云管理网关概述
适用于: Configuration Manager(current branch)
云管理网关 (CMG) 提供了一种通过 Internet 管理Configuration Manager客户端的简单方法。 在 Microsoft Azure 中将 CMG 部署为云服务。 然后,无需更多本地基础结构,即可管理在 Internet 上漫游或跨 WAN 在分支机构中的客户端。 你也不需要向 Internet 公开本地基础结构。
建立先决条件后,创建 CMG 包括Configuration Manager控制台中的以下三个步骤:
- 将 CMG 云服务部署到 Azure。
- 添加 CMG 连接点角色。
- 配置服务的站点和站点角色。
部署和配置后,客户端可以无缝访问本地站点角色,无论它们位于 Intranet 还是 Internet 上。
本文提供了了解 CMG 的基础知识以及可以使用它的方案。
应用场景
CMG 有几种好处的方案。 下面是一些更常见的方案:
使用 Active Directory 已加入域的标识管理传统 Windows 客户端。 这些客户端包括任何受支持的 Windows 版本。 它使用 PKI 证书来保护信道。 管理活动包括:
- 软件更新和终结点保护
- 清单和客户端状态
- 合规性设置
- 将软件分发到设备
- Windows 就地升级任务序列
使用新式标识(使用Microsoft Entra ID 加入混合或纯云域)管理传统Windows 10或更高版本的客户端。 客户端使用Microsoft Entra ID 进行身份验证,而不是 PKI 证书。 与更复杂的 PKI 系统相比,使用 Microsoft Entra ID 更易于设置、配置和维护。 管理活动与第一个方案相同,此外:
- 向用户分发软件
通过 Internet 在Windows 10或更高版本的设备上安装 Configuration Manager 客户端。 使用Microsoft Entra ID 允许设备向 CMG 进行身份验证,以便进行客户端注册和分配。 可以手动安装客户端,也可以使用其他软件分发方法(例如Microsoft Intune)。
使用共同管理的新设备预配。 自动注册现有客户端时,共同管理不需要 CMG。 涉及 Windows Autopilot、Microsoft Entra ID、Microsoft Intune 和 Configuration Manager 的新设备需要它。 有关详细信息,请参阅 共同管理的路径。
特定用例
在这些方案中,可能适用以下特定设备用例:
漫游设备,例如笔记本电脑
与跨 WAN 或 VPN 相比,通过 Internet 进行管理的成本更低且更高效的远程/分支机构设备。
合并和收购,其中可能最容易加入设备,以Microsoft Entra ID 并通过 CMG 进行管理。
工作组客户端。 这些设备可能需要其他配置,例如证书。
若要帮助管理远程工作组客户端,请使用Configuration Manager基于令牌的身份验证。 有关详细信息,请参阅 CMG 的基于令牌的身份验证。
重要
默认情况下,所有客户端都会接收 CMG 的策略,并在它们成为基于 Internet 时开始使用它。 根据适用于组织的方案和用例,可能需要限定 CMG 的使用范围。 有关详细信息,请参阅 启用客户端以使用云管理网关 客户端设置。
后续步骤
制定在环境中实现 CMG 的设计和计划:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