적용 대상: Configuration Manager(현재 분기)
이 문서에서는 CMG(클라우드 관리 게이트웨이)에 대한 질문과 대답을 제공합니다. 자세한 내용은 CMG 개요를 참조하세요.
인증서가 필요한가요?
예, 적어도 하나, 그리고 아마도 다른 디자인에 따라.
서버 인증 인증서: CMG는 인터넷 기반 클라이언트가 연결하는 HTTPS 서비스를 만듭니다. 서비스에는 보안 채널을 빌드하려면 서버 인증 인증서가 필요합니다. 공용 공급자로부터 이 목적을 위해 인증서를 획득하거나 PKI(공개 키 인프라)에서 인증서를 발급할 수 있습니다. 자세한 내용은 CMG 서버 인증 인증서를 참조하세요.
클라이언트 인증 인증서: 환경 및 CMG 디자인에 따라 클라이언트 인증에 PKI 인증서를 사용할 수 있습니다. 이 인증 방법은 사용자 중심 시나리오를 지원하지 않지만 지원되는 모든 버전의 Windows를 실행하는 디바이스를 지원합니다. 자세한 내용은 CMG에 대한 클라이언트 인증 구성: PKI 인증서를 참조하세요.
이 클라이언트 인증 방법을 사용하는 경우 클라이언트 인증서의 신뢰할 수 있는 루트 체인도 내보내야 합니다. 그런 다음 CMG 및 CMG 연결 지점에서 이 인증서 체인을 사용합니다.
HTTPS 사용 관리 지점: 사이트를 구성하는 방법과 선택한 클라이언트 인증 방법에 따라 HTTPS를 지원하도록 인터넷 사용 관리 지점을 구성해야 할 수 있습니다. 자세한 내용은 CMG에 대한 클라이언트 인증 구성: HTTPS에 대한 관리 지점 사용을 참조하세요.
Azure ExpressRoute가 필요한가요?
아니요. Azure ExpressRoute 를 사용하면 온-프레미스 네트워크를 Microsoft 클라우드로 확장할 수 있습니다. ExpressRoute 또는 기타 가상 네트워크 연결은 CMG에 필요하지 않습니다. CMG의 디자인을 통해 인터넷 기반 클라이언트는 추가 네트워크 구성 없이 Azure 서비스를 통해 온-프레미스 사이트 시스템과 통신할 수 있습니다. 자세한 내용은 CMG 개요를 참조하세요.
Azure 가상 머신을 유지 관리하거나 보호해야 하나요?
아니요. CMG는 Configuration Manager 환경을 클라우드로 확장하는 SaaS(Software as a Service) 솔루션입니다. CMG의 디자인은 Azure PaaS(Platform as a Service)를 사용합니다. 제공하는 구독을 사용하여 Configuration Manager 필요한 VM(가상 머신), 스토리지 및 네트워킹을 만듭니다. Azure PaaS는 VM을 보호하고 업데이트합니다. 이러한 VM을 모니터링할 필요가 없습니다. CMG용 Azure VM은 IaaS(Infrastructure as a Service)의 경우와 마찬가지로 온-프레미스 환경의 일부가 아닙니다. CMG가 빌드된 기본 PaaS 솔루션에 대한 보안 관련 자세한 내용은 PaaS 배포 보안을 참조하세요.
CMG는 클라이언트 통신을 위한 프록시 역할을 하므로 클라이언트 데이터를 처리, 유지 또는 저장하지 않습니다. 인터넷을 통한 통신 경로는 항상 HTTPS를 사용합니다. 보안을 강화하려면 HTTPS에 대한 관리 지점을 구성합니다. 또한 클라이언트가 인벤토리를 암호화하고 메시지를 상태 사이트 옵션을 구성합니다. 자세한 내용은 보안 계획: 서명 및 암호화를 참조하세요.
이미지가 더 이상 사용되지 않는 경우 가상 머신을 업데이트해야 하나요?
