Planera för CMG i Configuration Manager

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

För att förenkla hanteringen av Internetbaserade klienter måste du först utveckla en plan för molnhanteringsgatewayen (CMG). Utforma hur den passar i din miljö och förbered för implementeringen.

Mer grundläggande kunskaper om CMG-scenarier och användningsfall finns i Översikt över CMG.

Obs!

Vissa avsnitt som tidigare fanns i den här artikeln har flyttats:

Checklista för planering

Den övergripande CMG-planeringsprocessen är indelad i följande delar:

  • Komponenter och krav: Den här artikeln sammanfattar de komponenter som utgör CMG-systemet. Den visar även systemkraven.

  • Klientautentisering: Bestäm vilken autentiseringsmetod du ska använda för klienter från potentiellt ej betrodda nätverk.

  • Hierarkidesign: Planera var du vill placera CMG:en i din miljö.

  • Konfigurationer som stöds: Förstå vilka Configuration Manager funktioner som du kan stödja på Internetbaserade klienter som ansluter till CMG:n.

  • Prestanda och skalning: Bestäm hur många tjänstkomponenter du behöver för att bäst stödja ditt antal klienter.

  • Kostnad: Förstå kostnaden för de Azure-baserade komponenterna.

CMG-komponenter

Distribution och drift av CMG:en innehåller följande komponenter:

  • CMG-molntjänsten i Azure autentiserar och vidarebefordrar Configuration Manager klientbegäranden via Internet till den lokala CMG-anslutningspunkten.

  • Platssystemrollen cmg-anslutningspunkt möjliggör en konsekvent och högpresterande anslutning från det lokala nätverket till CMG-tjänsten i Azure. Den publicerar även inställningar till CMG inklusive anslutningsinformation och säkerhetsinställningar. CMG-anslutningspunkten vidarebefordrar klientbegäranden från CMG till lokala roller enligt URL-mappningar. Till exempel hanteringsplatsen och programuppdateringsplatsen.

  • Platssystemrollen för tjänstanslutningspunkten kör molntjänsthanterarkomponenten, som hanterar alla CMG-distributionsuppgifter. Dessutom övervakar och rapporterar den tjänsthälsa och loggningsinformation från Microsoft Entra-ID. Kontrollera att tjänstanslutningspunkten är i onlineläge.

  • Hanteringsplatsen och platssystemrollerna för programuppdateringsplatsen tjänstklientbegäranden per normal.

  • CMG använder en certifikatbaserad HTTPS-webbtjänst för att skydda nätverkskommunikationen med klienter.

  • Internetbaserade klienter ansluter till CMG:en för att få åtkomst till lokala Configuration Manager komponenter. Det finns flera alternativ för klientidentitet och autentisering:

    • Microsoft Entra ID
    • PKI-certifikat
    • Configuration Manager token som utfärdats av webbplatsen

    Mer information finns i Planera för CMG-klientautentisering.

  • CMG skapar ett Azure-lagringskonto som används för dess standardåtgärder. Som standard är CMG också innehållsaktiverad för att tillhandahålla distributionsinnehåll till Internetbaserade klienter. Det här lagringskontot stöder inte anpassningar, till exempel begränsningar för virtuella nätverk.

    Obs!

    Den molnbaserade distributionsplatsen (CDP) är inaktuell. Från och med version 2107 kan du inte skapa nya CDP-instanser. Om du vill tillhandahålla innehåll till Internetbaserade enheter aktiverar du CMG:en för att distribuera innehåll.

Resurshanterare för Azure

Du skapar CMG med hjälp av en Azure Resource Manager-distribution. Azure Resource Manager är en modern plattform för att hantera alla lösningsresurser som en enda entitet som kallas resursgrupp. När du distribuerar en CMG med Azure Resource Manager använder webbplatsen Microsoft Entra-ID för att autentisera och skapa nödvändiga molnresurser.

Viktigt

Från och med version 2203 tas alternativet att distribuera en CMG som en molntjänst (klassisk) bort. Alla CMG-distributioner bör använda en VM-skalningsuppsättning. Mer information finns i Borttagna och inaktuella funktioner.

Vm-skalningsuppsättningar

Obs!

Den här funktionen introducerades först i version 2010 som en förhandsversionsfunktion. Från och med version 2107 är det inte längre en förhandsversionsfunktion.

Configuration Manager aktiverar inte den här valfria funktionen som standard. Du måste aktivera den här funktionen innan du använder den. Mer information finns i avsnittet Enable optional features from updates.

Från och med version 2010 kan kunder med en CSP-prenumeration (Cloud Solution Provider) distribuera CMG:en med en VM-skalningsuppsättning i Azure. Det här stödet är bara om de för närvarande inte har en CMG distribuerad med hjälp av klassiska molntjänster till en annan prenumeration.

Från och med version 2107 kan alla kunder distribuera en CMG med en VM-skalningsuppsättning. Om du har en befintlig CMG distribuerad med den klassiska molntjänsten konverterar du CMG:en till att använda en VM-skalningsuppsättning.

Med några få undantag förblir konfigurationen, åtgärden och funktionaliteten i CMG:en densamma.

  • Andra Azure-resursprovidrar i din Azure-prenumeration.

  • Olika distributionsnamn, till exempel GraniteFalls.EastUS.CloudApp.Azure.Com för en distribution i Azure-regionen USA, östra . Den här namnändringen kan påverka hur du skapar och hanterar CMG-serverns autentiseringscertifikat.

