Q: 是否需要任何证书？

是的，至少一个，也可能是其他，具体取决于你的设计。 服务器身份验证证书 ：CMG 创建基于 Internet 的客户端连接到的 HTTPS 服务。 该服务需要服务器身份验证证书才能生成安全通道。 可以从公共提供程序获取用于此目的的证书，或者从公钥基础结构 (PKI) 颁发证书。 有关详细信息，请参阅 CMG 服务器身份验证证书 。 客户端身份验证证书 ：根据环境和 CMG 设计，可以使用 PKI 证书进行客户端身份验证。 此身份验证方法不支持以用户为中心的方案，但支持运行任何受支持的 Windows 版本的设备。 有关详细信息，请参阅 为 CMG 配置客户端身份验证：PKI 证书 。 使用此客户端身份验证方法时，还需要导出客户端证书的受信任根链。 然后，在 CMG 连接点上创建 CMG 和 时使用此证书链。 启用了 HTTPS 的管理点 ：根据站点的配置方式以及选择的客户端身份验证方法，可能需要配置已启用 Internet 的管理点以支持 HTTPS。 有关详细信息，请参阅 为 CMG 配置客户端身份验证：为 HTTPS 启用管理点 。

Q: 如果映像已弃用，是否需要更新虚拟机？

不正确。 CMG VM 是使用模板部署的，并且 IIS 已配置，如果手动更新 VM，则会中断此情况。 产品组将通过更新或当前分支版本来解决此问题。

Q: 如何在服务更新期间确保服务连续性？

通过缩放 CMG 以包含两个或更多实例，可以自动从 Azure 中的更新域中受益。 请参阅 如何更新云服务 。

Q: 我已经使用 IBCM 了 如果添加 CMG，客户端的行为如何？

如果已部署 基于 Internet 的客户端管理 (IBCM) ，还可以部署 CMG。 客户端接收这两个服务的策略。 当他们漫游到 Internet 时，会随机选择并使用这些基于 Internet 的服务之一。

Q: CMG 如何影响通过 VPN 连接的客户端？

通过 VPN 连接到环境的漫游客户端通常被检测为面向 Intranet 的客户端。 它们尝试连接到本地基础结构，例如管理点和分发点。 某些客户更愿意让这些漫游客户端由云服务管理，即使通过 VPN 进行连接也是如此。 还可以将 CMG 与边界组相关联。 此操作强制这些客户端不使用本地站点系统。 有关详细信息，请参阅 配置边界组 。

Q: Microsoft Entra ID与证书之间的客户端身份验证有何区别？

可以为设备使用Microsoft Entra ID或客户端身份验证证书向 CMG 服务进行身份验证。 还可以使用Configuration Manager站点颁发的令牌进行身份验证。 如果使用 Active Directory 域加入标识管理传统 Windows 客户端，则需要 PKI 证书来保护信道。 这些客户端可以包含任何受支持的 Windows 版本。 可以使用所有 CMG 支持的功能，但软件分发仅限于设备。 在设备漫游到 Internet 之前安装 Configuration Manager 客户端，或使用令牌身份验证。 还可以使用新式标识管理Windows 10或更高版本的客户端，使用Microsoft Entra ID加入混合或纯云域。 客户端使用Microsoft Entra ID进行身份验证，而不是 PKI 证书。 与更复杂的 PKI 系统相比，使用 Microsoft Entra ID 更易于设置、配置和维护。 可以执行所有相同的管理活动，以及向用户分发软件。 它还允许使用其他方法在远程设备上安装客户端。 Microsoft 建议将设备加入到Microsoft Entra ID。 基于 Internet 的设备可以使用Microsoft Entra ID向Configuration Manager进行身份验证。 它还支持设备和用户方案，无论设备是在 Internet 上还是连接到内部网络。 有关详细信息，请参阅 配置客户端身份验证 。

Q: 是否应使用虚拟机规模集部署？

是，如果你的站点版本为 2107 或更高版本。 它不再是预发行功能，建议所有客户使用。 如果有现有的经典 CMG 部署，则可以 将其转换为虚拟机规模集 。 如果站点版本为 2010 或 2103，则虚拟机规模集部署方法是预发布功能。 它仅适用于云解决方案提供商 (CSP) 订阅的客户。 重要 从版本 2203 开始，删除将 CMG 部署为 云服务 (经典) 的选项。 所有 CMG 部署都应使用 虚拟机规模集 。 有关详细信息，请参阅 已删除和已弃用的功能 。 有关将 CMG 部署为虚拟机规模集的详细信息，请参阅 规划 CMG 。

