Configurer l’authentification cliente pour la passerelle de gestion cloud

S’applique à : Configuration Manager (branche actuelle)

L’étape suivante dans la configuration d’une passerelle de gestion cloud (CMG) consiste à configurer la façon dont les clients s’authentifient. Étant donné que ces clients se connectent potentiellement au service à partir de l’Internet public non approuvé, ils ont une exigence d’authentification plus élevée. Il existe trois options :

  • Identifiant Microsoft Entra
  • Certificats PKI
  • Configuration Manager jetons émis sur le site

Cet article explique comment configurer chacune de ces options. Pour plus d’informations de base, consultez Planifier les méthodes d’authentification du client de passerelle de gestion cloud.

Identifiant Microsoft Entra

Si vos appareils Basés sur Internet s’exécutent Windows 10 ou une version ultérieure, utilisez Microsoft Entra’authentification moderne avec la passerelle de gestion cloud. Cette méthode d’authentification est la seule qui permet des scénarios centrés sur l’utilisateur.

Cette méthode d’authentification nécessite les configurations suivantes :

  • Les appareils doivent être joints à un domaine cloud ou Microsoft Entra joints hybrides, et l’utilisateur a également besoin d’une identité Microsoft Entra.

    Conseil

    Pour case activée si un appareil est joint au cloud, exécutez dsregcmd.exe /status dans une invite de commandes. Si l’appareil est Microsoft Entra joint ou hybride, le champ AzureAdjoined dans les résultats indique OUI. Pour plus d’informations, consultez commande dsregcmd - état de l’appareil.

  • L’une des principales exigences pour l’utilisation de l’authentification Microsoft Entra pour les clients Basés sur Internet avec une passerelle de gestion cloud consiste à intégrer le site avec l’ID de Microsoft Entra. Vous avez déjà effectué cette action à l’étape précédente.

  • Il existe d’autres exigences, en fonction de votre environnement :

    • Activer les méthodes de découverte des utilisateurs pour les identités hybrides
    • Activer ASP.NET 4.5 sur le point de gestion
    • Configurer des paramètres clients

Pour plus d’informations sur ces prérequis, consultez Installer des clients à l’aide de l’ID de Microsoft Entra.

Certificat PKI

Utilisez ces étapes si vous disposez d’une infrastructure à clé publique (PKI) qui peut émettre des certificats d’authentification client sur des appareils.

Ce certificat peut être requis sur le point de connexion de la passerelle de gestion cloud. Pour plus d’informations, consultez Point de connexion de passerelle de gestion cloud.

Émettre le certificat

Créez et émettez ce certificat à partir de votre infrastructure à clé publique, qui est en dehors du contexte de Configuration Manager. Par exemple, vous pouvez utiliser les services de certificats Active Directory et la stratégie de groupe pour émettre automatiquement des certificats d’authentification client sur des appareils joints à un domaine. Pour plus d’informations, consultez Exemple de déploiement de certificats PKI : Déployer le certificat client.

Le certificat d’authentification client de passerelle de gestion cloud prend en charge les configurations suivantes :

  • Longueur de clé 2048 bits ou 4 096 bits

  • Ce certificat prend en charge les fournisseurs de stockage de clés pour les clés privées de certificat (v3). Pour plus d’informations, consultez Vue d’ensemble des certificats CNG v3.

Exporter la racine approuvée du certificat client

La passerelle de gestion cloud doit approuver les certificats d’authentification client pour établir le canal HTTPS avec les clients. Pour obtenir cette approbation, exportez la chaîne de certificats racines approuvée. Fournissez ensuite ces certificats lorsque vous créez la passerelle de gestion cloud dans la console Configuration Manager.

Veillez à exporter tous les certificats dans la chaîne d’approbation. Par exemple, si le certificat d’authentification client est émis par une autorité de certification intermédiaire, exportez les certificats d’autorité de certification intermédiaire et racine.

Remarque

Exportez ce certificat lorsqu’un client utilise des certificats PKI pour l’authentification. Lorsque tous les clients utilisent un ID Microsoft Entra ou des jetons pour l’authentification, ce certificat n’est pas obligatoire.

Après avoir fourni un certificat d’authentification client à un ordinateur, utilisez ce processus sur cet ordinateur pour exporter le certificat racine approuvé.

  1. Ouvrez le menu Démarrer. Tapez « run » pour ouvrir la fenêtre Exécuter. Ouvrez mmc.

  2. Dans le menu Fichier, choisissez Ajouter/Supprimer un composant logiciel enfichable...

  3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis Ajouter.

    1. Dans la boîte de dialogue composant logiciel enfichable Certificats, sélectionnez Compte d’ordinateur, puis Suivant.

    2. Dans la boîte de dialogue Sélectionner un ordinateur, sélectionnez Ordinateur local, puis Terminer.

    3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez OK.

  4. Développez Certificats, Personnel, puis sélectionnez Certificats.

  5. Sélectionnez un certificat dont l’objectif est l’authentification du client.

    1. Dans le menu Action, sélectionnez Ouvrir.

    2. Accédez à l’onglet Chemin de certification .

    3. Sélectionnez le certificat suivant en haut de la chaîne, puis sélectionnez Afficher le certificat.

  6. Dans cette nouvelle boîte de dialogue Certificat, accédez à l’onglet Détails. Sélectionnez Copier dans un fichier...

  7. Terminez l’Assistant Exportation de certificat en utilisant le format de certificat par défaut, X.509 binaire codé de DER (. CER) . Notez le nom et l’emplacement du certificat exporté.

  8. Exportez tous les certificats dans le chemin de certification du certificat d’authentification client d’origine. Notez les certificats exportés qui sont des autorités de certification intermédiaires et ceux qui sont des autorités de certification racines approuvées.

Point de connexion de passerelle de gestion cloud

Pour transférer en toute sécurité les demandes des clients, le point de connexion de la passerelle de gestion cloud nécessite une connexion sécurisée avec le point de gestion. Si vous utilisez l’authentification du client PKI et que le point de gestion internet est HTTPS, émettez un certificat d’authentification client au serveur de système de site avec le rôle de point de connexion de passerelle de gestion cloud.

Remarque

Le point de connexion de la passerelle de gestion cloud ne nécessite pas de certificat d’authentification client dans les scénarios suivants :

  • Les clients utilisent l’authentification Microsoft Entra.
  • Les clients utilisent Configuration Manager l’authentification basée sur les jetons.
  • Le site utilise le protocole HTTP amélioré.

Pour plus d’informations, consultez Activer le point de gestion pour HTTPS.

Jeton de site

Si vous ne pouvez pas joindre des appareils à Microsoft Entra ID ou utiliser des certificats d’authentification client PKI, utilisez Configuration Manager’authentification basée sur les jetons. Pour plus d’informations ou pour créer un jeton d’inscription en bloc, consultez Authentification basée sur des jetons pour la passerelle de gestion cloud.

Activer le point de gestion pour HTTPS

Selon la façon dont vous configurez le site et la méthode d’authentification client que vous choisissez, vous devrez peut-être reconfigurer vos points de gestion internet. Il existe deux options :

  • Configurer le site pour HTTP amélioré et configurer le point de gestion pour HTTP
  • Configurer le point de gestion pour HTTPS

Configurer le site pour http amélioré

Lorsque vous utilisez l’option de site Utiliser des certificats générés Configuration Manager pour les systèmes de site HTTP, vous pouvez configurer le point de gestion pour HTTP. Lorsque vous activez http amélioré, le serveur de site génère un certificat auto-signé nommé CERTIFICAT SSL de rôle SMS. Ce certificat est émis par le certificat d’émission SMS racine. Le point de gestion ajoute ce certificat au site Web IIS par défaut lié au port 443.

Avec cette option, les clients internes peuvent continuer à communiquer avec le point de gestion à l’aide de HTTP. Les clients Basés sur Internet utilisant un ID Microsoft Entra ou un certificat d’authentification client peuvent communiquer en toute sécurité via la passerelle de gestion cloud avec ce point de gestion via HTTPS.

Pour plus d’informations, consultez HTTP amélioré.

Configurer le point de gestion pour HTTPS

Pour configurer un point de gestion pour HTTPS, commencez par lui émettre un certificat de serveur web. Activez ensuite le rôle pour HTTPS.

  1. Créez et émettez un certificat de serveur web à partir de votre infrastructure à clé publique ou d’un fournisseur tiers, qui sont en dehors du contexte de Configuration Manager. Par exemple, utilisez les services de certificats Active Directory et la stratégie de groupe pour émettre un certificat de serveur web au serveur de système de site avec le rôle de point de gestion. Si vous souhaitez en savoir plus, consultez les articles suivants :

  2. Sur les propriétés du rôle de point de gestion, définissez les connexions clientes sur HTTPS.

    Conseil

    Après avoir configuré la passerelle de gestion cloud, vous configurez d’autres paramètres pour ce point de gestion.

Si votre environnement a plusieurs points de gestion, vous n’avez pas besoin de les activer tous pour la passerelle de gestion cloud. Configurez les points de gestion compatibles avec la passerelle de gestion cloud sur Internet uniquement. Vos clients locaux n’essaient donc pas de les utiliser.

Résumé du mode de connexion client du point de gestion

Ces tables résument si le point de gestion nécessite HTTP ou HTTPS, selon le type de client. Ils utilisent les termes suivants :

  • Groupe de travail : l’appareil n’est pas joint à un domaine ou à un ID de Microsoft Entra, mais dispose d’un certificat d’authentification client.
  • Joint à un domaine AD : vous joignez l’appareil à un domaine Active Directory local.
  • Microsoft Entra joint : également appelé joint au domaine cloud, vous joignez l’appareil à un locataire Microsoft Entra. Pour plus d’informations, consultez Microsoft Entra appareils joints.
  • Jointure hybride : vous joignez l’appareil à votre Active Directory local et l’inscrivez avec votre ID Microsoft Entra. Pour plus d’informations, consultez Microsoft Entra appareils joints hybrides.
  • HTTP : sur les propriétés du point de gestion, vous définissez les connexions clientes sur HTTP.
  • HTTPS : sur les propriétés du point de gestion, vous définissez les connexions client sur HTTPS.
  • E-HTTP : dans les propriétés du site, onglet Sécurité des communications, vous définissez les paramètres du système de site sur HTTPS ou HTTP, et vous activez l’option Utiliser des certificats générés Configuration Manager pour les systèmes de site HTTP. Vous configurez le point de gestion pour HTTP, et le point de gestion HTTP est prêt pour la communication HTTP et HTTPS.

Importante

À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.

Pour les clients Basés sur Internet qui communiquent avec la passerelle de gestion cloud

Configurez un point de gestion local pour autoriser les connexions à partir de la passerelle de gestion cloud avec le mode de connexion client suivant :

Client basé sur Internet Point de gestion
Note de groupe de travail 1 E-HTTP, HTTPS
Remarque 1 jointe à un domaine AD E-HTTP, HTTPS
Microsoft Entra joint E-HTTP, HTTPS
Jointure hybride E-HTTP, HTTPS

Remarque

Remarque 1 : Cette configuration nécessite que le client dispose d’un certificat d’authentification client et ne prend en charge que les scénarios centrés sur l’appareil.

Pour les clients locaux qui communiquent avec le point de gestion local

Configurez un point de gestion local avec le mode de connexion client suivant :

Client local Point de gestion
Workgroup HTTP, HTTPS
Joint à un domaine AD HTTP, HTTPS
Microsoft Entra joint HTTPS
Jointure hybride HTTP, HTTPS

Remarque

Les clients ad locaux joints à un domaine prennent en charge les scénarios centrés sur l’appareil et l’utilisateur en communiquant avec un point de gestion HTTP ou HTTPS.

Les clients locaux Microsoft Entra joints et joints hybrides peuvent communiquer via HTTP pour les scénarios centrés sur l’appareil, mais ont besoin d’E-HTTP ou HTTPS pour activer les scénarios centrés sur l’utilisateur. Sinon, ils se comportent de la même façon que les clients de groupe de travail.

Prochaines étapes

Vous êtes maintenant prêt à créer la passerelle de gestion cloud dans Configuration Manager :