Configuration Manager CMG 계획
적용 대상: Configuration Manager(현재 분기)
인터넷 기반 클라이언트의 관리를 간소화하려면 먼저 CMG(클라우드 관리 게이트웨이)에 대한 계획을 개발합니다. 환경에 맞는 방법을 디자인하고 구현을 준비합니다.
CMG 시나리오 및 사용 사례에 대한 자세한 기본 지식은 CMG 개요를 참조하세요.
계획 체크리스트
전체 CMG 계획 프로세스는 다음 부분으로 나뉩니다.
구성 요소 및 요구 사항: 이 문서에서는 CMG 시스템을 구성하는 구성 요소를 요약합니다. 또한 시스템 요구 사항도 나열합니다.
클라이언트 인증: 신뢰할 수 없는 네트워크에서 클라이언트에 사용할 인증 방법을 결정합니다.
계층 구조 디자인: 환경에 CMG를 배치할 위치를 계획합니다.
지원되는 구성: CMG에 연결하는 인터넷 기반 클라이언트에서 지원할 수 있는 Configuration Manager 기능을 이해합니다.
성능 및 규모: 클라이언트 수를 가장 잘 지원하는 데 필요한 서비스 구성 요소 수를 결정합니다.
비용: Azure 기반 구성 요소의 비용을 이해합니다.
CMG 구성 요소
CMG의 배포 및 작업에는 다음 구성 요소가 포함됩니다.
Azure의 CMG 클라우드 서비스는 인터넷을 통해 Configuration Manager 클라이언트 요청을 인증하고 온-프레미스 CMG 연결 지점으로 전달합니다.
CMG 연결 지점 사이트 시스템 역할을 사용하면 온-프레미스 네트워크에서 Azure의 CMG 서비스로 일관되고 고성능으로 연결할 수 있습니다. 또한 연결 정보 및 보안 설정을 포함하여 CMG에 설정을 게시합니다. CMG 연결 지점은 URL 매핑에 따라 CMG에서 온-프레미스 역할로 클라이언트 요청을 전달합니다. 예를 들어 관리 지점 및 소프트웨어 업데이트 지점입니다.
서비스 연결 지점 사이트 시스템 역할은 모든 CMG 배포 작업을 처리하는 클라우드 서비스 관리자 구성 요소를 실행합니다. 또한 Microsoft Entra ID에서 서비스 상태 및 로깅 정보를 모니터링하고 보고합니다. 서비스 연결 지점이 온라인 모드인지 확인합니다.
관리 지점 및 소프트웨어 업데이트 지점 사이트 시스템 역할 서비스 클라이언트 요청은 정상 단위입니다.
CMG는 인증서 기반 HTTPS 웹 서비스를 사용하여 클라이언트와의 네트워크 통신을 보호합니다.
인터넷 기반 클라이언트는 CMG에 연결하여 온-프레미스 Configuration Manager 구성 요소에 액세스합니다. 클라이언트 ID 및 인증에는 다음과 같은 여러 옵션이 있습니다.
- Microsoft Entra ID
- PKI 인증서
- 사이트에서 발급한 토큰 Configuration Manager
자세한 내용은 CMG 클라이언트 인증 계획을 참조하세요.
CMG는 표준 작업에 사용하는 Azure Storage 계정을 만듭니다. 기본적으로 CMG는 인터넷 기반 클라이언트에 배포 콘텐츠를 제공하기 위해 콘텐츠 사용이 가능합니다. 이 스토리지 계정은 가상 네트워크 제한과 같은 사용자 지정을 지원하지 않습니다.
참고
CDP(클라우드 기반 배포 지점)는 더 이상 사용되지 않습니다. 버전 2107부터는 새 CDP 인스턴스를 만들 수 없습니다. 인터넷 기반 디바이스에 콘텐츠를 제공하려면 CMG에서 콘텐츠를 배포할 수 있도록 설정합니다.
Azure Resource Manager
Azure Resource Manager 배포를 사용하여 CMG를 만듭니다. Azure Resource Manager 모든 솔루션 리소스를 리소스 그룹이라고 하는 단일 엔터티로 관리하기 위한 최신 플랫폼입니다. Azure Resource Manager CMG를 배포하는 경우 사이트는 Microsoft Entra ID를 사용하여 필요한 클라우드 리소스를 인증하고 만듭니다.
중요
버전 2203부터 CMG를 클라우드 서비스(클래식) 로 배포하는 옵션이 제거됩니다. 모든 CMG 배포는 가상 머신 확장 집합을 사용해야 합니다. 자세한 내용은 제거 및 사용되지 않는 기능을 참조하세요.
가상 머신 확장 집합
참고
이 기능은 버전 2010에서 시험판 기능으로 처음 도입되었습니다. 버전 2107부터는 더 이상 시험판 기능이 아닙니다.
Configuration Manager 기본적으로 이 선택적 기능을 사용하도록 설정하지 않습니다. 이 기능을 사용하려면 먼저 이 기능을 사용하도록 설정해야 합니다. 자세한 내용은 업데이트에서 선택적 기능 사용을 참조하세요.
버전 2010부터 CSP(클라우드 솔루션 공급자) 구독을 사용하는 고객은 Azure에서 가상 머신 확장 집합 을 사용하여 CMG를 배포할 수 있습니다. 이 지원은 현재 클래식 클라우드 서비스를 사용하여 다른 구독에 배포된 CMG가 없는 경우에만 지원됩니다.
버전 2107부터 모든 고객은 가상 머신 확장 집합을 사용하여 CMG를 배포할 수 있습니다. 기존 CMG가 클래식 클라우드 서비스와 함께 배포된 경우 가상 머신 확장 집합을 사용하도록 CMG를 변환 합니다.
몇 가지 예외를 제외하고 CMG의 구성, 작업 및 기능은 동일하게 유지됩니다.
Azure 구독의 다른 Azure 리소스 공급자 .
다른 배포 이름(예: 미국 동부 Azure 지역의 배포에 대한 GraniteFalls.EastUS.CloudApp.Azure.Com). 이 이름 변경은 CMG 서버 인증 인증서를 만들고 관리하는 방법에 영향을 줄 수 있습니다.
CMG 연결 지점은 HTTPS를 통해 Azure의 가상 머신 확장 집합과만 통신합니다. TCP-TLS 포트가 필요하지 않습니다.
가상 머신 확장 집합이 있는 CMG에 대한 제한 사항
버전 2107 이상의 제한 사항
참고
버전 2111부터 가상 머신 확장 집합이 있는 CMG 배포는 Azure 미국 정부 클라우드 환경을 지원합니다.
- 사용자는 소프트웨어 센터의 작업에 대해 최대 3초의 지연이 발생할 수 있습니다.
- CMG를 통해 애플리케이션 요청을 승인/거부할 수 없습니다.
- 버전 2107은 Azure 미국 정부 클라우드 환경을 지원하지 않습니다.
버전 2010 및 2103의 제한 사항
- 둘 이상의 CMG instance 필요한 경우 모두 동일한 배포 방법을 사용해야 합니다.
- 지원되는 동시 클라이언트 연결 수는 VM instance당 2,000개입니다. 자세한 내용은 CMG 성능 및 규모를 참조하세요.
- 독립 실행형 기본 사이트에서만 지원됩니다.
- Azure 미국 정부 클라우드 환경은 지원하지 않습니다.
- 사용자는 소프트웨어 센터의 작업에 대해 최대 3초의 지연이 발생할 수 있습니다.
- Configuration Manager 현재 리소스 그룹의 이름을 기반으로 Azure Storage 컨테이너를 만듭니다. Azure에는 리소스 그룹 및 스토리지 컨테이너에 대한 다양한 명명 요구 사항이 있습니다. 이 서비스의 리소스 그룹 이름에 소문자, 숫자 및 하이픈만 있는지 확인합니다. 작동하지 않는 기존 리소스 그룹이 있는 경우 Azure Portal 이름을 바꾸거나 새 리소스 그룹을 만듭니다.
- 둘 이상의 HTTPS 관리 지점이 있는 경우 인터넷을 통해 디바이스에 Configuration Manager 클라이언트를 설치할 수 없습니다. CMG를 사용하여 오프-프레미스 클라이언트를 설치해야 하는 경우 HTTPS 관리 지점이 하나만 있을 수 있습니다. 또한 콘텐츠에 CMG를 사용하도록 설정해야 합니다.
