Editar

Compartir vía


Preguntas más frecuentes sobre CMG

Se aplica a: Configuration Manager (rama actual)

En este artículo se responden las preguntas más frecuentes sobre cloud management gateway (CMG). Para obtener más información, consulte Información general de CMG.

¿Necesito algún certificado?

Sí, al menos uno, y posiblemente otros dependiendo de su diseño.

  • Certificado de autenticación de servidor: CMG crea un servicio HTTPS al que se conectan los clientes basados en Internet. El servicio requiere un certificado de autenticación de servidor para compilar el canal seguro. Puede adquirir un certificado para este fin de un proveedor público o emitirlo desde la infraestructura de clave pública (PKI). Para obtener más información, consulte Certificado de autenticación de servidor CMG.

  • Certificado de autenticación de cliente: según el entorno y el diseño de CMG, puede usar certificados PKI para la autenticación de cliente. Este método de autenticación no admite escenarios centrados en el usuario, pero admite dispositivos que ejecutan cualquier versión compatible de Windows. Para obtener más información, consulte Configuración de la autenticación de cliente para CMG: certificado PKI.

    Al usar este método de autenticación de cliente, también debe exportar la cadena raíz de confianza del certificado de cliente. A continuación, use esta cadena de certificados al crear cmg y en el punto de conexión de CMG.

  • Punto de administración habilitado para HTTPS: en función de cómo configure el sitio y del método de autenticación de cliente que elija, es posible que tenga que configurar los puntos de administración habilitados para Internet para admitir HTTPS. Para obtener más información, vea Configurar la autenticación de cliente para CMG: Habilitar punto de administración para HTTPS.

¿Necesito Azure ExpressRoute?

No. Azure ExpressRoute le permite ampliar la red local a la nube de Microsoft. ExpressRoute u otras conexiones de red virtual de este tipo no son necesarias para CMG. El diseño de CMG permite a los clientes basados en Internet comunicarse a través del servicio de Azure con sistemas de sitio locales sin ninguna configuración de red adicional. Para obtener más información, consulte Información general de CMG.

¿Es necesario mantener o proteger las máquinas virtuales de Azure?

No. CMG es una solución de software como servicio (SaaS) que extiende el entorno de Configuration Manager a la nube. El diseño de CMG usa la plataforma de Azure como servicio (PaaS). Con la suscripción que proporciona, Configuration Manager crea las máquinas virtuales necesarias, el almacenamiento y las redes. PaaS de Azure protege y actualiza las máquinas virtuales. No es necesario supervisar estas máquinas virtuales. Las máquinas virtuales de Azure para CMG no forman parte del entorno local, como sucede con la infraestructura como servicio (IaaS). Para obtener más información específica de seguridad sobre la solución PaaS subyacente en la que se basa la instancia de CMG, consulte Protección de implementaciones de PaaS.

Dado que CMG actúa como proxy para la comunicación del cliente, no procesa, mantiene ni almacena datos de cliente. La ruta de comunicación a través de Internet siempre usa HTTPS. Para una mayor seguridad, configure el punto de administración para HTTPS. Configure también la opción de sitio para que los clientes cifren los mensajes de estado y de inventario. Para obtener más información, vea Plan for security: Signing and encryption(Planeamiento de la seguridad: firma y cifrado).

¿Es necesario actualizar la máquina virtual si la imagen está en desuso?

No. Las máquinas virtuales de CMG se implementan mediante la plantilla e IIS están configurados; esto se romperá si actualiza manualmente las máquinas virtuales. El grupo de productos corregirá el problema mediante la actualización o las versiones de rama actuales.

¿Cómo puedo garantizar la continuidad del servicio durante las actualizaciones del servicio?

Al escalar CMG para incluir dos o más instancias, se beneficia automáticamente de actualizar dominios en Azure. Consulte Actualización de un servicio en la nube.

Ya estoy usando IBCM. Si agrego CMG, ¿cómo se comportan los clientes?

Si ya ha implementado la administración de clientes basada en Internet (IBCM), también puede implementar cmg. Los clientes reciben la directiva de ambos servicios. A medida que se desplazan por Internet, seleccionan y usan aleatoriamente uno de estos servicios basados en Internet.

¿Las cuentas de usuario deben estar en el mismo inquilino Microsoft Entra que el inquilino asociado a la suscripción que hospeda el servicio en la nube de CMG?

