Bulut yönetimi ağ geçidi için istemci kimlik doğrulamasını yapılandırma
Uygulama hedefi: Configuration Manager (güncel dalı)
Bulut yönetimi ağ geçidinin (CMG) kurulumundaki bir sonraki adım, istemcilerin kimlik doğrulamasını yapılandırmaktır. Bu istemciler güvenilmeyen genel İnternet'ten hizmete potansiyel olarak bağlandığı için kimlik doğrulaması gereksinimleri daha yüksektir. Üç seçenek vardır:
- Microsoft Entra ID
- PKI sertifikaları
- Site tarafından verilen belirteçleri Configuration Manager
Bu makalede, bu seçeneklerin her birinin nasıl yapılandırıldığı açıklanır. Daha temel bilgiler için bkz. CMG istemci kimlik doğrulama yöntemlerini planlama.
Microsoft Entra ID
İnternet tabanlı cihazlarınız Windows 10 veya üzeri bir sürüm çalıştırıyorsa CMG ile modern Microsoft Entra kimlik doğrulamasını kullanın. Bu kimlik doğrulama yöntemi, kullanıcı merkezli senaryoları etkinleştiren tek yöntemdir.
Bu kimlik doğrulama yöntemi aşağıdaki yapılandırmaları gerektirir:
Cihazların bulut etki alanına katılmış veya karma Microsoft Entra katılmış olması ve kullanıcının da Microsoft Entra bir kimliğe ihtiyacı vardır.
İpucu
Bir cihazın buluta katılmış olup olmadığını denetlemek için komut isteminde komutunu çalıştırın
dsregcmd.exe /status
. Cihaz Microsoft Entra katılmış veya karma birleştirilmişse sonuçlardaki AzureAdjoined alanı EVET'i gösterir. Daha fazla bilgi için bkz. dsregcmd komutu - cihaz durumu.CMG ile İnternet tabanlı istemciler için Microsoft Entra kimlik doğrulaması kullanmanın birincil gereksinimlerinden biri, siteyi Microsoft Entra kimliğiyle tümleştirmektir. Önceki adımda bu eylemi zaten tamamladınız.
Ortamınıza bağlı olarak birkaç başka gereksinim daha vardır:
- Karma kimlikler için kullanıcı bulma yöntemlerini etkinleştirme
- Yönetim noktasında ASP.NET 4.5'i etkinleştirme
- İstemci ayarlarını yapılandırma
Bu önkoşullar hakkında daha fazla bilgi için bkz. Microsoft Entra kimliğini kullanarak istemcileri yükleme.
PKI sertifikası
Cihazlara istemci kimlik doğrulama sertifikaları düzenleyebilen bir ortak anahtar altyapınız (PKI) varsa bu adımları kullanın.
Bu sertifika CMG bağlantı noktasında gerekli olabilir. Daha fazla bilgi için bkz. CMG bağlantı noktası.
Sertifikayı verme
Bu sertifikayı PKI'nızdan oluşturun ve Configuration Manager bağlamının dışında bir sertifika oluşturun. Örneğin, etki alanına katılmış cihazlara istemci kimlik doğrulama sertifikalarını otomatik olarak vermek için Active Directory Sertifika Hizmetleri'ni ve grup ilkesini kullanabilirsiniz. Daha fazla bilgi için bkz. PKI sertifikalarının örnek dağıtımı: İstemci sertifikasını dağıtma.
CMG istemci kimlik doğrulama sertifikası aşağıdaki yapılandırmaları destekler:
2048 bit veya 4096 bit anahtar uzunluğu
Bu sertifika, sertifika özel anahtarları (v3) için anahtar depolama sağlayıcılarını destekler. Daha fazla bilgi için bkz. CNG v3 sertifikalarına genel bakış.
İstemci sertifikasının güvenilen kökünü dışarı aktarma
CMG'nin istemcilerle HTTPS kanalı oluşturmak için istemci kimlik doğrulama sertifikalarına güvenmesi gerekir. Bu güveni gerçekleştirmek için güvenilen kök sertifika zincirini dışarı aktarın. Ardından, Configuration Manager konsolunda CMG'yi oluştururken bu sertifikaları sağlayın.
Güven zincirindeki tüm sertifikaları dışarı aktardığından emin olun. Örneğin, istemci kimlik doğrulama sertifikası bir ara CA tarafından verildiyse, hem ara hem de kök CA sertifikalarını dışarı aktarın.
Not
Herhangi bir istemci kimlik doğrulaması için PKI sertifikaları kullandığında bu sertifikayı dışarı aktarın. Tüm istemciler kimlik doğrulaması için Microsoft Entra kimliği veya belirteçler kullandığında, bu sertifika gerekli değildir.
Bir bilgisayara istemci kimlik doğrulama sertifikası verdikten sonra, güvenilen kök sertifikayı dışarı aktarmak için bu bilgisayarda bu işlemi kullanın.
Başlat menüsünü açın. Çalıştır penceresini açmak için "çalıştır" yazın. öğesini açın
mmc
.Dosya menüsünde Ek Bileşen Ekle/Kaldır... öğesini seçin.
Ek Bileşen Ekle veya Kaldır iletişim kutusunda Sertifikalar'ı ve ardından Ekle'yi seçin.
Sertifikalar ek bileşeni iletişim kutusunda Bilgisayar hesabı'nı ve ardından İleri'yi seçin.
Bilgisayar Seç iletişim kutusunda Yerel bilgisayar'ı ve ardından Son'u seçin.
Ek Bileşen Ekle veya Kaldır iletişim kutusunda Tamam'ı seçin.
Sertifikalar'ı genişletin, Kişisel'i genişletin ve Sertifikalar'ı seçin.
Hedeflenen Amacı İstemci Kimlik Doğrulaması olan bir sertifika seçin.
Eylem menüsünde Aç'ı seçin.
Sertifika Yolu sekmesine gidin.
Zincirdeki bir sonraki sertifikayı ve ardından Sertifikayı Görüntüle'yi seçin.
Bu yeni Sertifika iletişim kutusunda Ayrıntılar sekmesine gidin. Dosyaya Kopyala... öğesini seçin.
Sertifika Dışarı Aktarma Sihirbazı'nı, DER kodlu ikili X.509 ( varsayılan sertifika biçimini kullanarak tamamlayın. CER). Dışarı aktarılan sertifikanın adını ve konumunu not edin.
Özgün istemci kimlik doğrulama sertifikasının sertifika yolundaki tüm sertifikaları dışarı aktarın. Dışarı aktarılan sertifikaların ara CA'lar olduğunu ve hangilerinin güvenilen kök CA'lar olduğunu not edin.
CMG bağlantı noktası
İstemci isteklerini güvenli bir şekilde iletmek için, CMG bağlantı noktası yönetim noktasıyla güvenli bir bağlantı gerektirir. PKI istemci kimlik doğrulaması kullanıyorsanız ve internet özellikli yönetim noktası HTTPS ise, site sistemi sunucusuna CMG bağlantı noktası rolüyle bir istemci kimlik doğrulama sertifikası gönderin.
Not
CMG bağlantı noktası aşağıdaki senaryolarda istemci kimlik doğrulaması sertifikası gerektirmez:
- İstemciler Microsoft Entra kimlik doğrulaması kullanır.
- İstemciler Configuration Manager belirteç tabanlı kimlik doğrulaması kullanır.
- Site Gelişmiş HTTP kullanıyor.
Daha fazla bilgi için bkz . HTTPS için yönetim noktasını etkinleştirme.
Site belirteci
Kimlik Microsoft Entra veya PKI istemci kimlik doğrulama sertifikalarını kullanmak için cihazları birleştiremiyorsanız belirteç tabanlı kimlik doğrulaması Configuration Manager kullanın. Daha fazla bilgi için veya toplu kayıt belirteci oluşturmak için bkz. Bulut yönetimi ağ geçidi için belirteç tabanlı kimlik doğrulaması.
HTTPS için yönetim noktasını etkinleştirme
Siteyi nasıl yapılandırdığınıza ve hangi istemci kimlik doğrulama yöntemini seçtiğinize bağlı olarak, internet özellikli yönetim noktalarınızı yeniden yapılandırmanız gerekebilir. İki seçenek vardır:
- Siteyi Gelişmiş HTTP için yapılandırma ve HTTP için yönetim noktasını yapılandırma
- HTTPS için yönetim noktasını yapılandırma
Siteyi Gelişmiş HTTP için yapılandırma
HTTP site sistemleri için Configuration Manager oluşturulan sertifikaları kullanma site seçeneğini kullandığınızda, HTTP için yönetim noktasını yapılandırabilirsiniz. Gelişmiş HTTP'yi etkinleştirdiğinizde, site sunucusu SMS Rolü SSL Sertifikası adlı otomatik olarak imzalanan bir sertifika oluşturur. Bu sertifika, kök SMS Veren sertifikası tarafından verilir. Yönetim noktası bu sertifikayı 443 numaralı bağlantı noktasına bağlı IIS Varsayılan Web sitesine ekler.
Bu seçenekle, iç istemciler HTTP kullanarak yönetim noktasıyla iletişim kurmaya devam edebilir. Microsoft Entra kimliği veya istemci kimlik doğrulama sertifikası kullanan İnternet tabanlı istemciler, HTTPS üzerinden bu yönetim noktasıyla CMG üzerinden güvenli bir şekilde iletişim kurabilir.
Daha fazla bilgi için bkz . Gelişmiş HTTP.
HTTPS için yönetim noktasını yapılandırma
HTTPS için bir yönetim noktası yapılandırmak için önce bir web sunucusu sertifikası oluşturun. Ardından HTTPS için rolü etkinleştirin.
PKI'nızdan veya üçüncü taraf sağlayıcıdan Configuration Manager bağlamının dışında bir web sunucusu sertifikası oluşturun ve yayımlar. Örneğin, yönetim noktası rolüyle site sistem sunucusuna bir web sunucusu sertifikası vermek için Active Directory Sertifika Hizmetleri'ni ve grup ilkesini kullanın. Daha fazla bilgi için aşağıdaki makalelere bakın:
Yönetim noktası rolünün özelliklerinde istemci bağlantılarını HTTPS olarak ayarlayın.
İpucu
CMG'yi ayarladıktan sonra bu yönetim noktası için diğer ayarları yapılandıracaksınız.
Ortamınızda birden çok yönetim noktası varsa BUNLARıN tümünü CMG için HTTPS ile etkinleştirmeniz gerekmez. CMG özellikli yönetim noktalarını yalnızca İnternet olarak yapılandırın. Ardından şirket içi istemcileriniz bunları kullanmaya çalışmaz.
Yönetim noktası istemci bağlantı modu özeti
Bu tablolar, istemci türüne bağlı olarak yönetim noktasının HTTP mi yoksa HTTPS mi gerektirdiğini özetler. Aşağıdaki terimleri kullanır:
- Çalışma Grubu: Cihaz bir etki alanına veya Microsoft Entra kimliğine katılmamış, ancak bir istemci kimlik doğrulama sertifikasına sahip.
- AD etki alanına katılmış: Cihazı bir şirket içi Active Directory etki alanına eklersiniz.
- Microsoft Entra katılmış: Bulut etki alanına katılmış olarak da bilinir, cihazı Microsoft Entra bir kiracıya eklersiniz. Daha fazla bilgi için bkz. birleştirilmiş cihazları Microsoft Entra.
- Hibrite katılmış: Cihazı şirket içi Active Directory birleştirir ve Microsoft Entra kimliğiniz ile kaydedersiniz. Daha fazla bilgi için bkz. karma birleştirilmiş cihazları Microsoft Entra.
- HTTP: Yönetim noktası özelliklerinde istemci bağlantılarını HTTP'ye ayarlarsınız.
- HTTPS: Yönetim noktası özelliklerinde istemci bağlantılarını HTTPS'ye ayarlarsınız.
- E-HTTP: Site özellikleri, İletişim Güvenliği sekmesinde, site sistemi ayarlarını HTTPS veya HTTP olarak ayarlarsınız ve HTTP site sistemleri için Configuration Manager oluşturulmuş sertifikaları kullanma seçeneğini etkinleştirirsiniz. HTTP için yönetim noktasını yapılandırdığınızda HTTP yönetim noktası hem HTTP hem de HTTPS iletişimi için hazırdır.
Önemli
Configuration Manager sürüm 2103'den başlayarak, HTTP istemci iletişimi sağlayan siteler kullanım dışı bırakılmıştır. Siteyi HTTPS veya Gelişmiş HTTP için yapılandırın. Daha fazla bilgi için bkz . Siteyi yalnızca HTTPS veya gelişmiş HTTP için etkinleştirme.
CMG ile iletişim kurarak internet tabanlı istemciler için
Aşağıdaki istemci bağlantı moduyla CMG'den bağlantılara izin vermek için bir şirket içi yönetim noktası yapılandırın:
İnternet tabanlı istemci | Yönetim noktası |
---|---|
Çalışma Grubu Not 1 | E-HTTP, HTTPS |
AD etki alanına katılmış Not 1 | E-HTTP, HTTPS |
Microsoft Entra katıldı | E-HTTP, HTTPS |
Karma birleştirilmiş | E-HTTP, HTTPS |
Not
Not 1: Bu yapılandırma, istemcinin bir istemci kimlik doğrulama sertifikasına sahip olmasını gerektirir ve yalnızca cihaz merkezli senaryoları destekler.
Şirket içi yönetim noktasıyla iletişim kurarak şirket içi istemciler için
Bir şirket içi yönetim noktasını aşağıdaki istemci bağlantı moduyla yapılandırın:
Şirket içi istemci | Yönetim noktası |
---|---|
Workgroup | HTTP, HTTPS |
AD etki alanına katılmış | HTTP, HTTPS |
Microsoft Entra katıldı | HTTPS |
Karma birleştirilmiş | HTTP, HTTPS |
Not
Şirket içi AD etki alanına katılmış istemciler, BIR HTTP veya HTTPS yönetim noktasıyla iletişim kurarak hem cihaz hem de kullanıcı merkezli senaryoları destekler.
Şirket içi Microsoft Entra katılmış ve karma katılmış istemciler, cihaz merkezli senaryolar için HTTP üzerinden iletişim kurabilir, ancak kullanıcı merkezli senaryoları etkinleştirmek için E-HTTP veya HTTPS gerekir. Aksi takdirde, çalışma grubu istemcileri ile aynı şekilde davranırlar.
Sonraki adımlar
Artık cmg'yi Configuration Manager oluşturmaya hazırsınız: