在 Configuration Manager 中規劃 CMG
適用於:Configuration Manager (目前的分支)
若要簡化以網際網路為基礎的用戶端管理,請先開發雲端管理閘道 (CMG) 的計畫。 設計其適合您環境的方式,並為您的實作做好準備。
如需 CMG 案例和使用案例的詳細基礎知識,請參閱 CMG 概觀。
規劃檢查清單
整體 CMG 規劃程式分成下列部分:
元件和需求:本文摘要說明組成 CMG 系統的元件。 它也會列出系統需求。
用戶端驗證:判斷您將針對來自潛在不受信任網路的用戶端使用哪一種驗證方法。
階層設計:規劃將 CMG 放在環境中的位置。
支援的設定:瞭解您可以在連線到 CMG 的網際網路型用戶端上支援哪些Configuration Manager功能。
效能和規模:決定您需要多少服務元件才能支援用戶端數目。
成本:瞭解以 Azure 為基礎的元件成本。
CMG 元件
CMG 的部署和作業包含下列元件:
Azure 中的CMG 雲端服務會透過網際網路驗證用戶端要求,並將Configuration Manager轉送至內部部署 CMG 連接點。
CMG 連接點月臺系統角色可啟用從內部部署網路到 Azure 中 CMG 服務的一致且高效能連線。 它也會將設定發佈至 CMG,包括連線資訊和安全性設定。 CMG 連接點會根據 URL 對應,將用戶端要求從 CMG 轉送至內部部署角色。 例如,管理點和軟體更新點。
服務連接點月臺系統角色會執行雲端服務管理員元件,以處理所有 CMG 部署工作。 此外,它會監視並報告來自Microsoft Entra識別碼的服務健康情況和記錄資訊。 請確定您的服務連接點處於 線上模式。
管理點和軟體更新點月臺系統角色服務用戶端要求一般。
CMG 會使用憑 證型 HTTPS Web 服務來協助保護與用戶端的網路通訊。
以網際網路為基礎的用戶端會連線到 CMG,以存取內部部署Configuration Manager元件。 用戶端身分識別和驗證有多個選項:
- Microsoft Entra ID
- PKI 憑證
- Configuration Manager網站發行的權杖
如需詳細資訊,請參閱 規劃 CMG 用戶端驗證。
CMG 會建立 Azure 儲存體帳戶,以用於其標準作業。 根據預設,CMG 也已啟用內容功能,可將部署內容提供給以網際網路為基礎的用戶端。 此儲存體帳戶不支援自訂專案,例如虛擬網路限制。
注意事項
雲端式發佈點 (CDP) 已被取代。 從 2107 版開始,您無法建立新的 CDP 實例。 若要將內容提供給以網際網路為基礎的裝置,請讓 CMG 發佈內容。
Azure 資源管理
您可以使用Azure Resource Manager部署來建立 CMG。 Azure Resource Manager是將所有解決方案資源當作單一實體管理的新式平臺,稱為資源群組。 當您使用 Azure Resource Manager 部署 CMG 時,月臺會使用Microsoft Entra識別碼來驗證和建立必要的雲端資源。
重要事項
從 2203 版開始,會移除將 CMG 部署為雲端 服務 (傳統) 的選項。 所有 CMG 部署都應該使用 虛擬機器擴展集。 如需詳細資訊,請參閱 已移除和已淘汰的功能。
虛擬機器擴展集
注意事項
這項功能最初是在 2010 版中導入為 發行前版本功能。 從 2107 版開始,它不再是發行前版本功能。
Configuration Manager預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能。
從 2010 版開始,具有雲端解決方案提供者 (CSP) 訂用帳戶的客戶可以在 Azure 中使用 虛擬機器擴展集 來部署 CMG。 只有在目前沒有使用傳統雲端服務部署到另一個訂用帳戶的 CMG 時,才支援此支援。
從 2107 版開始,所有客戶都可以使用虛擬機器擴展集來部署 CMG。 如果您已使用傳統雲端服務部署現有的 CMG,請將 CMG 轉換為 使用虛擬機器擴展集。
除了一些例外狀況,CMG 的組態、作業和功能會維持不變。
Azure 訂用帳戶中的其他 Azure 資源提供者 。
不同的部署名稱,例如,GraniteFalls.EastUS.CloudApp.Azure.Com 美國東部Azure 區域中的部署。 此名稱變更可能會影響您建立及管理 CMG 伺服器驗證憑證方式。
CMG 連接點只會透過 HTTPS 與 Azure 中的虛擬機器擴展集通訊。 它不需要 TCP-TLS 埠。
具有虛擬機器擴展集的 CMG 限制
2107 版和更新版本的限制
注意事項
從 2111 版開始,具有虛擬機器擴展集的 CMG 部署支援 Azure 美國政府雲端環境。
- 使用者可能會在軟體中心內遇到最多三秒的動作延遲。
- 您無法透過 CMG 核准/拒絕應用程式要求。
- 版本 2107 不支援 Azure 美國政府雲端環境。
2010 和 2103 版的限制
- 如果您需要多個 CMG 實例,它們都必須使用相同的部署方法。
- 每個 VM 實例支援的並行用戶端連線數目為 2,000 個。 如需詳細資訊,請參閱 CMG 效能和規模。
- 只有獨立主要月臺才支援此功能。
- 它不支援 Azure US Gov 雲端環境。
- 使用者可能會在軟體中心內遇到最多三秒的動作延遲。
- Configuration Manager目前會根據資源群組的名稱建立 Azure 儲存體容器。 Azure 對於資源群組和儲存體容器有不同的命名需求。 請確定此服務的資源組名只有小寫字母、數位和連字號。 如果您有無法運作的現有資源群組,請在Azure 入口網站中重新命名,或建立新的資源群組。
- 如果您有多個 HTTPS 管理點,則無法透過網際網路在裝置上安裝Configuration Manager用戶端。 如果您需要 使用 CMG 安裝內部部署客戶端,則只能有一個 HTTPS 管理點。 您也需要啟用內容的 CMG。
- 您無法透過 CMG 核准/拒絕應用程式要求。
需求
提示
若要厘清一些 Azure 術語:
- Microsoft Entra標識符租使用者是使用者帳戶和應用程式註冊的目錄。 一個租使用者可以有多個訂用帳戶。
- Azure 訂 用帳戶會分隔計費、資源和服務。 它與單一租使用者相關聯。
如需詳細資訊,請參閱 Microsoft 雲端供應專案的訂閱、授權、帳戶和租使用者。
用來裝載 CMG 的 Azure 訂 用帳戶。 此訂用帳戶可以位於下列其中一個環境中:
- 全域 Azure 雲端
- Azure 美國政府雲端
具有雲端服務提供者 (CSP) 訂用帳戶的客戶,必須搭配 虛擬機器擴展集 部署使用 2010 版或更新版本。
將網站與Microsoft Entra標識符整合,以使用 Azure Resource Manager部署服務。 如需詳細資訊,請參閱設定 CMG 的Microsoft Entra識別碼。
當您將網站上線以Microsoft Entra識別碼時,可以選擇性地啟用Microsoft Entra使用者探索。 您不需要建立 CMG,但如果您打算搭配混合式身分識別使用Microsoft Entra驗證,則為必要專案。 如需詳細資訊,請參閱使用Microsoft Entra識別碼安裝客戶端,並參閱關於Microsoft Entra使用者探索。
Azure 系統管理員必須參與初始建立特定元件。 此角色可以與Configuration Manager系統管理員相同,或是分開。 如果分開,則不需要Configuration Manager的許可權。
當您將網站與使用 Azure Resource Manager 部署 CMG 的Microsoft Entra識別碼整合時,您需要全局管理員。
當您建立 CMG 時,您需要 Azure 訂用帳戶擁有者和Microsoft Entra標識符全域管理員的帳戶。
您的使用者帳戶必須是 Configuration Manager 中的系統管理員或基礎結構系統管理員。
至少一部內部部署 Windows 伺服器來裝載 CMG 連接點。 您可以將此角色與其他Configuration Manager月臺系統角色共置。
服務連接點必須處於線上模式。
設定 管理點 以允許來自 CMG 的流量。 它也需要 HTTPS,或設定增強 HTTP的網站。
CMG 的 伺服器驗證憑證 。
CMG 名稱必須介於 3-24 個英數位元之間。 名稱的開頭必須是字母、以字母或數位結尾,而且不包含連續的連字號。
視您的用戶端 OS 版本和驗證模型而定,可能需要其他憑證。 如需詳細資訊, 請參閱設定用戶端驗證。
用戶端必須使用 IPv4。
請確定已針對將使用 CMG 的裝置啟用雲端服務群組中的下列用戶端設定:
- 讓用戶端使用雲端管理閘道
- 允許存取雲端發佈點
注意事項
如果您啟用 [在 可用時下載差異內容] 的用戶端設定,則協力廠商更新的內容將不會下載至用戶端。
後續步驟
接下來,判斷用戶端如何使用 CMG 進行驗證: