Perguntas frequentes sobre o CMG

Sim, pelo menos um e possivelmente outros dependendo do seu design.

• Certificado de autenticação do servidor: o CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se conectam. O serviço requer um certificado de autenticação do servidor para criar o canal seguro. Você pode adquirir um certificado para essa finalidade de um provedor público ou emiti-lo de sua PKI (infraestrutura de chave pública). Para obter mais informações, consulte certificado de autenticação do servidor CMG.

• Certificado de autenticação do cliente: dependendo do ambiente e do design do CMG, você pode usar certificados PKI para autenticação do cliente. Esse método de autenticação não dá suporte a cenários centrados no usuário, mas dá suporte a dispositivos que executam qualquer versão com suporte do Windows. Para obter mais informações, consulte Configurar a autenticação do cliente para CMG: certificado PKI.

  Ao usar esse método de autenticação de cliente, você também precisa exportar a cadeia raiz confiável do certificado cliente. Em seguida, você usa essa cadeia de certificados ao criar o CMG e o ponto de conexão CMG.

• HTTPS habilitado para o ponto de gerenciamento: dependendo de como você configurar o site e qual método de autenticação do cliente você escolher, talvez seja necessário configurar seus pontos de gerenciamento habilitados para Internet para dar suporte a HTTPS. Para obter mais informações, consulte Configurar a autenticação do cliente para CMG: Habilitar o ponto de gerenciamento para HTTPS.

Não. O Azure ExpressRoute permite estender sua rede local para a nuvem da Microsoft. ExpressRoute ou outras conexões de rede virtual não são necessárias para o CMG. O design do CMG permite que clientes baseados na Internet se comuniquem por meio do serviço do Azure para sistemas de sites locais sem configuração de rede adicional. Para obter mais informações, consulte Visão geral do CMG.

Não. O CMG é uma solução SaaS (software como serviço) que estende seu ambiente de Configuration Manager para a nuvem. O design do CMG usa a plataforma do Azure como serviço (PaaS). Usando a assinatura fornecida, Configuration Manager cria as VMs (máquinas virtuais), armazenamento e rede necessárias. O Azure PaaS protege e atualiza as VMs. Você não precisa monitorar essas VMs. As VMs do Azure para CMG não fazem parte do ambiente local, como é o caso da iaaS (infraestrutura como serviço). Para obter mais informações específicas de segurança sobre a solução de PaaS subjacente na qual o CMG é criado, consulte Proteção de implantações de PaaS.

Como o CMG atua como um proxy para comunicação do cliente, ele não processa, mantém ou armazena dados do cliente. O caminho de comunicação pela Internet sempre usa HTTPS. Para maior segurança, configure o ponto de gerenciamento para HTTPS. Configure também a opção do site para os clientes criptografarem o inventário e status mensagens. Para obter mais informações, consulte Planejar segurança: Assinatura e criptografia.

Não. As VMs cmg são implantadas usando o modelo e o IIS está configurado, isso será quebrado se você atualizar manualmente as VMs. O grupo de produtos corrigirá o problema por meio da atualização ou das versões atuais do branch.

Ao escalar o CMG para incluir duas ou mais instâncias, você se beneficia automaticamente de Atualizar Domínios no Azure. Consulte Como atualizar um serviço de nuvem.

Se você já implantou o IBCM ( gerenciamento de cliente baseado na Internet ), também poderá implantar o CMG. Os clientes recebem política para ambos os serviços. À medida que vagam pela Internet, eles selecionam aleatoriamente e usam um desses serviços baseados na Internet.

Não, você pode implantar o CMG em qualquer assinatura que possa hospedar serviços de nuvem do Azure.

Para esclarecer os termos:

• O locatário Microsoft Entra é o diretório de contas de usuário e registros de aplicativo. Um locatário pode ter várias assinaturas.
• Uma assinatura do Azure separa cobrança, recursos e serviços. Está associado a um único locatário.

Essa pergunta é comum nos seguintes cenários:

• Quando você tem ambientes active directory e Microsoft Entra de teste distintos, mas uma assinatura de hospedagem centralizada e centralizada do Azure.

• O uso do Azure cresceu organicamente em equipes diferentes.

Quando você estiver usando uma implantação Resource Manager, integre o locatário Microsoft Entra associado à assinatura. Essa conexão permite que Configuration Manager se autentique no Azure para criar, implantar e gerenciar o CMG.

Se você estiver usando Microsoft Entra autenticação para os usuários e dispositivos gerenciados pelo CMG, integre esse Microsoft Entra locatário. Para obter mais informações sobre os serviços do Azure para gerenciamento de nuvem, consulte Configurar serviços do Azure. Quando você integra cada locatário Microsoft Entra, um único CMG pode fornecer Microsoft Entra autenticação para vários locatários, independentemente do local de hospedagem.

Exemplo 1: um locatário com várias assinaturas

As identidades do usuário, os registros de dispositivo e os registros de aplicativo estão todos no mesmo locatário. Você pode escolher qual assinatura o CMG usa. Você pode implantar vários serviços CMG de um site em assinaturas separadas. O site tem uma relação um-para-um com o locatário. Você decide quais assinaturas usar por vários motivos, como cobrança ou separação lógica.

Exemplo 2: vários locatários

Em outras palavras, seu ambiente tem mais de uma Microsoft Entra ID. Se você precisar dar suporte a identidades de usuário e dispositivo em ambos os locatários, precisará anexar o site a cada locatário. Esse processo requer uma conta administrativa de cada locatário para criar os registros de aplicativo nesse locatário. Em seguida, um site pode hospedar serviços CMG em vários locatários. Você pode criar um CMG em qualquer assinatura disponível em qualquer locatário. Dispositivos ingressados ou híbridos associados a Microsoft Entra ID poderiam usar um CMG.

Se as identidades do usuário e do dispositivo estiverem em um locatário, mas a assinatura do CMG estiver em outro locatário, você precisará anexar o site a ambos os locatários. Tecnicamente, o aplicativo cliente não é necessário para o segundo locatário que tem apenas o serviço CMG. O aplicativo cliente fornece apenas autenticação de usuário e dispositivo para clientes que usam o serviço CMG.

Clientes móveis que se conectam ao seu ambiente por meio de uma VPN são comumente detectados como voltados para intranet. Eles tentam se conectar à infraestrutura local, como pontos de gerenciamento e pontos de distribuição. Alguns clientes preferem ter esses clientes roaming gerenciados por serviços de nuvem mesmo quando conectados via VPN.

Você também pode associar o CMG a um grupo de limites. Essa ação força esses clientes a não usarem os sistemas de sites locais. Para obter mais informações, consulte Configurar grupos de limites.

Para proteger o tráfego confidencial enviado por um CMG, você precisa configurar pelo menos um ponto de gerenciamento para usar HTTPS ou configurar o site para HTTP aprimorado.

Em seguida, ao implantar um CMG, se você usar certificados PKI para comunicação HTTPS no ponto de gerenciamento habilitado para CMG, selecione a opção para Permitir clientes somente internet nas propriedades do ponto de gerenciamento. Essa configuração garante que os clientes internos continuem a usar pontos de gerenciamento HTTP em seu ambiente.

Se você usar HTTP aprimorado, não precisará configurar essa configuração. Os clientes continuam a usar HTTP ao se comunicar diretamente com o ponto de gerenciamento habilitado para CMG. Para obter mais informações, consulte HTTP aprimorado.

Você pode usar Microsoft Entra ID ou um certificado de autenticação do cliente para dispositivos a autenticação no serviço CMG. Você também pode usar Configuration Manager tokens emitidos pelo site para autenticação.

Se você gerenciar clientes tradicionais do Windows com identidade ingressada no domínio do Active Directory, eles precisarão de certificados PKI para proteger o canal de comunicação. Esses clientes podem incluir qualquer versão com suporte do Windows. Você pode usar todos os recursos com suporte a CMG, mas a distribuição de software é limitada apenas a dispositivos. Instale o Configuration Manager cliente antes que o dispositivo vá para a Internet ou use a autenticação de token.

Você também pode gerenciar clientes Windows 10 ou posteriores com identidade moderna, ingressadas em domínio de nuvem híbrida ou pura com Microsoft Entra ID. Os clientes usam Microsoft Entra ID para autenticar em vez de certificados PKI. Usar Microsoft Entra ID é mais simples configurar, configurar e manter do que sistemas PKI mais complexos. Você pode fazer todas as mesmas atividades de gerenciamento mais distribuição de software para o usuário. Ele também permite métodos adicionais para instalar o cliente em um dispositivo remoto.

A Microsoft recomenda unir dispositivos para Microsoft Entra ID. Dispositivos baseados na Internet podem usar Microsoft Entra ID para autenticar com Configuration Manager. Ele também permite cenários de dispositivo e usuário se o dispositivo está na Internet ou conectado à rede interna.

Para obter mais informações, consulte Configurar autenticação do cliente.

Sim, se seu site for a versão 2107 ou posterior. Ele não é mais um recurso de pré-lançamento e recomendado para todos os clientes. Se você tiver uma implantação de CMG clássica existente, poderá convertê-la em um conjunto de dimensionamento de máquinas virtuais.

Se o site for versão 2010 ou 2103, o método de implantação do conjunto de dimensionamento de máquinas virtuais será um recurso de pré-lançamento. Ele destina-se apenas a clientes com uma assinatura CSP (Provedor de Soluções na Nuvem).

Para obter mais informações sobre como implantar um CMG como um conjunto de dimensionamento de máquinas virtuais, consulte Planejar para CMG.

Não. Atualmente, ele não dá suporte à CDN (rede de entrega de conteúdo) do Azure. A CDN é uma solução global para fornecer rapidamente conteúdo de alta largura de banda, armazenando o conteúdo em nós físicos estrategicamente colocados em todo o mundo. Para obter mais informações, confira O que é a CDN do Azure?.

Não. Você pode ter visto a seguinte postagem no blog e está se perguntando como ela se aplica a Configuration Manager: atualizar seus aplicativos para usar a Biblioteca de Autenticação da Microsoft e o Microsoft API do Graph. Esta postagem está se referindo a qualquer código desenvolvido que use essas bibliotecas de autenticação. Configuration Manager usa o Microsoft API do Graph e a MsAL (Biblioteca de Autenticação da Microsoft) em alguns lugares há vários anos. Todos os outros componentes são atualizados no Configuration Manager versão 2107 com a rollup de atualização. Se você permanecer atualizado com Configuration Manager versões, não há mais nada que você precise fazer.

Algumas pessoas confundem as informações nesta postagem de blog com os registros de aplicativos em Microsoft Entra ID que Configuration Manager usa para vários serviços anexados à nuvem. Esses registros de aplicativo são entidades de serviço baseadas em nuvem que não usam diretamente essas bibliotecas de autenticação. Se um administrador global do Azure criou manualmente os registros do aplicativo Configuration Manager no Microsoft Entra ID, ele poderá marcar que esses registros tenham permissões para a API do Microsoft Graph. Eles não precisam de permissões para a API Azure AD Graph. Para obter mais informações, consulte Registrar manualmente Microsoft Entra aplicativos.