設定適用于 Configuration Manager 的 CMG
適用於:Configuration Manager (目前的分支)
一旦備妥必要條件,您就可以開始設定雲端管理閘道的程式, (CMG) 。 開始此程式之前,請確定您有建立 CMG 的必要資訊和必要條件。 如需詳細資訊, 請參閱設定 CMG 的檢查清單。
整個程式的這個步驟包含下列動作:
- 使用 Configuration Manager 主控台在 Azure 中建立 CMG 服務。
- 設定用戶端憑證驗證的主要月臺。
- 新增 CMG 連接點月臺系統角色。
- 設定 CMG 流量的管理點和軟體更新點。
- 設定界限群組。
設定 CMG
注意事項
在 Azure 中使用 虛擬機器擴展集 部署 CMG,最初是在 2010 版中導入為 發行前版本功能。 從 2107 版開始,它不再是發行前版本功能。
Configuration Manager預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能。
在最上層月臺上執行此程式。 該網站是獨立主要月臺,或是管理中心網站 (CAS) 。
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開[雲端服務],然後選取 [雲端管理閘道]。
選取功能區中的 [ 建立雲端管理閘道 ]。
在精靈的 [ 一般 ] 頁面上,先指定此 CMG 的 Azure 環境 :
- AzurePublicCloud:在全域 Azure 雲端中建立服務。
- AzureUSGovernmentCloud:在 Azure 美國政府雲端中建立服務。
接下來,選擇您想要在 Azure 中部署 CMG 的方式:
虛擬機器擴展集
從 2203 版開始,虛擬機器擴展集是唯一的選項。
從 2107 版開始,此選項是建議的部署方法。 即使您已使用雲端服務部署現有的 CMG (傳統) 方法,也請將新的 CMG 實例部署為虛擬機器擴展集。
在 2010 和 2103 版中,您必須啟用此發行前版本功能才能看到它。 在這些版本中,它僅適用于具有雲端解決方案提供者 (CSP) 訂用帳戶的客戶。 如果您已使用雲端服務部署 CMG (傳統) 方法,則無法使用此選項。 如需詳細資訊,請 參閱規劃 CMG:虛擬機器擴展集。
雲端服務 (傳統)
重要事項
從 2203 版開始,會移除將 CMG 部署為雲端 服務 (傳統) 的選項。 所有 CMG 部署都應該使用 虛擬機器擴展集。 如需詳細資訊,請參閱 已移除和已淘汰的功能。
在 2107 版和更新版本中,只有當您因為其中一個 限制而無法使用虛擬機器擴展集進行部署時,才使用此選項。
在 2010 和 2103 版中,大部分的客戶都應該使用此部署方法。
從 2309 版開始,選取 [Microsoft Entra租使用者名稱],Microsoft Entra應用程式名稱會自動填入。 選取 [登入]。 使用 Azure 訂用帳戶 擁有者 帳戶進行驗證。 如果您擁有多個訂用帳戶,請選取您要使用之訂用帳戶的訂用帳戶 標識 符。
注意事項
從 2309 版開始,我們已淘汰使用第一方應用程式來建立 CMG。 現在,CMG 會使用協力廠商伺服器應用程式來取得持有人權杖。
在 2303 版和以下版本中,選取 [登入]。 使用 Azure 訂用帳戶 擁有者 帳戶進行驗證。 精靈會自動從Microsoft Entra整合必要條件期間儲存的資訊填入其餘欄位。 如果您擁有多個訂用帳戶,請選取您要使用之訂用帳戶的訂用帳戶 標識 符。
選 取 [下一步],然後等候月臺測試與 Azure 的連線。
在精 靈的 [設定 ] 頁面上,先 流覽 至 。CMG 伺服器驗證憑證的 PFX 檔案 (憑證檔案) 。 此憑證中的一般名稱是用來填入 [服務名稱 ] 和 [ 部署名稱] 字 段。
如果您使用萬用字元憑證,請將 [服務名稱] 欄位中的星號 (
*
) 取代為 CMG 的全域唯一部署名稱前置詞。選擇性地指定描述,以在 Configuration Manager 主控台中進一步識別此 CMG。
為此 CMG 選取 Azure 區域 。 可用區域的清單可能會根據選取的訂用帳戶而有所不同。
選取 [資源群組 ] 選項:
如果您選擇 [使用現有的],請從清單中選取現有的資源群組。 此資源群組必須已經存在於您為 CMG 選取的相同區域中。 如果您選取現有的資源群組,且其位於與先前選取區域不同的區域,則 CMG 將無法部署。
如果您選擇 [ 新建],請輸入新的資源組名。
根據預設, VM 大小 為 標準 (A2_V2) 。 選取您的設計指定的另一個選項。 例如,針對每個 VM 增加的用戶端容量進行大型 (A4_v2) ,或在小型測試環境中) 實驗室 (B2。
重要事項
實驗室 (B2s) 大小 VM 僅適用于實驗室測試和小型概念證明環境。 例如,使用 Configuration Manager Technical Preview 分支。 B2s VM 不適用於與 CMG 搭配生產環境使用。 其成本低且效能低。
在 [ VM 實例] 欄位中,輸入此服務的 VM 數目。 預設值為一個,但您可以針對每個 CMG 相應增加至 16 個 VM。
如果您使用用戶端驗證憑證,請選取 [ 憑證 ] 以新增受信任的根憑證。 在信任鏈結中新增所有憑證。
注意事項
使用Microsoft Entra識別碼或月臺發行的權杖進行用戶端驗證時,不需要受信任的根憑證。
根據預設,精靈會啟用 [ 驗證用戶端憑證撤銷] 選項。 (CRL) 的憑證撤銷清單必須公開發布,此驗證才能運作。 如需詳細資訊,請 參閱發佈憑證撤銷清單。
根據預設,精靈會啟用 [ 強制執行 TLS 1.2]選項。 此設定需要 Azure VM 使用 TLS 1.2 加密通訊協定。 不適用於任何內部部署Configuration Manager月臺伺服器或用戶端。 從更新 匯總的 2107 版開始,此設定也適用于 CMG 儲存體帳戶。 如需詳細資訊,請 參閱如何啟用 TLS 1.2。
根據預設,精靈會啟用 [ 允許 CMG 作為雲端發佈點並從 Azure 儲存體提供內容] 選項。 如果您打算將具有內容的部署目標設定為用戶端,則必須設定 CMG 來提供內容。
接下來是精靈 的 [警示 ] 頁面。 若要監視具有 14 天閾值的 CMG 流量,請啟用閾值警示。 然後指定閾值,以及要引發不同警示層級的百分比。 您也可以啟用儲存體警示閾值。 完成時,請選擇 [下一步 ]。
檢閱設定,並完成精靈。
Configuration Manager開始設定服務。 在 Azure 中完全布建服務所需的時間取決於您指定的設定。 若要判斷服務何時就緒,請檢視新 CMG 的 [狀態 ] 資料行。
若要針對 CMG 部署進行疑難排解,請使用 CloudMgr.log 和 CMGSetup.log。 如需詳細資訊,請 參閱監視 CMG。
提示
您也可以在此程式中使用 PowerShell Cmdlet New-CMCloudManagementGateway 。 選擇性地使用此 Cmdlet 來建立 CMG 服務。 如需詳細資訊,請參閱 New-CMCloudManagementGateway。
設定用戶端憑證驗證的主要月臺
如果您使用 用戶端驗證憑證 讓用戶端向 CMG 進行驗證,請遵循此程式來設定每個主要月臺。
在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺]。
選取指派網際網路型用戶端的主要月臺,然後選擇 [ 屬性]。
切換至 [ 通訊安全性] 索引標籤,然後選取 [ 在可用時使用 PKI 用戶端憑證 (用戶端驗證) ] 。
如果您未發佈 CRL,請停用下列選項:用戶端會 檢查月臺系統之 CRL) (憑證撤銷清單。
新增 CMG 連接點
CMG 連接點是從內部部署Configuration Manager部署到雲端式 CMG 通訊所需的月臺系統角色。 開始此程式之前,您應該已開發角色的計畫,並識別出至少一部現有的月臺系統伺服器。 如需詳細資訊,請 參閱規劃 CMG。
若要新增 CMG 連接點,下列步驟摘要說明 安裝月臺系統角色的指示:
在 Configuration Manager 主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [伺服器和月臺系統角色]節點。
選取您要新增此角色的現有月臺伺服器。 在功能區中的 [ 常用] 索引卷 標上,選取 [ 新增月臺系統角色]。
在 [系統角色選取] 畫面上,選擇 [雲端管理閘道連接點],然後選取 [ 下一步]。 選擇此伺服器連線的 雲端管理閘道名稱 。 精靈會顯示所選 CMG 的區域。
重要事項
如果您使用用戶端驗證憑證,CMG 連接點需要此憑證。 如需詳細資訊,請 參閱用戶端驗證憑證。
若要針對 CMG 服務健康情況進行疑難排解,請使用 CMGService.log 和 SMS_Cloud_ProxyConnector.log。 如需詳細資訊,請參閱 記錄檔。
提示
您也可以選擇性地使用 PowerShell Cmdlet Add-CMCloudManagementGatewayConnectionPoint ,將 CMG 連接點角色新增至月臺系統伺服器。
設定 CMG 流量的用戶端對應角色
設定管理點和軟體更新點月臺系統以接受 CMG 流量。 針對服務以網際網路為基礎的用戶端的所有管理點和軟體更新點,在主要月臺上執行此程式。
在 Configuration Manager 主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [伺服器和月臺系統角色]節點。 在功能區的 [常用] 索引標籤上,于 [檢視] 群組中,選取 [具有角色的伺服器]。 然後從清單中選取 [管理點 ]。
選取您要為 CMG 流量設定的月臺系統伺服器。 在詳細資料窗格中選取 [管理點 ] 角色,然後在功能區的 [月臺角色] 群組中,選取 [ 屬性]。
在 [管理點屬性] 工作表的 [用戶端連線] 下,選取 [允許Configuration Manager雲端管理閘道流量]。
根據您的 CMG 設計和Configuration Manager版本,您可能需要啟用HTTPS選項。 如需詳細資訊,請參閱 啟用 HTTPS 的管理點。
選取 [確定 ] 以關閉管理點屬性視窗。
視需要針對其他管理點和任何軟體更新點重複這些步驟。
設定界限群組
您可以將 CMG 與界限群組產生關聯。 此設定可讓用戶端根據界限群組關聯性,使用 CMG 進行用戶端通訊。 此設定對於 VPN 或分公司用戶端而言,比透過 VPN 或 WAN 連線更適合透過 CMG 來管理它們。 如果您啟用 [ 偏好使用雲端式來源而非內部部署來源 ] 選項,則用戶端會偏好原則和內容的 CMG。
如需界限群組的詳細資訊, 請參閱設定界限群組。
當您 建立或設定界限群組時,請在 [ 參考 ] 索引標籤上新增雲端管理閘道。 此動作會將 CMG 與這個界限群組產生關聯。
BranchCache
若要啟用已啟用內容的 CMG 以使用 Windows BranchCache,請在月臺伺服器上安裝 BranchCache 功能。
如果月臺伺服器具有內部部署發佈點月臺系統角色,請將該角色屬性中的 選項設定為 [啟用並設定 BranchCache]。 如需詳細資訊, 請參閱設定發佈點。
如果月臺伺服器沒有發佈點角色,請在 Windows 中安裝 BranchCache 功能。 如需詳細資訊,請 參閱安裝 BranchCache 功能。
如果您已經將內容發佈至 CMG,然後決定啟用 BranchCache,請先安裝此功能。 然後將內容重新發佈至 CMG。
發佈和管理內容
將內容發佈至啟用內容的 CMG,與任何其他發佈點相同。 除非管理點具有用戶端要求的內容,否則不會在內容位置清單中包含 CMG。 如需詳細資訊,請參閱 散發和管理內容。
管理 CMG 上的內容與任何其他發佈點相同。 這些動作包括將它指派給發佈點群組,以及管理內容套件。 如需詳細資訊,請 參閱安裝和設定發佈點。
後續步驟
設定 CMG 的用戶端,以繼續您的 CMG 設定: