Często zadawane pytania dotyczące cmg

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące bramy zarządzania chmurą (CMG). Aby uzyskać więcej informacji, zobacz Omówienie cmg.

Czy muszę mieć jakieś certyfikaty?

Tak, co najmniej jeden i ewentualnie inne w zależności od projektu.

  • Certyfikat uwierzytelniania serwera: usługa CMG tworzy usługę HTTPS, z którą łączą się klienci internetowi. Usługa wymaga certyfikatu uwierzytelniania serwera w celu skompilowania bezpiecznego kanału. W tym celu możesz uzyskać certyfikat od dostawcy publicznego lub wystawić go z infrastruktury kluczy publicznych (PKI). Aby uzyskać więcej informacji, zobacz Certyfikat uwierzytelniania serwera CMG.

  • Certyfikat uwierzytelniania klienta: w zależności od środowiska i projektu cmg można użyć certyfikatów PKI do uwierzytelniania klienta. Ta metoda uwierzytelniania nie obsługuje scenariuszy zorientowanych na użytkowników, ale obsługuje urządzenia z dowolną obsługiwaną wersją systemu Windows. Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania klienta dla certyfikatu CMG: PKI.

    W przypadku korzystania z tej metody uwierzytelniania klienta należy również wyeksportować zaufany łańcuch główny certyfikatu klienta. Następnie należy użyć tego łańcucha certyfikatów podczas tworzenia cmg i w punkcie połączenia cmg.

  • Punkt zarządzania z obsługą protokołu HTTPS: w zależności od sposobu konfigurowania lokacji i wybranej metody uwierzytelniania klienta może być konieczne skonfigurowanie internetowych punktów zarządzania w celu obsługi protokołu HTTPS. Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania klienta dla usługi CMG: Włączanie punktu zarządzania dla protokołu HTTPS.

Czy potrzebuję usługi Azure ExpressRoute?

Nie. Usługa Azure ExpressRoute umożliwia rozszerzenie sieci lokalnej na chmurę firmy Microsoft. Usługa ExpressRoute lub inne tego typu połączenia sieci wirtualnej nie są wymagane dla usługi CMG. Projekt cmg umożliwia klientom internetowym komunikowanie się za pośrednictwem usługi platformy Azure z lokalnymi systemami lokacji bez dodatkowej konfiguracji sieci. Aby uzyskać więcej informacji, zobacz Omówienie cmg.

Czy muszę utrzymywać lub zabezpieczać maszyny wirtualne platformy Azure?

Nie. Cmg to rozwiązanie oprogramowania jako usługi (SaaS), które rozszerza środowisko Configuration Manager na chmurę. Projekt cmg używa platformy Azure jako usługi (PaaS). Przy użyciu podaszonej subskrypcji Configuration Manager tworzy niezbędne maszyny wirtualne, magazyn i sieć. Usługa Azure PaaS zabezpiecza i aktualizuje maszyny wirtualne. Nie musisz monitorować tych maszyn wirtualnych. Maszyny wirtualne platformy Azure dla usługi CMG nie są częścią środowiska lokalnego, podobnie jak w przypadku infrastruktury jako usługi (IaaS). Aby uzyskać bardziej szczegółowe informacje o zabezpieczeniach dotyczące podstawowego rozwiązania PaaS, na których jest oparta usługa CMG, zobacz Zabezpieczanie wdrożeń paaS.

Ponieważ cmg działa jako serwer proxy dla komunikacji z klientem, nie przetwarza, nie przechowuje ani nie przechowuje żadnych danych klienta. Ścieżka komunikacji przez Internet zawsze używa protokołu HTTPS. Aby uzyskać większe bezpieczeństwo, skonfiguruj punkt zarządzania dla protokołu HTTPS. Skonfiguruj również opcję lokacji dla klientów w celu szyfrowania komunikatów o spisie i stanie. Aby uzyskać więcej informacji, zobacz Planowanie zabezpieczeń: podpisywanie i szyfrowanie.

Czy muszę zaktualizować maszynę wirtualną, jeśli obraz jest przestarzały?

Nie. Maszyny wirtualne cmg są wdrażane przy użyciu szablonu i skonfigurowano usługi IIS, które zostaną przerwane, jeśli ręcznie zaktualizujesz maszyny wirtualne. Grupa produktów rozwiąże problem za pomocą aktualizacji lub bieżących wersji gałęzi.

Jak zapewnić ciągłość usługi podczas aktualizacji usługi?

Skalując grupę cmg w celu uwzględnienia co najmniej dwóch wystąpień, automatycznie korzystasz z usługi Update Domains na platformie Azure. Zobacz Jak zaktualizować usługę w chmurze.

Używam już protokołu IBCM. Jak zachowują się klienci w przypadku dodawania programu CMG?

Jeśli już wdrożono internetowe zarządzanie klientami (IBCM), możesz również wdrożyć usługę CMG. Klienci otrzymują zasady dla obu usług. Gdy wędrują do Internetu, losowo wybierają i korzystają z jednej z tych usług internetowych.

Czy konta użytkowników muszą znajdować się w tej samej dzierżawie Microsoft Entra co dzierżawa skojarzona z subskrypcją hostującą usługę w chmurze CMG?

Nie, możesz wdrożyć usługę CMG w dowolnej subskrypcji, która może hostować usługi w chmurze platformy Azure.

Aby wyjaśnić terminy:

  • Dzierżawa Microsoft Entra to katalog kont użytkowników i rejestracji aplikacji. Jedna dzierżawa może mieć wiele subskrypcji.
  • Subskrypcja platformy Azure oddziela rozliczenia, zasoby i usługi. Jest ona skojarzona z jedną dzierżawą.

To pytanie jest powszechne w następujących scenariuszach:

  • Jeśli masz odrębne środowiska testowe i produkcyjne usługi Active Directory i Microsoft Entra, ale jedną, scentralizowaną subskrypcję hostingu platformy Azure.

  • Korzystanie z platformy Azure wzrosło organicznie w różnych zespołach.

Jeśli używasz wdrożenia Resource Manager, dołącz dzierżawę Microsoft Entra skojarzoną z subskrypcją. To połączenie umożliwia Configuration Manager uwierzytelnianie na platformie Azure w celu tworzenia i wdrażania usługi cmg oraz zarządzania nią.

Jeśli używasz uwierzytelniania Microsoft Entra dla użytkowników i urządzeń zarządzanych za pośrednictwem usługi CMG, dołącz tę Microsoft Entra dzierżawę. Aby uzyskać więcej informacji na temat usług platformy Azure na potrzeby zarządzania chmurą, zobacz Konfigurowanie usług platformy Azure. Po dołączeniu każdej dzierżawy Microsoft Entra pojedyncza grupa cmg może zapewnić uwierzytelnianie Microsoft Entra dla wielu dzierżaw, niezależnie od lokalizacji hostingu.

Przykład 1: Jedna dzierżawa z wieloma subskrypcjami

Tożsamości użytkowników, rejestracje urządzeń i rejestracje aplikacji znajdują się w tej samej dzierżawie. Możesz wybrać subskrypcję używaną przez grupę cmg. Możesz wdrożyć wiele usług cmg z jednej witryny w oddzielnych subskrypcjach. Witryna ma relację jeden do jednego z dzierżawą. Decydujesz, które subskrypcje mają być używane z różnych powodów, takich jak rozliczenia lub separacja logiczna.

Przykład 2: Wiele dzierżaw

Innymi słowy, środowisko ma więcej niż jedną Tożsamość Microsoft Entra. Jeśli musisz obsługiwać tożsamości użytkowników i urządzeń w obu dzierżawach, musisz dołączyć lokację do każdej dzierżawy. Ten proces wymaga konta administracyjnego z każdej dzierżawy w celu utworzenia rejestracji aplikacji w tej dzierżawie. Jedna lokacja może hostować usługi cmg w wielu dzierżawach. Możesz utworzyć grupę cmg w dowolnej dostępnej subskrypcji w dowolnej dzierżawie. Urządzenia przyłączone lub przyłączone hybrydowo do Tożsamość Microsoft Entra mogą korzystać z usługi CMG.

Jeśli tożsamości użytkowników i urządzeń znajdują się w jednej dzierżawie, ale subskrypcja cmg znajduje się w innej dzierżawie, musisz dołączyć lokację do obu dzierżaw. Technicznie rzecz biorąc, aplikacja kliencka nie jest potrzebna dla drugiej dzierżawy, która ma tylko usługę CMG. Aplikacja kliencka zapewnia uwierzytelnianie tylko użytkowników i urządzeń dla klientów korzystających z usługi CMG.

Jak cmg wpływa na moich klientów połączonych za pośrednictwem sieci VPN?

Klienci roamingu, którzy łączą się ze środowiskiem za pośrednictwem sieci VPN, są często wykrywani jako klienci korzystający z intranetu. Próbują nawiązać połączenie z lokalną infrastrukturą, taką jak punkty zarządzania i punkty dystrybucji. Niektórzy klienci wolą zarządzać tymi klientami mobilnymi przez usługi w chmurze nawet wtedy, gdy są połączeni za pośrednictwem sieci VPN.

Możesz również skojarzyć grupę cmg z grupą granic. Ta akcja wymusza na tych klientach, aby nie korzystali z lokalnych systemów lokacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie grup granic.

Jak konfiguracja punktu zarządzania wpływa na klientów wewnętrznych?

Aby zabezpieczyć poufny ruch wysyłany przez grupę cmg, należy skonfigurować co najmniej jeden punkt zarządzania, aby używać protokołu HTTPS lub skonfigurować lokację pod kątem rozszerzonego protokołu HTTP.

Następnie podczas wdrażania cmg, jeśli używasz certyfikatów PKI do komunikacji HTTPS w punkcie zarządzania z obsługą cmg, wybierz opcję Zezwalaj tylko na klientów internetowych we właściwościach punktu zarządzania. To ustawienie zapewnia, że klienci wewnętrzni nadal używają punktów zarządzania HTTP w środowisku.

Jeśli używasz rozszerzonego protokołu HTTP, nie musisz konfigurować tego ustawienia. Klienci nadal używają protokołu HTTP podczas komunikowania się bezpośrednio z punktem zarządzania z obsługą cmg. Aby uzyskać więcej informacji, zobacz Rozszerzony protokół HTTP.

Jakie są różnice w uwierzytelnianiu klienta między Tożsamość Microsoft Entra a certyfikatami?

Do uwierzytelniania w usłudze CMG można użyć Tożsamość Microsoft Entra lub certyfikatu uwierzytelniania klienta dla urządzeń. Możesz również użyć Configuration Manager tokenów wystawionych przez witrynę do uwierzytelniania.

Jeśli zarządzasz tradycyjnymi klientami systemu Windows przy użyciu tożsamości przyłączonej do domeny usługi Active Directory, potrzebują certyfikatów PKI, aby zabezpieczyć kanał komunikacyjny. Ci klienci mogą zawierać dowolną obsługiwaną wersję systemu Windows. Można używać wszystkich funkcji obsługiwanych przez cmg, ale dystrybucja oprogramowania jest ograniczona tylko do urządzeń. Zainstaluj klienta Configuration Manager przed przejściem urządzenia do Internetu lub użyj uwierzytelniania tokenu.

Możesz również zarządzać Windows 10 lub nowszymi klientami przy użyciu nowoczesnej tożsamości— hybrydowej lub czystej domeny połączonej z Tożsamość Microsoft Entra. Klienci używają Tożsamość Microsoft Entra do uwierzytelniania, a nie certyfikatów infrastruktury kluczy publicznych. Korzystanie z Tożsamość Microsoft Entra jest prostsze w konfigurowaniu, konfigurowaniu i konserwacji niż bardziej złożone systemy infrastruktury PKI. Możesz wykonać wszystkie te same działania zarządzania oraz dystrybucję oprogramowania dla użytkownika. Umożliwia również dodatkowe metody instalowania klienta na urządzeniu zdalnym.

Firma Microsoft zaleca dołączanie urządzeń do Tożsamość Microsoft Entra. Urządzenia internetowe mogą używać Tożsamość Microsoft Entra do uwierzytelniania przy użyciu Configuration Manager. Umożliwia również scenariusze dotyczące urządzeń i użytkowników, niezależnie od tego, czy urządzenie znajduje się w Internecie, czy jest połączone z siecią wewnętrzną.

Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania klienta.

Czy należy używać wdrożenia zestawu skalowania maszyn wirtualnych?

Tak, jeśli witryna ma wersję 2107 lub nowszą. Nie jest to już funkcja w wersji wstępnej i zalecana dla wszystkich klientów. Jeśli masz istniejące klasyczne wdrożenie cmg, możesz przekonwertować je na zestaw skalowania maszyn wirtualnych.

Jeśli witryna ma wersję 2010 lub 2103, metoda wdrażania zestawu skalowania maszyn wirtualnych jest funkcją wstępną. Jest ona przeznaczona tylko dla klientów z subskrypcją dostawcy rozwiązań w chmurze (CSP).

Ważna

Począwszy od wersji 2203, opcja wdrożenia cmg jako usługi w chmurze (klasycznej) jest usuwana. Wszystkie wdrożenia cmg powinny używać zestawu skalowania maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Funkcje usunięte i przestarzałe.

Aby uzyskać więcej informacji na temat wdrażania cmg jako zestaw skalowania maszyn wirtualnych, zobacz Plan for CMG.

Czy cmg z obsługą zawartości używa usługi Azure CDN?

Nie. Obecnie nie obsługuje sieci dostarczania zawartości platformy Azure (CDN). Sieć CDN to globalne rozwiązanie umożliwiające szybkie dostarczanie zawartości o wysokiej przepustowości przez buforowanie zawartości w strategicznie rozmieszczonych węzłach fizycznych na całym świecie. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure CDN?.

Czy muszę coś zrobić z wycofaniem biblioteki uwierzytelniania Azure AD interfejs Graph API i Azure AD (ADAL)?

Nie. Być może znasz następujący wpis w blogu i zastanawiasz się, jak ma to zastosowanie do Configuration Manager: Zaktualizuj aplikacje, aby korzystały z biblioteki Microsoft Authentication Library i microsoft interfejs Graph API. Ten wpis odnosi się do dowolnego opracowanego kodu, który korzysta z tych bibliotek uwierzytelniania. Configuration Manager od kilku lat korzysta z biblioteki microsoft interfejs Graph API i biblioteki microsoft authentication library (MSAL). Wszystkie inne składniki są aktualizowane w Configuration Manager wersji 2107 za pomocą pakietu zbiorczego aktualizacji. Jeśli będziesz na bieżąco z Configuration Manager wersjami, nie musisz nic robić.

Niektóre osoby mylą informacje w tym wpisie w blogu z rejestracjami aplikacji w Tożsamość Microsoft Entra, które Configuration Manager używane dla różnych usług dołączonych do chmury. Te rejestracje aplikacji to jednostki usługi oparte na chmurze, które nie korzystają bezpośrednio z tych bibliotek uwierzytelniania. Jeśli administrator globalny platformy Azure ręcznie utworzył rejestracje aplikacji Configuration Manager w Tożsamość Microsoft Entra, może dokładnie sprawdzić, czy te rejestracje mają uprawnienia do interfejsu API programu Microsoft Graph. Nie potrzebują uprawnień do interfejsu API programu Azure AD Graph. Aby uzyskać więcej informacji, zobacz Ręczne rejestrowanie aplikacji Microsoft Entra.