Nastavení kontrolního seznamu pro CMG

Platí pro: Configuration Manager (Current Branch)

Před nasazením brány pro správu cloudu (CMG) se v tomto článku seznamte s procesem nastavení. Ujistěte se také, že máte připravené všechny požadavky, abyste mohli začít.

Nejprve vytvořte návrh a naplánujte implementaci CMG ve vašem prostředí. Další informace najdete v tématu Plánování brány pro správu cloudu. V této části článků můžete určit návrh CMG.

Celkový proces nastavení CMG je rozdělen do následujících pěti hlavních částí:

1. Získání ověřovacího certifikátu serveru CMG: Pro zabezpečenou komunikaci klientů přes veřejný internet používá CMG protokol HTTPS. Certifikát můžete získat od veřejného poskytovatele nebo ho vystavit z infrastruktury veřejných klíčů (PKI).

2. Id Microsoft Entra konfigurace: Configuration Manager vyžaduje registraci aplikací v Microsoft Entra ID. Můžete je nechat Configuration Manager vytvořit nebo je může předem vytvořit správce Azure.

3. Konfigurace ověřování klientů: Vzhledem k tomu, že klienti komunikují přes internet, Configuration Manager vyžaduje pro tento kanál větší zabezpečení. Ze serveru lokality můžete použít Microsoft Entra ID, certifikáty PKI nebo ověřování pomocí tokenů.

4. Nastavení cmg: Tento krok zahrnuje také konfiguraci lokality a přidání role systému lokality spojovacího bodu CMG.

5. Nakonfigurujte klienty tak, aby používali CMG.

Další články v této části procházejí jednotlivé části procesu.

Terminologie

Následující termíny se používají v kontextu nastavení CMG. Jsou zde definovány pro přehlednost.

• tenant Microsoft Entra ID: Adresář uživatelských účtů a registrací aplikací. Jeden tenant může mít několik předplatných.

• Předplatné Azure: Předplatné odděluje fakturaci, prostředky a služby. Je přidružená k jednomu tenantovi.

  Tip

  Další informace najdete v tématu Předplatná, licence, účty a tenanti cloudových nabídek Microsoftu.

• Skupina prostředků Azure: Kontejner, který obsahuje související prostředky pro řešení Azure. Skupina prostředků zahrnuje prostředky, které chcete spravovat jako skupinu. O tom, které prostředky patří do skupiny prostředků, rozhodujete na základě toho, co je pro vaši organizaci nejvhodnější. Další informace najdete v tématu Skupiny prostředků.

• Název služby CMG: Běžný název ověřovacího certifikátu serveru CMG. Klienti a role systému lokality spojovacího bodu CMG komunikují s tímto názvem služby. Například GraniteFalls.Contoso.Com nebo GraniteFalls.WestUS.CloudApp.Azure.Com.

• Název nasazení CMG: První část názvu služby plus umístění Azure pro nasazení cloudové služby. Komponenta správce cloudových služeb spojovacího bodu služby používá tento název při nasazování CMG v Azure. Název nasazení je vždy v doméně Azure. Umístění Azure závisí na metodě nasazení, například:

  • Škálovací sada virtuálních počítačů: GraniteFalls.WestUS.CloudApp.Azure.Com
  • Nasazení Classic: GraniteFalls.CloudApp.Net

Kontrolní seznam

Pomocí následujícího kontrolního seznamu se ujistěte, že máte potřebné informace a požadavky pro vytvoření cmg:

• Prostředí Azure, které se má použít. Například veřejný cloud Azure nebo cloud Azure US Government.

• Oblast Azure pro toto nasazení CMG.

• Kolik instancí virtuálních počítačů potřebujete pro škálování a redundanci.

• Role vývojáře aplikací Azure, správce cloudových aplikací, správce aplikací nebo globálního správce pro registraci aplikací v Microsoft Entra ID.

• Role vlastníka předplatného Azure při vytváření CMG v Azure

• Alespoň jeden existující server systému lokality, na který plánujete přidat roli spojovacího bodu CMG .

• Zkontrolujte požadavky na přístup k internetu a ujistěte se, že jsou dostupné všechny požadované služby.

• Povolte tuto volitelnou funkci.

Další požadované komponenty nastavíte během dalších kroků tohoto procesu.

Automatizace pomocí PowerShellu

Volitelně můžete automatizovat aspekty nastavení CMG pomocí PowerShellu. I když byly některé rutiny dostupné ve starších verzích, verze 2010 obsahuje nové rutiny a významná vylepšení stávajících rutin.

Správce Azure například nejprve vytvoří dvě požadované aplikace v Microsoft Entra ID. Pak napíšete skript, který k nasazení cmg používá následující rutiny:

1. Import-CMAADServerApplication: Vytvořte definici aplikace Microsoft Entra serveru v Configuration Manager.
2. Import-CMAADClientApplication: Vytvořte definici Microsoft Entra klientské aplikace v Configuration Manager.
3. Pomocí rutiny Get-CMAADApplication získejte objekty aplikace a pak předejte rutině New-CMCloudManagementAzureService a vytvořte připojení služby Azure v Configuration Manager.
4. New-CMCloudManagementGateway: Vytvořte službu CMG v Azure.
5. Add-CMCloudManagementGatewayConnectionPoint: Vytvořte systém lokality spojovacího bodu CMG.

Tyto rutiny můžete použít k automatizaci vytváření, konfigurace a správy služby CMG a k Microsoft Entra požadavků.

Microsoft Entra definic aplikací v Configuration Manager:

• Get-CMAADApplication
• Import-CMAADClientApplication
• Import-CMAADServerApplication

Služba Azure pro správu cloudu v Configuration Manager:

• New-CMCloudManagementAzureService
• Set-CMCloudManagementAzureService
• Get-CMAzureService
• Remove-CMAzureService

Služba brány pro správu cloudu v Configuration Manager:

• Get-CMCloudManagementGateway
• New-CMCloudManagementGateway
• Remove-CMCloudManagementGateway
• Set-CMCloudManagementGateway
• Start-CMCloudManagementGateway
• Stop-CMCloudManagementGateway

Role systému lokality spojovacího bodu CMG:

• Add-CMCloudManagementGatewayConnectionPoint
• Get-CMCloudManagementGatewayConnectionPoint
• Remove-CMCloudManagementGatewayConnectionPoint
• Set-CMCloudManagementGatewayConnectionPoint

Další kroky

Začněte s nastavením CMG získáním ověřovacího certifikátu serveru:

Ověřovací certifikát serveru CMG