雲端管理閘道概觀

  • 文章

適用於:Configuration Manager (目前的分支)

雲端管理閘道 (CMG) 提供簡單的方法來透過網際網路管理Configuration Manager用戶端。 您可以在 Microsoft Azure 中將 CMG 部署為雲端服務。 然後,如果沒有更多內部部署基礎結構,您可以管理在網際網路上漫遊或在 WAN 分公司的用戶端。 您也不需要向網際網路公開內部部署基礎結構。

雲端管理閘道 (CMG) 基本架構的圖表。

建立必要條件之後,在 Configuration Manager 主控台中建立 CMG 包含下列三個步驟:

  1. 將 CMG 雲端服務部署至 Azure。
  2. 新增 CMG 連接點角色。
  3. 設定服務的月臺和月臺角色。

部署並設定之後,無論用戶端位於內部網路或網際網路,用戶端都會順暢地存取內部部署月臺角色。

本文提供瞭解 CMG 的基礎知識,以及您可以使用 CMG 的案例。

案例

有幾種案例可讓 CMG 受益。 下列案例是一些較常見的案例:

  • 使用已加入 Active Directory 網域的身分識別來管理傳統的 Windows 用戶端。 這些用戶端包含任何支援的 Windows 版本。 它會使用 PKI 憑證來保護通道。 管理活動包括:

    • 軟體更新和端點保護
    • 清查和用戶端狀態
    • 合規性設定
    • 軟體發佈至裝置
    • Windows 就地升級工作順序

  • 使用新式身分識別管理傳統Windows 10或更新版本的用戶端,包括已加入混合式或純雲端網域Microsoft Entra識別碼。 用戶端會使用Microsoft Entra識別碼進行驗證,而不是 PKI 憑證。 使用Microsoft Entra識別碼比更複雜的 PKI 系統更容易設定、設定及維護。 管理活動與第一個案例相同,再加上:

    • 軟體發佈給使用者

  • 透過網際網路在Windows 10或更新版本的裝置上安裝Configuration Manager用戶端。 使用Microsoft Entra識別碼可讓裝置向 CMG 進行驗證,以進行用戶端註冊和指派。 您可以手動安裝用戶端,或使用其他軟體發佈方法,例如Microsoft Intune。

  • 使用共同管理進行新的裝置布建。 自動註冊現有的用戶端時,共同管理不需要 CMG。 對於涉及 Windows Autopilot、Microsoft Entra識別碼、Microsoft Intune和Configuration Manager的新裝置而言,這是必要的。 如需詳細資訊,請參閱 共同管理的路徑

特定使用案例

在這些案例中,可能會套用下列特定裝置使用案例:

  • 漫遊膝上型電腦等裝置

  • 遠端/分公司裝置,相較于透過 WAN 或透過 VPN,透過網際網路管理的成本較低且更有效率。

  • 合併和收購,讓裝置加入Microsoft Entra識別碼並透過 CMG 進行管理可能最簡單。

  • 工作組用戶端。 這些裝置可能需要其他設定,例如憑證。

    若要協助管理遠端工作組用戶端,請使用Configuration Manager權杖型驗證。 如需詳細資訊,請參閱 CMG 的權杖型驗證

重要事項

根據預設,所有用戶端都會接收 CMG 的原則,並在它們變成以網際網路為基礎時開始使用它。 根據適用于您組織的案例和使用案例,您可能需要將 CMG 的使用範圍設定為範圍。 如需詳細資訊,請參閱 啟用用戶端使用雲端管理閘道 用戶端設定。

後續步驟

開發您的設計並規劃在您的環境中實作 CMG:

規劃 CMG