Compartilhar via

Planear o CMG no Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Para simplificar a gestão de clientes baseados na Internet, primeiro desenvolva um plano para o gateway de gestão da cloud (CMG). Crie a forma como se encaixa no seu ambiente e prepare-se para a sua implementação.

Para obter mais conhecimentos fundamentais sobre cenários de CMG e casos de utilização, veja Descrição geral do CMG.

Observação

Algumas secções que estavam anteriormente neste artigo foram movidas:

Lista de verificação de planejamento

O processo de planeamento global do CMG está dividido nas seguintes partes:

  • Componentes e requisitos: este artigo resume os componentes que compõem o sistema CMG. Também lista os requisitos de sistema.

  • Autenticação de cliente: determine que método de autenticação irá utilizar para clientes de redes potencialmente não fidedignas.

  • Estrutura da hierarquia: planeie onde colocar o CMG no seu ambiente.

  • Configurações suportadas: compreenda que funcionalidades Configuration Manager pode suportar em clientes baseados na Internet que se ligam ao CMG.

  • Desempenho e dimensionamento: decida quantos componentes de serviço precisará para suportar melhor o seu número de clientes.

  • Custo: compreenda o custo dos componentes baseados no Azure.

Componentes CMG

A implementação e a operação do CMG incluem os seguintes componentes:

  • O serviço cloud CMG no Azure autentica e reencaminha Configuration Manager pedidos de cliente através da Internet para o ponto de ligação CMG no local.

  • A função do sistema de sites do ponto de ligação CMG permite uma ligação consistente e de elevado desempenho da rede no local para o serviço CMG no Azure. Também publica definições no CMG, incluindo informações de ligação e definições de segurança. O ponto de ligação CMG reencaminha pedidos de cliente do CMG para funções no local de acordo com os mapeamentos de URL. Por exemplo, o ponto de gestão e o ponto de atualização de software.

  • A função do sistema de sites do ponto de ligação de serviço executa o componente do gestor de serviços cloud, que processa todas as tarefas de implementação do CMG. Além disso, monitoriza e reporta informações de estado de funcionamento e registo do serviço de Microsoft Entra ID. Certifique-se de que o ponto de ligação de serviço está no modo online.

  • O ponto de gestão e o sistema de funções do sistema de sites do ponto de atualização de software solicitam o cliente de acordo com o normal.

  • O CMG utiliza um serviço Web HTTPS baseado em certificados para ajudar a proteger a comunicação de rede com os clientes.

  • Os clientes baseados na Internet ligam-se ao CMG para aceder a componentes de Configuration Manager no local. Existem várias opções para a identidade e autenticação do cliente:

    • Microsoft Entra ID
    • Certificados PKI
    • Configuration Manager tokens emitidos pelo site

    Para obter mais informações, veja Planear a autenticação de cliente CMG.

  • O CMG cria uma conta de armazenamento do Azure, que utiliza para as operações padrão. Por predefinição, o CMG também está ativado para conteúdo para fornecer conteúdo de implementação a clientes baseados na Internet. Esta conta de armazenamento não suporta personalizações, como restrições de rede virtual.

    Observação

    O ponto de distribuição baseado na cloud (CDP) foi preterido. A partir da versão 2107, não pode criar novas instâncias CDP. Para fornecer conteúdo a dispositivos baseados na Internet, ative o CMG para distribuir conteúdo.

Azure Resource Manager

Pode criar o CMG com uma implementação do Azure Resource Manager. O Azure Resource Manager é uma plataforma moderna para gerir todos os recursos da solução como uma única entidade, denominada grupo de recursos. Quando implementa um CMG com o Azure Resource Manager, o site utiliza Microsoft Entra ID para autenticar e criar os recursos da cloud necessários.

Importante

A partir da versão 2203, a opção para implementar um CMG como um serviço cloud (clássico) é removida. Todas as implementações de CMG devem utilizar um conjunto de dimensionamento de máquinas virtuais. Para obter mais informações, consulte Funcionalidades removidas e preteridas.

Conjuntos de dimensionamento de máquinas virtuais

Observação

Esta funcionalidade foi introduzida pela primeira vez na versão 2010 como uma funcionalidade de pré-lançamento. A partir da versão 2107, já não é uma funcionalidade de pré-lançamento.

Configuration Manager não ativa esta funcionalidade opcional por predefinição. Tem de ativar esta funcionalidade antes de a utilizar. Para obter mais informações, consulte Habilitar recursos opcionais das atualizações.

A partir da versão 2010, os clientes com uma subscrição do Fornecedor de Soluções Cloud (CSP) podem implementar o CMG com um conjunto de dimensionamento de máquinas virtuais no Azure. Este suporte é apenas se não tiverem atualmente um CMG implementado através de serviços cloud clássicos noutra subscrição.

A partir da versão 2107, todos os clientes podem implementar um CMG com um conjunto de dimensionamento de máquinas virtuais. Se tiver um CMG existente implementado com o serviço cloud clássico, converta o CMG para utilizar um conjunto de dimensionamento de máquinas virtuais.

Com algumas exceções, a configuração, a operação e a funcionalidade do CMG permanecem iguais.

  • Outros fornecedores de recursos do Azure na sua subscrição do Azure.

  • Nomes de implementação diferentes, por exemplo, GraniteFalls.EastUS.CloudApp.Azure.Com para uma implementação na região E.U.A. Leste do Azure. Esta alteração de nome pode afetar a forma como cria e gere o certificado de autenticação do servidor CMG.

  • O ponto de ligação CMG comunica apenas com o conjunto de dimensionamento de máquinas virtuais no Azure através de HTTPS. Não requer portas TCP-TLS.

Limitações de um CMG com um conjunto de dimensionamento de máquinas virtuais

Limitações com as versões 2107 e posteriores

Observação

A partir da versão 2111, as implementações CMG com um conjunto de dimensionamento de máquinas virtuais suportam ambientes de cloud do Azure US Government.

  • Os utilizadores podem deparar-se com um atraso de até três segundos para ações no Centro de Software.
  • Não pode aprovar/negar pedidos de aplicação através do CMG.
  • A versão 2107 não suporta ambientes de cloud do Azure US Government.

Limitações com as versões 2010 e 2103

  • Se precisar de mais do que uma instância CMG, todas elas terão de utilizar o mesmo método de implementação.
  • O número suportado de ligações de cliente simultâneas é de 2000 por instância de VM. Para obter mais informações, veja Desempenho e dimensionamento do CMG.
  • Só é suportado com um site primário autónomo.
  • Não suporta ambientes de cloud do Azure US Government.
  • Os utilizadores podem deparar-se com um atraso de até três segundos para ações no Centro de Software.
  • Configuration Manager cria atualmente o contentor de armazenamento do Azure com base no nome do grupo de recursos. O Azure tem diferentes requisitos de nomenclatura para grupos de recursos e contentores de armazenamento. Certifique-se de que o nome do grupo de recursos deste serviço tem apenas letras minúsculas, números e hífenes. Se tiver um grupo de recursos existente que não funcione, mude o nome no portal do Azure ou crie um novo grupo de recursos.
  • Se tiver mais do que um ponto de gestão HTTPS, não poderá instalar o cliente Configuration Manager em dispositivos através da Internet. Se precisar de Instalar clientes fora do local com um CMG, só poderá ter um ponto de gestão HTTPS. Também tem de ativar o CMG para conteúdo.
  • Não pode aprovar/negar pedidos de aplicação através do CMG.

Requisitos

Dica

Para esclarecer alguma terminologia do Azure:

  • O inquilino Microsoft Entra ID é o diretório de contas de utilizador e registos de aplicações. Um inquilino pode ter várias subscrições.
  • Uma subscrição do Azure separa a faturação, os recursos e os serviços. Está associado a um único inquilino.

Para obter mais informações, veja Subscrições, licenças, contas e inquilinos das ofertas na cloud da Microsoft.

  • Uma subscrição do Azure para alojar o CMG. Esta subscrição pode estar num dos seguintes ambientes:

    • Cloud global do Azure
    • Cloud do Azure US Government

    Os clientes com uma subscrição do Fornecedor de Serviços Cloud (CSP) precisam de utilizar a versão 2010 ou posterior com uma implementação de conjunto de dimensionamento de máquinas virtuais .

  • Integre o site com Microsoft Entra ID para implementar o serviço com o Azure Resource Manager. Para obter mais informações, veja Configurar Microsoft Entra ID para CMG.

    Ao integrar o site para Microsoft Entra ID, opcionalmente, pode ativar Microsoft Entra deteção de utilizadores. Não é necessário criar o CMG, mas é necessário se planear utilizar Microsoft Entra autenticação com identidades híbridas. Para obter mais informações, veja Instalar clientes com Microsoft Entra ID e veja Acerca Microsoft Entra deteção de utilizadores.

  • Um administrador do Azure tem de participar na criação inicial de determinados componentes. Esta persona pode ser igual à Configuration Manager administrador ou separada. Se forem separados, não necessitam de permissões no Configuration Manager.

    • Quando integrar o site com Microsoft Entra ID para implementar o CMG com o Azure Resource Manager, precisa de um Administrador Global.

    • Quando cria o CMG, precisa de uma conta que seja Um Proprietário de Subscrição do Azure e um Administrador Global do Microsoft Entra ID.

  • A sua conta de utilizador tem de ser administrador completa ou Administrador de infraestrutura no Configuration Manager.

  • Pelo menos um servidor Windows no local para alojar o ponto de ligação CMG. Pode colocalizar esta função com outras Configuration Manager funções do sistema de sites.

  • O ponto de ligação de serviço tem de estar no modo online.

  • Configure o ponto de gestão para permitir o tráfego do CMG. Também tem de exigir HTTPS ou configurar o site para HTTP Avançado.

  • Um certificado de autenticação de servidor para o CMG.

  • Os nomes CMG têm de ter entre 3 e 24 carateres alfanuméricos. O nome tem de começar com uma letra, terminar com uma letra ou um dígito e não conter hífenes consecutivas.

  • Podem ser necessários outros certificados , consoante a versão do SO cliente e o modelo de autenticação. Para obter mais informações, veja Configurar a autenticação de cliente.

  • Os clientes têm de utilizar IPv4.

  • Certifique-se de que as seguintes definições de cliente no grupo Serviços cloud estão ativadas para dispositivos que irão utilizar o CMG:

    • Permitir que os clientes utilizem um gateway de gestão da cloud
    • Permitir o acesso ao ponto de distribuição na cloud

    Observação

    Se ativar a definição de cliente para Transferir conteúdo delta quando disponível, o conteúdo das atualizações de terceiros não será transferido para clientes.

Próximas etapas

Em seguida, determine como os clientes se autenticarão com o CMG:

Planear a autenticação de cliente CMG