为Configuration Manager设置 CMG

  • 项目

适用于: Configuration Manager(current branch)

满足先决条件后,可以启动设置云管理网关的过程, (CMG) 。 在开始此过程之前,请确保具备创建 CMG 所需的信息和先决条件。 有关详细信息,请参阅 设置 CMG 的清单

整个过程的此步骤包括以下操作:

  • 使用 Configuration Manager 控制台在 Azure 中创建 CMG 服务。
  • 为客户端证书身份验证配置主站点。
  • 添加 CMG 连接点站点系统角色。
  • 为 CMG 流量配置管理点和软件更新点。
  • 配置边界组。

设置 CMG

注意

在 Azure 中使用 虚拟机规模集 部署 CMG 最初是在版本 2010 中作为 预发行功能引入的。 从版本 2107 开始,它不再是预发行功能。

默认情况下,Configuration Manager不启用此可选功能。 在使用此功能之前,必须启用此功能。 有关详细信息,请参阅启用更新中的可选功能

在顶级网站上执行此过程。 该站点要么是独立主站点,要么是管理中心站点, (CAS) 。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开云服务,然后选择“云管理网关”。

  2. 在功能区中选择“ 创建云管理网关 ”。

  3. 在向导的“ 常规 ”页上,首先指定此 CMG 的 Azure 环境

    • AzurePublicCloud:在全球 Azure 云中创建服务。
    • AzureUSGovernmentCloud:在 Azure 美国政府云中创建服务。

  4. 接下来,选择在 Azure 中部署 CMG 的方式:

    • 虚拟机规模集

      • 从版本 2203 开始,虚拟机规模集是唯一的选项。

      • 从版本 2107 开始,建议使用此选项部署方法。 即使使用经典) 方法 (云服务部署了现有的 CMG,也可以将新的 CMG 实例部署为虚拟机规模集。

      • 在版本 2010 和 2103 中,必须启用此预发行功能才能看到它。 在这些版本中,它仅适用于具有云解决方案提供商 (CSP) 订阅的客户。 如果已使用 云服务 (经典) 方法部署了 CMG,则此选项不可用。 有关详细信息,请参阅 规划 CMG:虚拟机规模集

    • 云服务 (经典)

      重要

      从版本 2203 开始,删除将 CMG 部署为 云服务 (经典) 的选项。 所有 CMG 部署都应使用 虚拟机规模集 有关详细信息,请参阅 已删除和已弃用的功能

      • 在版本 2107 及更高版本中,仅当由于 限制之一而无法使用虚拟机规模集进行部署时,才使用此选项。

      • 在版本 2010 和 2103 中,大多数客户应使用此部署方法。

  5. 从版本 2309 开始,选择“Microsoft Entra租户名称”,Microsoft Entra应用名称自动填充。 选择“登录”。 使用 Azure 订阅所有者 帐户进行身份验证。 如果拥有多个订阅,请选择要使用的订阅的订阅 ID

    注意

    从版本 2309 开始,我们已弃用第一方应用创建 CMG。 现在,CMG 使用第三方服务器应用来获取持有者令牌。

  6. 在版本 2303 及更低版本中,选择“ 登录”。 使用 Azure 订阅所有者 帐户进行身份验证。 向导会自动从Microsoft Entra集成先决条件期间存储的信息填充剩余字段。 如果拥有多个订阅,请选择要使用的订阅的订阅 ID

    选择“ 下一步”,并等待站点测试与 Azure 的连接。

  7. 在向导的 “设置” 页上,首先 浏览 到 。CMG 服务器身份验证证书的 PFX 文件 (证书文件) 。 此证书中的公用名称用于填充 “服务名称 ”和“ 部署名称” 字段。

    如果使用通配符证书,请将“服务名称”字段中的星号 (*) 替换为 CMG 的全局唯一部署名称前缀。

    1. (可选)指定“说明”以在Configuration Manager控制台中进一步标识此 CMG。

    2. 为此 CMG 选择 Azure 区域 。 可用区域列表可能因所选订阅而异。

    3. 选择 资源组 选项:

      • 如果选择“ 使用现有资源”,则从列表中选择现有资源组。 此资源组需要已存在于为 CMG 选择的同一区域中。 如果选择现有资源组,并且该资源组位于与之前选择的区域不同的区域,则 CMG 将无法部署。

      • 如果选择 “新建”,请输入新的资源组名称。

    4. 默认情况下, VM 大小标准 (A2_V2) 。 根据设计指定选择另一个选项。 例如, 大型 (A4_v2) 用于增加每个 VM 的客户端容量,或者在小型测试环境中 ) 实验室 (B2

      重要

      实验室 (B2s) 大小 VM 仅适用于实验室测试和小型概念证明环境。 例如,使用 Configuration Manager 技术预览分支。 B2s VM 不适用于 CMG 的生产用途。 它们成本低,性能低。

    5. “VM 实例” 字段中,输入此服务的 VM 数。 默认值为 1 个,但每个 CMG 最多可以扩展到 16 个 VM。

    6. 如果使用客户端身份验证证书,请选择“ 证书 ”以添加受信任的根证书。 在信任链中添加所有证书。

      注意

      使用Microsoft Entra ID 或站点颁发的令牌进行客户端身份验证时,不需要受信任的根证书。

    7. 默认情况下,向导启用 “验证客户端证书吊销”选项。 必须公开发布证书吊销列表 (CRL) 才能使此验证正常工作。 有关详细信息,请参阅 发布证书吊销列表

    8. 默认情况下,向导启用 “强制实施 TLS 1.2”选项。 此设置要求 Azure VM 使用 TLS 1.2 加密协议。 它不适用于任何本地Configuration Manager站点服务器或客户端。 从 更新汇总版本 2107 开始,此设置也适用于 CMG 存储帐户。 有关详细信息,请参阅 如何启用 TLS 1.2

    9. 默认情况下,向导启用 “允许 CMG 充当云分发点并提供 Azure 存储中的内容”选项。 如果计划将包含内容的部署定向到客户端,则需要将 CMG 配置为提供内容。

  8. 接下来是向导的 “警报 ”页。 若要监视具有 14 天阈值的 CMG 流量,请启用阈值警报。 然后指定阈值以及引发不同警报级别的百分比。 还可以启用存储警报阈值。 完成后,选择 “下一步 ”。

  9. 查看设置并完成向导。

Configuration Manager开始设置服务。 在 Azure 中完全预配服务所需的时间取决于指定的设置。 若要确定服务何时准备就绪,请查看新 CMG 的 “状态” 列。

若要排查 CMG 部署问题,请使用 CloudMgr.logCMGSetup.log。 有关详细信息,请参阅 监视 CMG

提示

还可以将 PowerShell cmdlet New-CMCloudManagementGateway 用于此过程。 (可选)使用此 cmdlet 创建 CMG 服务。 有关详细信息,请参阅 New-CMCloudManagementGateway

为客户端证书身份验证配置主站点

如果客户端 使用客户端身份验证证书 通过 CMG 进行身份验证,请遵循此过程来配置每个主站点。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”。

  2. 选择将基于 Internet 的客户端分配到的主站点,然后选择“属性”。

  3. 切换到“ 通信安全性 ”选项卡,然后选择“ 使用 PKI 客户端证书 (客户端身份验证) (如果可用)。

  4. 如果不发布 CRL,请禁用以下选项:客户端检查站点系统的 CRL) (证书吊销列表

添加 CMG 连接点

CMG 连接点是从本地Configuration Manager部署到基于云的 CMG 时所需的站点系统角色。 在开始此过程之前,你应该已经为角色制定了计划,并至少确定了一个现有的站点系统服务器。 有关详细信息,请参阅 规划 CMG

若要添加 CMG 连接点,以下步骤汇总了 安装站点系统角色的说明:

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“服务器和站点系统角色”节点。

  2. 选择要向其添加此角色的现有站点服务器。 在功能区的“ 开始 ”选项卡上,选择“ 添加站点系统角色”。

  3. 在“系统角色选择”屏幕上,选择“ 云管理网关连接点”,然后选择“ 下一步”。 选择此服务器连接到的 云管理网关名称 。 向导将显示所选 CMG 的区域。

重要

如果使用的是客户端身份验证证书,则 CMG 连接点需要此证书。 有关详细信息,请参阅 客户端身份验证证书

若要排查 CMG 服务运行状况问题,请使用 CMGService.logSMS_Cloud_ProxyConnector.log。 有关详细信息,请参阅 日志文件

提示

(可选)还可以使用 PowerShell cmdlet Add-CMCloudManagementGatewayConnectionPoint 将 CMG 连接点角色添加到站点系统服务器。

有关详细信息,请参阅 Add-CMCloudManagementGatewayConnectionPoint

为 CMG 流量配置面向客户端的角色

配置管理点和软件更新点站点系统以接受 CMG 流量。 在主站点上为基于 Internet 的客户端提供服务的所有管理点和软件更新点执行此过程。

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“服务器和站点系统角色”节点。 在功能区的“主页”选项卡上的“视图”组中,选择“ 具有角色的服务器”。 然后从列表中选择“ 管理点 ”。

  2. 选择要为 CMG 流量配置的站点系统服务器。 在详细信息窗格中选择 “管理点 角色”,然后在功能区的“站点角色”组中,选择“ 属性”。

  3. 在“管理点属性”表中,在“客户端连接”下,选择“允许Configuration Manager云管理网关流量”。

    根据 CMG 设计和Configuration Manager版本,可能需要启用 HTTPS 选项。 有关详细信息,请参阅 为 HTTPS 启用管理点

  4. 选择“ 确定” 以关闭管理点属性窗口。

根据需要对其他管理点和任何软件更新点重复这些步骤。

配置边界组

可以将 CMG 与边界组相关联。 此配置允许客户端根据边界组关系使用 CMG 进行客户端通信。 此配置对于 VPN 或分支机构客户端非常有用,在这些客户端中,通过 CMG 管理它们可能比通过 VPN 或 WAN 连接管理它们更好。 如果启用“ 首选基于云的源而不是本地源 ”选项,则客户端将首选 CMG 策略和内容。

有关边界组的详细信息,请参阅 配置边界组

创建或配置边界组时,请在“引用”选项卡上添加云管理网关。 此操作会将 CMG 与此边界组相关联。

BranchCache

若要使已启用内容的 CMG 能够使用 Windows BranchCache,请在站点服务器上安装 BranchCache 功能。

  • 如果站点服务器具有本地分发点站点系统角色,请将该角色的属性中的 选项配置为 启用和配置 BranchCache。 有关详细信息,请参阅 配置分发点

  • 如果站点服务器没有分发点角色,请在 Windows 中安装 BranchCache 功能。 有关详细信息,请参阅 安装 BranchCache 功能

如果已将内容分发到 CMG,然后决定启用 BranchCache,请先安装该功能。 然后将内容重新分发到 CMG。

分发和管理内容

将内容分发到已启用内容的 CMG 与任何其他分发点相同。 管理点不会在内容位置列表中包括 CMG,除非它包含客户端请求的内容。 有关详细信息,请参阅 分发和管理内容

管理 CMG 上的内容与任何其他分发点相同。 这些操作包括将其分配给分发点组和管理内容包。 有关详细信息,请参阅 安装和配置分发点

后续步骤

通过为 CMG 配置客户端继续 CMG 设置:

为 CMG 配置客户端