Gyakori kérdések a CMG-ről

Igen, legalább egy, és valószínűleg mások is a tervtől függően.

• Kiszolgálóhitelesítési tanúsítvány: A CMG létrehoz egy HTTPS-szolgáltatást, amelyhez az internetalapú ügyfelek csatlakoznak. A szolgáltatásnak kiszolgálói hitelesítési tanúsítványra van szüksége a biztonságos csatorna létrehozásához. Ehhez a célra beszerezhet egy tanúsítványt egy nyilvános szolgáltatótól, vagy kiadhatja azt a nyilvános kulcsú infrastruktúrából (PKI). További információ: CMG-kiszolgáló hitelesítési tanúsítványa.

• Ügyfél-hitelesítési tanúsítvány: A környezettől és a CMG kialakításától függően PKI-tanúsítványokat használhat az ügyfél-hitelesítéshez. Ez a hitelesítési módszer nem támogatja a felhasználóközpontú forgatókönyveket, de támogatja a Windows bármely támogatott verzióját futtató eszközöket. További információ: Ügyfél-hitelesítés konfigurálása CMG-hez: PKI-tanúsítvány.

  Ha ezt az ügyfél-hitelesítési módszert használja, exportálnia kell az ügyféltanúsítvány megbízható legfelső szintű láncát is. Ezután ezt a tanúsítványláncot fogja használni a CMG és a CMG csatlakozási pontjának létrehozásakor.

• HTTPS-kompatibilis felügyeleti pont: A hely konfigurálásának módjától és a választott ügyfél-hitelesítési módszertől függően előfordulhat, hogy az internetre képes felügyeleti pontokat kell konfigurálnia a HTTPS támogatásához. További információ: Ügyfél-hitelesítés konfigurálása CMG-hez: Felügyeleti pont engedélyezése HTTPS-hez.

Nem. Az Azure ExpressRoute lehetővé teszi a helyszíni hálózat kiterjesztését a Microsoft-felhőbe. Az ExpressRoute vagy más ilyen virtuális hálózati kapcsolatok nem szükségesek a CMG-hez. A CMG kialakítása lehetővé teszi, hogy az internetes ügyfelek az Azure-szolgáltatáson keresztül kommunikáljanak a helyszíni helyrendszerekkel további hálózati konfiguráció nélkül. További információ: A CMG áttekintése.

Nem. A CMG egy szolgáltatott szoftver (SaaS) megoldás, amely kiterjeszti a Configuration Manager környezetet a felhőbe. A CMG kialakítása az Azure platformot használja szolgáltatásként (PaaS). A megadott előfizetéssel Configuration Manager hozza létre a szükséges virtuális gépeket( VM-eket), a tárolást és a hálózatkezelést. Az Azure PaaS védi és frissíti a virtuális gépeket. Ezeket a virtuális gépeket nem kell figyelnie. A CMG-hez készült Azure-beli virtuális gépek nem részei a helyszíni környezetnek, ahogyan a szolgáltatott infrastruktúra (IaaS) esetében is. A CMG alapjául szolgáló PaaS-megoldás biztonságával kapcsolatos további információkért lásd: PaaS-üzemelő példányok biztonságossá tétele.

Mivel a CMG proxyként szolgál az ügyfélkommunikációhoz, nem dolgoz fel, nem tárol és nem tárol ügyféladatokat. Az interneten keresztüli kommunikációs útvonal mindig HTTPS-t használ. A nagyobb biztonság érdekében konfigurálja a felügyeleti pontot a HTTPS-hez. Emellett konfigurálja a helybeállítást az ügyfelek számára a leltár- és állapotüzenetek titkosításához. További információ: Plan for security: Signing and encryption (A biztonság megtervezése: Aláírás és titkosítás).

Nem. A CMG virtuális gépek sablonnal vannak üzembe helyezve, és az IIS konfigurálva van. Ez nem működik, ha manuálisan frissíti a virtuális gépet. A termékcsoport frissítéssel vagy az aktuális ág kiadásaival oldja meg a problémát.

A CMG két vagy több példányra való méretezésével automatikusan kihasználhatja az Azure-beli frissítési tartományok előnyeit. Lásd: Felhőszolgáltatás frissítése.

Ha már telepítette az internetalapú ügyfélfelügyeletet (IBCM), akkor a CMG-t is üzembe helyezheti. Az ügyfelek mindkét szolgáltatáshoz kapnak szabályzatot. Amikor az internetre barangolnak, véletlenszerűen választják ki és használják az internetalapú szolgáltatások egyikét.

Nem, a CMG-t bármely olyan előfizetésben üzembe helyezheti, amely képes Azure-felhőszolgáltatások üzemeltetésére.

A kifejezések tisztázása:

• A Microsoft Entra bérlő a felhasználói fiókok és alkalmazásregisztrációk címtára. Egy bérlő több előfizetéssel is rendelkezhet.
• Az Azure-előfizetések elkülönítik a számlázást, az erőforrásokat és a szolgáltatásokat. Egyetlen bérlőhöz van társítva.

Ez a kérdés gyakori a következő forgatókönyvekben:

• Ha eltérő tesztelési és éles Active Directory- és Microsoft Entra-környezetekkel rendelkezik, de egyetlen, központosított Azure-üzemeltetési előfizetéssel rendelkezik.

• Az Azure használata organikusan nőtt a különböző csapatok között.

Ha Resource Manager üzemelő példányt használ, regisztrálja az előfizetéshez társított Microsoft Entra bérlőt. Ez a kapcsolat lehetővé teszi Configuration Manager hitelesítését az Azure-ban a CMG létrehozásához, üzembe helyezéséhez és kezeléséhez.

Ha Microsoft Entra hitelesítést használ a CMG-n keresztül felügyelt felhasználókhoz és eszközökhöz, regisztrálja a Microsoft Entra bérlőt. További információ a felhőfelügyeleti Azure-szolgáltatásokról: Azure-szolgáltatások konfigurálása. Az egyes Microsoft Entra bérlők előkészítésekor egyetlen CMG Microsoft Entra hitelesítést biztosíthat több bérlő számára, függetlenül az üzemeltetési helytől.

1. példa: Egy bérlő több előfizetéssel

A felhasználói identitások, az eszközregisztrációk és az alkalmazásregisztrációk mind ugyanabban a bérlőben találhatók. Kiválaszthatja, hogy a CMG melyik előfizetést használja. Egy helyről több CMG-szolgáltatást is üzembe helyezhet külön előfizetésekben. A webhely egy-az-egyhez kapcsolatban áll a bérlővel. Ön dönti el, hogy mely előfizetéseket szeretné használni különböző okokból, például számlázás vagy logikai elkülönítés céljából.

2. példa: Több bérlő

Más szóval a környezet több Microsoft Entra ID is rendelkezik. Ha mindkét bérlőben támogatnia kell a felhasználói és eszközidentitásokat, minden bérlőhöz csatolnia kell a webhelyet. Ehhez a folyamathoz minden bérlőhöz létre kell hoznia egy rendszergazdai fiókot az adott bérlőben található alkalmazásregisztrációk létrehozásához. Egy hely ezután több bérlőben is üzemeltethet CMG-szolgáltatásokat. A CMG-t bármely elérhető előfizetésben létrehozhatja bármelyik bérlőben. A Microsoft Entra ID csatlakoztatott vagy hibrid csatlakoztatott eszközök CMG-t használhatnak.

Ha a felhasználó- és eszközidentitások egy bérlőben találhatók, de a CMG előfizetése egy másik bérlőben található, mindkét bérlőhöz csatolnia kell a webhelyet. Technikailag az ügyfélalkalmazásra nincs szükség ahhoz a második bérlőhöz, amely csak a CMG-szolgáltatással rendelkezik. Az ügyfélalkalmazás csak a CMG szolgáltatást használó ügyfelek számára biztosít felhasználó- és eszközhitelesítést.

A környezethez VPN-en keresztül csatlakozó roamingügyfeleket általában intranetes elérésűként észleli a rendszer. Megpróbálnak csatlakozni a helyszíni infrastruktúrához, például a felügyeleti pontokhoz és a terjesztési pontokhoz. Egyes ügyfelek szívesebben kezelik ezeket a központi ügyfeleket a felhőszolgáltatásokban, még akkor is, ha VPN-en keresztül csatlakoznak.

A CMG-t határcsoporthoz is társíthatja. Ez a művelet arra kényszeríti ezeket az ügyfeleket, hogy ne használják a helyszíni helyrendszereket. További információ: Határcsoportok konfigurálása.

A CMG-n keresztül küldött bizalmas forgalom biztonságossá tételéhez konfigurálnia kell legalább egy felügyeleti pontot a HTTPS használatához, vagy konfigurálnia kell a helyet továbbfejlesztett HTTP használatára.

Ezután a CMG üzembe helyezésekor, ha PKI-tanúsítványokat használ a HTTPS-kommunikációhoz a CMG-kompatibilis felügyeleti ponton, válassza a Csak internetes ügyfelek engedélyezése a felügyeleti pont tulajdonságain beállítást. Ez a beállítás biztosítja, hogy a belső ügyfelek továbbra is HTTP felügyeleti pontokat használjanak a környezetben.