Question 1

是否需要任何证书？

Accepted Answer

是的，至少一个，也可能是其他，具体取决于你的设计。

服务器身份验证证书：CMG 创建基于 Internet 的客户端连接到的 HTTPS 服务。该服务需要服务器身份验证证书才能生成安全通道。可以从公共提供程序获取用于此目的的证书，或者从公钥基础结构 (PKI) 颁发证书。有关详细信息，请参阅 CMG 服务器身份验证证书。
客户端身份验证证书：根据环境和 CMG 设计，可以使用 PKI 证书进行客户端身份验证。此身份验证方法不支持以用户为中心的方案，但支持运行任何受支持的 Windows 版本的设备。有关详细信息，请参阅为 CMG 配置客户端身份验证：PKI 证书。

使用此客户端身份验证方法时，还需要导出客户端证书的受信任根链。然后，在 CMG 连接点上创建 CMG 和时使用此证书链。
启用了 HTTPS 的管理点：根据站点的配置方式以及选择的客户端身份验证方法，可能需要配置已启用 Internet 的管理点以支持 HTTPS。有关详细信息，请参阅为 CMG 配置客户端身份验证：为 HTTPS 启用管理点。

Question 2

是否需要 Azure ExpressRoute？

Accepted Answer

不正确。 Azure ExpressRoute 允许将本地网络扩展到 Microsoft 云。 CMG 不需要 ExpressRoute 或其他此类虚拟网络连接。 CMG 的设计允许基于 Internet 的客户端通过 Azure 服务与本地站点系统通信，无需进行其他网络配置。有关详细信息，请参阅 CMG 概述。

Question 3

是否需要维护或保护 Azure 虚拟机？

Accepted Answer

不正确。 CMG 是一种软件即服务 (SaaS) 解决方案，可将Configuration Manager环境扩展到云中。 CMG 的设计使用 Azure 平台即服务 (PaaS) 。使用提供的订阅，Configuration Manager (VM) 、存储和网络创建必要的虚拟机。 Azure PaaS 保护和更新 VM。无需监视这些 VM。适用于 CMG 的 Azure VM 不属于本地环境，基础结构即服务 (IaaS) 就是这种情况。有关构建 CMG 的基础 PaaS 解决方案的更多安全特定信息，请参阅保护 PaaS 部署。

由于 CMG 充当客户端通信的代理，因此它不会处理、保留或存储任何客户端数据。 Internet 上的通信路径始终使用 HTTPS。为了提高安全性，请为 HTTPS 配置管理点。此外，配置客户端的站点选项以加密清单和状态消息。有关详细信息，请参阅规划安全性：签名和加密。

Question 4

如果映像已弃用，是否需要更新虚拟机？

Accepted Answer

不正确。 CMG VM 是使用模板部署的，并且 IIS 已配置，如果手动更新 VM，则会中断此情况。产品组将通过更新或当前分支版本来解决此问题。

Question 5

如何在服务更新期间确保服务连续性？

Accepted Answer

通过缩放 CMG 以包含两个或更多实例，可以自动从 Azure 中的更新域中受益。请参阅如何更新云服务。

Question 6

我已经使用 IBCM 了 如果添加 CMG，客户端的行为如何？

Accepted Answer

如果已部署基于 Internet 的客户端管理 (IBCM) ，还可以部署 CMG。客户端接收这两个服务的策略。当他们漫游到 Internet 时，会随机选择并使用这些基于 Internet 的服务之一。

Question 7

用户帐户是否必须与与托管 CMG 云服务的订阅关联的租户位于同一Microsoft Entra租户中？

Accepted Answer

否，可以将 CMG 部署到可以托管 Azure 云服务的任何订阅中。

若要阐明术语，请：

Microsoft Entra租户是用户帐户和应用注册的目录。一个租户可以有多个订阅。
Azure 订阅将计费、资源和服务分开。它与单个租户相关联。

提示

有关详细信息，请参阅 Microsoft 云产品/服务的订阅、许可证、帐户和租户。

此问题在以下方案中很常见：

具有不同的测试和生产 Active Directory 以及Microsoft Entra环境，但只有一个集中式 Azure 托管订阅。
你在不同团队中有机地使用 Azure。

使用资源管理器部署时，请加入与订阅关联的Microsoft Entra租户。此连接允许Configuration Manager向 Azure 进行身份验证，以创建、部署和管理 CMG。

如果对通过 CMG 管理的用户和设备使用Microsoft Entra身份验证，请加入该Microsoft Entra租户。有关用于云管理的 Azure 服务的详细信息，请参阅配置 Azure 服务。加入每个Microsoft Entra租户时，无论托管位置如何，单个 CMG 都可以为多个租户提供Microsoft Entra身份验证。

示例 1：具有多个订阅的一个租户

用户标识、设备注册和应用注册都位于同一租户中。可以选择 CMG 使用的订阅。可以将多个 CMG 服务从一个站点部署到单独的订阅中。站点与租户具有一对一关系。你决定出于各种原因（例如计费或逻辑分离）使用哪些订阅。

示例 2：多个租户

换句话说，你的环境有多个Microsoft Entra ID。如果需要在这两个租户中支持用户和设备标识，则需要将站点附加到每个租户。此过程需要每个租户的管理帐户才能在该租户中创建应用注册。然后，一个站点可以在多个租户中托管 CMG 服务。可以在任一租户中的任何可用订阅中创建 CMG。已加入或混合联接到任一Microsoft Entra ID的设备可以使用 CMG。

如果用户和设备标识位于一个租户中，但 CMG 的订阅位于另一个租户中，则需要将站点附加到这两个租户。从技术上讲，只有 CMG 服务的第二个租户不需要客户端应用。客户端应用仅为使用 CMG 服务的客户端提供用户和设备身份验证。

Question 8

CMG 如何影响通过 VPN 连接的客户端？

Accepted Answer

通过 VPN 连接到环境的漫游客户端通常被检测为面向 Intranet 的客户端。它们尝试连接到本地基础结构，例如管理点和分发点。某些客户更愿意让这些漫游客户端由云服务管理，即使通过 VPN 进行连接也是如此。

还可以将 CMG 与边界组相关联。此操作强制这些客户端不使用本地站点系统。有关详细信息，请参阅配置边界组。

Question 9

管理点的配置如何影响内部客户端？

Accepted Answer

若要保护通过 CMG 发送的敏感流量，需要配置至少一个管理点以使用 HTTPS 或为增强型 HTTP 配置站点。

然后，在部署 CMG 时，如果在已启用 CMG 的管理点上使用 PKI 证书进行 HTTPS 通信，请在管理点属性上选择 “允许仅 Internet 客户端 ”选项。此设置可确保内部客户端继续使用环境中的 HTTP 管理点。

如果使用增强型 HTTP，则无需配置此设置。客户端在直接与已启用 CMG 的管理点通信时继续使用 HTTP。有关详细信息，请参阅增强型 HTTP。

Question 10

Microsoft Entra ID与证书之间的客户端身份验证有何区别？

Accepted Answer

可以为设备使用Microsoft Entra ID或客户端身份验证证书向 CMG 服务进行身份验证。还可以使用Configuration Manager站点颁发的令牌进行身份验证。

如果使用 Active Directory 域加入标识管理传统 Windows 客户端，则需要 PKI 证书来保护信道。这些客户端可以包含任何受支持的 Windows 版本。可以使用所有 CMG 支持的功能，但软件分发仅限于设备。在设备漫游到 Internet 之前安装 Configuration Manager 客户端，或使用令牌身份验证。

还可以使用新式标识管理Windows 10或更高版本的客户端，使用Microsoft Entra ID加入混合或纯云域。客户端使用Microsoft Entra ID进行身份验证，而不是 PKI 证书。与更复杂的 PKI 系统相比，使用 Microsoft Entra ID 更易于设置、配置和维护。可以执行所有相同的管理活动，以及向用户分发软件。它还允许使用其他方法在远程设备上安装客户端。

Microsoft 建议将设备加入到Microsoft Entra ID。基于 Internet 的设备可以使用Microsoft Entra ID向Configuration Manager进行身份验证。它还支持设备和用户方案，无论设备是在 Internet 上还是连接到内部网络。

有关详细信息，请参阅配置客户端身份验证。

Question 11

是否应使用虚拟机规模集部署？

Accepted Answer

是，如果你的站点版本为 2107 或更高版本。它不再是预发行功能，建议所有客户使用。如果有现有的经典 CMG 部署，则可以将其转换为虚拟机规模集。

如果站点版本为 2010 或 2103，则虚拟机规模集部署方法是预发布功能。它仅适用于云解决方案提供商 (CSP) 订阅的客户。

重要

从版本 2203 开始，删除将 CMG 部署为 云服务 (经典) 的选项。所有 CMG 部署都应使用虚拟机规模集。有关详细信息，请参阅已删除和已弃用的功能。

有关将 CMG 部署为虚拟机规模集的详细信息，请参阅规划 CMG。

Question 12

已启用内容的 CMG 是否使用 Azure CDN？

Accepted Answer

不正确。它目前不支持 Azure 内容分发网络 (CDN) 。 CDN 是一种全球解决方案，通过将内容缓存到全球具有战略意义的物理节点上来快速传送高带宽内容。有关详细信息，请参阅什么是 Azure CDN？。

Question 13

是否需要对弃用 Azure AD 图形 API 和 Azure AD 身份验证 库 (ADAL) 执行任何操作？

Accepted Answer

不正确。你可能看过以下博客文章，想知道它如何应用于Configuration Manager：更新应用程序以使用 Microsoft 身份验证库和 Microsoft 图形 API。本文指的是使用这些身份验证库的任何开发代码。几年来，Configuration Manager一直在某些地方使用 Microsoft 图形 API 和 Microsoft 身份验证库 (MSAL) 。 Configuration Manager版本 2107 中更新了所有其他组件，更新汇总。如果随时了解Configuration Manager版本，则无需执行其他任何操作。

有些人将此博客文章中的信息与Configuration Manager用于各种云附加服务的Microsoft Entra ID中的应用程序注册混淆。这些应用注册是基于云的服务主体，不会直接使用这些身份验证库。如果 Azure 全局管理员在 Microsoft Entra ID 中手动创建了Configuration Manager应用注册，他们可以双重检查这些注册具有 Microsoft Graph API 的权限。他们不需要 Azure AD 图形 API 的权限。有关详细信息，请参阅手动注册Microsoft Entra应用。

通过

有关 CMG 的常见问题

是否需要任何证书？

是否需要 Azure ExpressRoute？

是否需要维护或保护 Azure 虚拟机？

如果映像已弃用，是否需要更新虚拟机？

如何在服务更新期间确保服务连续性？

我已经使用 IBCM 了如果添加 CMG，客户端的行为如何？

用户帐户是否必须与与托管 CMG 云服务的订阅关联的租户位于同一Microsoft Entra租户中？

示例 1：具有多个订阅的一个租户

示例 2：多个租户

CMG 如何影响通过 VPN 连接的客户端？

管理点的配置如何影响内部客户端？

Microsoft Entra ID与证书之间的客户端身份验证有何区别？

是否应使用虚拟机规模集部署？

已启用内容的 CMG 是否使用 Azure CDN？

是否需要对弃用 Azure AD 图形 API 和 Azure AD 身份验证库 (ADAL) 执行任何操作？

反馈

其他资源

通过

有关 CMG 的常见问题

是否需要任何证书？

是否需要 Azure ExpressRoute？

是否需要维护或保护 Azure 虚拟机？

如果映像已弃用，是否需要更新虚拟机？

如何在服务更新期间确保服务连续性？

我已经使用 IBCM 了 如果添加 CMG，客户端的行为如何？

用户帐户是否必须与与托管 CMG 云服务的订阅关联的租户位于同一Microsoft Entra租户中？

示例 1：具有多个订阅的一个租户

示例 2：多个租户

CMG 如何影响通过 VPN 连接的客户端？

管理点的配置如何影响内部客户端？

Microsoft Entra ID与证书之间的客户端身份验证有何区别？

是否应使用虚拟机规模集部署？

已启用内容的 CMG 是否使用 Azure CDN？

是否需要对弃用 Azure AD 图形 API 和 Azure AD 身份验证 库 (ADAL) 执行任何操作？

反馈

其他资源

我已经使用 IBCM 了如果添加 CMG，客户端的行为如何？

是否需要对弃用 Azure AD 图形 API 和 Azure AD 身份验证库 (ADAL) 执行任何操作？