Si applica a: Configuration Manager (Current Branch)
Questo articolo risponde alle domande frequenti sul gateway di gestione cloud.This article answers your frequently asked questions about the cloud management gateway (CMG). Per altre informazioni, vedere Panoramica di CMG.
Sono necessari certificati?
Sì, almeno uno e possibilmente altri a seconda del progetto.
Certificato di autenticazione server: il cmg crea un servizio HTTPS a cui si connettono i client basati su Internet. Il servizio richiede un certificato di autenticazione del server per compilare il canale sicuro. È possibile acquisire un certificato a questo scopo da un provider pubblico o rilasciarlo dall'infrastruttura a chiave pubblica (PKI). Per altre informazioni, vedere Certificato di autenticazione del server CMG.
Certificato di autenticazione client: a seconda dell'ambiente e della progettazione del cmg, è possibile usare i certificati PKI per l'autenticazione client. Questo metodo di autenticazione non supporta scenari incentrati sull'utente, ma supporta i dispositivi che eseguono qualsiasi versione supportata di Windows. Per altre informazioni, vedere Configurare l'autenticazione client per CMG: certificato PKI.
Quando si usa questo metodo di autenticazione client, è anche necessario esportare la catena radice attendibile del certificato client. Usare quindi questa catena di certificati quando si crea il cmg e nel punto di connessione di CMG.
Il punto di gestione abilitato per HTTPS: a seconda di come si configura il sito e del metodo di autenticazione client scelto, potrebbe essere necessario configurare i punti di gestione abilitati per Internet per supportare HTTPS. Per altre informazioni, vedere Configurare l'autenticazione client per CMG: Abilitare il punto di gestione per HTTPS.
È necessario Azure ExpressRoute?
No. Azure ExpressRoute consente di estendere la rete locale nel cloud Microsoft. ExpressRoute o altre connessioni di rete virtuale di questo tipo non sono necessarie per il cmg. La progettazione del cmg consente ai client basati su Internet di comunicare tramite il servizio azure con sistemi del sito locali senza alcuna configurazione di rete aggiuntiva. Per altre informazioni, vedere Panoramica di CMG.
È necessario gestire o proteggere le macchine virtuali di Azure?
No. Il CMG è una soluzione SaaS (Software as a Service) che estende l'ambiente Configuration Manager nel cloud. La progettazione del cmg usa la piattaforma distribuita come servizio (PaaS) di Azure. Usando la sottoscrizione fornita, Configuration Manager crea le macchine virtuali (VM), l'archiviazione e la rete necessarie. Azure PaaS protegge e aggiorna le macchine virtuali. Non è necessario monitorare queste macchine virtuali. Le macchine virtuali di Azure per CMG non fanno parte dell'ambiente locale, come nel caso dell'infrastruttura distribuita come servizio (IaaS). Per informazioni più specifiche sulla sicurezza sulla soluzione PaaS sottostante su cui è basato il cmg, vedere Protezione delle distribuzioni PaaS.
Poiché il cmg funge da proxy per la comunicazione client, non elabora, conserva o archivia dati client. Il percorso di comunicazione su Internet usa sempre HTTPS. Per una maggiore sicurezza, configurare il punto di gestione per HTTPS. Configurare anche l'opzione del sito per i client per crittografare i messaggi di inventario e stato. Per altre informazioni, vedere Pianificare la sicurezza: firma e crittografia.
È necessario aggiornare la macchina virtuale se l'immagine è deprecata?
No. Le macchine virtuali cmg vengono distribuite usando il modello e IIS sono configurate. Questa operazione verrà interrotta se si aggiornano manualmente le macchine virtuali. Il gruppo di prodotti risolverà il problema tramite l'aggiornamento o le versioni current branch.
Come è possibile garantire la continuità del servizio durante gli aggiornamenti del servizio?
Ridimensionando CMG in modo da includere due o più istanze, è possibile sfruttare automaticamente i vantaggi offerti da Update Domains in Azure. Vedere Come aggiornare un servizio cloud.
Sto già usando IBCM. Se si aggiunge CMG, come si comportano i client?
Se è già stata distribuita la gestione client basata su Internet (IBCM), è anche possibile distribuire il cmg. I client ricevono criteri per entrambi i servizi. Mentre si spostano su Internet, selezionano e usano in modo casuale uno di questi servizi basati su Internet.
Gli account utente devono trovarsi nello stesso tenant Microsoft Entra del tenant associato alla sottoscrizione che ospita il servizio cloud cmg?
No, è possibile distribuire CMG in qualsiasi sottoscrizione in grado di ospitare servizi cloud di Azure.
Per chiarire i termini:
- Il Microsoft Entra tenant è la directory degli account utente e delle registrazioni dell'app. Un tenant può avere più sottoscrizioni.
- Una sottoscrizione di Azure separa fatturazione, risorse e servizi. È associato a un singolo tenant.
Consiglio
Per altre informazioni, vedere Sottoscrizioni, licenze, account e tenant per le offerte cloud microsoft.
Questa domanda è comune negli scenari seguenti:
Quando si dispone di ambienti di test e produzione distinti di Active Directory e Microsoft Entra, ma una singola sottoscrizione di hosting di Azure centralizzata.
L'uso di Azure è cresciuto in modo organico in team diversi.
Quando si usa una distribuzione Resource Manager, eseguire l'onboarding del tenant Microsoft Entra associato alla sottoscrizione. Questa connessione consente Configuration Manager di eseguire l'autenticazione in Azure per creare, distribuire e gestire il cmg.
Se si usa l'autenticazione Microsoft Entra per gli utenti e i dispositivi gestiti tramite cmg, eseguire l'onboarding di tale Microsoft Entra tenant. Per altre informazioni sui servizi di Azure per la gestione cloud, vedere Configurare i servizi di Azure. Quando si esegue l'onboarding di ogni tenant Microsoft Entra, un singolo cmg può fornire l'autenticazione Microsoft Entra per più tenant, indipendentemente dal percorso di hosting.
Esempio 1: Un tenant con più sottoscrizioni
Le identità utente, le registrazioni del dispositivo e le registrazioni dell'app si trovano tutte nello stesso tenant. È possibile scegliere la sottoscrizione usata dal cmg. È possibile distribuire più servizi CMG da un sito in sottoscrizioni separate. Il sito ha una relazione uno-a-uno con il tenant. Si decide quali sottoscrizioni usare per vari motivi, ad esempio la fatturazione o la separazione logica.
Esempio 2: Più tenant
In altre parole, l'ambiente ha più di un Microsoft Entra ID. Se è necessario supportare le identità utente e dispositivo in entrambi i tenant, è necessario collegare il sito a ogni tenant. Questo processo richiede un account amministrativo da ogni tenant per creare le registrazioni dell'app in tale tenant. Un sito può quindi ospitare servizi CMG in più tenant. È possibile creare un cmg in qualsiasi sottoscrizione disponibile in entrambi i tenant. I dispositivi aggiunti o aggiunti in modo ibrido a Microsoft Entra ID possono usare un cmg.
Se le identità dell'utente e del dispositivo si trovano in un tenant, ma la sottoscrizione del cmg si trova in un altro tenant, è necessario collegare il sito a entrambi i tenant. Tecnicamente, l'app client non è necessaria per il secondo tenant che ha solo il servizio CMG. L'app client fornisce solo l'autenticazione utente e del dispositivo per i client che usano il servizio CMG.
In che modo CMG influisce sui client connessi tramite VPN?
I client mobili che si connettono all'ambiente tramite una VPN vengono comunemente rilevati come con connessione Intranet. Tentano di connettersi all'infrastruttura locale, ad esempio punti di gestione e punti di distribuzione. Alcuni clienti preferiscono che questi client mobili siano gestiti dai servizi cloud anche quando sono connessi tramite VPN.
È anche possibile associare cmg a un gruppo di limiti. Questa azione impone a questi client di non usare i sistemi del sito locali. Per altre informazioni, vedere Configurare i gruppi di limiti.
In che modo la configurazione del punto di gestione influisce sui client interni?
Per proteggere il traffico sensibile inviato tramite un cmg, è necessario configurare almeno un punto di gestione per usare HTTPS o configurare il sito per HTTP avanzato.
Quindi, quando si distribuisce un cmg, se si usano certificati PKI per la comunicazione HTTPS nel punto di gestione abilitato per CMG, selezionare l'opzione Consenti client solo Internet nelle proprietà del punto di gestione. Questa impostazione garantisce che i client interni continuino a usare i punti di gestione HTTP nell'ambiente.
Se si usa HTTP avanzato, non è necessario configurare questa impostazione. I client continuano a usare HTTP quando comunicano direttamente al punto di gestione abilitato per CMG. Per altre informazioni, vedere HTTP avanzato.
Quali sono le differenze con l'autenticazione client tra Microsoft Entra ID e certificati?
È possibile usare Microsoft Entra ID o un certificato di autenticazione client per i dispositivi per l'autenticazione al servizio CMG. È anche possibile usare Configuration Manager token rilasciati dal sito per l'autenticazione.
Se gestisci i client Windows tradizionali con identità aggiunta al dominio Active Directory, hanno bisogno di certificati PKI per proteggere il canale di comunicazione. Questi client possono includere qualsiasi versione supportata di Windows. È possibile usare tutte le funzionalità supportate da CMG, ma la distribuzione del software è limitata solo ai dispositivi. Installare il client Configuration Manager prima che il dispositivo sia in roaming su Internet o usare l'autenticazione token.
È anche possibile gestire client Windows 10 o versioni successive con identità moderna, sia ibrido che cloud puro aggiunto a un dominio con Microsoft Entra ID. I client usano Microsoft Entra ID per l'autenticazione anziché per i certificati PKI. L'uso di Microsoft Entra ID è più semplice da configurare, configurare e gestire rispetto a sistemi PKI più complessi. È possibile eseguire tutte le stesse attività di gestione e la distribuzione del software all'utente. Consente anche metodi aggiuntivi per installare il client in un dispositivo remoto.
Microsoft consiglia di aggiungere dispositivi a Microsoft Entra ID. I dispositivi basati su Internet possono usare Microsoft Entra ID per eseguire l'autenticazione con Configuration Manager. Consente anche scenari di dispositivo e utente, indipendentemente dal fatto che il dispositivo sia connesso a Internet o alla rete interna.
Per altre informazioni, vedere Configurare l'autenticazione client.
È consigliabile usare una distribuzione di set di scalabilità di macchine virtuali?
Sì, se il sito è versione 2107 o successiva. Non è più una funzionalità non definitiva e consigliata per tutti i clienti. Se si dispone di una distribuzione cmg classica esistente, è possibile convertirla in un set di scalabilità di macchine virtuali.
Se il sito è la versione 2010 o 2103, il metodo di distribuzione del set di scalabilità di macchine virtuali è una funzionalità non definitiva. È destinato solo ai clienti con una sottoscrizione Cloud Solution Provider (CSP).
Importante
A partire dalla versione 2203, l'opzione per distribuire un cmg come servizio cloud (versione classica) viene rimossa. Tutte le distribuzioni di CMG devono usare un set di scalabilità di macchine virtuali. Per altre informazioni, vedere Funzionalità rimosse e deprecate.
Per altre informazioni sulla distribuzione di un cmg come set di scalabilità di macchine virtuali, vedere Pianificare cmg.
Un cmg abilitato per il contenuto usa la rete CDN di Azure?
No. Attualmente non supporta la rete di distribuzione di contenuti (CDN) di Azure. La rete CDN è una soluzione globale per distribuire rapidamente contenuti a larghezza di banda elevata memorizzando nella cache il contenuto in nodi fisici posizionati in modo strategico in tutto il mondo. Per altre informazioni, vedere Informazioni sulla rete CDN di Azure.
È necessario eseguire qualsiasi operazione con la deprecazione di Azure AD API Graph e Autenticazione di Azure AD Library (ADAL)?
No. È possibile che sia stato visualizzato il post di blog seguente e si stia chiedendo come si applica a Configuration Manager: Aggiornare le applicazioni per l'uso di Microsoft Authentication Library e Microsoft API Graph. Questo post fa riferimento a qualsiasi codice sviluppato che usa queste librerie di autenticazione. Configuration Manager usa Microsoft API Graph e Microsoft Authentication Library (MSAL) in alcune posizioni da diversi anni. Tutti gli altri componenti vengono aggiornati in Configuration Manager versione 2107 con l'aggiornamento cumulativo. Se si rimane aggiornati con Configuration Manager versioni, non c'è altro da fare.
Alcune persone confondono le informazioni in questo post di blog con le registrazioni dell'applicazione in Microsoft Entra ID che Configuration Manager usa per vari servizi collegati al cloud. Queste registrazioni delle app sono entità servizio basate sul cloud che non usano direttamente queste librerie di autenticazione. Se un amministratore globale di Azure ha creato manualmente le registrazioni dell'app Configuration Manager in Microsoft Entra ID, può verificare che tali registrazioni dispongano delle autorizzazioni per l'API Microsoft Graph. Non sono necessarie autorizzazioni per l'API Graph di Azure AD . Per altre informazioni, vedere Registrare manualmente le app Microsoft Entra.