Ha bővített HTTP-t használ, nem kell konfigurálnia ezt a beállítást. Az ügyfelek továbbra is HTTP-t használnak, amikor közvetlenül kommunikálnak a CMG-kompatibilis felügyeleti ponttal. További információ: Bővített HTTP.

Az eszközökhöz Microsoft Entra ID vagy ügyfél-hitelesítési tanúsítványt használhat a CMG szolgáltatásban való hitelesítéshez. A hitelesítéshez Configuration Manager hely által kibocsátott jogkivonatokat is használhat.

Ha a hagyományos Windows-ügyfeleket Active Directory-tartományhoz csatlakoztatott identitással kezeli, a kommunikációs csatorna védelméhez PKI-tanúsítványokra van szükségük. Ezek az ügyfelek a Windows bármely támogatott verzióját tartalmazhatják. A CMG által támogatott összes funkciót használhatja, de a szoftverterjesztés csak az eszközökre korlátozódik. Telepítse a Configuration Manager-ügyfelet, mielőtt az eszköz az internetre barangolna, vagy használjon jogkivonat-hitelesítést.

A Windows 10 vagy újabb ügyfeleket modern identitással is kezelheti, akár hibrid, akár tiszta felhőbeli tartományhoz csatlakozik Microsoft Entra ID. Az ügyfelek a PKI-tanúsítványok helyett Microsoft Entra ID használnak hitelesítésre. A Microsoft Entra ID használata egyszerűbben beállítható, konfigurálható és karbantartható, mint az összetettebb PKI-rendszerek. Ugyanezeket a felügyeleti tevékenységeket, valamint a szoftverterjesztést is elvégezheti a felhasználó számára. Emellett további módszereket is lehetővé tesz az ügyfél távoli eszközön való telepítéséhez.

A Microsoft azt javasolja, hogy csatlakoztassunk eszközöket a Microsoft Entra ID. Az internetalapú eszközök Microsoft Entra ID használhatnak a Configuration Manager való hitelesítéshez. Emellett lehetővé teszi az eszközök és a felhasználók számára is, hogy az eszköz az interneten található-e, vagy csatlakozik-e a belső hálózathoz.

További információ: Ügyfél-hitelesítés konfigurálása.

Igen, ha a webhely 2107-es vagy újabb verziójú. Ez már nem egy előzetes funkció, és minden ügyfél számára ajánlott. Ha már rendelkezik klasszikus CMG-telepítéssel, átalakíthatja azt virtuálisgép-méretezési csoporttá.

Ha a webhely 2010-es vagy 2103-es verziójú, a virtuálisgép-méretezési csoport üzembehelyezési módszere egy előzetes kiadású funkció. Csak felhőszolgáltatói (CSP-) előfizetéssel rendelkező ügyfelek számára készült.

A CMG virtuálisgép-méretezési csoportként való üzembe helyezésével kapcsolatos további információkért lásd: Plan for CMG (CMG tervezése).

Nem. Jelenleg nem támogatja az Azure tartalomkézbesítési hálózatát (CDN). A CDN globális megoldás a nagy sávszélességű tartalmak gyors biztosítására azáltal, hogy a tartalmat a világ stratégiailag elhelyezett fizikai csomópontjaiban gyorsítótárazik. További információ: Mi az az Azure CDN?.

Nem. Előfordulhat, hogy a következő blogbejegyzést látta, és kíváncsi arra, hogyan vonatkozik a Configuration Manager: Frissítse az alkalmazásokat a Microsoft Authentication Library és a Microsoft Graph API használatára. Ez a bejegyzés minden olyan fejlesztett kódra hivatkozik, amely ezeket a hitelesítési kódtárakat használja. Configuration Manager néhány helyen már évek óta használja a Microsoft Graph API és a Microsoft Authentication Libraryt (MSAL). Az összes többi összetevő Configuration Manager 2107-es verziójában frissül a kumulatív frissítéssel. Ha naprakész marad Configuration Manager verziókkal kapcsolatban, nincs más teendője.

Vannak, akik összekeverik a blogbejegyzésben szereplő információkat a Microsoft Entra ID alkalmazásregisztrációival, amelyeket Configuration Manager különböző felhőalapú szolgáltatásokhoz használnak. Ezek az alkalmazásregisztrációk olyan felhőalapú szolgáltatásnevek, amelyek nem használják közvetlenül ezeket a hitelesítési kódtárakat. Ha egy Azure-beli globális rendszergazda manuálisan hozta létre a Configuration Manager alkalmazásregisztrációkat a Microsoft Entra ID, akkor ellenőrizheti, hogy ezek a regisztrációk rendelkeznek-e a Microsoft Graph API-hoz szükséges engedélyekkel. Nincs szükségük engedélyekre a Azure AD Graph API-hoz. További információ: Alkalmazások manuális regisztrálása Microsoft Entra.