  • CMG-anslutningspunkten kommunicerar bara med VM-skalningsuppsättningen i Azure via HTTPS. Det kräver inte TCP-TLS-portar.

Begränsningar för en CMG med en VM-skalningsuppsättning

Begränsningar med version 2107 och senare

Obs!

Från och med version 2111 har CMG-distributioner med en VM-skalningsuppsättning stöd för Azure US Government-molnmiljöer.

  • Användare kan uppleva en fördröjning på upp till tre sekunder för åtgärder i Software Center.
  • Du kan inte godkänna/neka programbegäranden via CMG:en.
  • Version 2107 stöder inte Azure US Government-molnmiljöer.

Begränsningar med versionerna 2010 och 2103

  • Om du behöver mer än en CMG-instans måste alla använda samma distributionsmetod.
  • Det antal samtidiga klientanslutningar som stöds är 2 000 per VM-instans. Mer information finns i CMG-prestanda och skalning.
  • Det stöds bara med en fristående primär plats.
  • Det stöder inte Azure US Government-molnmiljöer.
  • Användare kan uppleva en fördröjning på upp till tre sekunder för åtgärder i Software Center.
  • Configuration Manager skapar för närvarande Azure Storage-containern baserat på namnet på resursgruppen. Azure har olika namngivningskrav för resursgrupper och lagringscontainrar. Kontrollera att namnet på resursgruppen för den här tjänsten bara har gemener, siffror och bindestreck. Om du har en befintlig resursgrupp som inte fungerar byter du namn på den i Azure Portal eller skapar en ny resursgrupp.
  • Om du har fler än en HTTPS-hanteringsplats kan du inte installera Configuration Manager-klienten på enheter via Internet. Om du behöver installera lokala klienter med hjälp av en CMG kan du bara ha en HTTPS-hanteringsplats. Du måste också aktivera CMG för innehåll.
  • Du kan inte godkänna/neka programbegäranden via CMG:en.

Krav

Tips

Så här förtydligar du lite Azure-terminologi:

  • Den Microsoft Entra ID-klientorganisationen är katalogen med användarkonton och appregistreringar. En klientorganisation kan ha flera prenumerationer.
  • En Azure-prenumeration separerar fakturering, resurser och tjänster. Den är associerad med en enda klientorganisation.

Mer information finns i Prenumerationer, licenser, konton och klientorganisationer för Microsofts molnerbjudanden.

  • En Azure-prenumeration som ska vara värd för CMG:en. Den här prenumerationen kan finnas i någon av följande miljöer:

    • Globalt Azure-moln
    • Azure US Government-moln

    Kunder med en CSP-prenumeration (Cloud Service Provider) måste använda version 2010 eller senare med en distribution av vm-skalningsuppsättningar .

  • Integrera webbplatsen med Microsoft Entra-ID för att distribuera tjänsten med Azure Resource Manager. Mer information finns i Konfigurera Microsoft Entra-ID för CMG.

    När du registrerar webbplatsen för att Microsoft Entra ID kan du aktivera Microsoft Entra användaridentifiering. Det krävs inte för att skapa cmg-filen, men krävs om du planerar att använda Microsoft Entra autentisering med hybrididentiteter. Mer information finns i Installera klienter med Microsoft Entra-ID och se Om Microsoft Entra användaridentifiering.

  • En Azure-administratör måste delta i det första skapandet av vissa komponenter. Den här personen kan vara samma som Configuration Manager administratör eller separat. Om de är separata kräver de inte behörigheter i Configuration Manager.

    • När du integrerar webbplatsen med Microsoft Entra-ID för att distribuera CMG med Azure Resource Manager behöver du en global administratör.

    • När du skapar CMG:en behöver du ett konto som är en Azure-prenumerationsägare och en global Microsoft Entra-ID-administratör.

  • Ditt användarkonto måste vara en fullständig administratör eller infrastrukturadministratör i Configuration Manager.

  • Minst en lokal Windows-server som ska vara värd för CMG-anslutningspunkten. Du kan samplacera den här rollen med andra Configuration Manager platssystemroller.

  • Tjänstanslutningspunkten måste vara i onlineläge.

  • Konfigurera hanteringsplatsen så att trafik från CMG tillåts. Den måste också kräva HTTPS eller konfigurera platsen för utökad HTTP.

  • Ett certifikat för serverautentisering för CMG.

  • CMG-namn måste vara mellan 3 och 24 alfanumeriska tecken. Namnet måste börja med en bokstav, sluta med en bokstav eller siffra och inte innehålla bindestreck i följd.

  • Andra certifikat kan krävas, beroende på klientoperativsystemets version och autentiseringsmodell. Mer information finns i Konfigurera klientautentisering.

  • Klienter måste använda IPv4.

  • Kontrollera att följande klientinställningar i gruppen Molntjänster är aktiverade för enheter som ska använda CMG:

    • Gör det möjligt för klienter att använda en molnhanteringsgateway
    • Tillåt åtkomst till molndistributionsplats

    Obs!

    Om du aktiverar klientinställningen för att ladda ned deltainnehåll när det är tillgängligt laddas inte innehållet för uppdateringar från tredje part ned till klienter.

Nästa steg

Bestäm sedan hur klienter ska autentisera med CMG:en:

Planera för CMG-klientautentisering