Van toepassing op: Configuration Manager (current branch)
In dit artikel vindt u antwoorden op veelgestelde vragen over de cloudbeheergateway (CMG). Zie Overzicht van CMG voor meer informatie.
Heb ik certificaten nodig?
Ja, ten minste één en mogelijk andere, afhankelijk van uw ontwerp.
Serververificatiecertificaat: de CMG maakt een HTTPS-service waarmee clients op internet verbinding maken. Voor de service is een certificaat voor serververificatie vereist om het beveiligde kanaal te bouwen. U kunt een certificaat voor dit doel verkrijgen van een openbare provider of het verlenen vanuit uw openbare-sleutelinfrastructuur (PKI). Zie CMG-serververificatiecertificaat voor meer informatie.
Certificaat voor clientverificatie: afhankelijk van uw omgeving en CMG-ontwerp, kunt u PKI-certificaten gebruiken voor clientverificatie. Deze verificatiemethode biedt geen ondersteuning voor gebruikersgerichte scenario's, maar ondersteunt apparaten met een ondersteunde versie van Windows. Zie Clientverificatie configureren voor CMG: PKI-certificaat voor meer informatie.
Wanneer u deze clientverificatiemethode gebruikt, moet u ook de vertrouwde basisketen van het clientcertificaat exporteren. Vervolgens gebruikt u deze keten van certificaten wanneer u de CMG en op het CMG-verbindingspunt maakt.
HTTPS ingeschakeld voor het beheerpunt: afhankelijk van hoe u de site configureert en welke clientverificatiemethode u kiest, moet u mogelijk uw beheerpunten met internet configureren om HTTPS te ondersteunen. Zie Clientverificatie configureren voor CMG: Beheerpunt inschakelen voor HTTPS voor meer informatie.
Heb ik Azure ExpressRoute nodig?
Nee. Met Azure ExpressRoute kunt u uw on-premises netwerk uitbreiden naar de Microsoft-cloud. ExpressRoute of andere dergelijke virtuele netwerkverbindingen zijn niet vereist voor de CMG. Met het ontwerp van de CMG kunnen internetclients via de Azure-service communiceren met on-premises sitesystemen zonder extra netwerkconfiguratie. Zie Overzicht van CMG voor meer informatie.
Moet ik de virtuele Azure-machines onderhouden of beveiligen?
Nee. De CMG is een SaaS-oplossing (Software as a Service) waarmee uw Configuration Manager omgeving wordt uitgebreid naar de cloud. Het ontwerp van de CMG maakt gebruik van Azure Platform as a Service (PaaS). Met behulp van het abonnement dat u opgeeft, maakt Configuration Manager de benodigde virtuele machines (VM's), opslag en netwerken. Azure PaaS beveiligt en werkt de VM's bij. U hoeft deze VM's niet te bewaken. De Azure-VM's voor CMG maken geen deel uit van uw on-premises omgeving, zoals het geval is met IaaS (Infrastructure as a Service). Zie PaaS-implementaties beveiligen voor meer beveiligingsspecifieke informatie over de onderliggende PaaS-oplossing waarop de CMG is gebouwd.
Omdat de CMG fungeert als proxy voor clientcommunicatie, worden er geen clientgegevens verwerkt, bewaard of opgeslagen. Het communicatiepad via internet maakt altijd gebruik van HTTPS. Voor een betere beveiliging configureert u het beheerpunt voor HTTPS. Configureer ook de siteoptie voor clients om inventaris- en statusberichten te versleutelen. Zie Beveiliging plannen: ondertekening en versleuteling voor meer informatie.
Moet ik de virtuele machine bijwerken als de installatiekopieën zijn afgeschaft?
Nee. De CMG-VM's worden geïmplementeerd met behulp van een sjabloon en IIS zijn geconfigureerd. Dit wordt verbroken als u de VM's handmatig bijwerkt. De productgroep lost het probleem op via update of de huidige vertakkingsreleases.
Hoe kan ik servicecontinuïteit garanderen tijdens service-updates?
Door CMG te schalen naar twee of meer exemplaren, profiteert u automatisch van updatedomeinen in Azure. Zie Een cloudservice bijwerken.
Ik gebruik IBCM al. Als ik CMG toevoeg, hoe gedragen clients zich dan?
Als u al ibcm (internet-based client management ) hebt geïmplementeerd, kunt u ook de CMG implementeren. Clients ontvangen beleid voor beide services. Terwijl ze op internet roamen, selecteren en gebruiken ze willekeurig een van deze internetservices.
Moeten de gebruikersaccounts zich in dezelfde Microsoft Entra tenant bevinden als de tenant die is gekoppeld aan het abonnement dat als host fungeert voor de CMG-cloudservice?
Nee, u kunt CMG implementeren in elk abonnement dat Azure-cloudservices kan hosten.
Ter verduidelijking van termen:
- De Microsoft Entra tenant is de map met gebruikersaccounts en app-registraties. Eén tenant kan meerdere abonnementen hebben.
- Een Azure-abonnement scheidt facturering, resources en services. Deze is gekoppeld aan één tenant.
Tip
Zie Abonnementen, licenties, accounts en tenants voor de cloudaanbiedingen van Microsoft voor meer informatie.
Deze vraag komt vaak voor in de volgende scenario's:
Wanneer u afzonderlijke test- en productieomgevingen voor Active Directory en Microsoft Entra hebt, maar één gecentraliseerd Azure-hostingabonnement.
Uw gebruik van Azure is organisch gegroeid in verschillende teams.
Wanneer u een Resource Manager-implementatie gebruikt, onboardt u de Microsoft Entra tenant die aan het abonnement is gekoppeld. Met deze verbinding kunnen Configuration Manager zich verifiëren bij Azure om de CMG te maken, implementeren en beheren.
Als u Microsoft Entra-verificatie gebruikt voor de gebruikers en apparaten die worden beheerd via de CMG, onboardt u die Microsoft Entra tenant. Zie Azure-services configureren voor meer informatie over Azure-services voor cloudbeheer. Wanneer u elke Microsoft Entra tenant onboardt, kan één CMG Microsoft Entra verificatie bieden voor meerdere tenants, ongeacht de hostinglocatie.
Voorbeeld 1: één tenant met meerdere abonnementen
De gebruikersidentiteiten, apparaatregistraties en app-registraties bevinden zich allemaal in dezelfde tenant. U kunt kiezen welk abonnement de CMG gebruikt. U kunt meerdere CMG-services vanaf één site implementeren in afzonderlijke abonnementen. De site heeft een een-op-een-relatie met de tenant. U bepaalt welke abonnementen u wilt gebruiken om verschillende redenen, zoals facturering of logische scheiding.
Voorbeeld 2: meerdere tenants
Met andere woorden, uw omgeving heeft meer dan één Microsoft Entra ID. Als u gebruikers- en apparaatidentiteiten in beide tenants wilt ondersteunen, moet u de site aan elke tenant koppelen. Voor dit proces is een beheeraccount van elke tenant vereist om de app-registraties in die tenant te maken. Eén site kan vervolgens CMG-services in meerdere tenants hosten. U kunt een CMG maken in elk beschikbaar abonnement in beide tenants. Apparaten die zijn gekoppeld of hybride zijn gekoppeld aan een van de Microsoft Entra ID kunnen een CMG gebruiken.
Als de gebruikers- en apparaatidentiteiten zich in één tenant bevinden, maar het CMG-abonnement zich in een andere tenant bevindt, moet u de site koppelen aan beide tenants. Technisch gezien is de client-app niet nodig voor de tweede tenant die alleen de CMG-service heeft. De client-app biedt alleen gebruikers- en apparaatverificatie voor clients die de CMG-service gebruiken.
Wat is de invloed van CMG op mijn clients die zijn verbonden via VPN?
Zwervende clients die via een VPN verbinding maken met uw omgeving, worden vaak gedetecteerd als intranetgericht. Ze proberen verbinding te maken met uw on-premises infrastructuur, zoals beheerpunten en distributiepunten. Sommige klanten geven er de voorkeur aan deze roaming-clients te laten beheren door cloudservices, zelfs wanneer ze zijn verbonden via VPN.
U kunt de CMG ook koppelen aan een grensgroep. Deze actie dwingt deze clients om de on-premises sitesystemen niet te gebruiken. Zie Grensgroepen configureren voor meer informatie.
Wat is de invloed van de configuratie van het beheerpunt op interne clients?
Als u gevoelig verkeer wilt beveiligen dat via een CMG wordt verzonden, moet u ten minste één beheerpunt configureren voor het gebruik van HTTPS of de site configureren voor Verbeterde HTTP.
Wanneer u vervolgens een CMG implementeert en U PKI-certificaten gebruikt voor HTTPS-communicatie op het cmg-beheerpunt, selecteert u de optie Alleen-internetclients toestaan op de eigenschappen van het beheerpunt. Deze instelling zorgt ervoor dat interne clients HTTP-beheerpunten in uw omgeving blijven gebruiken.
Als u Uitgebreide HTTP gebruikt, hoeft u deze instelling niet te configureren. Clients blijven HTTP gebruiken wanneer ze rechtstreeks communiceren met het cmg-beheerpunt. Zie Verbeterde HTTP voor meer informatie.
Wat zijn de verschillen met clientverificatie tussen Microsoft Entra ID en certificaten?
U kunt Microsoft Entra ID of een clientverificatiecertificaat voor apparaten gebruiken om te verifiëren bij de CMG-service. U kunt ook Configuration Manager door de site uitgegeven tokens gebruiken voor verificatie.
Als u traditionele Windows-clients beheert met een Active Directory-domein-gekoppelde identiteit, hebben ze PKI-certificaten nodig om het communicatiekanaal te beveiligen. Deze clients kunnen elke ondersteunde versie van Windows bevatten. U kunt alle cmg-ondersteunde functies gebruiken, maar de softwaredistributie is beperkt tot alleen apparaten. Installeer de Configuration Manager-client voordat het apparaat op internet roamt of gebruik tokenverificatie.
U kunt ook Windows 10 of latere clients beheren met een moderne identiteit, hybride of pure clouddomein gekoppeld met Microsoft Entra ID. Clients gebruiken Microsoft Entra ID om te verifiëren in plaats van PKI-certificaten. Het gebruik van Microsoft Entra ID is eenvoudiger in te stellen, te configureren en te onderhouden dan complexere PKI-systemen. U kunt alle beheeractiviteiten en softwaredistributie naar de gebruiker uitvoeren. Het maakt ook aanvullende methoden mogelijk om de client op een extern apparaat te installeren.
Microsoft raadt aan apparaten toe te voegen aan Microsoft Entra ID. Internetapparaten kunnen Microsoft Entra ID gebruiken om te verifiëren met Configuration Manager. Het maakt ook zowel apparaat- als gebruikersscenario's mogelijk, ongeacht of het apparaat zich op internet bevindt of is verbonden met het interne netwerk.
Zie Clientverificatie configureren voor meer informatie.
Moet ik een implementatie van een virtuele-machineschaalset gebruiken?
Ja, als uw site versie 2107 of hoger is. Het is geen voorlopige functie meer en wordt aanbevolen voor alle klanten. Als u een bestaande klassieke CMG-implementatie hebt, kunt u deze converteren naar een virtuele-machineschaalset.
Als uw site versie 2010 of 2103 is, is de implementatiemethode van de virtuele-machineschaalset een prereleasefunctie. Het is alleen bedoeld voor klanten met een CSP-abonnement (Cloud Solution Provider).
Belangrijk
Vanaf versie 2203 wordt de optie voor het implementeren van een CMG als cloudservice (klassiek) verwijderd. Alle CMG-implementaties moeten gebruikmaken van een virtuele-machineschaalset. Zie Verwijderde en afgeschafte functies voor meer informatie.
Zie CMG plannen voor meer informatie over het implementeren van een CMG als een virtuele-machineschaalset.
Maakt een CMG met inhoud gebruik van Azure CDN?
Nee. Het biedt momenteel geen ondersteuning voor het Azure Content Delivery Network (CDN). Het CDN is een wereldwijde oplossing voor het snel leveren van inhoud met hoge bandbreedte door de inhoud op strategisch geplaatste fysieke knooppunten over de hele wereld op te cachen. Zie Wat is Azure CDN? voor meer informatie.
Moet ik iets doen met de afschaffing van de Azure AD Graph API en Azure AD Authentication Library (ADAL)?
Nee. Mogelijk hebt u het volgende blogbericht gezien en vraagt u zich af hoe dit van toepassing is op Configuration Manager: Uw toepassingen bijwerken om Microsoft Authentication Library en Microsoft Graph API te gebruiken. Dit bericht verwijst naar alle ontwikkelde code die gebruikmaakt van deze verificatiebibliotheken. Configuration Manager gebruikt de Microsoft Graph API en Microsoft Authentication Library (MSAL) op sommige plaatsen al enkele jaren. Alle andere onderdelen worden bijgewerkt in Configuration Manager versie 2107 met het updatepakket. Als u op de hoogte blijft van Configuration Manager versies, hoeft u verder niets te doen.
Sommige mensen verwarren de informatie in dit blogbericht met de toepassingsregistraties in Microsoft Entra ID die Configuration Manager gebruikt voor verschillende cloudservices. Deze app-registraties zijn cloudservice-principals die niet rechtstreeks gebruikmaken van deze verificatiebibliotheken. Als een globale Azure-beheerder de Configuration Manager app-registraties handmatig heeft gemaakt in Microsoft Entra ID, kan deze persoon controleren of deze registraties machtigingen hebben voor de Microsoft Graph API. Ze hebben geen machtigingen nodig voor de Azure AD Graph API. Zie Handmatig registreren Microsoft Entra apps voor meer informatie.