Vanliga frågor och svar om CMG

Ja, minst en och eventuellt andra beroende på din design.

• Certifikat för serverautentisering: CMG skapar en HTTPS-tjänst som Internetbaserade klienter ansluter till. Tjänsten kräver ett certifikat för serverautentisering för att skapa den säkra kanalen. Du kan hämta ett certifikat för detta ändamål från en offentlig leverantör eller utfärda det från din offentliga nyckelinfrastruktur (PKI). Mer information finns i CMG-serverautentiseringscertifikat.

• Certifikat för klientautentisering: Beroende på din miljö och CMG-design kan du använda PKI-certifikat för klientautentisering. Den här autentiseringsmetoden stöder inte användarcentrerade scenarier, men stöder enheter som kör alla versioner av Windows som stöds. Mer information finns i Konfigurera klientautentisering för CMG: PKI-certifikat.

  När du använder den här klientautentiseringsmetoden måste du också exportera klientcertifikatets betrodda rotkedja. Sedan använder du den här kedjan med certifikat när du skapar CMG och på CMG-anslutningspunkten.

• HTTPS-aktiverad hanteringsplats: Beroende på hur du konfigurerar platsen och vilken klientautentiseringsmetod du väljer kan du behöva konfigurera dina Internetaktiverade hanteringsplatser för att stödja HTTPS. Mer information finns i Konfigurera klientautentisering för CMG: Aktivera hanteringsplats för HTTPS.

Nej. Med Azure ExpressRoute kan du utöka ditt lokala nätverk till Microsoft-molnet. ExpressRoute eller andra sådana virtuella nätverksanslutningar krävs inte för CMG:n. Cmg-designen gör det möjligt för Internetbaserade klienter att kommunicera via Azure-tjänsten till lokala platssystem utan ytterligare nätverkskonfiguration. Mer information finns i Översikt över CMG.

Nej. CMG är en SaaS-lösning (programvara som en tjänst) som utökar din Configuration Manager miljö till molnet. Cmg-designen använder Azure Platform as a Service (PaaS). Med den prenumeration du anger skapar Configuration Manager nödvändiga virtuella datorer , lagring och nätverk. Azure PaaS skyddar och uppdaterar de virtuella datorerna. Du behöver inte övervaka de här virtuella datorerna. De virtuella Azure-datorerna för CMG är inte en del av din lokala miljö, vilket är fallet med infrastruktur som en tjänst (IaaS). Mer säkerhetsspecifik information om den underliggande PaaS-lösningen som CMG bygger på finns i Skydda PaaS-distributioner.

Eftersom CMG fungerar som proxy för klientkommunikation bearbetas, behålls eller lagras inga klientdata. Kommunikationssökvägen via Internet använder alltid HTTPS. Konfigurera hanteringsplatsen för HTTPS för större säkerhet. Konfigurera även platsalternativet för klienter för att kryptera inventerings- och statusmeddelanden. Mer information finns i Planera för säkerhet: Signering och kryptering.

Nej. De virtuella CMG-datorerna distribueras med hjälp av mallen och IIS har konfigurerats. Detta kommer att brytas om du uppdaterar den virtuella datorns manuellt. Produktgruppen löser problemet via uppdatering eller aktuella grenversioner.

Genom att skala CMG för att inkludera två eller flera instanser drar du automatiskt nytta av Uppdateringsdomäner i Azure. Se Så här uppdaterar du en molntjänst.

Om du redan har distribuerat Internetbaserad klienthantering (IBCM) kan du även distribuera CMG:en. Klienter får en princip för båda tjänsterna. När de strömmar till Internet väljer de slumpmässigt och använder en av dessa Internetbaserade tjänster.

Nej, du kan distribuera CMG till valfri prenumeration som kan vara värd för Azure-molntjänster.

Så här förtydligar du villkoren:

• Den Microsoft Entra klientorganisationen är katalogen med användarkonton och appregistreringar. En klientorganisation kan ha flera prenumerationer.
• En Azure-prenumeration separerar fakturering, resurser och tjänster. Den är associerad med en enda klientorganisation.

Den här frågan är vanlig i följande scenarier:

• När du har distinkta test- och produktionsmiljöer för Active Directory och Microsoft Entra, men en enda centraliserad Azure-värdprenumeration.

• Din användning av Azure har vuxit organiskt i olika team.

När du använder en Resource Manager distribution registrerar du den Microsoft Entra klientorganisation som är associerad med prenumerationen. Med den här anslutningen kan Configuration Manager autentisera till Azure för att skapa, distribuera och hantera CMG:en.

Om du använder Microsoft Entra autentisering för användare och enheter som hanteras via CMG registrerar du den Microsoft Entra klientorganisationen. Mer information om Azure-tjänster för molnhantering finns i Konfigurera Azure-tjänster. När du registrerar varje Microsoft Entra klientorganisation kan en enda CMG tillhandahålla Microsoft Entra autentisering för flera klienter, oavsett värdplats.

Exempel 1: En klientorganisation med flera prenumerationer

Användaridentiteter, enhetsregistreringar och appregistreringar finns alla i samma klientorganisation. Du kan välja vilken prenumeration cmg använder. Du kan distribuera flera CMG-tjänster från en plats till separata prenumerationer. Webbplatsen har en en-till-en-relation med klientorganisationen. Du bestämmer vilka prenumerationer som ska användas av olika orsaker, till exempel fakturering eller logisk separation.

Exempel 2: Flera klientorganisationer

Med andra ord har din miljö mer än en Microsoft Entra ID. Om du behöver stöd för användar- och enhetsidentiteter i båda klientorganisationer måste du koppla webbplatsen till varje klientorganisation. Den här processen kräver ett administrativt konto från varje klientorganisation för att skapa appregistreringarna i den klientorganisationen. En webbplats kan sedan vara värd för CMG-tjänster i flera klientorganisationer. Du kan skapa en CMG i valfri tillgänglig prenumeration i någon av klientorganisationen. Enheter som är anslutna eller hybridanslutningar till antingen Microsoft Entra ID kan använda en CMG.

Om användar- och enhetsidentiteterna finns i en klientorganisation, men cmg-prenumerationen finns i en annan klientorganisation, måste du koppla webbplatsen till båda klientorganisationer. Tekniskt sett behövs inte klientappen för den andra klientorganisationen som bara har CMG-tjänsten. Klientappen tillhandahåller endast användar- och enhetsautentisering för klienter som använder CMG-tjänsten.

Roamingklienter som ansluter till din miljö via ett VPN identifieras ofta som intranätuppkopplade. De försöker ansluta till din lokala infrastruktur, till exempel hanteringsplatser och distributionsplatser. Vissa kunder föredrar att dessa centrala klienter hanteras av molntjänster även när de är anslutna via VPN.

Du kan också associera CMG:en med en gränsgrupp. Den här åtgärden tvingar dessa klienter att inte använda de lokala platssystemen. Mer information finns i Konfigurera gränsgrupper.

För att skydda känslig trafik som skickas via en CMG måste du konfigurera minst en hanteringsplats för att använda HTTPS eller konfigurera platsen för utökad HTTP.

När du sedan distribuerar en CMG, om du använder PKI-certifikat för HTTPS-kommunikation på den CMG-aktiverade hanteringsplatsen, väljer du alternativet Tillåt endast Internetklienter på hanteringsplatsegenskaperna. Den här inställningen ser till att interna klienter fortsätter att använda HTTP-hanteringsplatser i din miljö.

Om du använder förbättrad HTTP behöver du inte konfigurera den här inställningen. Klienter fortsätter att använda HTTP när de kommunicerar direkt till den CMG-aktiverade hanteringsplatsen. Mer information finns i Förbättrad HTTP.

Du kan använda Microsoft Entra ID eller ett klientautentiseringscertifikat för enheter för att autentisera till CMG-tjänsten. Du kan också använda Configuration Manager platsspecifika token för autentisering.

Om du hanterar traditionella Windows-klienter med active directory-domänansluten identitet behöver de PKI-certifikat för att skydda kommunikationskanalen. Dessa klienter kan innehålla alla versioner av Windows som stöds. Du kan använda alla CMG-funktioner som stöds, men programvarudistributionen är endast begränsad till enheter. Installera Configuration Manager-klienten innan enheten flyttas till Internet eller använd tokenautentisering.

Du kan också hantera Windows 10 eller senare klienter med modern identitet, antingen hybrid eller ren molndomänansluten med Microsoft Entra ID. Klienter använder Microsoft Entra ID för att autentisera i stället för PKI-certifikat. Att använda Microsoft Entra ID är enklare att konfigurera, konfigurera och underhålla än mer komplexa PKI-system. Du kan utföra samma hanteringsaktiviteter plus programvarudistribution till användaren. Det möjliggör även ytterligare metoder för att installera klienten på en fjärrenhet.

Microsoft rekommenderar att du ansluter enheter till Microsoft Entra ID. Internetbaserade enheter kan använda Microsoft Entra ID för att autentisera med Configuration Manager. Det möjliggör även både enhets- och användarscenarier oavsett om enheten är på Internet eller ansluten till det interna nätverket.

Mer information finns i Konfigurera klientautentisering.

Ja, om webbplatsen är version 2107 eller senare. Det är inte längre en förhandsversionsfunktion och rekommenderas för alla kunder. Om du har en befintlig klassisk CMG-distribution kan du konvertera den till en VM-skalningsuppsättning.

Om din webbplats är version 2010 eller 2103 är distributionsmetoden för VM-skalningsuppsättningar en förhandsversionsfunktion. Den är endast avsedd för kunder med en CSP-prenumeration (Cloud Solution Provider).

Mer information om hur du distribuerar en CMG som en VM-skalningsuppsättning finns i Planera för CMG.

Nej. Det stöder för närvarande inte Azures nätverk för innehållsleverans (CDN). CDN är en global lösning för att snabbt leverera innehåll med hög bandbredd genom att cachelagra innehållet på strategiskt placerade fysiska noder över hela världen. Mer information finns i Vad är Azure CDN?.

Nej. Du kanske har sett följande blogginlägg och undrar hur det gäller för Configuration Manager: Uppdatera dina program så att de använder Microsoft Authentication Library och Microsoft Graph API. Det här inlägget refererar till all utvecklad kod som använder dessa autentiseringsbibliotek. Configuration Manager har använt Microsoft Graph API och Microsoft Authentication Library (MSAL) på vissa platser i flera år. Alla andra komponenter uppdateras i Configuration Manager version 2107 med den samlade uppdateringen. Om du håller dig uppdaterad med Configuration Manager versioner behöver du inte göra något annat.

Vissa personer blandar ihop informationen i det här blogginlägget med programregistreringarna i Microsoft Entra ID som Configuration Manager använder för olika molnanslutna tjänster. Dessa appregistreringar är molnbaserade tjänsthuvudnamn som inte direkt använder dessa autentiseringsbibliotek. Om en global Azure-administratör manuellt har skapat Configuration Manager appregistreringar i Microsoft Entra ID kan de kontrollera att dessa registreringar har behörigheter för Microsoft Graph API. De behöver inte behörigheter för Azure AD Graph API. Mer information finns i Registrera Microsoft Entra appar manuellt.