Freigeben über


Einrichten von CMG für Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Sobald die Voraussetzungen erfüllt sind, können Sie den Prozess zum Einrichten eines Cloudverwaltungsgateways (CLOUD Management Gateway, CMG) starten. Bevor Sie mit diesem Prozess beginnen, stellen Sie sicher, dass Sie über die erforderlichen Informationen und Voraussetzungen zum Erstellen eines CMG verfügen. Weitere Informationen finden Sie unter Einrichten der Prüfliste für CMG.

Dieser Schritt des gesamten Prozesses umfasst die folgenden Aktionen:

  • Verwenden Sie die Configuration Manager-Konsole, um den CMG-Dienst in Azure zu erstellen.
  • Konfigurieren Sie den primären Standort für die Clientzertifikatauthentifizierung.
  • Fügen Sie die Standortsystemrolle CMG-Verbindungspunkt hinzu.
  • Konfigurieren Sie den Verwaltungspunkt und den Softwareupdatepunkt für CMG-Datenverkehr.
  • Konfigurieren von Begrenzungsgruppen

Einrichten eines CMG

Hinweis

Die Bereitstellung eines CMG mit einer VM-Skalierungsgruppe in Azure wurde erstmals in Version 2010 als Vorabversionsfeature eingeführt. Ab Version 2107 ist es kein Vorabfeature mehr.

Configuration Manager aktiviert dieses optionale Feature nicht standardmäßig. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden können. Weitere Informationen finden Sie unter Aktivieren optionaler Features von Updates.

Führen Sie dieses Verfahren auf der Website der obersten Ebene aus. Dieser Standort ist entweder ein eigenständiger primärer Standort oder der Standort der zentralen Verwaltung (Central Administration Site, CAS).

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Cloud Services, und wählen Sie Cloud Management Gateway aus.

  2. Wählen Sie im Menüband Cloudverwaltungsgateway erstellen aus.

  3. Geben Sie auf der Seite Allgemein des Assistenten zuerst die Azure-Umgebung für diesen CMG an:

    • AzurePublicCloud: Erstellen Sie den Dienst in der globalen Azure-Cloud.
    • AzureUSGovernmentCloud: Erstellen Sie den Dienst in der Azure US Government-Cloud.
  4. Wählen Sie als Nächstes aus, wie Sie das CMG in Azure bereitstellen möchten:

    • VM-Skalierungsgruppe

      • Ab Version 2203 ist die VM-Skalierungsgruppe die einzige Option.

      • Ab Version 2107 ist diese Option die empfohlene Bereitstellungsmethode. Auch wenn Sie ein vorhandenes CMG mit der Clouddienstmethode (klassisch) bereitgestellt haben, stellen Sie neue CMG-Instanzen als VM-Skalierungsgruppe bereit.

      • In den Versionen 2010 und 2103 müssen Sie dieses Vorabfeature aktivieren, um es anzuzeigen. In diesen Releases ist es nur für Kunden mit einem CSP-Abonnement (Cloud Solution Provider) vorgesehen. Wenn Sie bereits ein CMG mit der Clouddienstmethode (klassisch) bereitgestellt haben, ist diese Option nicht verfügbar. Weitere Informationen finden Sie unter Planen für CMG: VM-Skalierungsgruppen.

    • Clouddienst (klassisch)

      Wichtig

      Ab Version 2203 wird die Option zum Bereitstellen eines CMG als Clouddienst (klassisch) entfernt. Alle CMG-Bereitstellungen sollten eine VM-Skalierungsgruppe verwenden. Weitere Informationen finden Sie unter Entfernte und veraltete Features.

      • Verwenden Sie diese Option in Version 2107 und höher nur, wenn Sie die Bereitstellung aufgrund einer der Einschränkungen nicht mit einer VM-Skalierungsgruppe durchführen können.

      • In den Versionen 2010 und 2103 sollten die meisten Kunden diese Bereitstellungsmethode verwenden.

  5. Wählen Sie ab Version 2309 Microsoft Entra Mandantennamen aus, Microsoft Entra App-Name automatisch aufgefüllt wird. Wählen Sie Anmelden aus. Authentifizieren Sie sich mit einem Azure-Abonnementbesitzerkonto . Wenn Sie mehrere Abonnements besitzen, wählen Sie die Abonnement-ID des Abonnements aus, das Sie verwenden möchten.

    Hinweis

    Ab Version 2309 ist die Verwendung der Erstanbieter-App für die Erstellung von CMG veraltet. Jetzt verwendet CMG eine Server-App eines Drittanbieters, um Bearertoken abzurufen.

  6. Wählen Sie in Den Versionen 2303 und niedriger die Option Anmelden aus. Authentifizieren Sie sich mit einem Azure-Abonnementbesitzerkonto . Der Assistent füllt automatisch die verbleibenden Felder aus den Informationen auf, die während der Microsoft Entra Integrationsvoraussetzungen gespeichert wurden. Wenn Sie mehrere Abonnements besitzen, wählen Sie die Abonnement-ID des Abonnements aus, das Sie verwenden möchten.

    Wählen Sie Weiter aus, und warten Sie, während der Standort die Verbindung mit Azure testet.

  7. Navigieren Sie auf der Seite Einstellungen des Assistenten zunächst zum . PFX-Datei für das CMG-Serverauthentifizierungszertifikat (Zertifikatdatei). Der allgemeine Name aus diesem Zertifikat wird verwendet, um die Felder Dienstname und Bereitstellungsname aufzufüllen.

    Wenn Sie ein Platzhalterzertifikat verwenden, ersetzen Sie das Sternchen (*) im Feld Dienstname durch das Präfix global eindeutigen Bereitstellungsnamen für Ihr CMG.

    1. Geben Sie optional eine Beschreibung an, um dieses CMG in der Configuration Manager-Konsole weiter zu identifizieren.

    2. Wählen Sie eine Azure-Region für dieses CMG aus. Die Liste der verfügbaren Regionen kann je nach ausgewähltem Abonnement variieren.

    3. Wählen Sie eine Ressourcengruppe-Option aus:

      • Wenn Sie Vorhandene verwenden auswählen, wählen Sie eine vorhandene Ressourcengruppe aus der Liste aus. Diese Ressourcengruppe muss bereits in derselben Region vorhanden sein, die Sie für das CMG ausgewählt haben. Wenn Sie eine vorhandene Ressourcengruppe auswählen und diese sich in einer anderen Region als der zuvor ausgewählten Region befindet, kann die CMG nicht bereitgestellt werden.

      • Wenn Sie Neu erstellen auswählen, geben Sie den Namen der neuen Ressourcengruppe ein.

    4. Standardmäßig ist die VM-GrößeStandard (A2_V2). Wählen Sie eine andere Option aus, wie ihr Entwurf vorgibt. Beispiel: Groß (A4_v2) für erhöhte Clientkapazität pro VM oder Lab (B2s) in einer kleinen Testumgebung.

      Wichtig

      Die LAB-Größe (B2s) ist nur für Labtests und kleine Proof of Concept-Umgebungen vorgesehen. Beispielsweise mit der Configuration Manager Technical Preview-Branch. Die B2s-VMs sind nicht für die Verwendung in der Produktion mit dem CMG vorgesehen. Sie sind kostengünstig und leistungsarm.

    5. Geben Sie im Feld VM-Instanz die Anzahl der virtuellen Computer für diesen Dienst ein. Der Standardwert ist eins, aber Sie können bis zu 16 VMs pro CMG skalieren.

    6. Wenn Sie Clientauthentifizierungszertifikate verwenden, wählen Sie Zertifikate aus, um vertrauenswürdige Stammzertifikate hinzuzufügen. Fügen Sie alle Zertifikate in der Vertrauenskette hinzu.

      Hinweis

      Ein vertrauenswürdiges Stammzertifikat ist nicht erforderlich, wenn Microsoft Entra-ID oder vom Standort ausgestellte Token für die Clientauthentifizierung verwendet werden.

    7. Standardmäßig aktiviert der Assistent die Option Clientzertifikatsperrung überprüfen. Eine Zertifikatsperrliste (Certificate Revocation List, CRL) muss öffentlich veröffentlicht werden, damit diese Überprüfung funktioniert. Weitere Informationen finden Sie unter Veröffentlichen der Zertifikatsperrliste.

    8. Standardmäßig aktiviert der Assistent die Option TLS 1.2 erzwingen. Diese Einstellung erfordert, dass der virtuelle Azure-Computer das TLS 1.2-Verschlüsselungsprotokoll verwendet. Sie gilt nicht für lokale Configuration Manager-Standortserver oder -clients. Ab Version 2107 mit dem Updaterollup gilt diese Einstellung auch für das CMG-Speicherkonto. Weitere Informationen finden Sie unter Aktivieren von TLS 1.2.

    9. Standardmäßig aktiviert der Assistent die Option CMG darf als Cloudverteilungspunkt fungieren und Inhalte aus Azure Storage bereitstellen. Wenn Sie planen, Bereitstellungen mit Inhalten für Clients bereitzustellen, müssen Sie das CMG für die Bereitstellung von Inhalten konfigurieren.

  8. Als Nächstes finden Sie die Seite Warnungen des Assistenten. Um CMG-Datenverkehr mit einem 14-Tage-Schwellenwert zu überwachen, aktivieren Sie die Schwellenwertwarnung. Geben Sie dann den Schwellenwert und den Prozentsatz an, mit dem die verschiedenen Warnungsstufen ausgelöst werden sollen. Sie können auch einen Speicherwarnungsschwellenwert aktivieren. Wählen Sie Weiter aus, wenn Sie fertig sind.

  9. Überprüfen Sie die Einstellungen, und schließen Sie den Assistenten ab.

Configuration Manager beginnt mit der Einrichtung des Diensts. Die Zeit, die für die vollständige Bereitstellung des Diensts in Azure benötigt wird, hängt von den von Ihnen angegebenen Einstellungen ab. Um zu bestimmen, wann der Dienst bereit ist, zeigen Sie die Spalte Status für das neue CMG an.

Verwenden Sie CloudMgr.log und CMGSetup.log, um Probleme mit CMG-Bereitstellungen zu beheben. Weitere Informationen finden Sie unter Überwachen von CMG.

Tipp

Sie können für diesen Prozess auch das PowerShell-Cmdlet New-CMCloudManagementGateway verwenden. Verwenden Sie optional dieses Cmdlet, um den CMG-Dienst zu erstellen. Weitere Informationen finden Sie unter New-CMCloudManagementGateway.

Konfigurieren des primären Standorts für die Clientzertifikatauthentifizierung

Wenn Sie Clientauthentifizierungszertifikate für Clients für die Authentifizierung beim CMG verwenden, gehen Sie wie folgt vor, um jeden primären Standort zu konfigurieren.

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie Standorte aus.

  2. Wählen Sie den primären Standort aus, dem Ihre internetbasierten Clients zugewiesen sind, und wählen Sie Eigenschaften aus.

  3. Wechseln Sie zur Registerkarte Kommunikationssicherheit , und wählen Sie PKI-Clientzertifikat verwenden (Clientauthentifizierung) aus, wenn verfügbar.

  4. Wenn Sie keine Zertifikatsperrliste veröffentlichen, deaktivieren Sie die folgende Option: Clients überprüfen die Zertifikatsperrliste (Certificate Revocation List, CRL) für Standortsysteme.

Hinzufügen des CMG-Verbindungspunkts

Der CMG-Verbindungspunkt ist die Standortsystemrolle, die für die Kommunikation von Ihrer lokalen Configuration Manager Bereitstellung mit dem cloudbasierten CMG erforderlich ist. Bevor Sie mit diesem Prozess beginnen, sollten Sie bereits einen Plan für die Rolle entwickelt und mindestens einen vorhandenen Standortsystemserver identifiziert haben. Weitere Informationen finden Sie unter Planen des CMG.

Um den CMG-Verbindungspunkt hinzuzufügen, fassen die folgenden Schritte die Anweisungen zum Installieren von Standortsystemrollen zusammen:

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Server und Standortsystemrollen aus.

  2. Wählen Sie einen vorhandenen Standortserver aus, dem Sie diese Rolle hinzufügen möchten. Wählen Sie im Menüband auf der Registerkarte Startdie Option Standortsystemrollen hinzufügen aus.

  3. Wählen Sie auf dem Bildschirm Systemrollenauswahl die Option Cloudverwaltungsgatewayverbindungspunkt und dann Weiter aus. Wählen Sie den Namen des Cloudverwaltungsgateways aus, mit dem dieser Server eine Verbindung herstellt. Der Assistent zeigt die Region für den ausgewählten CMG an.

Wichtig

Wenn Sie Clientauthentifizierungszertifikate verwenden, benötigt der CMG-Verbindungspunkt dieses Zertifikat. Weitere Informationen finden Sie unter Clientauthentifizierungszertifikat.

Verwenden Sie CMGService.log und SMS_Cloud_ProxyConnector.log, um Probleme mit der CMG-Dienstintegrität zu beheben. Weitere Informationen finden Sie unter Protokolldateien.

Tipp

Optional können Sie auch das PowerShell-Cmdlet Add-CMCloudManagementGatewayConnectionPoint verwenden, um die CMG-Verbindungspunktrolle einem Standortsystemserver hinzuzufügen.

Weitere Informationen finden Sie unter Add-CMCloudManagementGatewayConnectionPoint.

Konfigurieren clientseitiger Rollen für CMG-Datenverkehr

Konfigurieren Sie die Standortsysteme des Verwaltungspunkts und des Softwareupdatepunkts so, dass CMG-Datenverkehr akzeptiert wird. Führen Sie dieses Verfahren am primären Standort für alle Verwaltungspunkte und Softwareupdatepunkte aus, die internetbasierte Clients bedienen.

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Server und Standortsystemrollen aus. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Ansicht die Option Server mit Rolle aus. Wählen Sie dann verwaltungspunkt aus der Liste aus.

  2. Wählen Sie den Standortsystemserver aus, den Sie für CMG-Datenverkehr konfigurieren möchten. Wählen Sie im Detailbereich die Rolle Verwaltungspunkt und dann in der Gruppe Standortrolle des Menübands Eigenschaften aus.

  3. Wählen Sie im Eigenschaftenblatt Verwaltungspunkt unter Clientverbindungen die Option Configuration Manager Cloudverwaltungsgatewaydatenverkehr zulassen aus.

    Abhängig von Ihrem CMG-Design und Configuration Manager Version müssen Sie möglicherweise die HTTPS-Option aktivieren. Weitere Informationen finden Sie unter Aktivieren des Verwaltungspunkts für HTTPS.

  4. Wählen Sie OK aus, um das Fenster mit den Eigenschaften des Verwaltungspunkts zu schließen.

Wiederholen Sie diese Schritte nach Bedarf für andere Verwaltungspunkte und für alle Softwareupdatepunkte.

Konfigurieren von Begrenzungsgruppen

Sie können ein CMG einer Begrenzungsgruppe zuordnen. Diese Konfiguration ermöglicht Clients die Verwendung des CMG für die Clientkommunikation gemäß den Beziehungen zwischen Begrenzungsgruppen. Diese Konfiguration ist für VPN- oder Zweigstellenclients von Vorteil, bei denen es möglicherweise besser ist, sie über ein CMG als über die VPN- oder WAN-Verbindung zu verwalten. Wenn Sie die Option Cloudbasierte Quellen gegenüber lokalen Quellen bevorzugen aktivieren, bevorzugen Clients das CMG sowohl für Richtlinien als auch für Inhalte.

Weitere Informationen zu Begrenzungsgruppen finden Sie unter Konfigurieren von Begrenzungsgruppen.

Wenn Sie eine Begrenzungsgruppe erstellen oder konfigurieren, fügen Sie auf der Registerkarte Verweise ein Cloudverwaltungsgateway hinzu. Diese Aktion ordnet der CMG dieser Begrenzungsgruppe zu.

Branchcache

Um ein inhaltsaktiviertes CMG für die Verwendung von Windows BranchCache zu aktivieren, installieren Sie das BranchCache-Feature auf dem Standortserver.

  • Wenn der Standortserver über eine standortbasierte Standortsystemrolle für den lokalen Verteilungspunkt verfügt, konfigurieren Sie die Option in den Eigenschaften dieser Rolle auf Aktivieren und Konfigurieren von BranchCache. Weitere Informationen finden Sie unter Konfigurieren eines Verteilungspunkts.

  • Wenn der Standortserver nicht über eine Verteilungspunktrolle verfügt, installieren Sie das BranchCache-Feature in Windows. Weitere Informationen finden Sie unter Installieren des BranchCache-Features.

Wenn Sie bereits Inhalte an ein CMG verteilt haben und sich dann entscheiden, BranchCache zu aktivieren, installieren Sie zuerst das Feature. Verteilen Sie den Inhalt dann erneut an das CMG.

Verteilen und Verwalten von Inhalten

Verteilen Sie Den Inhalt auf das inhaltsfähige CMG wie bei jedem anderen Verteilungspunkt. Der Verwaltungspunkt enthält das CMG nicht in die Liste der Inhaltsspeicherorte, es sei denn, er enthält den Inhalt, den Clients anfordern. Weitere Informationen finden Sie unter Verteilen und Verwalten von Inhalten.

Verwalten Sie Inhalte auf einem CMG genauso wie bei jedem anderen Verteilungspunkt. Diese Aktionen umfassen das Zuweisen einer Verteilungspunktgruppe und das Verwalten von Inhaltspaketen. Weitere Informationen finden Sie unter Installieren und Konfigurieren von Verteilungspunkten.

Nächste Schritte

Setzen Sie ihre CMG-Einrichtung fort, indem Sie Clients für CMG konfigurieren: