Planen des CMG in Configuration Manager

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Um die Verwaltung internetbasierter Clients zu vereinfachen, entwickeln Sie zunächst einen Plan für das Cloudverwaltungsgateway (CLOUD Management Gateway, CMG). Entwerfen Sie, wie es in Ihre Umgebung passt, und bereiten Sie sich auf Ihre Implementierung vor.

Weitere grundlegende Kenntnisse zu CMG-Szenarien und -Anwendungsfällen finden Sie unter Übersicht über CMG.

Hinweis

Einige Abschnitte, die zuvor in diesem Artikel enthalten waren, wurden verschoben:

Planungscheckliste

Der gesamte CMG-Planungsprozess ist in die folgenden Teile unterteilt:

  • Komponenten und Anforderungen: In diesem Artikel werden die Komponenten zusammengefasst, aus denen das CMG-System besteht. Außerdem werden die Systemanforderungen aufgeführt.

  • Clientauthentifizierung: Legen Sie fest, welche Authentifizierungsmethode Sie für Clients aus potenziell nicht vertrauenswürdigen Netzwerken verwenden.

  • Hierarchieentwurf: Planen Sie, wo das CMG in Ihrer Umgebung platziert werden soll.

  • Unterstützte Konfigurationen: Erfahren Sie, welche Configuration Manager Features Sie auf internetbasierten Clients unterstützen können, die eine Verbindung mit dem CMG herstellen.

  • Leistung und Skalierung: Entscheiden Sie, wie viele Dienstkomponenten Sie benötigen, um Ihre Anzahl von Clients am besten zu unterstützen.

  • Kosten: Machen Sie sich mit den Kosten der Azure-basierten Komponenten vertraut.

CMG-Komponenten

Die Bereitstellung und der Betrieb des CMG umfasst die folgenden Komponenten:

  • Der CMG-Clouddienst in Azure authentifiziert Configuration Manager Clientanforderungen über das Internet und leitet sie an den lokalen CMG-Verbindungspunkt weiter.

  • Die Standortsystemrolle CMG-Verbindungspunkt ermöglicht eine konsistente und leistungsstarke Verbindung zwischen dem lokalen Netzwerk und dem CMG-Dienst in Azure. Außerdem werden Einstellungen im CMG veröffentlicht, einschließlich Verbindungsinformationen und Sicherheitseinstellungen. Der CMG-Verbindungspunkt leitet Clientanforderungen vom CMG entsprechend den URL-Zuordnungen an lokale Rollen weiter. Beispielsweise der Verwaltungspunkt und der Softwareupdatepunkt.

  • Die Standortsystemrolle "Dienstverbindungspunkt " führt die Clouddienst-Manager-Komponente aus, die alle CMG-Bereitstellungsaufgaben verarbeitet. Darüber hinaus überwacht und meldet er Dienstintegritäts- und Protokollierungsinformationen aus Microsoft Entra ID. Stellen Sie sicher, dass sich Ihr Dienstverbindungspunkt im Onlinemodus befindet.

  • Die Standortsystemrollen des Verwaltungspunkts und des Softwareupdatepunkts stellen Clientanforderungen normal bereit.

  • Das CMG verwendet einen zertifikatbasierten HTTPS-Webdienst , um die Netzwerkkommunikation mit Clients zu schützen.

  • Internetbasierte Clients stellen eine Verbindung mit dem CMG her, um auf lokale Configuration Manager-Komponenten zuzugreifen. Es gibt mehrere Optionen für Die Clientidentität und -Authentifizierung:

    • Microsoft Entra-ID
    • PKI-Zertifikate
    • Configuration Manager vom Standort ausgestellten Token

    Weitere Informationen finden Sie unter Planen der CMG-Clientauthentifizierung.

  • Das CMG erstellt ein Azure-Speicherkonto, das für die Standardvorgänge verwendet wird. Standardmäßig ist cmg auch für Inhalte aktiviert, um Bereitstellungsinhalte für internetbasierte Clients bereitzustellen. Dieses Speicherkonto unterstützt keine Anpassungen, z. B. Einschränkungen für virtuelle Netzwerke.

    Hinweis

    Der cloudbasierte Verteilungspunkt (CDP) ist veraltet. Ab Version 2107 können Sie keine neuen CDP-Instanzen erstellen. Um Inhalte für internetbasierte Geräte bereitzustellen, aktivieren Sie das CMG zum Verteilen von Inhalten.

Azure Ressourcen-Manager

Sie erstellen das CMG mithilfe einer Azure Resource Manager-Bereitstellung. Azure Resource Manager ist eine moderne Plattform zum Verwalten aller Lösungsressourcen als einzelne Entität, die als Ressourcengruppe bezeichnet wird. Wenn Sie ein CMG mit Azure Resource Manager bereitstellen, verwendet der Standort Microsoft Entra ID, um die erforderlichen Cloudressourcen zu authentifizieren und zu erstellen.

Wichtig

Ab Version 2203 wird die Option zum Bereitstellen eines CMG als Clouddienst (klassisch) entfernt. Alle CMG-Bereitstellungen sollten eine VM-Skalierungsgruppe verwenden. Weitere Informationen finden Sie unter Entfernte und veraltete Features.

VM-Skalierungsgruppen

Hinweis

Dieses Feature wurde erstmals in Version 2010 als Vorabversionsfeature eingeführt. Ab Version 2107 ist es kein Vorabfeature mehr.

Configuration Manager aktiviert dieses optionale Feature nicht standardmäßig. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden können. Weitere Informationen finden Sie unter Aktivieren optionaler Features von Updates.

Ab Version 2010 können Kunden mit einem CSP-Abonnement (Cloud Solution Provider) cmg mit einer VM-Skalierungsgruppe in Azure bereitstellen. Diese Unterstützung gilt nur, wenn derzeit kein CMG mit klassischen Clouddiensten für ein anderes Abonnement bereitgestellt wird.

Ab Version 2107 können alle Kunden ein CMG mit einer VM-Skalierungsgruppe bereitstellen. Wenn Sie ein vorhandenes CMG mit dem klassischen Clouddienst bereitgestellt haben, konvertieren Sie das CMG so, dass eine VM-Skalierungsgruppe verwendet wird.

Mit wenigen Ausnahmen bleiben Konfiguration, Betrieb und Funktionalität des CMG unverändert.

  • Andere Azure-Ressourcenanbieter in Ihrem Azure-Abonnement.

  • Verschiedene Bereitstellungsnamen, z. B. GraniteFalls.EastUS.CloudApp.Azure.Com für eine Bereitstellung in der Azure-Region "USA, Osten" . Diese Namensänderung kann sich darauf auswirken, wie Sie das CMG-Serverauthentifizierungszertifikat erstellen und verwalten.

  • Der CMG-Verbindungspunkt kommuniziert nur über HTTPS mit der VM-Skalierungsgruppe in Azure. Es sind keine TCP-TLS-Ports erforderlich.

Einschränkungen für ein CMG mit einer VM-Skalierungsgruppe

Einschränkungen bei Versionen 2107 und höher

Hinweis

Ab Version 2111 unterstützen CMG-Bereitstellungen mit einer VM-Skalierungsgruppe Azure US Government-Cloudumgebungen.

  • Benutzer können eine Verzögerung von bis zu drei Sekunden für Aktionen im Softwarecenter feststellen.
  • Sie können Anwendungsanforderungen nicht über das CMG genehmigen/ablehnen.
  • Version 2107 unterstützt keine Azure US Government-Cloudumgebungen.

Einschränkungen mit den Versionen 2010 und 2103

  • Wenn Sie mehrere CMG-instance benötigen, müssen alle die gleiche Bereitstellungsmethode verwenden.
  • Die unterstützte Anzahl gleichzeitiger Clientverbindungen beträgt 2.000 pro VM instance. Weitere Informationen finden Sie unter CMG-Leistung und -Skalierung.
  • Dies wird nur mit einem eigenständigen primären Standort unterstützt.
  • Azure US Government-Cloudumgebungen werden nicht unterstützt.
  • Benutzer können eine Verzögerung von bis zu drei Sekunden für Aktionen im Softwarecenter feststellen.
  • Configuration Manager erstellt derzeit den Azure-Speichercontainer basierend auf dem Namen der Ressourcengruppe. Azure hat unterschiedliche Benennungsanforderungen für Ressourcengruppen und Speichercontainer. Stellen Sie sicher, dass der Name der Ressourcengruppe für diesen Dienst nur Kleinbuchstaben, Zahlen und Bindestriche enthält. Wenn Sie über eine vorhandene Ressourcengruppe verfügen, die nicht funktioniert, benennen Sie sie im Azure-Portal um, oder erstellen Sie eine neue Ressourcengruppe.
  • Wenn Sie über mehrere HTTPS-Verwaltungspunkte verfügen, können Sie den Configuration Manager-Client nicht auf Geräten über das Internet installieren. Wenn Sie off-premises-Clients mithilfe eines CMG installieren müssen, können Sie nur über einen HTTPS-Verwaltungspunkt verfügen. Außerdem müssen Sie das CMG für Inhalte aktivieren.
  • Sie können Anwendungsanforderungen nicht über das CMG genehmigen/ablehnen.

Anforderungen

Tipp

So klären Sie einige Azure-Terminologie:

  • Der Microsoft Entra ID-Mandant ist das Verzeichnis der Benutzerkonten und App-Registrierungen. Ein Mandant kann über mehrere Abonnements verfügen.
  • Ein Azure-Abonnement trennt Abrechnung, Ressourcen und Dienste. Sie ist einem einzelnen Mandanten zugeordnet.

Weitere Informationen finden Sie unter Abonnements, Lizenzen, Konten und Mandanten für die Cloudangebote von Microsoft.

  • Ein Azure-Abonnement zum Hosten des CMG. Dieses Abonnement kann sich in einer der folgenden Umgebungen befinden:

    • Globale Azure-Cloud
    • Azure US Government-Cloud

    Kunden mit einem CSP-Abonnement (Cloud Service Provider) müssen Version 2010 oder höher mit einer VM-Skalierungsgruppe-Bereitstellung verwenden.

  • Integrieren Sie den Standort mit Microsoft Entra ID, um den Dienst mit Azure Resource Manager bereitzustellen. Weitere Informationen finden Sie unter Konfigurieren Microsoft Entra-ID für CMG.

    Wenn Sie das Onboarding der Website in Microsoft Entra ID durchführen, können Sie optional Microsoft Entra Benutzerermittlung aktivieren. Es ist nicht erforderlich, das CMG zu erstellen, aber erforderlich, wenn Sie Microsoft Entra Authentifizierung mit Hybrididentitäten verwenden möchten. Weitere Informationen finden Sie unter Installieren von Clients mit Microsoft Entra-ID und Informationen Microsoft Entra Benutzerermittlung.

  • Ein Azure-Administrator muss an der anfänglichen Erstellung bestimmter Komponenten teilnehmen. Diese Persona kann mit dem Configuration Manager-Administrator oder separat sein. Wenn sie getrennt sind, benötigen sie keine Berechtigungen in Configuration Manager.

    • Wenn Sie den Standort mit Microsoft Entra-ID für die Bereitstellung des CMG mithilfe von Azure Resource Manager integrieren, benötigen Sie einen globalen Administrator.

    • Wenn Sie das CMG erstellen, benötigen Sie ein Konto, bei dem es sich um einen Azure-Abonnementbesitzer und einen globalen Microsoft Entra-ID-Administrator handelt.

  • Ihr Benutzerkonto muss ein Volladministrator oder Infrastrukturadministrator in Configuration Manager sein.

  • Mindestens einen lokalen Windows-Server zum Hosten des CMG-Verbindungspunkts. Sie können diese Rolle mit anderen Configuration Manager Standortsystemrollen zuordnen.

  • Der Dienstverbindungspunkt muss sich im Onlinemodus befinden.

  • Konfigurieren Sie den Verwaltungspunkt so, dass Datenverkehr vom CMG zugelassen wird. Außerdem muss HTTPS erforderlich sein oder die Website für erweitertes HTTP konfiguriert werden.

  • Ein Serverauthentifizierungszertifikat für das CMG.

  • CMG-Namen müssen zwischen 3 und 24 alphanumerischen Zeichen bestehen. Der Name muss mit einem Buchstaben beginnen, mit einem Buchstaben oder einer Ziffer enden und darf keine aufeinanderfolgenden Bindestriche enthalten.

  • Je nach Version des Clientbetriebssystems und Authentifizierungsmodells sind möglicherweise weitere Zertifikate erforderlich. Weitere Informationen finden Sie unter Konfigurieren der Clientauthentifizierung.

  • Clients müssen IPv4 verwenden.

  • Stellen Sie sicher, dass die folgenden Clienteinstellungen in der Gruppe Clouddienste für Geräte aktiviert sind, die das CMG verwenden:

    • Clients die Verwendung eines Cloudverwaltungsgateways ermöglichen
    • Zugriff auf Cloudverteilungspunkt zulassen

    Hinweis

    Wenn Sie die Clienteinstellung Download delta content when available aktivieren, werden die Inhalte für Updates von Drittanbietern nicht auf Clients heruntergeladen.

Nächste Schritte

Bestimmen Sie als Nächstes, wie Clients sich mit dem CMG authentifizieren:

Planen der CMG-Clientauthentifizierung