Compartir a través de


Planeamiento de CMG en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Para simplificar la administración de clientes basados en Internet, primero desarrolle un plan para cloud management gateway (CMG). Diseñe cómo encaja en su entorno y prepárese para la implementación.

Para obtener más conocimientos básicos de los escenarios de CMG y los casos de uso, consulte Introducción a CMG.

Nota:

Algunas secciones que se encontraban anteriormente en este artículo se han movido:

Lista de comprobación de la planificación

El proceso de planificación general de CMG se divide en las partes siguientes:

  • Componentes y requisitos: en este artículo se resumen los componentes que componen el sistema CMG. También enumera los requisitos del sistema.

  • Autenticación de cliente: determine qué método de autenticación usará para los clientes de redes potencialmente que no son de confianza.

  • Diseño de jerarquía: planee dónde colocar el CMG en su entorno.

  • Configuraciones admitidas: comprenda qué características de Configuration Manager puede admitir en clientes basados en Internet que se conectan a CMG.

  • Rendimiento y escalado: decida cuántos componentes de servicio necesitará para admitir mejor el número de clientes.

  • Costo: comprenda el costo de los componentes basados en Azure.

Componentes de CMG

La implementación y el funcionamiento de CMG incluye los siguientes componentes:

  • El servicio en la nube de CMG en Azure autentica y reenvía Configuration Manager solicitudes de cliente a través de Internet al punto de conexión de CMG local.

  • El rol de sistema de sitio de punto de conexión de CMG permite una conexión coherente y de alto rendimiento desde la red local al servicio CMG en Azure. También publica la configuración en cmg, incluida la información de conexión y la configuración de seguridad. El punto de conexión de CMG reenvía las solicitudes de cliente de CMG a roles locales según las asignaciones de direcciones URL. Por ejemplo, el punto de administración y el punto de actualización de software.

  • El rol de sistema de sitio de punto de conexión de servicio ejecuta el componente administrador de servicios en la nube, que controla todas las tareas de implementación de CMG. Además, supervisa e informa del estado del servicio y la información de registro de Microsoft Entra id. Asegúrese de que el punto de conexión de servicio está en modo en línea.

  • El punto de administración y el sistema de sitio de punto de actualización de software roles de servicio cliente solicitudes de cliente según lo normal.

  • CMG usa un servicio web HTTPS basado en certificados para ayudar a proteger la comunicación de red con los clientes.

  • Los clientes basados en Internet se conectan a CMG para acceder a los componentes de Configuration Manager locales. Hay varias opciones para la autenticación y la identidad de cliente:

    • Microsoft Entra ID
    • Certificados PKI
    • Configuration Manager tokens emitidos por el sitio

    Para obtener más información, vea Planear la autenticación de cliente de CMG.

  • CMG crea una cuenta de almacenamiento de Azure, que usa para sus operaciones estándar. De forma predeterminada, CMG también está habilitado para contenido para proporcionar contenido de implementación a clientes basados en Internet. Esta cuenta de almacenamiento no admite personalizaciones, como restricciones de red virtual.

    Nota:

    El punto de distribución basado en la nube (CDP) está en desuso. A partir de la versión 2107, no puede crear nuevas instancias de CDP. Para proporcionar contenido a dispositivos basados en Internet, habilite cmg para distribuir contenido.

Administrador de recursos de Azure

La instancia de CMG se crea mediante una implementación de Azure Resource Manager. Azure Resource Manager es una plataforma moderna para administrar todos los recursos de la solución como una sola entidad, denominada grupo de recursos. Al implementar una instancia de CMG con Azure Resource Manager, el sitio usa Microsoft Entra identificador para autenticar y crear los recursos en la nube necesarios.

Importante

A partir de la versión 2203, se quita la opción de implementar un CMG como servicio en la nube (clásico). Todas las implementaciones de CMG deben usar un conjunto de escalado de máquinas virtuales. Para obtener más información, consulte Características eliminadas y en desuso.

Conjuntos de escalado de máquinas virtuales

Nota:

Esta característica se introdujo por primera vez en la versión 2010 como una característica de versión preliminar. A partir de la versión 2107, ya no es una característica de versión preliminar.

Configuration Manager no habilita esta característica opcional de forma predeterminada. Debe habilitar esta característica antes de usarla. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.

A partir de la versión 2010, los clientes con una suscripción de proveedor de soluciones en la nube (CSP) pueden implementar cmg con un conjunto de escalado de máquinas virtuales en Azure. Esta compatibilidad solo se realiza si actualmente no tienen una instancia de CMG implementada mediante servicios en la nube clásicos en otra suscripción.

A partir de la versión 2107, todos los clientes pueden implementar un CMG con un conjunto de escalado de máquinas virtuales. Si tiene una instancia de CMG existente implementada con el servicio en la nube clásica, convierta cmg para usar un conjunto de escalado de máquinas virtuales.

Con algunas excepciones, la configuración, operación y funcionalidad de CMG sigue siendo la misma.

  • Otros proveedores de recursos de Azure de la suscripción de Azure.

  • Nombres de implementación diferentes, por ejemplo, GraniteFalls.EastUS.CloudApp.Azure.Com para una implementación en la región Este de EE. UU . de Azure. Este cambio de nombre puede afectar a cómo crear y administrar el certificado de autenticación del servidor CMG.

  • El punto de conexión de CMG solo se comunica con el conjunto de escalado de máquinas virtuales de Azure a través de HTTPS. No requiere puertos TCP-TLS.

Limitaciones de una instancia de CMG con un conjunto de escalado de máquinas virtuales

Limitaciones con las versiones 2107 y posteriores

Nota:

A partir de la versión 2111, las implementaciones de CMG con un conjunto de escalado de máquinas virtuales admiten entornos en la nube de Azure US Government.

  • Los usuarios pueden experimentar un retraso de hasta tres segundos para las acciones en el Centro de software.
  • No se pueden aprobar ni denegar solicitudes de aplicación a través de CMG.
  • La versión 2107 no admite entornos en la nube de Azure US Government.

Limitaciones con las versiones 2010 y 2103

  • Si necesita más de una instancia de CMG, todas tienen que usar el mismo método de implementación.
  • El número admitido de conexiones de cliente simultáneas es de 2000 por instancia de máquina virtual. Para obtener más información, vea Rendimiento y escalado de CMG.
  • Solo se admite con un sitio primario independiente.
  • No admite entornos en la nube de Azure US Government.
  • Los usuarios pueden experimentar un retraso de hasta tres segundos para las acciones en el Centro de software.
  • Configuration Manager actualmente crea el contenedor de Almacenamiento de Azure en función del nombre del grupo de recursos. Azure tiene distintos requisitos de nomenclatura para los grupos de recursos y los contenedores de almacenamiento. Asegúrese de que el nombre del grupo de recursos de este servicio solo tiene letras minúsculas, números y guiones. Si tiene un grupo de recursos existente que no funciona, cámbiele el nombre en el Azure Portal o cree un nuevo grupo de recursos.
  • Si tiene más de un punto de administración HTTPS, no puede instalar el cliente de Configuration Manager en dispositivos a través de Internet. Si necesita instalar clientes fuera del entorno local mediante una instancia de CMG, solo puede tener un punto de administración HTTPS. También debe habilitar CMG para el contenido.
  • No se pueden aprobar ni denegar solicitudes de aplicación a través de CMG.

Requisitos

Sugerencia

Para aclarar alguna terminología de Azure:

  • El inquilino de identificador de Microsoft Entra es el directorio de cuentas de usuario y registros de aplicaciones. Un inquilino puede tener varias suscripciones.
  • Una suscripción de Azure separa la facturación, los recursos y los servicios. Está asociado a un único inquilino.

Para obtener más información, consulte Suscripciones, licencias, cuentas e inquilinos para las ofertas en la nube de Microsoft.

  • Una suscripción de Azure para hospedar cmg. Esta suscripción puede estar en uno de los siguientes entornos:

    • Nube global de Azure
    • Nube de Azure US Government

    Los clientes con una suscripción de proveedor de servicios en la nube (CSP) deben usar la versión 2010 o posterior con una implementación de conjunto de escalado de máquinas virtuales .

  • Integre el sitio con Microsoft Entra id. para implementar el servicio con Azure Resource Manager. Para obtener más información, vea Configurar Microsoft Entra id. para CMG.

    Al incorporar el sitio a Microsoft Entra identificador, opcionalmente puede habilitar Microsoft Entra detección de usuarios. No es necesario crear cmg, pero es necesario si tiene previsto usar Microsoft Entra autenticación con identidades híbridas. Para obtener más información, consulte Instalación de clientes mediante Microsoft Entra id. y consulte Acerca de Microsoft Entra detección de usuarios.

  • Un administrador de Azure debe participar en la creación inicial de determinados componentes. Este rol puede ser el mismo que el administrador de Configuration Manager o independiente. Si son independientes, no requieren permisos en Configuration Manager.

    • Al integrar el sitio con Microsoft Entra id. para implementar cmg mediante Azure Resource Manager, necesita un administrador global.

    • Al crear cmg, necesita una cuenta que sea un propietario de suscripción de Azure y un administrador global de identificador de Microsoft Entra.

  • La cuenta de usuario debe ser administrador total o administrador de infraestructura en Configuration Manager.

  • Al menos un servidor windows local para hospedar el punto de conexión de CMG. Puede colocar este rol con otros roles de sistema de sitio Configuration Manager.

  • El punto de conexión de servicio debe estar en modo en línea.

  • Configure el punto de administración para permitir el tráfico desde CMG. También debe requerir HTTPS o configurar el sitio para HTTP mejorado.

  • Certificado de autenticación de servidor para CMG.

  • Los nombres de CMG deben tener entre 3 y 24 caracteres alfanuméricos. El nombre debe comenzar con una letra, terminar con una letra o un dígito y no contener guiones consecutivos.

  • Es posible que se necesiten otros certificados, en función de la versión del sistema operativo del cliente y el modelo de autenticación. Para obtener más información, consulte Configuración de la autenticación de cliente.

  • Los clientes deben usar IPv4.

  • Asegúrese de que la siguiente configuración de cliente del grupo servicios en la nube está habilitada para los dispositivos que usarán CMG:

    • Permitir que los clientes usen una puerta de enlace de administración en la nube
    • Permitir el acceso al punto de distribución de nube

    Nota:

    Si habilita la configuración de cliente para Descargar contenido delta cuando esté disponible, el contenido de las actualizaciones de terceros no se descargará en los clientes.

Siguientes pasos

A continuación, determine cómo se autenticarán los clientes con CMG: