在 Configuration Manager 中規劃CMG
適用於:Configuration Manager (目前的分支)
若要簡化以因特網為基礎的用戶端管理,請先開發雲端管理網關 (CMG) 的計劃。 設計其適合您環境的方式,併為您的實作做好準備。
如需 CMG 案例和使用案例的詳細基礎知識,請參閱 CMG 概觀。
規劃檢查清單
整體 CMG 規劃程式分成下列部分:
元件和需求:本文摘要說明組成CMG系統的元件。 它也會列出系統需求。
客戶端驗證:判斷您將針對來自潛在不受信任網路的用戶端使用哪一種驗證方法。
階層設計:規劃將CMG放在環境中的位置。
支援的設定:瞭解您可以在連線到 CMG 的因特網型用戶端上支援哪些 Configuration Manager 功能。
效能和規模:決定您需要多少服務元件才能支援客戶端數目。
成本:瞭解以 Azure 為基礎的元件成本。
CMG 元件
CMG 的部署和作業包含下列元件:
Azure 中的 CMG 雲端服務會透過因特網驗證用戶端要求,並將 Configuration Manager 轉送至內部部署 CMG 連接點。
CMG 連接點站台系統角色可啟用從內部部署網路到 Azure 中 CMG 服務的一致且高效能連線。 它也會將設定發佈至 CMG,包括連線資訊和安全性設定。 CMG 連接點會根據 URL 對應,將用戶端要求從 CMG 轉送至內部部署角色。 例如,管理點和軟體更新點。
服務連接點站台系統角色會執行雲端服務管理員元件,以處理所有 CMG 部署工作。 此外,它會監視並報告來自 Microsoft Entra ID的服務健康情況和記錄資訊。 請確定您的服務連接點處於 在線模式。
管理點和軟體更新點月台系統角色服務用戶端要求一般。
CMG 會使用 憑證型 HTTPS Web 服務來協助保護與客戶端的網路通訊。
以因特網為基礎的用戶端會連線到 CMG,以存取內部部署 Configuration Manager元件。 用戶端身分識別和驗證有多個選項:
- Microsoft Entra ID
- PKI 憑證
- Configuration Manager 網站發行的令牌
如需詳細資訊,請參閱 規劃CMG客戶端驗證。
CMG 會建立 Azure 記憶體帳戶,以用於其標準作業。 根據預設,CMG 也已啟用內容功能,可將部署內容提供給以因特網為基礎的用戶端。 此記憶體帳戶不支援自定義專案,例如虛擬網路限制。
注意事項
雲端式發佈點 (CDP) 已被取代。 從 2107 版開始,您無法建立新的 CDP 實例。 若要將內容提供給以因特網為基礎的裝置,請讓CMG發佈內容。
Azure 資源管理
您可以使用 Azure Resource Manager 部署來建立 CMG。 Azure Resource Manager 是將所有解決方案資源當作單一實體管理的新式平臺,稱為資源群組。 當您使用 Azure Resource Manager 部署 CMG 時,月臺會使用 Microsoft Entra ID 來驗證和建立必要的雲端資源。
重要事項
從 2203 版開始,會移除將 CMG 部署為雲端 服務 (傳統) 的選項。 所有 CMG 部署都應該使用 虛擬機擴展集。 如需詳細資訊,請參閱 已移除和已淘汰的功能。
虛擬機擴展集
注意事項
這項功能最初是在 2010 版中導入為 發行前版本功能。 從 2107 版開始,它不再是發行前版本功能。
Configuration Manager 預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能。
從 2010 版開始,具有雲端解決方案提供者 (CSP) 訂用帳戶的客戶可以在 Azure 中使用 虛擬機擴展集 來部署 CMG。 只有在目前沒有使用傳統雲端服務部署到另一個訂用帳戶的 CMG 時,才支援此支援。
從 2107 版開始,所有客戶都可以使用虛擬機擴展集來部署 CMG。 如果您已使用傳統雲端服務部署現有的 CMG,請將 CMG 轉換為 使用虛擬機擴展集。
除了一些例外狀況,CMG 的組態、作業和功能會維持不變。
Azure 訂用帳戶中的其他 Azure 資源提供者 。
不同的部署名稱,例如,GraniteFalls.EastUS.CloudApp.Azure.Com 美國東部 Azure 區域中的部署。 此名稱變更可能會影響您建立及管理 CMG 伺服器驗證憑證方式。
CMG 連接點只會透過 HTTPS 與 Azure 中的虛擬機擴展集通訊。 它不需要 TCP-TLS 埠。
具有虛擬機擴展集的 CMG 限制
2107 版和更新版本的限制
注意事項
從 2111 版開始,具有虛擬機擴展集的 CMG 部署支援 Azure 美國政府雲端環境。
- 使用者可能會在軟體中心內遇到最多三秒的動作延遲。
- 您無法透過 CMG 核准/拒絕應用程式要求。
- 版本 2107 不支援 Azure 美國政府雲端環境。
2010 和 2103 版的限制
- 如果您需要多個 CMG 實例,它們都必須使用相同的部署方法。
- 每個 VM 實例支援的並行用戶端連線數目為 2,000 個。 如需詳細資訊,請參閱 CMG效能和規模。
- 只有獨立主要月臺才支援此功能。
- 它不支援 Azure US Gov 雲端環境。
- 使用者可能會在軟體中心內遇到最多三秒的動作延遲。
- Configuration Manager 目前會根據資源群組的名稱建立 Azure 記憶體容器。 Azure 對於資源群組和記憶體容器有不同的命名需求。 請確定此服務的資源組名只有小寫字母、數位和連字元。 如果您有無法運作的現有資源群組,請在 Azure 入口網站 中重新命名,或建立新的資源群組。
- 如果您有多個 HTTPS 管理點,則無法透過因特網在裝置上安裝 Configuration Manager 用戶端。 如果您需要 使用 CMG 安裝內部部署客戶端,則只能有一個 HTTPS 管理點。 您也需要啟用內容的 CMG。
- 您無法透過 CMG 核准/拒絕應用程式要求。
需求
提示
若要釐清一些 Azure 術語:
- Microsoft Entra ID 租用戶是用戶帳戶和應用程式註冊的目錄。 一個租使用者可以有多個訂用帳戶。
- Azure 訂 用帳戶會分隔計費、資源和服務。 它與單一租用戶相關聯。
如需詳細資訊,請參閱 Microsoft雲端供應專案的訂用帳戶、授權、帳戶和租使用者。
用來裝載 CMG 的 Azure 訂 用帳戶。 此訂用帳戶可以位於下列其中一個環境中:
- 全域 Azure 雲端
- Azure 美國政府雲端
具有雲端服務提供者 (CSP) 訂用帳戶的客戶,必須搭配 虛擬機擴展集 部署使用 2010 版或更新版本。
整合月臺與 Microsoft Entra ID,以使用 Azure Resource Manager 部署服務。 如需詳細資訊,請參閱設定CMG的 Microsoft Entra ID。
當您將網站上線以 Microsoft Entra ID 時,可以選擇性地啟用 Microsoft Entra 使用者探索。 您不需要建立 CMG,但如果您打算搭配混合式身分識別使用 Microsoft Entra 驗證,則為必要專案。 如需詳細資訊,請參閱使用 Microsoft Entra ID 安裝客戶端,並參閱關於 Microsoft Entra 使用者探索。
Azure 系統管理員必須參與初始建立特定元件。 此角色可以與 Configuration Manager 系統管理員相同或分開。 如果分開,則不需要 Configuration Manager 的許可權。
當您將網站與使用 Azure Resource Manager 部署 CMG 的 Microsoft Entra ID 整合時,您需要全域管理員。
當您建立 CMG 時,您需要 Azure 訂用帳戶擁有者和 Microsoft Entra ID 全域管理員的帳戶。
您的用戶帳戶必須是 Configuration Manager 中的系統管理員或基礎結構系統管理員。
至少一部內部部署 Windows 伺服器來裝載 CMG 連接點。 您可以將此角色與其他 Configuration Manager 月台系統角色共置。
服務連接點必須處於在線模式。
設定 管理點 以允許來自CMG的流量。 它也需要 HTTPS,或設定增強 HTTP 的網站。
CMG 的 伺服器驗證憑證 。
CMG 名稱必須介於 3-24 個英數位元之間。 名稱的開頭必須是字母、以字母或數字結尾,而且不包含連續的連字元。
視您的用戶端 OS 版本和驗證模型而定,可能需要其他憑證。 如需詳細資訊, 請參閱設定客戶端驗證。
用戶端必須使用 IPv4。
請確定已針對將使用 CMG 的裝置啟用雲端服務群組中的下列用戶端設定:
- 讓用戶端使用雲端管理閘道
- 允許存取雲端發佈點
注意事項
如果您啟用 [在 可用時下載差異內容] 的用戶端設定,則第三方更新的內容將不會下載至用戶端。
後續步驟
接下來,判斷用戶端如何使用 CMG 進行驗證: