Platí pro: Configuration Manager (Current Branch)
Tento článek odpovídá na nejčastější dotazy týkající se brány pro správu cloudu (CMG). Další informace najdete v tématu Přehled CMG.
Potřebuji nějaké certifikáty?
Ano, alespoň jeden a možná i další v závislosti na vašem návrhu.
Ověřovací certifikát serveru: CmG vytvoří službu HTTPS, ke které se připojují internetoví klienti. Služba k vytvoření zabezpečeného kanálu vyžaduje ověřovací certifikát serveru. Certifikát pro tento účel můžete získat od veřejného poskytovatele nebo ho vydat z infrastruktury veřejných klíčů (PKI). Další informace najdete v tématu Ověřovací certifikát serveru CMG.
Certifikát ověřování klienta: V závislosti na vašem prostředí a návrhu CMG můžete k ověřování klientů použít certifikáty PKI. Tato metoda ověřování nepodporuje scénáře zaměřené na uživatele, ale podporuje zařízení s libovolnou podporovanou verzí Windows. Další informace najdete v tématu Konfigurace ověřování klienta pro CMG: Certifikát PKI.
Když použijete tuto metodu ověřování klienta, musíte také exportovat důvěryhodný kořenový řetězec klientského certifikátu. Tento řetěz certifikátů pak použijete při vytváření cmg a v spojovacím bodu CMG.
Bod správy s povoleným protokolem HTTPS: V závislosti na tom, jak nakonfigurujete lokalitu a jakou metodu ověřování klienta zvolíte, možná budete muset nakonfigurovat internetové body správy tak, aby podporovaly protokol HTTPS. Další informace najdete v tématu Konfigurace ověřování klientů pro CMG: Povolení bodu správy pro HTTPS.
Potřebuji Azure ExpressRoute?
Ne. Azure ExpressRoute umožňuje rozšířit místní síť do cloudu Microsoftu. ExpressRoute ani jiná připojení k virtuálním sítím se pro CMG nevyžadují. Návrh CMG umožňuje internetovým klientům komunikovat prostřednictvím služby Azure s místními systémy lokality bez další konfigurace sítě. Další informace najdete v tématu Přehled CMG.
Musím udržovat nebo zabezpečit virtuální počítače Azure?
Ne. CMG je řešení SaaS (software jako služba), které rozšiřuje vaše Configuration Manager prostředí do cloudu. Návrh CMG používá azure platforma jako služba (PaaS). Pomocí předplatného, které zadáte, Configuration Manager vytvoří potřebné virtuální počítače, úložiště a sítě. Azure PaaS zabezpečuje a aktualizuje virtuální počítače. Tyto virtuální počítače nemusíte monitorovat. Virtuální počítače Azure pro CMG nejsou součástí místního prostředí, jak je tomu u infrastruktury jako služby (IaaS). Další informace týkající se zabezpečení týkající se základního řešení PaaS, na které je cmg postavená, najdete v tématu Zabezpečení nasazení PaaS.
Vzhledem k tomu, že CMG funguje jako proxy server pro komunikaci klientů, nezpracovává, neuchovává ani neukládá žádná data klienta. Komunikační cesta přes internet vždy používá protokol HTTPS. Pokud chcete zajistit větší zabezpečení, nakonfigurujte bod správy pro HTTPS. Nakonfigurujte také možnost lokality pro klienty pro šifrování inventáře a stavových zpráv. Další informace najdete v tématu Plánování zabezpečení: Podepisování a šifrování.
Musím virtuální počítač aktualizovat, pokud je image zastaralá?
Ne. Virtuální počítače CMG se nasazují pomocí šablony a služba IIS jsou nakonfigurované. Pokud virtuální počítač aktualizujete ručně, dojde k narušení. Produktová skupina tento problém vyřeší prostřednictvím aktualizace nebo vydání aktuální větve.
Jak můžu zajistit kontinuitu služeb během aktualizací služeb?
Škálováním CMG tak, aby zahrnoval dvě nebo více instancí, automaticky získáte výhody aktualizačních domén v Azure. Viz Postup aktualizace cloudové služby.
Už používám IBCM. Pokud přidám CMG, jak se chovají klienti?
Pokud jste už nasadili internetovou správu klientů (IBCM), můžete také nasadit cmg. Klienti obdrží zásady pro obě služby. Při roamingu na internetu náhodně vyberou a používají jednu z těchto internetových služeb.
Musí být uživatelské účty ve stejném Microsoft Entra tenantovi jako tenant přidružený k předplatnému, které hostuje cloudovou službu CMG?
Ne, CMG můžete nasadit do libovolného předplatného, které může hostovat cloudové služby Azure.
Vysvětlení termínů:
- Tenant Microsoft Entra je adresář uživatelských účtů a registrací aplikací. Jeden tenant může mít několik předplatných.
- Předplatné Azure odděluje fakturaci, prostředky a služby. Je přidružená k jednomu tenantovi.
Tip
Další informace najdete v tématu Předplatná, licence, účty a tenanti cloudových nabídek Microsoftu.
Tato otázka je běžná v následujících scénářích:
Pokud máte jedinečné testovací a produkční prostředí Active Directory a Microsoft Entra prostředí, ale jedno centralizované předplatné Azure hostující.
Vaše používání Azure se organicky rozšířilo napříč různými týmy.
Pokud používáte nasazení Resource Manager, připojte Microsoft Entra tenanta přidruženého k předplatnému. Toto připojení umožňuje Configuration Manager ověřování v Azure za účelem vytvoření, nasazení a správy CMG.
Pokud používáte ověřování Microsoft Entra pro uživatele a zařízení spravovaná přes CMG, připojte Microsoft Entra tenanta. Další informace o službách Azure pro správu cloudu najdete v tématu Konfigurace služeb Azure. Při onboardingu každého tenanta Microsoft Entra může jedna skupina pro vytváření obsahu poskytovat Microsoft Entra ověřování pro více tenantů bez ohledu na umístění hostování.
Příklad 1: Jeden tenant s více předplatnými
Identity uživatelů, registrace zařízení a registrace aplikací jsou ve stejném tenantovi. Můžete zvolit, které předplatné cmg používá. Z jednoho webu můžete nasadit více služeb CMG do samostatných předplatných. Web má s tenantem vztah 1:1. Rozhodnete se, která předplatná se mají používat z různých důvodů, jako je fakturace nebo logické oddělení.
Příklad 2: Více tenantů
Jinými slovy, vaše prostředí má více než jednu Microsoft Entra ID. Pokud potřebujete podporovat identity uživatelů a zařízení v obou tenantech, musíte web připojit ke každému tenantovi. Tento proces vyžaduje účet správce z každého tenanta k vytvoření registrace aplikací v tomto tenantovi. Jeden web pak může hostovat služby CMG ve více tenantech. CmG můžete vytvořit v libovolném dostupném předplatném v obou tenantech. Zařízení, která jsou připojená nebo hybridní připojená k Microsoft Entra ID, můžou používat CMG.
Pokud jsou identity uživatelů a zařízení v jednom tenantovi, ale předplatné CMG je v jiném tenantovi, musíte web připojit k oběma tenantům. Klientská aplikace není technicky potřebná pro druhého tenanta, který má pouze službu CMG. Klientská aplikace poskytuje ověřování uživatelů a zařízení pouze pro klienty, kteří používají službu CMG.
Jaký vliv má cmg na klienty připojené přes VPN?
Roamingoví klienti, kteří se připojují k vašemu prostředí přes síť VPN, se běžně detekují jako intranetoví. Pokusí se připojit k vaší místní infrastruktuře, jako jsou body správy a distribuční body. Někteří zákazníci dávají přednost tomu, aby tyto roamingové klienty spravovaly cloudové služby, i když jsou připojeni přes SÍŤ VPN.
Skupinu cmg můžete také přidružit ke skupině hranic. Tato akce vynutí, aby tito klienti nepoužít místní systémy lokality. Další informace najdete v tématu Konfigurace skupin hranic.
Jaký vliv má konfigurace bodu správy na interní klienty?
Pokud chcete zabezpečit citlivý provoz odesílaný přes CMG, musíte nakonfigurovat alespoň jeden bod správy tak, aby používal protokol HTTPS, nebo nakonfigurovat lokalitu pro rozšířený protokol HTTP.
Pokud pak při nasazování cmg používáte certifikáty PKI pro komunikaci HTTPS v bodě správy s podporou CMG, vyberte možnost Povolit pouze internetové klienty ve vlastnostech bodu správy. Toto nastavení zajišťuje, aby interní klienti nadále používali body správy HTTP ve vašem prostředí.
Pokud používáte rozšířený protokol HTTP, nemusíte toto nastavení konfigurovat. Klienti nadále používají protokol HTTP při přímé komunikaci s bodem správy s podporou CMG. Další informace najdete v tématu Rozšířený protokol HTTP.
Jaké jsou rozdíly v ověřování klientů mezi Microsoft Entra ID a certifikáty?
K ověření ve službě CMG můžete pro zařízení použít Microsoft Entra ID nebo ověřovací certifikát klienta. K ověřování můžete také použít Configuration Manager tokeny vystavené webem.
Pokud spravujete tradiční klienty Windows pomocí identity připojené k doméně služby Active Directory, potřebují k zabezpečení komunikačního kanálu certifikáty PKI. Tito klienti můžou zahrnovat libovolnou podporovanou verzi Windows. Můžete použít všechny funkce podporované CMG, ale distribuce softwaru je omezená jenom na zařízení. Nainstalujte klienta Configuration Manager předtím, než se zařízení přesune na internet, nebo použijte ověřování pomocí tokenu.
Můžete také spravovat Windows 10 nebo novější klienty pomocí moderní identity, a to buď hybridní, nebo čistě cloudové domény připojené pomocí Microsoft Entra ID. Klienti používají k ověřování místo certifikátů PKI Microsoft Entra ID. Nastavení, konfigurace a údržba Microsoft Entra ID je jednodušší než složitější systémy infrastruktury veřejných klíčů. Můžete provádět stejné aktivity správy a distribuci softwaru uživateli. Umožňuje také další metody instalace klienta na vzdálené zařízení.
Microsoft doporučuje připojit zařízení k Microsoft Entra ID. Internetová zařízení můžou k ověřování pomocí Configuration Manager používat Microsoft Entra ID. Umožňuje také scénáře zařízení i uživatele bez ohledu na to, jestli je zařízení na internetu nebo připojené k interní síti.
Další informace najdete v tématu Konfigurace ověřování klientů.
Mám použít nasazení škálovací sady virtuálních počítačů?
Ano, pokud je váš web verze 2107 nebo novější. Už to není předběžná verze funkce a doporučuje se pro všechny zákazníky. Pokud máte existující nasazení klasického cmg, můžete ho převést na škálovací sadu virtuálních počítačů.
Pokud je váš web verze 2010 nebo 2103, představuje metoda nasazení škálovací sady virtuálních počítačů předběžnou verzi. Je určená jenom pro zákazníky s předplatným CSP (Cloud Solution Provider).
Důležité
Od verze 2203 se odebere možnost nasadit cmg jako cloudovou službu (classic). Všechna nasazení CMG by měla používat škálovací sadu virtuálních počítačů. Další informace najdete v tématu Odebrání a zastaralé funkce.
Další informace o nasazení cmg jako škálovací sady virtuálních počítačů najdete v tématu Plánování cmg.
Používá cmg s podporou obsahu Azure CDN?
Ne. V současné době nepodporuje síť azure pro doručování obsahu (CDN). CDN je globální řešení pro rychlé doručování obsahu s velkou šířkou pásma díky ukládání obsahu do mezipaměti na strategicky umístěných fyzických uzlech po celém světě. Další informace najdete v tématu Co je Azure CDN?.
Musím něco dělat se vyřazením knihovny Azure AD Graph API a Azure AD Authentication Library (ADAL)?
Ne. Možná jste viděli následující příspěvek na blogu a zajímá vás, jak to platí pro Configuration Manager: Aktualizujte aplikace tak, aby používaly knihovnu Microsoft Authentication Library a Microsoft Graph API. Tento příspěvek odkazuje na jakýkoli vyvinutý kód, který používá tyto knihovny ověřování. Configuration Manager používá microsoft Graph API a knihovnu MSAL (Microsoft Authentication Library) na některých místech už několik let. Všechny ostatní komponenty se aktualizují v Configuration Manager verze 2107 pomocí kumulativní aktualizace. Pokud budete mít Configuration Manager verze aktuální, nemusíte nic jiného dělat.
Někteří lidé zaměňují informace v tomto blogovém příspěvku s registracemi aplikací v Microsoft Entra ID, které Configuration Manager používají pro různé služby připojené ke cloudu. Tyto registrace aplikací jsou cloudové instanční objekty, které tyto knihovny ověřování přímo nepoužívají. Pokud globální správce Azure ručně vytvořil registrace aplikací Configuration Manager v Microsoft Entra ID, může pečlivě zkontrolovat, že tyto registrace mají oprávnění pro rozhraní Microsoft Graph API. Nepotřebují oprávnění k rozhraní Azure AD Graph API. Další informace najdete v tématu Ruční registrace aplikací Microsoft Entra.
Další informace najdete v tématu Migrace aplikací z Azure AD Graphu do Microsoft Graphu.