Configurar o CMG para Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Depois de ter os pré-requisitos em vigor, você poderá iniciar o processo para configurar um CMG (gateway de gerenciamento de nuvem). Antes de iniciar esse processo, verifique se você tem as informações e os pré-requisitos necessários para criar um CMG. Para obter mais informações, consulte Configurar lista de verificação para CMG.
Esta etapa do processo geral inclui as seguintes ações:
- Use o console Configuration Manager para criar o serviço CMG no Azure.
- Configure o site primário para autenticação de certificado do cliente.
- Adicione a função do sistema de site do ponto de conexão CMG.
- Configure o ponto de gerenciamento e o ponto de atualização de software para tráfego CMG.
- Configurar grupos de limites.
Configurar um CMG
Observação
A implantação de um CMG com um conjunto de dimensionamento de máquinas virtuais no Azure foi introduzida pela primeira vez na versão 2010 como um recurso de pré-lançamento. Começando com a versão 2107, ele não é mais um recurso de pré-lançamento.
Configuration Manager não habilita esse recurso opcional por padrão. Você deve habilitar esse recurso antes de usá-lo. Para obter mais informações, consulte Habilitar recursos opcionais das atualizações.
Faça esse procedimento no site de nível superior. Esse site é um site primário autônomo ou o CAS (site de administração central).
No console Configuration Manager, acesse o workspace Administração, expanda Serviços de Nuvem e selecione Gateway de Gerenciamento de Nuvem.
Selecione Criar Gateway de Gerenciamento de Nuvem na faixa de opções.
Na página Geral do assistente, primeiro especifique o ambiente do Azure para este CMG:
- AzurePublicCloud: crie o serviço na nuvem global do Azure.
- AzureUSGovernmentCloud: crie o serviço na nuvem do Azure US Government.
Em seguida, escolha como você deseja implantar o CMG no Azure:
Conjunto de dimensionamento de máquinas virtuais
A partir da versão 2203, o conjunto de dimensionamento de máquinas virtuais é a única opção.
A partir da versão 2107, essa opção é o método de implantação recomendado. Mesmo que você tenha um CMG existente implantado com o método de serviço de nuvem (clássico), implante novas instâncias cmg como um conjunto de dimensionamento de máquinas virtuais.
Nas versões 2010 e 2103, você precisa habilitar esse recurso de pré-lançamento para vê-lo. Nessas versões, ela destina-se apenas a clientes com uma assinatura CSP (Provedor de Soluções na Nuvem). Se você já implantou um CMG com o método de serviço de nuvem (clássico), essa opção não estará disponível. Para obter mais informações, consulte Planejar para CMG: conjuntos de dimensionamento de máquinas virtuais.
Serviço de nuvem (clássico)
Importante
A partir da versão 2203, a opção de implantar um CMG como um serviço de nuvem (clássico) é removida. Todas as implantações de CMG devem usar um conjunto de dimensionamento de máquinas virtuais. Para obter mais informações, consulte Recursos removidos e preteridos.
Na versão 2107 e posterior, use apenas essa opção se não puder implantar com um conjunto de dimensionamento de máquinas virtuais devido a uma das limitações.
Nas versões 2010 e 2103, a maioria dos clientes deve usar esse método de implantação.
A partir da versão 2309, selecione Microsoft Entra nome do locatário, Microsoft Entra nome do aplicativo é preenchido automaticamente. Selecione Entrar. Autenticar com uma conta do Proprietário da Assinatura do Azure. Se você possui várias assinaturas, selecione a ID da assinatura que deseja usar.
Observação
A partir da versão 2309, preterimos o uso do aplicativo de primeira parte para a criação do CMG. Agora, o CMG usa um aplicativo de servidor de terceiros para obter tokens de portador.
Nas versões 2303 e abaixo, selecione Entrar. Autenticar com uma conta do Proprietário da Assinatura do Azure. O assistente preenche automaticamente os campos restantes das informações armazenadas durante o pré-requisito de integração Microsoft Entra. Se você possui várias assinaturas, selecione a ID da assinatura que deseja usar.
Selecione Avançar e aguarde enquanto o site testa a conexão com o Azure.
Na página Configurações do assistente, primeiro navegue até o . Arquivo PFX para o certificado de autenticação do servidor CMG (arquivo de certificado). O nome comum desse certificado é usado para preencher os campos Nome do serviço e Nome da implantação .
Se você usar um certificado curinga, substitua o asterisco (
*
) no campo Nome do serviço pelo prefixo de nome de implantação globalmente exclusivo para seu CMG.Opcionalmente, especifique uma Descrição para identificar ainda mais esse CMG no console Configuration Manager.
Selecione uma Região do Azure para este CMG. A lista de regiões disponíveis pode variar de acordo com a assinatura selecionada.
Selecione uma opção Grupo de Recursos :
Se você escolher Usar existente, selecione um grupo de recursos existente na lista. Esse grupo de recursos já precisa existir na mesma região selecionada para o CMG. Se você selecionar um grupo de recursos existente e ele estiver em uma região diferente da região selecionada anteriormente, o CMG não será implantado.
Se você escolher Criar novo, insira o novo nome do grupo de recursos.
Por padrão, o Tamanho da VM é Standard (A2_V2). Selecione outra opção conforme o design especifica. Por exemplo, Grande (A4_v2) para aumentar a capacidade do cliente por VM ou Laboratório (B2s) em um ambiente de teste pequeno.
Importante
A VM de tamanho do Laboratório (B2s) destina-se apenas a testes de laboratório e pequenos ambientes de prova de conceito. Por exemplo, com o branch de visualização técnica Configuration Manager. As VMs B2s não são destinadas ao uso de produção com o CMG. Eles são de baixo custo e de baixo desempenho.
No campo Instância da VM , insira o número de VMs para esse serviço. O padrão é um, mas você pode escalar até 16 VMs por CMG.
Se você estiver usando certificados de autenticação do cliente, selecione Certificados para adicionar certificados raiz confiáveis. Adicione todos os certificados na cadeia de confiança.
Observação
Um certificado raiz confiável não é necessário ao usar Microsoft Entra ID ou tokens emitidos pelo site para autenticação do cliente.
Por padrão, o assistente habilita a opção para verificar a revogação do certificado do cliente. Uma CRL (lista de revogação de certificado) deve ser publicada publicamente para que essa verificação funcione. Para obter mais informações, consulte Publicar a lista de revogação de certificados.
Por padrão, o assistente habilita a opção de impor o TLS 1.2. Essa configuração exige que a VM do Azure use o protocolo de criptografia TLS 1.2. Ele não se aplica a nenhum Configuration Manager servidores de site ou clientes locais. A partir da versão 2107 com a rollup de atualização, essa configuração também se aplica à conta de armazenamento CMG. Para obter mais informações, consulte Como habilitar o TLS 1.2.
Por padrão, o assistente permite que o CMG funcione como um ponto de distribuição de nuvem e sirva conteúdo do armazenamento do Azure. Se você planeja direcionar implantações com conteúdo para clientes, precisará configurar o CMG para servir conteúdo.
Em seguida, está a página Alertas do assistente. Para monitorar o tráfego cmg com um limite de 14 dias, habilite o alerta de limite. Em seguida, especifique o limite e a porcentagem para elevar os diferentes níveis de alerta. Você também pode habilitar um limite de alerta de armazenamento. Escolha Avançar quando terminar.
Examine as configurações e conclua o assistente.
Configuration Manager começa a configurar o serviço. O tempo necessário para provisionar completamente o serviço no Azure depende das configurações especificadas. Para determinar quando o serviço estiver pronto, exiba a coluna Status do novo CMG.
Para solucionar problemas de implantações de CMG, use CloudMgr.log e CMGSetup.log. Para obter mais informações, consulte Monitorar CMG.
Dica
Você também pode usar o cmdlet do PowerShell New-CMCloudManagementGateway para esse processo. Opcionalmente, use esse cmdlet para criar o serviço CMG. Para obter mais informações, consulte New-CMCloudManagementGateway.
Configurar o site primário para autenticação de certificado do cliente
Se você estiver usando certificados de autenticação do cliente para os clientes se autenticarem com o CMG, siga este procedimento para configurar cada site primário.
No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione Sites.
Selecione o site primário ao qual seus clientes baseados na Internet são atribuídos e escolha Propriedades.
Alterne para a guia Segurança de Comunicação e selecione Usar certificado de cliente PKI (autenticação do cliente) quando estiver disponível.
Se você não publicar um CRL, desabilite a seguinte opção: clientes marcar a CRL (lista de revogação de certificado) para sistemas de site.
Adicionar o ponto de conexão CMG
O ponto de conexão CMG é a função do sistema de site necessária para comunicação do Configuration Manager implantação local para o CMG baseado em nuvem. Antes de iniciar esse processo, você já deveria ter desenvolvido um plano para a função e identificado pelo menos um servidor do sistema de sites existente. Para obter mais informações, consulte Planejar para o CMG.
Para adicionar o ponto de conexão CMG, as seguintes etapas resumem as instruções para instalar funções do sistema do site:
No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Servidores e Funções do Sistema de Site.
Selecione um servidor de site existente ao qual você deseja adicionar essa função. Na faixa de opções, na guia Página Inicial , selecione Adicionar Funções do Sistema de Site.
Na tela Seleção de Função do Sistema, escolha Ponto de conexão do gateway de gerenciamento de nuvem e selecione Avançar. Escolha o nome do gateway de gerenciamento de nuvem ao qual esse servidor se conecta. O assistente mostrará a região do CMG selecionado.
Importante
Se você estiver usando certificados de autenticação do cliente, o ponto de conexão CMG precisará desse certificado. Para obter mais informações, consulte certificado de autenticação do cliente.
Para solucionar problemas de integridade do serviço CMG, use CMGService.log e SMS_Cloud_ProxyConnector.log. Para obter mais informações, consulte Arquivos de log.
Dica
Opcionalmente, você também pode usar o cmdlet do PowerShell Add-CMCloudManagementGatewayConnectionPoint para adicionar a função de ponto de conexão CMG a um servidor do sistema de site.
Para obter mais informações, consulte Add-CMCloudManagementGatewayConnectionPoint.
Configurar funções voltadas para o cliente para tráfego CMG
Configure o ponto de gerenciamento e os sistemas de site de ponto de atualização de software para aceitar o tráfego CMG. Faça esse procedimento no site primário, para todos os pontos de gerenciamento e pontos de atualização de software que servem clientes baseados na Internet.
No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Servidores e Funções do Sistema de Site. Na guia Página Inicial da faixa de opções, no grupo Exibir, selecione Servidores com Função. Em seguida, selecione Ponto de gerenciamento na lista.
Selecione o servidor do sistema de site que você deseja configurar para o tráfego CMG. Selecione a função Ponto de Gerenciamento no painel de detalhes e, em seguida, no grupo Função de Site da faixa de opções, selecione Propriedades.
Na folha Propriedades do ponto de gerenciamento, em Conexões de Cliente selecione Permitir Configuration Manager tráfego de gateway de gerenciamento de nuvem.
Dependendo do design do CMG e Configuration Manager versão, talvez seja necessário habilitar a opção HTTPS. Para obter mais informações, consulte Habilitar ponto de gerenciamento para HTTPS.
Selecione OK para fechar a janela propriedades do ponto de gerenciamento.
Repita essas etapas para outros pontos de gerenciamento, conforme necessário, e para quaisquer pontos de atualização de software.
Configurar grupos de limites
Você pode associar um CMG a um grupo de limites. Essa configuração permite que os clientes usem o CMG para comunicação do cliente de acordo com as relações de grupo de limites. Essa configuração é benéfica para clientes VPN ou branch office em que talvez seja melhor gerenciá-los por meio de um CMG do que pela conexão VPN ou WAN. Se você habilitar a opção de preferir fontes baseadas em nuvem em vez de fontes locais , os clientes preferirão o CMG para a política e o conteúdo.
Para obter mais informações sobre grupos de limites, consulte Configurar grupos de limites.
Ao criar ou configurar um grupo de limites, na guia Referências , adicione um gateway de gerenciamento de nuvem. Essa ação associa o CMG a esse grupo de limites.
Branchcache
Para permitir que um CMG habilitado para conteúdo use o Windows BranchCache, instale o recurso BranchCache no servidor do site.
Se o servidor do site tiver uma função de sistema de site de ponto de distribuição local, configure a opção nas propriedades dessa função para Habilitar e configurar BranchCache. Para obter mais informações, consulte Configurar um ponto de distribuição.
Se o servidor do site não tiver uma função de ponto de distribuição, instale o recurso BranchCache no Windows. Para obter mais informações, consulte Instalar o recurso BranchCache.
Se você já distribuiu conteúdo para um CMG e decide habilitar BranchCache, primeiro instale o recurso. Em seguida, redistribua o conteúdo para o CMG.
Distribuir e gerenciar conteúdo
Distribua conteúdo para o CMG habilitado para conteúdo da mesma forma que qualquer outro ponto de distribuição. O ponto de gerenciamento não inclui o CMG na lista de locais de conteúdo, a menos que tenha o conteúdo solicitado pelos clientes. Para obter mais informações, confira Distribuir e gerenciar conteúdo.
Gerencie o conteúdo em um CMG da mesma forma que qualquer outro ponto de distribuição. Essas ações incluem atribuir a ele a um grupo de pontos de distribuição e gerenciar pacotes de conteúdo. Para obter mais informações, consulte Instalar e configurar pontos de distribuição.
Próximas etapas
Continue a configuração do CMG configurando clientes para CMG: