Partager via


Authentification du client de la gestion cloud

S’applique à : Configuration Manager (branche actuelle)

Les clients qui se connectent à une passerelle de gestion cloud (CMG) sont potentiellement sur l’Internet public non approuvé. En raison de l’origine du client, il a une exigence d’authentification plus élevée. Il existe trois options pour l’identité et l’authentification avec une passerelle de gestion cloud :

  • Identifiant Microsoft Entra
  • Certificats PKI
  • Configuration Manager jetons émis sur le site

Le tableau suivant récapitule les facteurs clés pour chaque méthode :

Identifiant Microsoft Entra Certificat PKI Jeton de site
Version de ConfigMgr Tous pris en charge Tous pris en charge Tous pris en charge
Version du client Windows Windows 10 ou version ultérieure Tous pris en charge Tous pris en charge
Prise en charge des scénarios Utilisateur et appareil Appareil uniquement Appareil uniquement
Point de gestion E-HTTP ou HTTPS E-HTTP ou HTTPS E-HTTP ou HTTPS

Microsoft recommande de joindre des appareils à Microsoft Entra ID. Les appareils Basés sur Internet peuvent utiliser Microsoft Entra’authentification moderne avec Configuration Manager. Il permet également les scénarios d’appareil et d’utilisateur, que l’appareil soit sur Internet ou connecté au réseau interne.

Vous pouvez utiliser une ou plusieurs méthodes. Tous les clients n’ont pas besoin d’utiliser la même méthode.

Quelle est la méthode que vous choisissez, vous devrez peut-être également reconfigurer un ou plusieurs points de gestion. Pour plus d’informations, consultez Configurer l’authentification client pour la passerelle de gestion cloud.

Identifiant Microsoft Entra

Si vos appareils Basés sur Internet s’exécutent Windows 10 ou une version ultérieure, envisagez d’utiliser Microsoft Entra’authentification moderne avec la passerelle de gestion cloud. Cette méthode d’authentification est la seule qui permet des scénarios centrés sur l’utilisateur. Par exemple, le déploiement d’applications sur un regroupement d’utilisateurs.

Tout d’abord, les appareils doivent être joints à un domaine cloud ou Microsoft Entra joints hybrides, et l’utilisateur a également besoin d’une identité Microsoft Entra. Si votre organization utilise déjà des identités Microsoft Entra, vous devez être défini avec ce prérequis. Si ce n’est pas le cas, contactez votre administrateur Azure pour planifier des identités basées sur le cloud. Pour plus d’informations, consultez Microsoft Entra’identité de l’appareil. Tant que ce processus n’est pas terminé, envisagez l’authentification basée sur les jetons pour les clients Basés sur Internet avec votre passerelle de gestion cloud.

Il existe d’autres exigences, en fonction de votre environnement :

  • Activer les méthodes de découverte des utilisateurs pour les identités hybrides
  • Activer ASP.NET 4.5 sur le point de gestion
  • Configurer des paramètres clients

Pour plus d’informations sur ces prérequis, consultez Installer des clients à l’aide de l’ID de Microsoft Entra.

Remarque

Si vos appareils se trouvent dans un locataire Microsoft Entra distinct du locataire disposant d’un abonnement pour les ressources de calcul de la passerelle de gestion cloud, à compter de la version 2010, vous pouvez désactiver l’authentification pour les locataires non associés aux utilisateurs et aux appareils. Pour plus d’informations, consultez Configurer les services Azure.

Certificat PKI

Si vous disposez d’une infrastructure à clé publique (PKI) qui peut émettre des certificats d’authentification client pour les appareils, envisagez cette méthode d’authentification pour les appareils Basés sur Internet avec votre passerelle de gestion cloud. Il ne prend pas en charge les scénarios centrés sur l’utilisateur, mais prend en charge les appareils exécutant n’importe quelle version prise en charge de Windows.

Conseil

Les appareils Windows qui sont joints à un domaine hybride ou cloud n’ont pas besoin de ce certificat, car ils utilisent Microsoft Entra ID pour s’authentifier.

Ce certificat peut également être requis sur le point de connexion de la passerelle de gestion cloud.

Jeton de site

Si vous ne pouvez pas joindre des appareils à Microsoft Entra ID ou utiliser des certificats d’authentification client PKI, utilisez Configuration Manager’authentification basée sur les jetons. Les jetons d’authentification client émis sur le site fonctionnent sur toutes les versions de système d’exploitation client prises en charge, mais prennent uniquement en charge les scénarios d’appareil.

Si des clients se connectent occasionnellement à votre réseau interne, un jeton leur est automatiquement émis. Ils doivent communiquer directement avec un point de gestion local pour s’inscrire auprès du site et obtenir ce jeton client.

Si vous ne pouvez pas inscrire des clients sur le réseau interne, vous pouvez créer et déployer un jeton d’inscription en bloc. Le jeton d’inscription en bloc permet au client d’installer et de communiquer avec le site. Cette communication initiale est suffisamment longue pour que le site émette au client son propre jeton d’authentification client unique. Le client utilise ensuite son jeton d’authentification pour toutes les communications avec le site lorsqu’il est sur Internet.

Prochaines étapes

Ensuite, concevez comment utiliser une passerelle de gestion cloud dans votre hiérarchie :