No, puede implementar CMG en cualquier suscripción que pueda hospedar servicios en la nube de Azure.

Para aclarar los términos:

  • El inquilino Microsoft Entra es el directorio de cuentas de usuario y registros de aplicaciones. Un inquilino puede tener varias suscripciones.
  • Una suscripción de Azure separa la facturación, los recursos y los servicios. Está asociado a un único inquilino.

Esta pregunta es común en los siguientes escenarios:

  • Cuando tiene distintos entornos de prueba y producción de Active Directory y Microsoft Entra, pero una única suscripción de hospedaje centralizada de Azure.

  • El uso de Azure ha crecido orgánicamente en distintos equipos.

Cuando use una implementación de Resource Manager, incorpore el inquilino de Microsoft Entra asociado a la suscripción. Esta conexión permite Configuration Manager autenticarse en Azure para crear, implementar y administrar cmg.

Si usa la autenticación de Microsoft Entra para los usuarios y dispositivos administrados a través de CMG, incorpore ese inquilino Microsoft Entra. Para más información sobre los servicios de Azure para la administración en la nube, consulte Configuración de servicios de Azure. Al incorporar cada Microsoft Entra inquilino, una única instancia de CMG puede proporcionar Microsoft Entra autenticación para varios inquilinos, independientemente de la ubicación de hospedaje.

Ejemplo 1: Un inquilino con varias suscripciones

Las identidades de usuario, los registros de dispositivos y los registros de aplicaciones están en el mismo inquilino. Puede elegir qué suscripción usa CMG. Puede implementar varios servicios de CMG desde un sitio en suscripciones independientes. El sitio tiene una relación uno a uno con el inquilino. Decide qué suscripciones usar por diversos motivos, como la facturación o la separación lógica.

Ejemplo 2: Varios inquilinos

En otras palabras, el entorno tiene más de un Microsoft Entra ID. Si necesita admitir identidades de usuario y dispositivo en ambos inquilinos, debe adjuntar el sitio a cada inquilino. Este proceso requiere una cuenta administrativa de cada inquilino para crear los registros de aplicaciones en ese inquilino. A continuación, un sitio puede hospedar servicios de CMG en varios inquilinos. Puede crear una instancia de CMG en cualquier suscripción disponible en cualquiera de los inquilinos. Los dispositivos unidos o híbridos a cualquiera de Microsoft Entra ID podrían usar un CMG.

Si las identidades de usuario y dispositivo están en un inquilino, pero la suscripción de CMG está en otro inquilino, debe asociar el sitio a ambos inquilinos. Técnicamente, la aplicación cliente no es necesaria para el segundo inquilino que solo tiene el servicio CMG. La aplicación cliente solo proporciona autenticación de usuario y dispositivo para los clientes que usan el servicio CMG.

¿Cómo afecta CMG a mis clientes conectados a través de VPN?

Normalmente, los clientes móviles que se conectan a su entorno a través de una VPN se detectan como orientados a la intranet. Intentan conectarse a la infraestructura local, como puntos de administración y puntos de distribución. Algunos clientes prefieren tener estos clientes móviles administrados por servicios en la nube incluso cuando están conectados a través de VPN.

También puede asociar la instancia de CMG a un grupo de límites. Esta acción obliga a estos clientes a no usar los sistemas de sitio locales. Para obtener más información, vea Configurar grupos de límites.

¿Cómo afecta la configuración del punto de administración a los clientes internos?

Para proteger el tráfico confidencial enviado a través de un CMG, debe configurar al menos un punto de administración para usar HTTPS o configurar el sitio para HTTP mejorado.

A continuación, al implementar una instancia de CMG, si usa certificados PKI para la comunicación HTTPS en el punto de administración habilitado para CMG, seleccione la opción Permitir clientes solo de Internet en las propiedades del punto de administración. Esta configuración garantiza que los clientes internos sigan usando puntos de administración HTTP en su entorno.

Si usa HTTP mejorado, no es necesario configurar esta configuración. Los clientes siguen usando HTTP al comunicarse directamente con el punto de administración habilitado para CMG. Para obtener más información, vea HTTP mejorado.

¿Cuáles son las diferencias con la autenticación de cliente entre Microsoft Entra ID y certificados?

Puede usar Microsoft Entra ID o un certificado de autenticación de cliente para que los dispositivos se autentiquen en el servicio CMG. También puede usar Configuration Manager tokens emitidos por el sitio para la autenticación.

Si administra clientes tradicionales de Windows con una identidad unida a un dominio de Active Directory, necesitan certificados PKI para proteger el canal de comunicación. Estos clientes pueden incluir cualquier versión compatible de Windows. Puede usar todas las características compatibles con CMG, pero la distribución de software solo se limita a los dispositivos. Instale el cliente de Configuration Manager antes de que el dispositivo se mueva a Internet o use la autenticación de tokens.

También puede administrar Windows 10 o clientes posteriores con una identidad moderna, ya sea híbrida o pura nube unida a un dominio con Microsoft Entra ID. Los clientes usan Microsoft Entra ID para autenticarse en lugar de certificados PKI. El uso de Microsoft Entra ID es más fácil de configurar, configurar y mantener que sistemas PKI más complejos. Puede realizar todas las mismas actividades de administración más la distribución de software al usuario. También permite métodos adicionales para instalar el cliente en un dispositivo remoto.

Microsoft recomienda unir dispositivos a Microsoft Entra ID. Los dispositivos basados en Internet pueden usar Microsoft Entra ID para autenticarse con Configuration Manager. También permite escenarios de dispositivo y usuario tanto si el dispositivo está en Internet como si está conectado a la red interna.

Para obtener más información, consulte Configuración de la autenticación de cliente.

¿Debo usar una implementación de conjunto de escalado de máquinas virtuales?

Sí, si el sitio es la versión 2107 o posterior. Ya no es una característica de versión preliminar y se recomienda para todos los clientes. Si tiene una implementación de CMG clásica existente, puede convertirla en un conjunto de escalado de máquinas virtuales.

Si el sitio es la versión 2010 o 2103, el método de implementación del conjunto de escalado de máquinas virtuales es una característica de versión preliminar. Solo está pensado para clientes con una suscripción de proveedor de soluciones en la nube (CSP).

Importante

A partir de la versión 2203, se quita la opción de implementar un CMG como servicio en la nube (clásico). Todas las implementaciones de CMG deben usar un conjunto de escalado de máquinas virtuales. Para obtener más información, consulte Características eliminadas y en desuso.

Para obtener más información sobre cómo implementar una instancia de CMG como un conjunto de escalado de máquinas virtuales, consulte Planeamiento de CMG.

¿Una instancia de CMG habilitada para contenido usa Azure CDN?

No. Actualmente no admite la red de entrega de contenido (CDN) de Azure. La red CDN es una solución global para ofrecer rápidamente contenido de alto ancho de banda mediante el almacenamiento en caché del contenido en nodos físicos colocados estratégicamente en todo el mundo. Para obtener más información, consulte ¿Qué es Azure CDN?.

¿Tengo que hacer algo con el desuso de la biblioteca de Graph API y Autenticación de Azure AD de Azure AD (ADAL)?

No. Es posible que haya visto la siguiente entrada de blog y se pregunte cómo se aplica a Configuration Manager: Actualizar las aplicaciones para usar la biblioteca de autenticación de Microsoft y Microsoft Graph API. Esta publicación hace referencia a cualquier código desarrollado que use estas bibliotecas de autenticación. Configuration Manager ha estado usando microsoft Graph API y la biblioteca de autenticación de Microsoft (MSAL) en algunos lugares durante varios años. Todos los demás componentes se actualizan en Configuration Manager versión 2107 con el paquete acumulativo de actualizaciones. Si se mantiene al día con Configuration Manager versiones, no hay nada más que hacer.

Algunas personas confunden la información de esta entrada de blog con los registros de aplicaciones en Microsoft Entra ID que Configuration Manager usa para varios servicios conectados a la nube. Estos registros de aplicaciones son entidades de servicio basadas en la nube que no usan directamente estas bibliotecas de autenticación. Si un administrador global de Azure creó manualmente los registros de aplicaciones de Configuration Manager en Microsoft Entra ID, puede comprobar que esos registros tienen permisos para Microsoft Graph API. No necesitan permisos para Graph API de Azure AD . Para obtener más información, consulte Registro manual de aplicaciones Microsoft Entra.