AD) oder tokenbasierte Authentifizierung. Sie sind nicht auf eine Authentifizierungsoption beschränkt; jeder Client kann eine andere Authentifizierungsmethode verwenden.

  Client-Authentifizierungsoptionen für das Cloud-Management-Gateway

Was Sie über die CMG Azure AD-Authentifizierung wissen müssen

Die Azure AD-Clientauthentifizierung funktioniert sowohl für mit Azure AD verbundene als auch für hybrid verbundene Geräte. Dies ist die Empfehlung von Microsoft, wenn Sie ein CMG verwenden und die Clients authentifizieren müssen.
Voraussetzungen für die Azure AD-Authentifizierung sind:

  • Geräte, auf denen Windows 10 ausgeführt wird;
  • Geräte, die mit Azure AD verbunden oder hybrid verbunden sind;
  • SCCM konfiguriert die Client-Einstellungen;
  • .NET Framework 4.5 ist auf dem SCCM-Verwaltungspunkt installiert; und
  • Aktivieren Sie für Hybrididentitäten Benutzererkennungsmethoden in SCCM.

Was Sie über die CMG PKI-Authentifizierung wissen müssen

Die Absicherung der Clientauthentifizierung durch Zertifikate, die über eine interne PKI bereitgestellt werden, ist eine weitere Option für die CMG-Clientauthentifizierung.
Dieses Szenario passt, wenn:

  • Sie verfügen bereits über eine PKI-Infrastruktur, um Zertifikate an Ihre Geräte zu verteilen;
  • Sie benötigen keine Unterstützung für die Benutzeridentität – es werden nur Geräte unterstützt; und
  • Ihre Kunden verbinden sich normalerweise über das Büro oder VPN mit dem Intranet.

Was Sie über die tokenbasierte CMG-Authentifizierung wissen müssen

Bei dieser Methode wird die Client-Authentifizierung über Authentifizierungstoken, die von SCCM über das Intranet oder das Internet bereitgestellt werden.
Voraussetzungen für die tokenbasierte Authentifizierung sind:

  • SCCM 2002 oder höher;
  • SCCM-Clients müssen sich für eine vollständige Unterstützung auf derselben SCCM-Version wie der primäre Standort befinden;
  • ein aktives Azure-Abonnement;
  • globale Administratorrechte in Azure;
  • ein Server-Authentifizierungszertifikat; und
  • ein eindeutiger DNS-Name für das CMG.

Warum sollten Sie die tokenbasierte Authentifizierung verwenden?

Microsoft hat mit SCCM 2002 die tokenbasierte Authentifizierung für das CMG eingeführt.
Die tokenbasierte Authentifizierung basiert nicht auf Zertifikaten oder einer Verbindung mit Azure AD. Daher ist es eine geeignete Clientauthentifizierungsmethode, wenn Sie diese Voraussetzungen in anderen Authentifizierungsoptionen nicht erfüllen können.
Einige Szenarien, die tokenbasierte Authentifizierung löst, sind:

  • Clients im Internet verbinden sich selten mit dem lokalen Intranet;
  • Clients können Azure AD nicht beitreten; oder
  • Clients haben keine Möglichkeit, Zertifikate zu erhalten.

Die Vorteile der tokenbasierten Clientauthentifizierung sind:

  • es beseitigt die Anforderung eines Client-Authentifizierungszertifikats;
  • Mitleitung wird für das CMG-Setup nicht benötigt; und
  • das Gerät muss nicht Azure Active Directory beitreten.

Clients registrieren sich für ein Authentifizierungstoken entweder mit einer internen Netzwerkregistrierung oder einer Massenregistrierung über das Internet.
Das Client-Authentifizierungstoken wird jeden Monat erneuert und bleibt 90 Tage gültig. Es ist nicht erforderlich, eine Verbindung zum internen Netzwerk herzustellen, um dieses Token zu erneuern.

So funktioniert die Token-Registrierung

Die interne Netzwerkregistrierung ist das Standardverhalten für die tokenbasierte Authentifizierung und erfordert keine Konfigurationsarbeit von Administratoren.
Die Tokenregistrierung erfolgt über das interne Netzwerk vom lokalen SCCM-Verwaltungspunkt, wenn ein Client eine Verbindung zum internen Netzwerk herstellt und überprüft, ob das Gerät a . verwendet selbstsigniertes Zertifikat.
Für reine Internet-Clients können Sie ein Massenregistrierungstoken verwenden. Bei dieser Methode muss sich der Client nie mit dem Intranet verbinden. Diese Option ist auf bestimmte Szenarien wie Fusionen und Übernahmen zugeschnitten.
Dies ist ein separates Token als das, was SCCM liefert. Der Zweck des Massenregistrierungstokens ist vielfältig: Es stellt die erste Kommunikation zwischen dem Client und dem CMG über das Internet her und authentifiziert den Client beim CMG über das selbstsignierte Authentifizierungszertifikat. Sobald dies geschieht, sendet der CMG-Dienst dem Gerät ein eindeutiges Client-Authentifizierungstoken, das für jede weitere Kommunikation verwendet wird.
Die Gültigkeit des Massenregistrierungstokens ist kurz. Es wird nicht auf der Site oder dem Client gespeichert. Sie können Massenregistrierungstoken nicht erneuern. Sie können die Massenregistrierungstoken überwachen und bei Bedarf direkt entfernen von der SCCM-Konsole.
Sie können Geräte mit dem BulkRegistrationTokenTool.exe Werkzeug befindet sich im binx64-Ordner der Installation des primären SCCM-Standortservers.

Similar Posts

Leave a Reply