- CMG를 통해 애플리케이션 요청을 승인/거부할 수 없습니다.
요구 사항
팁
일부 Azure 용어를 명확히 하려면 다음을 수행합니다.
- Microsoft Entra ID 테넌트는 사용자 계정 및 앱 등록의 디렉터리입니다. 한 테넌트는 여러 구독을 가질 수 있습니다.
- Azure 구독 은 청구, 리소스 및 서비스를 구분합니다. 단일 테넌트와 연결됩니다.
자세한 내용은 Microsoft 클라우드 제품에 대한 구독, 라이선스, 계정 및 테넌트 를 참조하세요.
CMG를 호스트하는 Azure 구독 입니다. 이 구독은 다음 환경 중 하나일 수 있습니다.
- 글로벌 Azure 클라우드
- Azure 미국 정부 클라우드
CSP(클라우드 서비스 공급자) 구독을 사용하는 고객은 가상 머신 확장 집합 배포와 함께 버전 2010 이상을 사용해야 합니다.
사이트를 Microsoft Entra ID와 통합하여 Azure Resource Manager 서비스를 배포합니다. 자세한 내용은 CMG에 대한 Microsoft Entra ID 구성을 참조하세요.
Microsoft Entra ID에 사이트를 온보딩하는 경우 필요에 따라 Microsoft Entra 사용자 검색을 사용하도록 설정할 수 있습니다. CMG를 만들 필요는 없지만 하이브리드 ID에서 Microsoft Entra 인증을 사용하려는 경우 필요합니다. 자세한 내용은 Microsoft Entra ID를 사용하여 클라이언트 설치를 참조하고 Microsoft Entra 사용자 검색 정보를 참조하세요.
Azure 관리자는 특정 구성 요소의 초기 생성에 참여해야 합니다. 이 가상 사용자는 Configuration Manager 관리자와 동일하거나 별개일 수 있습니다. 별도의 경우 Configuration Manager 권한이 필요하지 않습니다.
Azure Resource Manager 사용하여 CMG를 배포하기 위한 Microsoft Entra ID와 사이트를 통합하는 경우 전역 관리자가 필요합니다.
CMG를 만들 때 Azure 구독 소유자 및 Microsoft Entra ID 전역 관리자인 계정이 필요합니다.
사용자 계정은 Configuration Manager 전체 관리자 또는 인프라 관리자여야 합니다.
CMG 연결 지점을 호스트할 온-프레미스 Windows 서버가 하나 이상 있습니다. 이 역할을 다른 Configuration Manager 사이트 시스템 역할과 공동 배치할 수 있습니다.
서비스 연결 지점은 온라인 모드여야 합니다.
CMG의 트래픽을 허용하도록 관리 지점을 구성합니다. 또한 HTTPS를 요구하거나 고급 HTTP에 대한 사이트를 구성해야 합니다.
CMG에 대한 서버 인증 인증서 입니다.
CMG 이름은 영숫자 3~24자 사이여야 합니다. 이름은 문자로 시작하고 문자 또는 숫자로 끝나야 하며 연속 하이픈을 포함하지 않아야 합니다.
클라이언트 OS 버전 및 인증 모델에 따라 다른 인증서가 필요할 수 있습니다. 자세한 내용은 클라이언트 인증 구성을 참조하세요.
클라이언트는 IPv4를 사용해야 합니다.
CMG를 사용하는 디바이스에 대해 클라우드 서비스 그룹의 다음 클라이언트 설정이 사용하도록 설정되어 있는지 확인합니다.
- 클라이언트가 클라우드 관리 게이트웨이를 사용할 수 있도록 설정
- 클라우드 배포 지점에 대한 액세스 허용
참고
사용 가능한 경우 클라이언트 설정을 사용하여 델타 콘텐츠 다운로드를 사용하도록 설정하면 타사 업데이트에 대한 콘텐츠가 클라이언트에 다운로드되지 않습니다.
다음 단계
다음으로, 클라이언트가 CMG를 사용하여 인증하는 방법을 결정합니다.