рабочий процесс проверки подлинности Microsoft Entra

Относится к Configuration Manager (Current Branch)

Эта статья является техническим справочником по процессу установки и регистрации клиента Configuration Manager на устройстве Windows, присоединенном к идентификатору Microsoft Entra. В ней подробно описан рабочий процесс проверки подлинности устройства.

Примечание.

Клиенты Windows получают сертификат присоединения к рабочему месту (WPJ) при присоединении к клиенту Microsoft Entra. Если сертификат не найден, клиент Configuration Manager не может запросить маркеры Microsoft Entra. Без маркера клиент не может использовать канал связи службы маркеров безопасности Configuration Manager (CCM_STS) для проверки подлинности Microsoft Entra с помощью систем сайта Configuration Manager.

Установка клиента

В этом примере рабочего процесса клиент Configuration Manager установлен на устройстве с Windows через Интернет со следующими свойствами командной строки ccmsetup:

CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"

Схема рабочего процесса CcmSetup с проверкой подлинности Microsoft Entra

1. Microsoft Entra запрос сведений из ccmsetup

Для использования Microsoft Entra проверки подлинности клиентам, устанавливаемым из Интернета, требуются определенные свойства командной строки. Эти свойства можно включить в командную строку для internet ccmsetup, но они не являются обязательными. Если вы не используете свойства Microsoft Entra, ccmsetup запрашивает AADCLIENTAPPID свойства и AADRESOURCEURI из шлюза управления облаком (CMG). В качестве ссылки используется Microsoft Entra TenantID устройства. Если вы не включили идентификатор клиента TenantID в Configuration Manager, CMG не предоставляет требуемые свойства для ccmsetup для продолжения установки клиента.

В журнал ccmsetup.log клиента регистрируются следующие записи:

Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.

Важно!

Во время ccmsetup устройство должен проверить сертификат проверки подлинности сервера CMG. Сертификат корневого центра сертификации (ЦС) для сертификата проверки подлинности сервера CMG должен быть доступен на клиенте для проверки цепочки. Если вы используете PKI, если корневой ЦС не опубликован в Интернете, добавьте сертификат корневого ЦС в корневое хранилище ЦС устройства.

Если список отзыва сертификатов корневого ЦС (CRL) не опубликован в Интернете, добавьте /nocrlcheck параметр в командную строку ccmsetup.

2. запрос маркера Microsoft Entra

На устройстве Windows Azure AD, присоединенном к домену, ccmsetup использует свойства Microsoft Entra для запроса маркера Microsoft Entra, вызывающего поставщика ADALOperation. В ccmsetup.log на клиенте регистрируются следующие записи:

Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token

Если запрос маркера устройства завершается сбоем, ccmsetup возвращается, чтобы попытаться запросить маркер пользователя Microsoft Entra. Если устройство не может получить Microsoft Entra устройство или маркер пользователя, ccmsetup не будет продолжаться.

Примечание.

Если устройство имеет действительный сертификат проверки подлинности PKI-клиента, ccmsetup всегда предпочитает сертификат. В этом случае клиент устанавливается как PKI-клиент и не использует Microsoft Entra проверки подлинности.

WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. запрос Configuration Manager маркера клиента

Клиент использует маркер Microsoft Entra для запроса маркера клиента Configuration Manager (CCM). Операционная связь между ccmsetup и сайтом использует маркер CCM в качестве маркера авторизации (CcmTokenAuth=1).

3.1. Клиент отправляет запрос маркера CCM в CMG

В ccmsetup.log на клиенте регистрируются следующие записи:

Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS

3.2. Шлюз управления облачными клиентами перенаправит на точку подключения CMG

Следующие записи регистрируются в CMGService.log на экземпляре виртуальной машины CMG.

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 1  RequestSize: 1974 Bytes  ResponseCount: 1  ResponseSize: 1566 Bytes  AverageElapsedTime: 218 ms~~  $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>

Совет

Configuration Manager синхронизирует CMGService.log с папкой журналов сервера сайта каждые пять минут как CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log.

3.3 Точка подключения CMG преобразует запрос клиента CMG в клиентский запрос точки управления.

Следующие записи регистрируются в SMS_CLOUD_PROXYCONNECTOR.log (подробный режим) системы сайта, в котором размещена роль точки подключения ШЛЮЗА:

SMS_CLOUD_PROXYCONNECTOR    Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in   'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~

3.4 Точка управления проверяет маркер пользователя в базе данных сайта

Следующие записи регистрируются в CCM_STS.log системы сайта, в котором размещается точка управления, обрабатывающая запрос клиента:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

4. Запрос на размещение содержимого

Когда клиент получает маркер CCM, он кэширует и использует его для запроса сведений о сайте и расположении содержимого ccmsetup.cab. После загрузки клиентского содержимого устройство запускает установку. В ccmsetup.log на клиенте регистрируются следующие записи:

Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00">  < reply > </SiteInfoReply>'
     ...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00"  BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
     ...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package:     C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi

Примечание.

Если клиент находит содержимое из CMG с поддержкой содержимого, ccmsetup скачивает его из облачного хранилища. Если последняя версия клиента недоступна в облаке, он скачивает содержимое из точки управления с помощью запроса CMG.

Регистрация клиента

Схема рабочего процесса регистрации клиента с проверкой подлинности Microsoft Entra

1. регистрация запроса клиента Configuration Manager

После успешной установки клиента Configuration Manager ccmsetup инициализируется регистрация. В журнале ClientIDManagerStartup.log клиента регистрируются следующие записи:

AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
     ...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.

2. Configuration Manager запросы Microsoft Entra маркера для регистрации клиента

Клиент запрашивает новый маркер Microsoft Entra для регистрации с помощью Microsoft Entra проверки подлинности. Он предпочитает маркер устройства, но если он недоступен, клиент возвращается, чтобы запросить маркер пользователя Microsoft Entra. В журнале ADALOperationProvider.log клиента регистрируются следующие записи:

Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'

3. Запрос на регистрацию

Компонент регистрации в точке управления обрабатывает процесс регистрации клиента. Клиент отправляет сообщение о регистрации в конечную точку MP_ClientRegistration .

3.1 CMG перенаправит запрос на регистрацию клиента в точку управления

Следующие записи регистрируются в журнале MP_RegistrationManager.log системы сайта, в котором размещается точка управления, обрабатывающая запрос клиента:

Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'

3.2 Configuration Manager клиент зарегистрирован

В случае успешной регистрации клиент получает сообщение о подтверждении регистрации с утверждением 3 для регистрации на основе Microsoft Entra идентификатора. В журнале ClientIDManagerStartup.log клиента регистрируются следующие записи:

[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3

4. запрос Configuration Manager маркера клиента

После того как сервер подтвердит регистрацию клиента, клиент обрабатывает ответные сообщения. Затем клиент запрашивает и кэширует новый токен CCM. В журнале ClientIDManagerStartup.log клиента регистрируются следующие записи:

Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
     ...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'

4.1 CMG получает и пересылает запрос CCM_Token в точку подключения CMG.

В журнале CMGService.log виртуальной машины CMG и системы сайта, в которых размещена роль точки подключения CMG, регистрируются следующие записи:

RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS  RequestCount: 769  RequestSize: 1081595 Bytes  ResponseCount: 769     ResponseSize: 36143 Bytes  AverageElapsedTime: 3945 ms

4.2 Точка подключения CMG преобразует запрос клиента CMG в клиентский запрос точки управления

Следующие записи регистрируются в SMS_CLOUD_PROXYCONNECTOR.log системы сайта, в котором размещена роль точки подключения шлюза управления облачными клиентами:

MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms

4.3 Точка управления проверяет маркер пользователя в базе данных сайта

Следующие записи регистрируются в CCM_STS.log системы сайта, в котором размещается точка управления, обрабатывающая запрос клиента:

ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:  
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client

Сервер возвращает маркер CCM клиенту для остальной части обмена данными между клиентом и сетью.

Примечание.

Во время регистрации клиента всегда выполняется проверка сертификата. Этот процесс происходит, даже если для регистрации клиента используется метод проверки подлинности Microsoft Entra. Это поведение является резервным вариантом, если Microsoft Entra проверка подлинности не завершается успешно.

Продление маркера CCM

Срок существования маркера CCM составляет восемь часов. Когда клиент обнаруживает, что срок действия маркера CCM истек или приближается к истечению срока действия, он отправляет новый запрос на маркер CCM. Компонент CcmMessaging обрабатывает этот процесс продления. В журнал CcmMessaging.log клиента регистрируются следующие записи:

Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
    ...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
    ...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
     ...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'

Распространенные проблемы

  • Корневой ЦС отсутствует. Клиентам требуется сертификат корневого ЦС для проверки сертификата проверки подлинности сервера CMG.

  • Список отзыва сертификатов проверка включен: опубликуйте список отзыва сертификатов в Интернете. В качестве альтернативы используйте /NoCRLCheck параметр для ccmsetup. Можно также отключить следующий параметр: Клиенты проверка список отзыва сертификатов (CRL) для систем сайта. Найдите этот параметр на вкладке Безопасность связи свойств сайта.

  • Сертификат WPJ не найден. Убедитесь, что устройство Microsoft Entra присоединено. Используйте dsregcmd.exe. Например, dsregcmd /status и просмотрите раздел Состояние устройства .

Совет

Обмен данными между клиентами через шлюз управления облачными клиентами, точку подключения CMG и точку управления выполняется по протоколу HTTPS. Если вы настроите сайт для расширенного HTTP, вы по-прежнему можете настроить точку управления для HTTP.

  • Клиент проверяет сертификат проверки подлинности сервера CMG:

    • PKI-сертификат. Клиенту требуется корневой ЦС сертификата CMG в локальном хранилище.
    • Сторонний сертификат. Клиенты автоматически проверяют сертификат с помощью корневого ЦС, опубликованного в Интернете.
  • CMG, точка подключения CMG и точка управления проверяют Microsoft Entra идентификатора и маркеров CCM.

  • Обмен данными между точкой подключения CMG и точкой управления также обеспечивается на обоих концах:

    • Точка подключения CMG использует сертификат проверки подлинности клиента.
    • Mp использует PKI-сертификат для конфигурации HTTPS или самозаверяющий сертификат для расширенного HTTP.