Planowanie cmg w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Aby uprościć zarządzanie klientami internetowymi, najpierw opracuj plan dla bramy zarządzania chmurą (CMG). Zaprojektuj jego dopasowanie do środowiska i przygotuj się do implementacji.
Aby uzyskać bardziej podstawową wiedzę na temat scenariuszy cmg i przypadków użycia, zobacz Omówienie cmg.
Uwaga
Niektóre sekcje, które wcześniej znajdowały się w tym artykule, zostały przeniesione:
- Projekt hierarchii: projekt hierarchii cmg
- Wydajność i skala: wydajność i skalowanie cmg
Lista kontrolna planowania
Ogólny proces planowania cmg jest podzielony na następujące części:
Składniki i wymagania: w tym artykule podsumowano składniki, które tworzą system cmg. Zawiera również listę wymagań systemowych.
Uwierzytelnianie klienta: określ, która metoda uwierzytelniania będzie używana dla klientów z potencjalnie niezaufanych sieci.
Projekt hierarchii: zaplanuj, gdzie umieścić grupę cmg w środowisku.
Obsługiwane konfiguracje: dowiedz się, które funkcje Configuration Manager można obsługiwać na klientach internetowych łączących się z usługą CMG.
Wydajność i skala: zdecyduj, ile składników usługi będziesz potrzebować, aby jak najlepiej obsługiwać liczbę klientów.
Koszt: omówienie kosztów składników opartych na platformie Azure.
Składniki cmg
Wdrożenie i działanie usługi CMG obejmuje następujące składniki:
Usługa cmg w chmurze na platformie Azure uwierzytelnia i przekazuje żądania klientów Configuration Manager przez Internet do lokalnego punktu połączenia cmg.
Rola systemu lokacji punktu połączenia cmg umożliwia spójne i wysokowydajne połączenie z sieci lokalnej do usługi CMG na platformie Azure. Publikuje również ustawienia w usłudze CMG, w tym informacje o połączeniu i ustawienia zabezpieczeń. Punkt połączenia cmg przekazuje żądania klientów z cmg do ról lokalnych zgodnie z mapowania adresu URL. Na przykład punkt zarządzania i punkt aktualizacji oprogramowania.
Rola systemu lokacji punktu połączenia z usługą uruchamia składnik menedżera usług w chmurze, który obsługuje wszystkie zadania wdrażania cmg. Ponadto monitoruje i raportuje informacje o kondycji usługi i rejestrowaniu z Microsoft Entra identyfikatora. Upewnij się, że punkt połączenia z usługą jest w trybie online.
Punkt zarządzania i ról systemu lokacji punktu aktualizacji oprogramowania żądania klienta usługi na normalny.
Usługa cmg używa opartej na certyfikatach usługi internetowej HTTPS w celu zabezpieczenia komunikacji sieciowej z klientami.
Klienci internetowi łączą się z usługą CMG, aby uzyskać dostęp do lokalnych składników Configuration Manager. Istnieje wiele opcji tożsamości klienta i uwierzytelniania:
- Microsoft Entra ID
- Certyfikaty infrastruktury kluczy publicznych
- Configuration Manager tokeny wystawione przez witrynę
Aby uzyskać więcej informacji, zobacz Planowanie uwierzytelniania klienta cmg.
Cmg tworzy konto usługi Azure Storage, którego używa do swoich standardowych operacji. Domyślnie cmg jest również obsługą zawartości, aby zapewnić zawartość wdrożenia klientom internetowym. To konto magazynu nie obsługuje dostosowań, takich jak ograniczenia sieci wirtualnej.
Uwaga
Chmurowy punkt dystrybucji (CDP) jest przestarzały. Począwszy od wersji 2107, nie można tworzyć nowych wystąpień usługi CDP. Aby udostępnić zawartość urządzeniom internetowym, włącz dystrybucję zawartości przez grupę cmg.
Menedżer zasobów Azure
Grupę cmg można utworzyć przy użyciu wdrożenia usługi Azure Resource Manager. Azure Resource Manager to nowoczesna platforma do zarządzania wszystkimi zasobami rozwiązania jako pojedynczą jednostką, nazywaną grupą zasobów. Podczas wdrażania usługi CMG przy użyciu usługi Azure Resource Manager lokacja używa identyfikatora Microsoft Entra do uwierzytelniania i tworzenia niezbędnych zasobów w chmurze.
