Configurare CMG per Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Dopo aver creato i prerequisiti, è possibile avviare il processo per configurare un gateway di gestione cloud. Prima di avviare questo processo, assicurarsi di disporre delle informazioni e dei prerequisiti necessari per creare un cmg. Per altre informazioni, vedere Configurare l'elenco di controllo per CMG.
Questo passaggio del processo complessivo include le azioni seguenti:
- Usare la console Configuration Manager per creare il servizio CMG in Azure.
- Configurare il sito primario per l'autenticazione del certificato client.
- Aggiungere il ruolo del sistema del sito del punto di connessione cmg.
- Configurare il punto di gestione e il punto di aggiornamento software per il traffico cmg.
- Configurare i gruppi di limiti.
Configurare CMG
Nota
La distribuzione di un cmg con un set di scalabilità di macchine virtuali in Azure è stata introdotta per la prima volta nella versione 2010 come funzionalità non definitiva. A partire dalla versione 2107, non è più una funzionalità non definitiva.
Configuration Manager non abilita questa funzionalità facoltativa per impostazione predefinita. È necessario abilitare questa funzionalità prima di usarla. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).
Eseguire questa procedura nel sito di primo livello. Tale sito è un sito primario autonomo o il sito di amministrazione centrale.That site is either either standalone primary site, or the central administration site (CAS).
Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Servizi cloud e selezionare Cloud Management Gateway.
Selezionare Crea gateway di gestione cloud nella barra multifunzione.
Nella pagina Generale della procedura guidata specificare innanzitutto l'ambiente Azure per questo cmg:
- AzurePublicCloud: creare il servizio nel cloud di Azure globale.
- AzureUSGovernmentCloud: creare il servizio nel cloud di Azure US Government.
Scegliere quindi come distribuire il cmg in Azure:
Set di scalabilità di macchine virtuali
A partire dalla versione 2203, il set di scalabilità di macchine virtuali è l'unica opzione.
A partire dalla versione 2107, questa opzione è il metodo di distribuzione consigliato. Anche se un cmg esistente è distribuito con il metodo del servizio cloud (classico), distribuire nuove istanze di CMG come set di scalabilità di macchine virtuali.
Nelle versioni 2010 e 2103 è necessario abilitare questa funzionalità non definitiva per visualizzarla. In queste versioni, è destinato solo ai clienti con una sottoscrizione Cloud Solution Provider (CSP). Se è già stato distribuito un cmg con il metodo del servizio cloud (classico), questa opzione non è disponibile. Per altre informazioni, vedere Pianificare cmg: set di scalabilità di macchine virtuali.
Servizio cloud (versione classica)
Importante
A partire dalla versione 2203, l'opzione per distribuire un cmg come servizio cloud (versione classica) viene rimossa. Tutte le distribuzioni di CMG devono usare un set di scalabilità di macchine virtuali. Per altre informazioni, vedere Funzionalità rimosse e deprecate.
Nella versione 2107 e successive usare questa opzione solo se non è possibile eseguire la distribuzione con un set di scalabilità di macchine virtuali a causa di una delle limitazioni.
Nelle versioni 2010 e 2103, la maggior parte dei clienti deve usare questo metodo di distribuzione.
A partire dalla versione 2309, selezionare Microsoft Entra nome del tenantMicrosoft Entra nome dell'app viene popolato automaticamente. Scegliere Accedi. Eseguire l'autenticazione con un account proprietario della sottoscrizione di Azure. Se si possiedono più sottoscrizioni, selezionare l'ID sottoscrizione della sottoscrizione da usare.
Nota
A partire dalla versione 2309, è stato deprecato l'uso di app di prima parte per la creazione di CMG. A questo punto, CMG usa un'app server di terze parti per ottenere i token di connessione.
Nelle versioni 2303 e successive selezionare Accedi. Eseguire l'autenticazione con un account proprietario della sottoscrizione di Azure. La procedura guidata popola automaticamente i campi rimanenti dalle informazioni archiviate durante il prerequisito di integrazione Microsoft Entra. Se si possiedono più sottoscrizioni, selezionare l'ID sottoscrizione della sottoscrizione da usare.
Selezionare Avanti e attendere quando il sito testa la connessione ad Azure.
Nella pagina Impostazioni della procedura guidata passare prima a . File PFX per il certificato di autenticazione del server CMG (file certificato). Il nome comune di questo certificato viene usato per popolare i campi Nome servizio e Nome distribuzione .
Se si usa un certificato con caratteri jolly, sostituire l'asterisco (
*
) nel campo Nome servizio con il prefisso del nome di distribuzione univoco globale per il cmg.Facoltativamente, specificare una descrizione per identificare ulteriormente questo cmg nella console di Configuration Manager.
Selezionare un'area di Azure per questo cmg. L'elenco delle aree disponibili può variare in base alla sottoscrizione selezionata.
Selezionare un'opzione gruppo di risorse :
Se si sceglie Usa esistente, selezionare un gruppo di risorse esistente nell'elenco. Questo gruppo di risorse deve esistere già nella stessa area selezionata per cmg. Se si seleziona un gruppo di risorse esistente e si tratta di un'area diversa dall'area selezionata in precedenza, la distribuzione del gateway di gestione cloud non verrà completata.
Se si sceglie Crea nuovo, immettere il nome del nuovo gruppo di risorse.
Per impostazione predefinita, le dimensioni della macchina virtuale sono Standard (A2_V2). Selezionare un'altra opzione come specificato dalla progettazione. Ad esempio, Grandi (A4_v2) per una maggiore capacità client per ogni macchina virtuale o Lab (B2s) in un ambiente di test di piccole dimensioni.
Importante
La macchina virtuale con dimensioni lab (B2s) è destinata solo ai test del lab e agli ambienti di prova di piccole dimensioni. Ad esempio, con il ramo Configuration Manager Technical Preview. Le macchine virtuali B2s non sono destinate all'uso in produzione con cmg. Sono a basso costo e con prestazioni ridotte.
Nel campo Istanza macchina virtuale immettere il numero di macchine virtuali per questo servizio. Il valore predefinito è uno, ma è possibile ridimensionare fino a 16 macchine virtuali per cmg.
Se si usano certificati di autenticazione client, selezionare Certificati per aggiungere certificati radice attendibili. Aggiungere tutti i certificati nella catena di attendibilità.
Nota
Non è necessario un certificato radice attendibile quando si usa l'ID Microsoft Entra o i token rilasciati dal sito per l'autenticazione client.
Per impostazione predefinita, la procedura guidata abilita l'opzione Verifica revoca certificato client. Affinché la verifica funzioni, è necessario pubblicare pubblicamente un elenco di revoche di certificati (CRL). Per altre informazioni, vedere Pubblicare l'elenco di revoche di certificati.
Per impostazione predefinita, la procedura guidata abilita l'opzione Imponi TLS 1.2. Questa impostazione richiede che la macchina virtuale di Azure usi il protocollo di crittografia TLS 1.2. Non si applica ad alcun server o client del sito Configuration Manager locale. A partire dalla versione 2107 con l'aggiornamento cumulativo, questa impostazione si applica anche all'account di archiviazione cmg. Per altre informazioni, vedere Come abilitare TLS 1.2.
Per impostazione predefinita, la procedura guidata consente di consentire a CMG di funzionare come punto di distribuzione cloud e di gestire il contenuto da Archiviazione di Azure. Se si prevede di indirizzare le distribuzioni con contenuto ai client, è necessario configurare il gateway di gestione cloud per la distribuzione del contenuto.
Di seguito è visualizzata la pagina Avvisi della procedura guidata. Per monitorare il traffico cmg con una soglia di 14 giorni, abilitare l'avviso di soglia. Specificare quindi la soglia e la percentuale in corrispondenza della quale aumentare i diversi livelli di avviso. È anche possibile abilitare una soglia di avviso di archiviazione. Al termine, scegliere Avanti .
Esaminare le impostazioni e completare la procedura guidata.
Configuration Manager avvia la configurazione del servizio. La quantità di tempo necessaria per effettuare il provisioning completo del servizio in Azure dipende dalle impostazioni specificate. Per determinare quando il servizio è pronto, visualizzare la colonna Stato per il nuovo cmg.
Per risolvere i problemi relativi alle distribuzioni di CMG, usare CloudMgr.log e CMGSetup.log. Per altre informazioni, vedere Monitorare CMG.
Consiglio
È anche possibile usare il cmdlet di PowerShell New-CMCloudManagementGateway per questo processo. Facoltativamente, usare questo cmdlet per creare il servizio CMG. Per altre informazioni, vedere New-CMCloudManagementGateway.
Configurare il sito primario per l'autenticazione del certificato client
Se si usano certificati di autenticazione client per l'autenticazione dei client con cmg, seguire questa procedura per configurare ogni sito primario.
Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare Siti.
Selezionare il sito primario a cui vengono assegnati i client basati su Internet e scegliere Proprietà.
Passare alla scheda Sicurezza delle comunicazioni e selezionare Usa certificato client PKI (autenticazione client) quando disponibile.
Se non si pubblica un CRL, disabilitare l'opzione seguente: I client controllano l'elenco di revoche di certificati (CRL) per i sistemi del sito.
Aggiungere il punto di connessione cmg
Il punto di connessione del gateway di gestione cloud è il ruolo del sistema del sito necessario per la comunicazione dalla distribuzione Configuration Manager locale al cmg basato sul cloud. Prima di avviare questo processo, è necessario aver già sviluppato un piano per il ruolo e identificato almeno un server del sistema del sito esistente. Per altre informazioni, vedere Pianificare il cmg.
Per aggiungere il punto di connessione cmg, i passaggi seguenti riepilogano le istruzioni per installare i ruoli del sistema del sito:
Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Server e ruoli del sistema del sito.
Selezionare un server del sito esistente a cui si vuole aggiungere questo ruolo. Nella scheda Home della barra multifunzione selezionare Aggiungi ruoli del sistema del sito.
Nella schermata Selezione ruolo di sistema scegliere Punto di connessione del gateway di gestione cloud e quindi selezionare Avanti. Scegliere il nome del gateway di gestione cloud a cui si connette il server. La procedura guidata mostrerà l'area per il cmg selezionato.
Importante
Se si usano certificati di autenticazione client, il punto di connessione del gateway di gestione cloud richiede questo certificato. Per altre informazioni, vedere Certificato di autenticazione client.
Per risolvere i problemi relativi all'integrità del servizio CMG, usare CMGService.log e SMS_Cloud_ProxyConnector.log. Per altre informazioni, vedere File di log.
Consiglio
Facoltativamente, è anche possibile usare il cmdlet Di PowerShell Add-CMCloudManagementGatewayConnectionPoint per aggiungere il ruolo del punto di connessione cmg a un server del sistema del sito.
Per altre informazioni, vedere Add-CMCloudManagementGatewayConnectionPoint.
Configurare i ruoli rivolti al client per il traffico cmg
Configurare i sistemi del sito del punto di gestione e del punto di aggiornamento software per accettare il traffico cmg. Eseguire questa procedura nel sito primario per tutti i punti di gestione e i punti di aggiornamento software che supportano i client basati su Internet.
Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Server e ruoli del sistema del sito. Nel gruppo Visualizza della scheda Home della barra multifunzione selezionare Server con ruolo. Selezionare quindi Punto di gestione dall'elenco.
Selezionare il server del sistema del sito da configurare per il traffico cmg. Selezionare il ruolo Punto di gestione nel riquadro dei dettagli e quindi nel gruppo Ruolo sito della barra multifunzione selezionare Proprietà.
Nella finestra delle proprietà del punto di gestione, in Connessioni client selezionare Consenti traffico gateway di gestione cloud Configuration Manager.
A seconda della progettazione di CMG e della versione Configuration Manager, potrebbe essere necessario abilitare l'opzione HTTPS. Per altre informazioni, vedere Abilitare il punto di gestione per HTTPS.
Selezionare OK per chiudere la finestra delle proprietà del punto di gestione.
Ripetere questi passaggi per altri punti di gestione in base alle esigenze e per eventuali punti di aggiornamento software.
Configurare i gruppi di limiti
È possibile associare un cmg a un gruppo di limiti. Questa configurazione consente ai client di usare cmg per la comunicazione client in base alle relazioni dei gruppi di limiti. Questa configurazione è utile per i client VPN o delle succursali in cui potrebbe essere preferibile gestirli tramite un cmg rispetto alla connessione VPN o WAN. Se si abilita l'opzione Preferi origini basate su cloud rispetto alle origini locali , i client preferiranno cmg sia per i criteri che per il contenuto.
Per altre informazioni sui gruppi di limiti, vedere Configurare i gruppi di limiti.
Quando si crea o si configura un gruppo di limiti, nella scheda Riferimenti aggiungere un gateway di gestione cloud. Questa azione associa il cmg a questo gruppo di limiti.
Branchcache
Per abilitare un cmg abilitato per il contenuto per l'uso di Windows BranchCache, installare la funzionalità BranchCache nel server del sito.
Se il server del sito ha un ruolo del sistema del sito del punto di distribuzione locale, configurare l'opzione nelle proprietà di tale ruolo su Abilita e configura BranchCache. Per altre informazioni, vedere Configurare un punto di distribuzione.
Se il server del sito non ha un ruolo del punto di distribuzione, installare la funzionalità BranchCache in Windows. Per altre informazioni, vedere Installare la funzionalità BranchCache.
Se il contenuto è già stato distribuito a un cmg e quindi si decide di abilitare BranchCache, installare prima di tutto la funzionalità. Ridistribuire quindi il contenuto nel cmg.
Distribuire e gestire il contenuto
Distribuire il contenuto al cmg abilitato per il contenuto allo stesso modo di qualsiasi altro punto di distribuzione. Il punto di gestione non include il cmg nell'elenco dei percorsi del contenuto, a meno che non disponga del contenuto richiesto dai client. Per altre informazioni, vedere Distribuire e gestire il contenuto.
Gestire il contenuto in un cmg allo stesso modo di qualsiasi altro punto di distribuzione. Queste azioni includono l'assegnazione a un gruppo di punti di distribuzione e la gestione dei pacchetti di contenuto. Per altre informazioni, vedere Installare e configurare i punti di distribuzione.
Passaggi successivi
Continuare la configurazione di CMG configurando i client per CMG: