Modifier

Partager via


Forum aux questions sur la passerelle de gestion cloud

S’applique à : Configuration Manager (branche actuelle)

Cet article répond à vos questions fréquemment posées sur la passerelle de gestion cloud (CMG). Pour plus d’informations, consultez Vue d’ensemble de la passerelle de gestion cloud.

Ai-je besoin de certificats ?

Oui, au moins un, et éventuellement d’autres en fonction de votre conception.

  • Certificat d’authentification serveur : la passerelle de gestion cloud crée un service HTTPS auquel les clients basés sur Internet se connectent. Le service nécessite un certificat d’authentification serveur pour générer le canal sécurisé. Vous pouvez acquérir un certificat à cet effet auprès d’un fournisseur public ou l’émettre à partir de votre infrastructure à clé publique (PKI). Pour plus d’informations, consultez Certificat d’authentification serveur de la passerelle de gestion cloud.

  • Certificat d’authentification client : en fonction de votre environnement et de la conception de la passerelle de gestion cloud, vous pouvez utiliser des certificats PKI pour l’authentification du client. Cette méthode d’authentification ne prend pas en charge les scénarios centrés sur l’utilisateur, mais prend en charge les appareils exécutant n’importe quelle version de Windows prise en charge. Pour plus d’informations, consultez Configurer l’authentification client pour la passerelle de gestion cloud : certificat PKI.

    Lorsque vous utilisez cette méthode d’authentification client, vous devez également exporter la chaîne racine approuvée du certificat client. Vous utilisez ensuite cette chaîne de certificats lorsque vous créez la passerelle de gestion cloud et sur le point de connexion de la passerelle de gestion cloud.

  • Point de gestion https : selon la façon dont vous configurez le site et la méthode d’authentification client que vous choisissez, vous devrez peut-être configurer vos points de gestion internet pour prendre en charge HTTPS. Pour plus d’informations, consultez Configurer l’authentification client pour la passerelle de gestion cloud : Activer le point de gestion pour HTTPS.

Ai-je besoin d’Azure ExpressRoute ?

Non. Azure ExpressRoute vous permet d’étendre votre réseau local dans le cloud Microsoft. ExpressRoute ou d’autres connexions de réseau virtuel de ce type ne sont pas nécessaires pour la passerelle de gestion cloud. La conception de la passerelle de gestion cloud permet aux clients Basés sur Internet de communiquer via le service Azure vers des systèmes de site locaux sans configuration réseau supplémentaire. Pour plus d’informations, consultez Vue d’ensemble de la passerelle de gestion cloud.

Dois-je gérer ou sécuriser les machines virtuelles Azure ?

Non. La passerelle de gestion cloud est une solution SaaS (Software as a Service) qui étend votre environnement Configuration Manager dans le cloud. La conception de la passerelle de gestion cloud utilise La plateforme en tant que service (PaaS) Azure. À l’aide de l’abonnement que vous fournissez, Configuration Manager crée les machines virtuelles, le stockage et la mise en réseau nécessaires. Azure PaaS sécurise et met à jour les machines virtuelles. Vous n’avez pas besoin de surveiller ces machines virtuelles. Les machines virtuelles Azure pour la passerelle de gestion cloud ne font pas partie de votre environnement local, comme c’est le cas avec l’infrastructure en tant que service (IaaS). Pour plus d’informations spécifiques sur la sécurité sur la solution PaaS sous-jacente sur laquelle repose la passerelle de gestion cloud, consultez Sécurisation des déploiements PaaS.

Étant donné que la passerelle de gestion cloud agit comme un proxy pour la communication client, elle ne traite, ne conserve ni ne stocke les données client. Le chemin de communication via Internet utilise toujours HTTPS. Pour plus de sécurité, configurez le point de gestion pour HTTPS. Configurez également l’option de site pour que les clients chiffrent les messages d’inventaire et status. Pour plus d’informations, consultez Planifier la sécurité : signature et chiffrement.

Dois-je mettre à jour la machine virtuelle si l’image est déconseillée ?

Non. Les machines virtuelles de la passerelle de gestion cloud sont déployées à l’aide d’un modèle et IIS sont configurés. Cela sera interrompu si vous mettez à jour manuellement la machine virtuelle. Le groupe de produits résout le problème via la mise à jour ou les versions current Branch.

Comment puis-je garantir la continuité du service pendant les mises à jour de service ?

En mettant à l’échelle la passerelle de gestion cloud pour inclure deux instances ou plus, vous bénéficiez automatiquement des domaines de mise à jour dans Azure. Consultez Comment mettre à jour un service cloud.

J’utilise déjà IBCM. Si j’ajoute la passerelle de gestion cloud, comment les clients se comportent-ils ?

Si vous avez déjà déployé la gestion des clients basés sur Internet (IBCM), vous pouvez également déployer la passerelle de gestion cloud. Les clients reçoivent une stratégie pour les deux services. Pendant qu’ils se déplacent sur Internet, ils sélectionnent et utilisent au hasard l’un de ces services basés sur Internet.

Les comptes d’utilisateur doivent-ils se trouver dans le même locataire Microsoft Entra que le locataire associé à l’abonnement qui héberge le service cloud de passerelle de gestion cloud ?

Non, vous pouvez déployer la passerelle de gestion cloud dans n’importe quel abonnement pouvant héberger des services cloud Azure.

Pour clarifier les termes :

  • Le locataire Microsoft Entra est le répertoire des comptes d’utilisateur et des inscriptions d’applications. Un locataire peut avoir plusieurs abonnements.
  • Un abonnement Azure sépare la facturation, les ressources et les services. Il est associé à un seul locataire.

Cette question est courante dans les scénarios suivants :

  • Lorsque vous avez des environnements Active Directory et Microsoft Entra de test et de production distincts, mais un seul abonnement d’hébergement Azure centralisé.

  • Votre utilisation d’Azure s’est développée de manière organique dans différentes équipes.

Lorsque vous utilisez un déploiement Resource Manager, intégrez le locataire Microsoft Entra associé à l’abonnement. Cette connexion permet à Configuration Manager de s’authentifier auprès d’Azure pour créer, déployer et gérer la passerelle de gestion cloud.

Si vous utilisez l’authentification Microsoft Entra pour les utilisateurs et les appareils gérés via la passerelle de gestion cloud, intégrez ce locataire Microsoft Entra. Pour plus d’informations sur les services Azure pour la gestion cloud, consultez Configurer les services Azure. Lorsque vous intégrez chaque locataire Microsoft Entra, une seule passerelle de gestion cloud peut fournir une authentification Microsoft Entra pour plusieurs locataires, quel que soit l’emplacement d’hébergement.

Exemple 1 : Un locataire avec plusieurs abonnements

Les identités des utilisateurs, les inscriptions d’appareils et les inscriptions d’applications se trouvent dans le même locataire. Vous pouvez choisir l’abonnement utilisé par la passerelle de gestion cloud. Vous pouvez déployer plusieurs services de passerelle de gestion cloud à partir d’un site dans des abonnements distincts. Le site a une relation un-à-un avec le locataire. Vous décidez des abonnements à utiliser pour diverses raisons telles que la facturation ou la séparation logique.

Exemple 2 : Plusieurs locataires

En d’autres termes, votre environnement a plusieurs Microsoft Entra ID. Si vous devez prendre en charge les identités des utilisateurs et des appareils dans les deux locataires, vous devez attacher le site à chaque locataire. Ce processus nécessite un compte d’administration de chaque locataire pour créer les inscriptions d’applications dans ce locataire. Un site peut ensuite héberger des services de passerelle de gestion cloud dans plusieurs locataires. Vous pouvez créer une passerelle de gestion cloud dans n’importe quel abonnement disponible dans l’un des locataires. Les appareils joints ou hybrides à Microsoft Entra ID peuvent utiliser une passerelle de gestion cloud.

Si les identités d’utilisateur et d’appareil se trouvent dans un locataire, mais que l’abonnement de la passerelle de gestion cloud se trouve dans un autre locataire, vous devez attacher le site aux deux locataires. Techniquement, l’application cliente n’est pas nécessaire pour le deuxième locataire qui a uniquement le service de passerelle de gestion cloud. L’application cliente fournit uniquement l’authentification des utilisateurs et des appareils pour les clients qui utilisent le service de passerelle de gestion cloud.

Comment la passerelle de gestion cloud affecte-t-elle mes clients connectés via VPN ?

Les clients itinérants qui se connectent à votre environnement via un VPN sont généralement détectés comme étant accessibles sur l’intranet. Ils tentent de se connecter à votre infrastructure locale, comme les points de gestion et les points de distribution. Certains clients préfèrent avoir ces clients itinérants gérés par des services cloud, même lorsqu’ils sont connectés via UN VPN.

Vous pouvez également associer la passerelle de gestion cloud à un groupe de limites. Cette action force ces clients à ne pas utiliser les systèmes de site locaux. Pour plus d’informations, consultez Configurer des groupes de limites.

Comment la configuration du point de gestion affecte-t-elle les clients internes ?

Pour sécuriser le trafic sensible envoyé via une passerelle de gestion cloud, vous devez configurer au moins un point de gestion pour utiliser HTTPS ou configurer le site pour http amélioré.

Ensuite, lorsque vous déployez une passerelle de gestion cloud, si vous utilisez des certificats PKI pour la communication HTTPS sur le point de gestion compatible CMG, sélectionnez l’option Autoriser les clients Internet uniquement sur les propriétés du point de gestion. Ce paramètre garantit que les clients internes continuent d’utiliser des points de gestion HTTP dans votre environnement.

Si vous utilisez http amélioré, vous n’avez pas besoin de configurer ce paramètre. Les clients continuent d’utiliser HTTP lorsqu’ils communiquent directement avec le point de gestion compatible avec la passerelle de gestion cloud. Pour plus d’informations, consultez HTTP amélioré.

Quelles sont les différences avec l’authentification client entre les Microsoft Entra ID et les certificats ?

Vous pouvez utiliser Microsoft Entra ID ou un certificat d’authentification client pour que les appareils s’authentifient auprès du service de passerelle de gestion cloud. Vous pouvez également utiliser Configuration Manager jetons émis par le site pour l’authentification.

Si vous gérez des clients Windows traditionnels avec une identité jointe à un domaine Active Directory, ils ont besoin de certificats PKI pour sécuriser le canal de communication. Ces clients peuvent inclure n’importe quelle version prise en charge de Windows. Vous pouvez utiliser toutes les fonctionnalités prises en charge par la passerelle de gestion cloud, mais la distribution de logiciels est limitée aux appareils uniquement. Installez le client Configuration Manager avant que l’appareil ne soit itinérant sur Internet, ou utilisez l’authentification par jeton.

Vous pouvez également gérer des clients Windows 10 ou ultérieurs avec une identité moderne, hybride ou pure jointe à un domaine cloud avec Microsoft Entra ID. Les clients utilisent Microsoft Entra ID pour s’authentifier plutôt que des certificats PKI. L’utilisation de Microsoft Entra ID est plus simple à configurer, à configurer et à gérer que des systèmes PKI plus complexes. Vous pouvez effectuer toutes les mêmes activités de gestion ainsi que la distribution de logiciels à l’utilisateur. Il permet également d’utiliser des méthodes supplémentaires pour installer le client sur un appareil distant.

Microsoft recommande de joindre des appareils à Microsoft Entra ID. Les appareils Basés sur Internet peuvent utiliser Microsoft Entra ID pour s’authentifier auprès de Configuration Manager. Il permet également les scénarios d’appareil et d’utilisateur, que l’appareil soit sur Internet ou connecté au réseau interne.

Pour plus d’informations, consultez Configurer l’authentification client.

Dois-je utiliser un déploiement de groupe de machines virtuelles identiques ?

Oui, si votre site est version 2107 ou ultérieure. Il ne s’agit plus d’une fonctionnalité en préversion et recommandée pour tous les clients. Si vous disposez d’un déploiement de passerelle de gestion cloud classique existant, vous pouvez le convertir en groupe de machines virtuelles identiques.

Si votre site est version 2010 ou 2103, la méthode de déploiement du groupe de machines virtuelles identiques est une fonctionnalité en préversion. Il est uniquement destiné aux clients disposant d’un abonnement Fournisseur de solutions Cloud (CSP).

Importante

À compter de la version 2203, l’option de déploiement d’une passerelle de gestion cloud en tant que service cloud (classique) est supprimée. Tous les déploiements de passerelle de gestion cloud doivent utiliser un groupe de machines virtuelles identiques. Pour plus d’informations, consultez Fonctionnalités supprimées et dépréciées.

Pour plus d’informations sur le déploiement d’une passerelle de gestion cloud en tant que groupe de machines virtuelles identiques, consultez Planifier la passerelle de gestion cloud.

Une passerelle de gestion cloud prenant en charge le contenu utilise-t-elle Azure CDN ?

Non. Il ne prend actuellement pas en charge le réseau de distribution de contenu (CDN) Azure. Le CDN est une solution globale permettant de fournir rapidement du contenu à bande passante élevée en mettant en cache le contenu sur des nœuds physiques placés stratégiquement dans le monde entier. Pour plus d’informations, consultez Qu’est-ce qu’Azure CDN ?.

Dois-je faire quelque chose avec la dépréciation d’Azure AD API Graph et de la bibliothèque Azure AD Authentication (ADAL) ?

Non. Vous avez peut-être vu le billet de blog suivant et vous vous demandez comment il s’applique à Configuration Manager : Mettre à jour vos applications pour utiliser la bibliothèque d’authentification Microsoft et Microsoft API Graph. Ce billet fait référence à tout code développé qui utilise ces bibliothèques d’authentification. Configuration Manager utilise microsoft API Graph et la bibliothèque d’authentification Microsoft (MSAL) à certains endroits depuis plusieurs années. Tous les autres composants sont mis à jour dans Configuration Manager version 2107 avec le correctif cumulatif. Si vous restez à jour avec Configuration Manager versions, vous n’avez rien d’autre à faire.

Certaines personnes confondent les informations contenues dans ce billet de blog avec les inscriptions d’applications dans Microsoft Entra ID que Configuration Manager utilise pour divers services attachés au cloud. Ces inscriptions d’applications sont des principaux de service cloud qui n’utilisent pas directement ces bibliothèques d’authentification. Si un administrateur général Azure a créé manuellement les inscriptions d’applications Configuration Manager dans Microsoft Entra ID, il peut double case activée que ces inscriptions disposent d’autorisations pour l’API Microsoft Graph. Ils n’ont pas besoin d’autorisations pour l’API Graph Azure AD . Pour plus d’informations, consultez Inscrire manuellement Microsoft Entra applications.