Ważna
Począwszy od wersji 2203, opcja wdrożenia cmg jako usługi w chmurze (klasycznej) jest usuwana. Wszystkie wdrożenia cmg powinny używać zestawu skalowania maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Funkcje usunięte i przestarzałe.
Zestawy skalowania maszyn wirtualnych
Uwaga
Ta funkcja została po raz pierwszy wprowadzona w wersji 2010 jako funkcja wersji wstępnej. Począwszy od wersji 2107, nie jest to już funkcja wersji wstępnej.
Configuration Manager domyślnie nie włącza tej opcjonalnej funkcji. Należy włączyć tę funkcję przed jej użyciem. Aby uzyskać więcej informacji, zobacz Włączanie opcjonalnych funkcji z poziomu aktualizacji.
Począwszy od wersji 2010, klienci z subskrypcją dostawcy rozwiązań w chmurze (CSP) mogą wdrożyć grupę cmg z zestawem skalowania maszyn wirtualnych na platformie Azure. Ta pomoc techniczna jest dostępna tylko wtedy, gdy obecnie nie ma wdrożonej grupy cmg przy użyciu klasycznych usług w chmurze w innej subskrypcji.
Począwszy od wersji 2107, wszyscy klienci mogą wdrożyć grupę cmg z zestawem skalowania maszyn wirtualnych. Jeśli masz istniejącą grupę cmg wdrożoną z klasyczną usługą w chmurze, przekonwertuj grupę cmg na zestaw skalowania maszyn wirtualnych.
Z kilkoma wyjątkami konfiguracja, operacja i funkcjonalność cmg pozostaje taka sama.
Inni dostawcy zasobów platformy Azure w ramach subskrypcji platformy Azure.
Różne nazwy wdrożeń, na przykład GraniteFalls.EastUS.CloudApp.Azure.Com dla wdrożenia w regionie platformy Azure Wschodnie stany USA . Ta zmiana nazwy może mieć wpływ na sposób tworzenia certyfikatu uwierzytelniania serwera cmg i zarządzania nimi.
Punkt połączenia cmg komunikuje się tylko z zestawem skalowania maszyn wirtualnych na platformie Azure za pośrednictwem protokołu HTTPS. Nie wymaga portów TCP-TLS.
Ograniczenia dotyczące cmg z zestawem skalowania maszyn wirtualnych
Ograniczenia dotyczące wersji 2107 i nowszych
Uwaga
Począwszy od wersji 2111, wdrożenia cmg z zestawem skalowania maszyn wirtualnych obsługują środowiska chmury azure us government.
- W przypadku akcji w Centrum oprogramowania może wystąpić opóźnienie do trzech sekund.
- Nie można zatwierdzać/odrzucać żądań aplikacji za pośrednictwem cmg.
- Wersja 2107 nie obsługuje środowisk chmury azure US Government.
Ograniczenia dotyczące wersji 2010 i 2103
- Jeśli potrzebujesz więcej niż jednego wystąpienia cmg, wszystkie muszą używać tej samej metody wdrażania.
- Obsługiwana liczba współbieżnych połączeń klienta wynosi 2000 na wystąpienie maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Wydajność i skalowanie cmg.
- Jest ona obsługiwana tylko w autonomicznej lokacji głównej.
- Nie obsługuje środowisk chmury azure us government.
- W przypadku akcji w Centrum oprogramowania może wystąpić opóźnienie do trzech sekund.
- Configuration Manager obecnie tworzy kontener usługi Azure Storage na podstawie nazwy grupy zasobów. Platforma Azure ma różne wymagania dotyczące nazewnictwa dla grup zasobów i kontenerów magazynu. Upewnij się, że nazwa grupy zasobów dla tej usługi ma tylko małe litery, cyfry i łączniki. Jeśli masz istniejącą grupę zasobów, która nie działa, zmień jej nazwę w Azure Portal lub utwórz nową grupę zasobów.
- Jeśli masz więcej niż jeden punkt zarządzania HTTPS, nie możesz zainstalować klienta Configuration Manager na urządzeniach przez Internet. Jeśli musisz zainstalować klientów lokalnych przy użyciu usługi CMG, możesz mieć tylko jeden punkt zarządzania HTTPS. Należy również włączyć cmg dla zawartości.
- Nie można zatwierdzać/odrzucać żądań aplikacji za pośrednictwem cmg.
Wymagania
Porada
Aby wyjaśnić pewną terminologię platformy Azure:
- Dzierżawa identyfikatora Microsoft Entra jest katalogiem kont użytkowników i rejestracji aplikacji. Jedna dzierżawa może mieć wiele subskrypcji.
- Subskrypcja platformy Azure oddziela rozliczenia, zasoby i usługi. Jest ona skojarzona z jedną dzierżawą.
Aby uzyskać więcej informacji , zobacz Subskrypcje, licencje, konta i dzierżawy dla ofert firmy Microsoft w chmurze.
Subskrypcja platformy Azure do hostowania cmg. Ta subskrypcja może znajdować się w jednym z następujących środowisk:
- Globalna chmura platformy Azure
- Azure US Government Cloud
Klienci z subskrypcją dostawcy usług w chmurze (CSP) muszą używać wersji 2010 lub nowszej z wdrożeniem zestawu skalowania maszyn wirtualnych .
Zintegruj witrynę z identyfikatorem Microsoft Entra, aby wdrożyć usługę z usługą Azure Resource Manager. Aby uzyskać więcej informacji, zobacz Konfigurowanie identyfikatora Microsoft Entra dla cmg.
Po dołączeniu witryny do Microsoft Entra identyfikatora możesz opcjonalnie włączyć Microsoft Entra odnajdywanie użytkowników. Nie jest to wymagane do utworzenia usługi CMG, ale jest wymagane, jeśli planujesz używać uwierzytelniania Microsoft Entra z tożsamościami hybrydowymi. Aby uzyskać więcej informacji, zobacz Instalowanie klientów przy użyciu identyfikatora Microsoft Entra i zobacz Informacje o Microsoft Entra odnajdywania użytkowników.
Administrator platformy Azure musi uczestniczyć w początkowym tworzeniu niektórych składników. Ta osoba może być taka sama jak administrator Configuration Manager lub osobna. Jeśli są osobne, nie wymagają uprawnień w Configuration Manager.
Podczas integracji witryny z identyfikatorem Microsoft Entra na potrzeby wdrażania usługi CMG przy użyciu usługi Azure Resource Manager potrzebny jest administrator globalny.
Podczas tworzenia usługi CMG potrzebne jest konto, które jest właścicielem subskrypcji platformy Azure i administratorem globalnym identyfikatora Microsoft Entra.
Twoje konto użytkownika musi być administratorem pełnym lub administratorem infrastruktury w Configuration Manager.
Co najmniej jeden lokalny serwer z systemem Windows do hostowania punktu połączenia cmg. Tę rolę można kolokować z innymi rolami systemu lokacji Configuration Manager.
Punkt połączenia usługi musi być w trybie online.
Skonfiguruj punkt zarządzania , aby zezwolić na ruch z usługi CMG. Musi również wymagać protokołu HTTPS lub skonfigurować lokację pod kątem rozszerzonego protokołu HTTP.
Certyfikat uwierzytelniania serwera dla cmg.
Nazwy cmg muszą zawierać się między 3–24 znakami alfanumerycznymi. Nazwa musi zaczynać się literą, kończyć literą lub cyfrą i nie zawierać kolejnych łączników.
Inne certyfikaty mogą być wymagane w zależności od wersji systemu operacyjnego klienta i modelu uwierzytelniania. Aby uzyskać więcej informacji, zobacz Konfigurowanie uwierzytelniania klienta.
Klienci muszą używać protokołu IPv4.
Upewnij się, że następujące ustawienia klienta w grupie usług w chmurze są włączone dla urządzeń, które będą korzystać z usługi CMG:
- Umożliwianie klientom korzystania z bramy zarządzania chmurą
- Zezwalaj na dostęp do punktu dystrybucji w chmurze
Uwaga
Jeśli włączysz dla ustawienia klienta opcję Pobierz zawartość różnicową, jeśli jest dostępna, zawartość aktualizacji innych firm nie zostanie pobrana do klientów.
Następne kroki
Następnie określ sposób uwierzytelniania klientów za pomocą usługi CMG: