Configuración de CMG para Configuration Manager

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Una vez que haya establecido los requisitos previos, puede iniciar el proceso para configurar una puerta de enlace de administración en la nube (CMG). Antes de iniciar este proceso, asegúrese de que tiene la información y los requisitos previos necesarios para crear un CMG. Para obtener más información, consulte Configuración de la lista de comprobación para CMG.

Este paso del proceso general incluye las siguientes acciones:

  • Use la consola de Configuration Manager para crear el servicio CMG en Azure.
  • Configure el sitio principal para la autenticación de certificados de cliente.
  • Agregue el rol de sistema de sitio de punto de conexión de CMG.
  • Configure el punto de administración y el punto de actualización de software para el tráfico de CMG.
  • Configurar grupos de límites.

Configuración de CMG

Nota:

La implementación de una instancia de CMG con un conjunto de escalado de máquinas virtuales en Azure se introdujo por primera vez en la versión 2010 como una característica de versión preliminar. A partir de la versión 2107, ya no es una característica de versión preliminar.

Configuration Manager no habilita esta característica opcional de forma predeterminada. Debe habilitar esta característica antes de usarla. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.

Realice este procedimiento en el sitio de nivel superior. Ese sitio es un sitio primario independiente o el sitio de administración central (CAS).

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione Cloud Management Gateway.

  2. Seleccione Create Cloud Management Gateway (Crear puerta de enlace de administración en la nube) en la cinta de opciones.

  3. En la página General del asistente, especifique primero el entorno de Azure para esta instancia de CMG:

    • AzurePublicCloud: cree el servicio en la nube global de Azure.
    • AzureUSGovernmentCloud: cree el servicio en la nube de Azure US Government.

  4. A continuación, elija cómo desea implementar cmg en Azure:

    • Conjunto de escalado de máquinas virtuales

      • A partir de la versión 2203, el conjunto de escalado de máquinas virtuales es la única opción.

      • A partir de la versión 2107, esta opción es el método de implementación recomendado. Incluso si tiene una instancia de CMG existente implementada con el método de servicio en la nube (clásico), implemente nuevas instancias de CMG como un conjunto de escalado de máquinas virtuales.

      • En las versiones 2010 y 2103, debe habilitar esta característica de versión preliminar para verla. En estas versiones, solo está pensada para clientes con una suscripción de proveedor de soluciones en la nube (CSP). Si ya ha implementado una instancia de CMG con el método de servicio en la nube (clásico), esta opción no está disponible. Para obtener más información, consulte Planeamiento de CMG: conjuntos de escalado de máquinas virtuales.

    • Servicio en la nube (clásico)

      Importante

      A partir de la versión 2203, se quita la opción de implementar un CMG como servicio en la nube (clásico). Todas las implementaciones de CMG deben usar un conjunto de escalado de máquinas virtuales. Para obtener más información, consulte Características eliminadas y en desuso.

      • En la versión 2107 y versiones posteriores, use solo esta opción si no puede implementar con un conjunto de escalado de máquinas virtuales debido a una de las limitaciones.

      • En las versiones 2010 y 2103, la mayoría de los clientes deben usar este método de implementación.

  5. A partir de la versión 2309, seleccione Microsoft Entra nombre del inquilino, Microsoft Entra nombre de la aplicación se rellena automáticamente. Seleccione Iniciar sesión. Autentíquese con una cuenta de propietario de suscripción de Azure. Si posee varias suscripciones, seleccione el identificador de suscripción de la suscripción que desea usar.

    Nota:

    A partir de la versión 2309, hemos dejado de usar la aplicación de primera para la creación de CMG. Ahora, CMG usa una aplicación de servidor de terceros para obtener tokens de portador.

  6. En las versiones 2303 y posteriores, seleccione Iniciar sesión. Autentíquese con una cuenta de propietario de suscripción de Azure. El asistente rellena automáticamente los campos restantes de la información almacenada durante el Microsoft Entra requisito previo de integración. Si posee varias suscripciones, seleccione el identificador de suscripción de la suscripción que desea usar.

    Seleccione Siguiente y espere a que el sitio pruebe la conexión a Azure.

  7. En la página Configuración del asistente , vaya primero a . Archivo PFX para el certificado de autenticación del servidor CMG (archivo de certificado). El nombre común de este certificado se usa para rellenar los campos Nombre del servicio y Nombre de implementación .

    Si usa un certificado comodín, reemplace el asterisco (*) en el campo Nombre del servicio por el prefijo de nombre de implementación único global para cmg.

    1. Opcionalmente, especifique una descripción para identificar aún más este CMG en la consola de Configuration Manager.

    2. Seleccione una región de Azure para esta instancia de CMG. La lista de regiones disponibles puede variar en función de la suscripción seleccionada.

    3. Seleccione una opción grupo de recursos :

      • Si elige Usar existente, seleccione un grupo de recursos existente en la lista. Este grupo de recursos debe existir ya en la misma región que seleccionó para cmg. Si selecciona un grupo de recursos existente y está en una región diferente a la región seleccionada anteriormente, cmg no se implementará.

      • Si elige Crear nuevo, escriba el nombre del nuevo grupo de recursos.

    4. De forma predeterminada, el tamaño de la máquina virtual es Estándar (A2_V2).. Seleccione otra opción como especifica el diseño. Por ejemplo, Grande (A4_v2) para aumentar la capacidad de cliente por máquina virtual o Laboratorio (B2) en un entorno de prueba pequeño.

      Importante

      La máquina virtual de tamaño lab (B2s) solo está diseñada para pruebas de laboratorio y pequeños entornos de prueba de concepto. Por ejemplo, con la rama Configuration Manager technical preview. Las máquinas virtuales B2s no están diseñadas para su uso en producción con CMG. Son de bajo costo y bajo rendimiento.

    5. En el campo Instancia de máquina virtual , escriba el número de máquinas virtuales para este servicio. El valor predeterminado es uno, pero puede escalar verticalmente hasta 16 máquinas virtuales por CMG.

    6. Si usa certificados de autenticación de cliente, seleccione Certificados para agregar certificados raíz de confianza. Agregue todos los certificados en la cadena de confianza.

      Nota:

      No se requiere un certificado raíz de confianza al usar Microsoft Entra identificador o tokens emitidos por el sitio para la autenticación de cliente.

    7. De forma predeterminada, el asistente habilita la opción Para comprobar la revocación de certificados de cliente. Una lista de revocación de certificados (CRL) debe publicarse públicamente para que esta comprobación funcione. Para obtener más información, vea Publicar la lista de revocación de certificados.

    8. De forma predeterminada, el asistente habilita la opción para aplicar TLS 1.2. Esta configuración requiere que la máquina virtual de Azure use el protocolo de cifrado TLS 1.2. No se aplica a ningún cliente o servidor de sitio de Configuration Manager local. A partir de la versión 2107 con el paquete acumulativo de actualizaciones, esta configuración también se aplica a la cuenta de almacenamiento de CMG. Para obtener más información, vea How to enable TLS 1.2( Cómo habilitar TLS 1.2).

    9. De forma predeterminada, el asistente habilita la opción Permitir que CMG funcione como un punto de distribución de nube y sirva contenido de Azure Storage. Si tiene previsto dirigirse a implementaciones con contenido a clientes, debe configurar la instancia de CMG para que sirva contenido.

  8. A continuación, se muestra la página Alertas del asistente. Para supervisar el tráfico de CMG con un umbral de 14 días, habilite la alerta de umbral. A continuación, especifique el umbral y el porcentaje en el que se elevan los distintos niveles de alerta. También puede habilitar un umbral de alerta de almacenamiento. Elija Siguiente cuando haya terminado.

  9. Revise la configuración y complete el asistente.

Configuration Manager empieza a configurar el servicio. La cantidad de tiempo que se tarda en aprovisionar completamente el servicio en Azure depende de la configuración especificada. Para determinar cuándo está listo el servicio, vea la columna Estado del nuevo CMG.

Para solucionar problemas de implementaciones de CMG, use CloudMgr.log y CMGSetup.log. Para obtener más información, consulte Supervisión de CMG.

Sugerencia

También puede usar el cmdlet de PowerShell New-CMCloudManagementGateway para este proceso. Opcionalmente, use este cmdlet para crear el servicio CMG. Para obtener más información, vea New-CMCloudManagementGateway.

Configuración del sitio principal para la autenticación de certificados de cliente

Si usa certificados de autenticación de cliente para que los clientes se autentiquen con CMG, siga este procedimiento para configurar cada sitio principal.

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione Sitios.

  2. Seleccione el sitio principal al que se asignan los clientes basados en Internet y elija Propiedades.

  3. Cambie a la pestaña Seguridad de la comunicación y seleccione Usar certificado de cliente PKI (autenticación de cliente) cuando esté disponible.

  4. Si no publica una CRL, deshabilite la siguiente opción: Los clientes comprueban la lista de revocación de certificados (CRL) para los sistemas de sitio.

Agregar el punto de conexión de CMG

El punto de conexión de CMG es el rol de sistema de sitio necesario para la comunicación desde la implementación de Configuration Manager local a la instancia de CMG basada en la nube. Antes de iniciar este proceso, ya debería haber desarrollado un plan para el rol e identificado al menos un servidor de sistema de sitio existente. Para obtener más información, vea Plan for the CMG.

Para agregar el punto de conexión de CMG, en los pasos siguientes se resumen las instrucciones para instalar roles de sistema de sitio:

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Servidores y roles de sistema de sitio.

  2. Seleccione un servidor de sitio existente al que quiera agregar este rol. En la cinta de opciones, en la pestaña Inicio , seleccione Agregar roles de sistema de sitio.

  3. En la pantalla Selección de roles del sistema, elija Punto de conexión de puerta de enlace de administración en la nube y, a continuación, seleccione Siguiente. Elija el nombre de la puerta de enlace de administración en la nube al que se conecta este servidor. El asistente mostrará la región del CMG seleccionado.

Importante

Si usa certificados de autenticación de cliente, el punto de conexión de CMG necesita este certificado. Para obtener más información, consulte certificado de autenticación de cliente.

Para solucionar problemas de mantenimiento del servicio CMG, use CMGService.log y SMS_Cloud_ProxyConnector.log. Para obtener más información, consulte Archivos de registro.

Sugerencia

Opcionalmente, también puede usar el cmdlet de PowerShell Add-CMCloudManagementGatewayConnectionPoint para agregar el rol de punto de conexión de CMG a un servidor de sistema de sitio.

Para obtener más información, vea Add-CMCloudManagementGatewayConnectionPoint.

Configuración de roles orientados al cliente para el tráfico de CMG

Configure los sistemas de sitio de punto de administración y punto de actualización de software para aceptar el tráfico de CMG. Realice este procedimiento en el sitio principal para todos los puntos de administración y puntos de actualización de software que prestan servicio a los clientes basados en Internet.

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Servidores y roles de sistema de sitio. En la pestaña Inicio de la cinta de opciones, en el grupo Ver, seleccione Servidores con rol. A continuación, seleccione Punto de administración en la lista.

  2. Seleccione el servidor de sistema de sitio que desea configurar para el tráfico de CMG. Seleccione el rol Punto de administración en el panel de detalles y, a continuación, en el grupo Rol de sitio de la cinta de opciones, seleccione Propiedades.

  3. En la hoja Propiedades del punto de administración, en Conexiones de cliente, seleccione Permitir Configuration Manager tráfico de puerta de enlace de administración en la nube.

    Según el diseño de CMG y la versión de Configuration Manager, es posible que tenga que habilitar la opción HTTPS. Para obtener más información, consulte Habilitación del punto de administración para HTTPS.

  4. Seleccione Aceptar para cerrar la ventana de propiedades del punto de administración.

Repita estos pasos para otros puntos de administración según sea necesario y para cualquier punto de actualización de software.

Configuración de grupos de límites

Puede asociar una instancia de CMG a un grupo de límites. Esta configuración permite a los clientes usar cmg para la comunicación de cliente según las relaciones de grupo de límites. Esta configuración es beneficiosa para los clientes de VPN o sucursal en los que podría ser mejor administrarlos a través de un CMG que a través de la conexión VPN o WAN. Si habilita la opción Preferir orígenes basados en la nube en lugar de orígenes locales , los clientes preferirán la instancia de CMG para la directiva y el contenido.

Para obtener más información sobre los grupos de límites, vea Configurar grupos de límites.

Al crear o configurar un grupo de límites, en la pestaña Referencias , agregue una puerta de enlace de administración en la nube. Esta acción asocia la instancia de CMG a este grupo de límites.

Branchcache

Para permitir que una instancia de CMG habilitada para contenido use Windows BranchCache, instale la característica BranchCache en el servidor de sitio.

  • Si el servidor de sitio tiene un rol de sistema de sitio de punto de distribución local, configure la opción en las propiedades de ese rol para habilitar y configurar BranchCache. Para obtener más información, vea Configurar un punto de distribución.

  • Si el servidor de sitio no tiene un rol de punto de distribución, instale la característica BranchCache en Windows. Para obtener más información, vea Instalar la característica BranchCache.

Si ya ha distribuido contenido a una instancia de CMG y, a continuación, decide habilitar BranchCache, instale primero la característica. A continuación, redistribuya el contenido a CMG.

Distribuir y administrar contenido

Distribuya el contenido al CMG habilitado para contenido igual que cualquier otro punto de distribución. El punto de administración no incluye cmg en la lista de ubicaciones de contenido a menos que tenga el contenido que solicitan los clientes. Para obtener más información, consulte Distribución y administración de contenido.

Administre el contenido en una instancia de CMG igual que cualquier otro punto de distribución. Estas acciones incluyen asignarlo a un grupo de puntos de distribución y administrar paquetes de contenido. Para obtener más información, vea Instalar y configurar puntos de distribución.

Siguientes pasos

Continúe con la configuración de CMG mediante la configuración de clientes para CMG:

Configuración de clientes para CMG