아니요. CMG VM은 템플릿을 사용하여 배포되고 IIS가 구성됩니다. VM을 수동으로 업데이트하면 손상됩니다. 제품 그룹은 업데이트 또는 현재 분기 릴리스를 통해 문제를 해결합니다.
서비스 업데이트 중에 서비스 연속성을 보장하려면 어떻게 해야 하나요?
CMG를 확장하여 둘 이상의 인스턴스를 포함하면 Azure에서 도메인 업데이트의 이점을 자동으로 활용할 수 있습니다. 클라우드 서비스를 업데이트하는 방법을 참조하세요.
이미 IBCM을 사용하고 있습니다. CMG를 추가하는 경우 클라이언트는 어떻게 작동합니까?
이미 IBCM( 인터넷 기반 클라이언트 관리 )을 배포한 경우 CMG를 배포할 수도 있습니다. 클라이언트는 두 서비스에 대한 정책을 받습니다. 그들은 인터넷에 로밍으로, 그들은 무작위로 선택하고 이러한 인터넷 기반 서비스 중 하나를 사용합니다.
사용자 계정이 CMG 클라우드 서비스를 호스트하는 구독과 연결된 테넌트와 동일한 Microsoft Entra 테넌트여야 합니까?
아니요, Azure 클라우드 서비스를 호스트할 수 있는 모든 구독에 CMG를 배포할 수 있습니다.
용어를 명확히 하려면 다음을 수행합니다.
- Microsoft Entra 테넌트는 사용자 계정 및 앱 등록의 디렉터리입니다. 한 테넌트는 여러 구독을 가질 수 있습니다.
- Azure 구독 은 청구, 리소스 및 서비스를 구분합니다. 단일 테넌트와 연결됩니다.
팁
자세한 내용은 Microsoft 클라우드 제품에 대한 구독, 라이선스, 계정 및 테넌트 를 참조하세요.
이 질문은 다음과 같은 시나리오에서 일반적입니다.
고유한 테스트 및 프로덕션 Active Directory 및 Microsoft Entra 환경이 있지만 하나의 중앙 집중식 Azure 호스팅 구독이 있는 경우
Azure 사용은 여러 팀에서 유기적으로 성장했습니다.
Resource Manager 배포를 사용하는 경우 구독과 연결된 Microsoft Entra 테넌트 온보딩합니다. 이 연결을 통해 Configuration Manager AZURE에 인증하여 CMG를 만들고, 배포하고, 관리할 수 있습니다.
CMG를 통해 관리되는 사용자 및 디바이스에 Microsoft Entra 인증을 사용하는 경우 해당 Microsoft Entra 테넌트 온보딩합니다. 클라우드 관리를 위한 Azure 서비스에 대한 자세한 내용은 Azure 서비스 구성을 참조하세요. 각 Microsoft Entra 테넌트 온보딩하는 경우 단일 CMG는 호스팅 위치에 관계없이 여러 테넌트에서 Microsoft Entra 인증을 제공할 수 있습니다.
예제 1: 구독이 여러 개 있는 테넌트 1개
사용자 ID, 디바이스 등록 및 앱 등록은 모두 동일한 테넌트에서 제공됩니다. CMG에서 사용하는 구독을 선택할 수 있습니다. 한 사이트에서 별도의 구독으로 여러 CMG 서비스를 배포할 수 있습니다. 사이트는 테넌트와 일대일 관계를 맺습니다. 청구 또는 논리적 분리와 같은 다양한 이유로 사용할 구독을 결정합니다.
예제 2: 여러 테넌트
즉, 환경에 둘 이상의 Microsoft Entra ID 있습니다. 두 테넌트 모두에서 사용자 및 디바이스 ID를 지원해야 하는 경우 각 테넌트에서 사이트를 연결해야 합니다. 이 프로세스를 수행하려면 각 테넌트에서 관리 계정이 해당 테넌트에서 앱 등록을 만들어야 합니다. 그러면 한 사이트에서 여러 테넌트에서 CMG 서비스를 호스트할 수 있습니다. 두 테넌트에서 사용 가능한 모든 구독에서 CMG를 만들 수 있습니다. Microsoft Entra ID 조인 또는 하이브리드 조인된 디바이스는 CMG를 사용할 수 있습니다.
사용자 및 디바이스 ID가 한 테넌트에 있지만 CMG의 구독이 다른 테넌트인 경우 사이트를 두 테넌트 모두에 연결해야 합니다. 기술적으로 CMG 서비스만 있는 두 번째 테넌트에서는 클라이언트 앱이 필요하지 않습니다. 클라이언트 앱은 CMG 서비스를 사용하는 클라이언트에 대해서만 사용자 및 디바이스 인증을 제공합니다.
CMG는 VPN을 통해 연결된 클라이언트에 어떤 영향을 주나요?
VPN을 통해 환경에 연결하는 로밍 클라이언트는 일반적으로 인트라넷 연결로 검색됩니다. 관리 지점 및 배포 지점과 같은 온-프레미스 인프라에 연결하려고 시도합니다. 일부 고객은 VPN을 통해 연결된 경우에도 클라우드 서비스에서 이러한 로밍 클라이언트를 관리하는 것을 선호합니다.
CMG를 경계 그룹과 연결할 수도 있습니다. 이 작업은 이러한 클라이언트가 온-프레미스 사이트 시스템을 사용하지 않도록 강제합니다. 자세한 내용은 경계 그룹 구성을 참조하세요.
관리 지점의 구성은 내부 클라이언트에 어떤 영향을 주나요?
CMG를 통해 전송되는 중요한 트래픽을 보호하려면 HTTPS를 사용하도록 하나 이상의 관리 지점을 구성하거나 향상된 HTTP에 대한 사이트를 구성해야 합니다.
그런 다음 CMG를 배포할 때 CMG 사용 관리 지점에서 HTTPS 통신에 PKI 인증서를 사용하는 경우 관리 지점 속성에서 인터넷 전용 클라이언트 허용 옵션을 선택합니다. 이 설정을 사용하면 내부 클라이언트가 사용자 환경에서 HTTP 관리 지점을 계속 사용할 수 있습니다.
고급 HTTP를 사용하는 경우 이 설정을 구성할 필요가 없습니다. 클라이언트는 CMG 사용 관리 지점에 직접 통신할 때 HTTP를 계속 사용합니다. 자세한 내용은 고급 HTTP를 참조하세요.
Microsoft Entra ID 인증서 간의 클라이언트 인증의 차이점은 무엇인가요?
디바이스에 대한 Microsoft Entra ID 또는 클라이언트 인증 인증서를 사용하여 CMG 서비스에 인증할 수 있습니다. Configuration Manager 사이트에서 발급한 토큰을 인증에 사용할 수도 있습니다.
Active Directory 도메인 가입 ID를 사용하여 기존 Windows 클라이언트를 관리하는 경우 통신 채널을 보호하기 위해 PKI 인증서가 필요합니다. 이러한 클라이언트에는 지원되는 모든 버전의 Windows가 포함될 수 있습니다. 모든 CMG 지원 기능을 사용할 수 있지만 소프트웨어 배포는 디바이스로만 제한됩니다. 디바이스가 인터넷으로 로밍되기 전에 Configuration Manager 클라이언트를 설치하거나 토큰 인증을 사용합니다.
하이브리드 또는 순수 클라우드 도메인이 Microsoft Entra ID 조인된 최신 ID를 사용하여 Windows 10 이상 클라이언트를 관리할 수도 있습니다. 클라이언트는 Microsoft Entra ID 사용하여 PKI 인증서가 아닌 인증합니다. Microsoft Entra ID 사용하면 더 복잡한 PKI 시스템보다 설정, 구성 및 유지 관리가 더 간단합니다. 동일한 관리 활동과 사용자에게 소프트웨어 배포를 모두 수행할 수 있습니다. 또한 추가 메서드를 사용하여 원격 디바이스에 클라이언트를 설치할 수 있습니다.
디바이스를 Microsoft Entra ID 가입하는 것이 좋습니다. 인터넷 기반 디바이스는 Microsoft Entra ID 사용하여 Configuration Manager 인증할 수 있습니다. 또한 디바이스가 인터넷에 있거나 내부 네트워크에 연결되어 있는지 여부에 관계없이 디바이스 및 사용자 시나리오를 모두 사용할 수 있습니다.
자세한 내용은 클라이언트 인증 구성을 참조하세요.
가상 머신 확장 집합 배포를 사용해야 하나요?
예, 사이트가 버전 2107 이상인 경우 더 이상 시험판 기능이 아니고 모든 고객에게 권장됩니다. 기존 클래식 CMG 배포가 있는 경우 가상 머신 확장 집합으로 변환할 수 있습니다.
사이트가 버전 2010 또는 2103인 경우 가상 머신 확장 집합 배포 방법은 시험판 기능입니다. CSP(클라우드 솔루션 공급자) 구독을 사용하는 고객만을 위한 것입니다.
중요
버전 2203부터 CMG를 클라우드 서비스(클래식) 로 배포하는 옵션이 제거됩니다. 모든 CMG 배포는 가상 머신 확장 집합을 사용해야 합니다. 자세한 내용은 제거 및 사용되지 않는 기능을 참조하세요.
CMG를 가상 머신 확장 집합으로 배포하는 방법에 대한 자세한 내용은 CMG 계획을 참조하세요.
콘텐츠 사용 CMG에서 Azure CDN을 사용하나요?
아니요. 현재는 AZURE CDN(콘텐츠 배달 네트워크)을 지원하지 않습니다. CDN은 전 세계에 전략적으로 배치된 실제 노드에서 콘텐츠를 캐싱하여 높은 대역폭 콘텐츠를 신속하게 제공하기 위한 글로벌 솔루션입니다. 자세한 내용은 Azure CDN이란?을 참조하세요.
Azure AD Graph API 및 ADAL(Azure AD 인증 라이브러리)의 사용 중단으로 어떤 작업을 수행해야 하나요?
아니요. 다음 블로그 게시물을 보고 Configuration Manager 적용되는지 궁금할 수 있습니다. Microsoft 인증 라이브러리 및 Microsoft Graph API 사용하도록 애플리케이션을 업데이트합니다. 이 게시물은 이러한 인증 라이브러리를 사용하는 개발된 코드를 참조합니다. Configuration Manager 몇 년 동안 일부 위치에서 Microsoft Graph API 및 MSAL(Microsoft 인증 라이브러리)을 사용해 왔습니다. 다른 모든 구성 요소는 업데이트 롤업으로 Configuration Manager 버전 2107에서 업데이트됩니다. Configuration Manager 버전을 최신 상태로 유지하는 경우 수행해야 하는 다른 작업은 없습니다.
일부 사람들은 이 블로그 게시물의 정보를 Configuration Manager 다양한 클라우드 연결 서비스에 사용하는 Microsoft Entra ID 애플리케이션 등록과 혼동합니다. 이러한 앱 등록은 이러한 인증 라이브러리를 직접 사용하지 않는 클라우드 기반 서비스 주체입니다. Azure 전역 관리자가 Microsoft Entra ID Configuration Manager 앱 등록을 수동으로 만든 경우 해당 등록에 Microsoft Graph API에 대한 권한이 있음을 두 번 검사 수 있습니다. Azure AD Graph API에 대한 권한이 필요하지 않습니다. 자세한 내용은 수동으로 Microsoft Entra 앱 등록을 참조하세요.