cherryandbees - stock.adobe.com

Das müssen Admins über CMG-Client-Authentifizierung wissen

Mit System Center Cloud Management Gateways verwalten Sie Remote-Geräte in Ihrem Unternehmen. Ein durchdachter Authentifizierungsmechanismus ist dabei Pflicht.

Ob Mitarbeiter zuhause arbeiten oder im Büro: Administratoren müssen die Endgeräte der Mitarbeiter warten, egal wo sich diese gerade befinden. Seit Beginn der Coronapandemie im Frühjahr 2020 arbeiten zahlreiche Mitarbeiter von zuhause aus – und in vielen Unternehmen wird Home-Office auch in Zukunft häufiger bleiben. Das erschwert es Administratoren, einigen ihrer Aufgaben nachzugehen, nämlich die Absicherung und das Erhalten einheitlicher Endgeräte.

Microsoft bietet für diese Aufgaben unter anderem das Cloud Management Gateway (CMG) als Funktion für Microsoft Configuration Manager (MCM) an. Ein häufiges Problem ist, dass der Client in der Konsole als unbekannt erscheint. Es tritt in der Regel auf, wenn die VPN-Verbindung des Clients ausfällt oder die Verbindung anders hergestellt wird. CMG löst dieses Problem, aber Sie müssen entscheiden, welche der drei Möglichkeiten für die Authentifizierung des Clients Ihren spezifischen Anforderungen und Einstellungen am besten entspricht.

Wie kommunizieren die Clients mit der CMG?

Ein CMG dient dazu, eine Verbindung zwischen dem Client und dem Configuration Manager herzustellen; diese Verbindung müssen Sie jedoch sichern. Internetclients haben keinen Kontakt mit dem lokalen Verwaltungspunkt. Clientverbindungen über VPN gelten als Intranetverbindung und nicht als Internetverbindung.

Traditionell würden Sie Zertifikate verwenden, die von der PKI (Public-Key-Infrastruktur) bereitgestellt werden. MCM-Administratoren haben jedoch zwei zusätzliche Authentifizierungsmöglichkeiten: über Azure Active Directory (AD) oder tokenbasierte Authentifizierung. Sie sind jedoch nicht auf eine Authentifizierungsmethode beschränkt; Sie können diese jedem Client individuell zuweisen.

Was Sie über die Authentifizierung mit Azure AD wissen müssen

Die Azure-AD-Authentifizierung funktioniert sowohl für Geräte, die direkt über Azure angebunden sind, als auch über eine hybride Domänenstruktur.

Voraussetzungen für die Azure AD-Authentifizierung sind:

  • Windows 10 oder höher;
  • Azure-AD- oder hybride Anbindung;
  • MCM steuert die Client-Einstellungen;
  • .NET Framework 4.5 ist auf dem MCM-Verwaltungspunkt installiert;
  • für hybride Identitäten müssen Benutzererkennungsmethoden in MCM aktiviert werden.

Was Sie über die Authentifizierung mit PKI wissen müssen

Die Sicherung der Client-Authentifizierung durch Zertifikate, die von einer internen PKI bereitgestellt werden, ist wie bereits erwähnt eine etablierte Variante für die CMG-Client-Authentifizierung.

Dieses Szenario ist geeignet, wenn:

  • Sie bereits über eine PKI-Infrastruktur zum Verteilen von Zertifikaten an Ihre Geräte verfügen;
  • Sie keine Unterstützung für die Benutzeridentität benötigen – nur Geräte werden unterstützt; und
  • Ihre Clients in der Regel über das Büro oder VPN eine Verbindung zum Intranet herstellen.

Was Sie über die Token-basierte Authentifizierung wissen müssen

Bei dieser Methode wird die Client-Authentifizierung über Tokens bereitgestellt, die MCM über das Intranet oder das Internet versendet.

Voraussetzungen für die Token-basierte Authentifizierung sind:

  • Clients verwenden dieselbe MCM-Version wie der primäre Standort, um volle Unterstützung zu erhalten;
  • Sie nutzen ein aktives Azure-Abonnement;
  • Sie verfügen über globale Admin-Rechte in Azure;
  • Sie nutzen ein Serverauthentifizierungszertifikat; und
  • Sie vergeben einen eindeutigen DNS-Name an die CMG.

Während sich die Authentifizierung über Azure AD und Sicherheits-Token jeweils für so gut wie alle Szenarien eignen und es von der Präferenz der Administratoren abhängt, ob sie die Cloud Directory zur Verwaltung der Desktops nutzen möchten, hat die Registrierung über PKI den Nachteil, dass sie weder für internetbasierte Desktops, noch in Szenarien funktioniert, in welchen sich die Clients selten oder nie im Büro aufhalten.

Was sind die Vorteile einer Token-basierten Authentifizierung?

Die Token-basierte Authentifizierung ist nicht auf Zertifikate oder eine Verbindung zu Azure AD angewiesen. Daher ist sie eine geeignete Client-Authentifizierungsmethode, wenn Sie die genannten Voraussetzungen für die andren Methoden nicht erfüllen können.

Einige Szenarien, die mit Token-basierter Authentifizierung gelöst werden können, sind:

  • Clients im Internet verbinden sich nur selten mit dem lokalen Intranet;
  • Clients können Azure AD nicht beitreten; oder
  • Clients haben keine Möglichkeit, Zertifikate zu erhalten.

Die Vorteile der Token-basierten Client-Authentifizierung sind:

  • Es entfällt die Notwendigkeit eines Client-Authentifizierungszertifikats;
  • für die CMG-Einrichtung ist kein Co-Management erforderlich; und
  • das Gerät muss nicht in Azure Active Directory aufgenommen werden.

Clients registrieren sich für ein Authentifizierungs-Token entweder mit einer internen Netzwerkregistrierung oder einer Massenregistrierung über das Internet.

Das Clientauthentifizierungs-Token wird jeden Monat erneuert und bleibt 90 Tage lang gültig. Es ist nicht erforderlich, eine Verbindung zum internen Netzwerk herzustellen, um dieses Token zu erneuern.

So funktioniert die Token-Registrierung

Die interne Netzwerkregistrierung ist das Standardverfahren für die Token-basierte Authentifizierung und erfordert keine Konfigurationsarbeit vonseiten der Administratoren.

Das System registriert Tokens vom lokalen MCM-Verwaltungspunkt aus, wenn ein Client eine Verbindung zum internen Netzwerk herstellt und überprüft, ob das Gerät ein selbstsigniertes Zertifikat verwendet.

Für reine Internetclients können Sie ein Massenregistrierungs-Token verwenden. Bei dieser Methode muss sich der Client nicht mit dem Intranet verbinden. Diese Option ist auf bestimmte Szenarien zugeschnitten, zum Beispiel für das Anbinden bestehender Infrastruktur nach Fusionen und Übernahmen.

Es handelt sich dabei um ein anderes Token als das aus MCM. Das Massenregistrierungs-Token erfüllt einen mehrfachen Zweck: Erstens stellt es die erste Kommunikation zwischen dem Client und dem CMG über das Internet her und authentifiziert den Client über das selbstsignierte Authentifizierungszertifikat. Danach sendet der CMG-Dienst dem Gerät ein eindeutiges Clientauthentifizierungs-Token, das für jede weitere Kommunikation verwendet wird.

Das Massenregistrierungs-Token ist nur kurz gültig. Es wird nicht auf der Website oder dem Client gespeichert. Es lässt sich außerdem nicht erneuern. Sie können die Massenregistrierungs-Token überwachen und sie bei Bedarf direkt von der MCM-Konsole aus entfernen.

Geräte lassen sich mit dem Tool BulkRegistrationTokenTool.exe registrieren, das sich im Ordner \bin\x64 der Primärsserverinstallation befindet.

Erfahren Sie mehr über Desktop-Management