为 CMG 设置清单

适用于: Configuration Manager(current branch)

在 (CMG) 部署云管理网关之前，请使用本文了解设置过程。 此外，请确保已准备好开始使用的所有先决条件。

首先，制定在环境中实现 CMG 的设计和计划。 有关详细信息，请参阅 规划云管理网关。 使用文章的这一部分来确定 CMG 设计。

整个 CMG 设置过程分为以下五个main部分：

1. 获取 CMG 服务器身份验证证书：CMG 使用 HTTPS 通过公共 Internet 进行安全客户端通信。 可以从公共提供程序获取证书，也可以从公钥基础结构 (PKI) 颁发证书。

2. 配置Microsoft Entra ID：Configuration Manager需要在Microsoft Entra ID 中注册应用。 可以让Configuration Manager创建它们，或者 Azure 管理员可以预先创建注册。

3. 配置客户端身份验证：由于客户端通过 Internet 进行通信，因此Configuration Manager需要此通道的更多安全性。 可以从站点服务器使用Microsoft Entra ID、PKI 证书或基于令牌的身份验证。

4. 设置 CMG：此步骤还包括配置站点和添加 CMG 连接点站点系统角色。

5. 将客户端配置为使用 CMG。

本部分中的其他文章逐步介绍了该过程的每个部分。

术语

在设置 CMG 的上下文中使用以下术语。 为了清楚起见，此处定义了它们。

• Microsoft Entra ID 租户：用户帐户和应用注册的目录。 一个租户可以有多个订阅。

• Azure 订阅：订阅将计费、资源和服务分开。 它与单个租户相关联。

  提示

  有关详细信息，请参阅 Microsoft 云产品/服务的订阅、许可证、帐户和租户。

• Azure 资源组：一个容器，用于保存 Azure 解决方案的相关资源。 资源组包括要作为组进行管理的资源。 根据哪些资源对组织最有意义，决定哪些资源属于资源组。 有关详细信息，请参阅 资源组。

• CMG 服务名称：CMG 服务器身份验证证书 (CN) 的公用名称。 客户端和 CMG 连接点站点系统角色与此服务名称通信。 例如，GraniteFalls.Contoso.Com 或 GraniteFalls.WestUS.CloudApp.Azure.Com。

• CMG 部署名称：服务名称的第一部分加上云服务部署的 Azure 位置。 服务连接点的云服务管理器组件在 Azure 中部署 CMG 时使用此名称。 部署名称始终位于 Azure 域中。 Azure 位置取决于部署方法，例如：

  • 虚拟机规模集： GraniteFalls.WestUS.CloudApp.Azure.Com
  • 经典部署： GraniteFalls.CloudApp.Net

清单

使用以下清单确保拥有创建 CMG 所需的信息和先决条件：

• 要使用的 Azure 环境。 例如，Azure 公有云或 Azure 美国政府云。

• 此 CMG 部署的 Azure 区域。

• 缩放和冗余需要多少个 VM 实例。

• Azure 应用程序开发人员、云应用程序管理员、应用程序管理员或全局管理员角色，用于在Microsoft Entra ID 中注册应用。

• 在 Azure 中创建 CMG 时的 Azure 订阅所有者 角色。

• 计划添加 CMG 连接点 角色的至少一个现有站点系统服务器。

• 查看 Internet 访问要求 ，确保可以访问每个所需的服务。

• 启用此可选功能。

在此过程中的后续步骤中，你将设置其他必备组件。

使用 PowerShell 实现自动化

（可选）可以使用 PowerShell 自动执行 CMG 设置的各个方面。 虽然某些 cmdlet 在早期版本中可用，但版本 2010 包括新的 cmdlet 和对现有 cmdlet 的重大改进。

例如，Azure 管理员首先在Microsoft Entra ID 中创建两个必需的应用。 然后编写一个脚本，该脚本使用以下 cmdlet 部署 CMG：

1. Import-CMAADServerApplication：在 Configuration Manager 中创建Microsoft Entra服务器应用定义。
2. Import-CMAADClientApplication：在 Configuration Manager 中创建Microsoft Entra客户端应用定义。
3. 使用 Get-CMAADApplication 获取应用对象，然后传递给 New-CMCloudManagementAzureService 以在 Configuration Manager 中创建 Azure 服务连接。
4. New-CMCloudManagementGateway：在 Azure 中创建 CMG 服务。
5. Add-CMCloudManagementGatewayConnectionPoint：创建 CMG 连接点站点系统。

可以使用这些 cmdlet 自动创建、配置和管理 CMG 服务和Microsoft Entra要求。

Configuration Manager 中的Microsoft Entra应用定义：

• Get-CMAADApplication
• Import-CMAADClientApplication
• Import-CMAADServerApplication

Configuration Manager 中的云管理 Azure 服务：

• New-CMCloudManagementAzureService
• Set-CMCloudManagementAzureService
• Get-CMAzureService
• Remove-CMAzureService

Configuration Manager 中的云管理网关服务：

• Get-CMCloudManagementGateway
• New-CMCloudManagementGateway
• Remove-CMCloudManagementGateway
• Set-CMCloudManagementGateway
• Start-CMCloudManagementGateway
• Stop-CMCloudManagementGateway

CMG 连接点站点系统角色：

• Add-CMCloudManagementGatewayConnectionPoint
• Get-CMCloudManagementGatewayConnectionPoint
• Remove-CMCloudManagementGatewayConnectionPoint
• Set-CMCloudManagementGatewayConnectionPoint

后续步骤

通过获取服务器身份验证证书开始使用 CMG 设置：

CMG 服务器身份验证证书