在 Configuration Manager 中規劃 CMG

適用於:Configuration Manager (目前的分支)

若要簡化以網際網路為基礎的用戶端管理,請先開發雲端管理閘道 (CMG) 的計畫。 設計其適合您環境的方式,並為您的實作做好準備。

如需 CMG 案例和使用案例的詳細基礎知識,請參閱 CMG 概觀

注意事項

本文先前的一些章節已移動:

規劃檢查清單

整體 CMG 規劃程式分成下列部分:

  • 元件和需求:本文摘要說明組成 CMG 系統的元件。 它也會列出系統需求。

  • 用戶端驗證:判斷您將針對來自潛在不受信任網路的用戶端使用哪一種驗證方法。

  • 階層設計:規劃將 CMG 放在環境中的位置。

  • 支援的設定:瞭解您可以在連線到 CMG 的網際網路型用戶端上支援哪些Configuration Manager功能。

  • 效能和規模:決定您需要多少服務元件才能支援用戶端數目。

  • 成本:瞭解以 Azure 為基礎的元件成本。

CMG 元件

CMG 的部署和作業包含下列元件:

  • Azure 中的CMG 雲端服務會透過網際網路驗證用戶端要求,並將Configuration Manager轉送至內部部署 CMG 連接點。

  • CMG 連接點月臺系統角色可啟用從內部部署網路到 Azure 中 CMG 服務的一致且高效能連線。 它也會將設定發佈至 CMG,包括連線資訊和安全性設定。 CMG 連接點會根據 URL 對應,將用戶端要求從 CMG 轉送至內部部署角色。 例如,管理點和軟體更新點。

  • 服務連接點月臺系統角色會執行雲端服務管理員元件,以處理所有 CMG 部署工作。 此外,它會監視並報告來自Microsoft Entra識別碼的服務健康情況和記錄資訊。 請確定您的服務連接點處於 線上模式

  • 管理點軟體更新點月臺系統角色服務用戶端要求一般。

  • CMG 會使用憑 證型 HTTPS Web 服務來協助保護與用戶端的網路通訊。

  • 以網際網路為基礎的用戶端會連線到 CMG,以存取內部部署Configuration Manager元件。 用戶端身分識別和驗證有多個選項:

    • Microsoft Entra ID
    • PKI 憑證
    • Configuration Manager網站發行的權杖

    如需詳細資訊,請參閱 規劃 CMG 用戶端驗證

  • CMG 會建立 Azure 儲存體帳戶,以用於其標準作業。 根據預設,CMG 也已啟用內容功能,可將部署內容提供給以網際網路為基礎的用戶端。 此儲存體帳戶不支援自訂專案,例如虛擬網路限制。

    注意事項

    雲端式發佈點 (CDP) 已被取代。 從 2107 版開始,您無法建立新的 CDP 實例。 若要將內容提供給以網際網路為基礎的裝置,請讓 CMG 發佈內容。

Azure 資源管理

您可以使用Azure Resource Manager部署來建立 CMG。 Azure Resource Manager是將所有解決方案資源當作單一實體管理的新式平臺,稱為資源群組。 當您使用 Azure Resource Manager 部署 CMG 時,月臺會使用Microsoft Entra識別碼來驗證和建立必要的雲端資源。

重要事項

從 2203 版開始,會移除將 CMG 部署為雲端 服務 (傳統) 的選項。 所有 CMG 部署都應該使用 虛擬機器擴展集 如需詳細資訊,請參閱 已移除和已淘汰的功能

虛擬機器擴展集

注意事項

這項功能最初是在 2010 版中導入為 發行前版本功能。 從 2107 版開始,它不再是發行前版本功能。

Configuration Manager預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能

從 2010 版開始,具有雲端解決方案提供者 (CSP) 訂用帳戶的客戶可以在 Azure 中使用 虛擬機器擴展集 來部署 CMG。 只有在目前沒有使用傳統雲端服務部署到另一個訂用帳戶的 CMG 時,才支援此支援。

從 2107 版開始,所有客戶都可以使用虛擬機器擴展集來部署 CMG。 如果您已使用傳統雲端服務部署現有的 CMG,請將 CMG 轉換為 使用虛擬機器擴展集。

除了一些例外狀況,CMG 的組態、作業和功能會維持不變。

  • Azure 訂用帳戶中的其他 Azure 資源提供者

  • 不同的部署名稱,例如,GraniteFalls.EastUS.CloudApp.Azure.Com 美國東部Azure 區域中的部署。 此名稱變更可能會影響您建立及管理 CMG 伺服器驗證憑證方式

  • CMG 連接點只會透過 HTTPS 與 Azure 中的虛擬機器擴展集通訊。 它不需要 TCP-TLS 埠。

具有虛擬機器擴展集的 CMG 限制

2107 版和更新版本的限制

注意事項

從 2111 版開始,具有虛擬機器擴展集的 CMG 部署支援 Azure 美國政府雲端環境。

  • 使用者可能會在軟體中心內遇到最多三秒的動作延遲。
  • 您無法透過 CMG 核准/拒絕應用程式要求。
  • 版本 2107 不支援 Azure 美國政府雲端環境。

2010 和 2103 版的限制

  • 如果您需要多個 CMG 實例,它們都必須使用相同的部署方法。
  • 每個 VM 實例支援的並行用戶端連線數目為 2,000 個。 如需詳細資訊,請參閱 CMG 效能和規模
  • 只有獨立主要月臺才支援此功能。
  • 它不支援 Azure US Gov 雲端環境。
  • 使用者可能會在軟體中心內遇到最多三秒的動作延遲。
  • Configuration Manager目前會根據資源群組的名稱建立 Azure 儲存體容器。 Azure 對於資源群組和儲存體容器有不同的命名需求。 請確定此服務的資源組名只有小寫字母、數位和連字號。 如果您有無法運作的現有資源群組,請在Azure 入口網站中重新命名,或建立新的資源群組。
  • 如果您有多個 HTTPS 管理點,則無法透過網際網路在裝置上安裝Configuration Manager用戶端。 如果您需要 使用 CMG 安裝內部部署客戶端,則只能有一個 HTTPS 管理點。 您也需要啟用內容的 CMG。
  • 您無法透過 CMG 核准/拒絕應用程式要求。

需求

提示

若要厘清一些 Azure 術語:

  • Microsoft Entra標識符租使用者是使用者帳戶和應用程式註冊的目錄。 一個租使用者可以有多個訂用帳戶。
  • Azure 用帳戶會分隔計費、資源和服務。 它與單一租使用者相關聯。

如需詳細資訊,請參閱 Microsoft 雲端供應專案的訂閱、授權、帳戶和租使用者

  • 用來裝載 CMG 的 Azure 訂 用帳戶。 此訂用帳戶可以位於下列其中一個環境中:

    • 全域 Azure 雲端
    • Azure 美國政府雲端

    具有雲端服務提供者 (CSP) 訂用帳戶的客戶,必須搭配 虛擬機器擴展集 部署使用 2010 版或更新版本。

  • 將網站與Microsoft Entra標識符整合,以使用 Azure Resource Manager部署服務。 如需詳細資訊,請參閱設定 CMG 的Microsoft Entra識別碼

    當您將網站上線以Microsoft Entra識別碼時,可以選擇性地啟用Microsoft Entra使用者探索。 您不需要建立 CMG,但如果您打算搭配混合式身分識別使用Microsoft Entra驗證,則為必要專案。 如需詳細資訊,請參閱使用Microsoft Entra識別碼安裝客戶端,並參閱關於Microsoft Entra使用者探索

  • Azure 系統管理員必須參與初始建立特定元件。 此角色可以與Configuration Manager系統管理員相同,或是分開。 如果分開,則不需要Configuration Manager的許可權。

    • 當您將網站與使用 Azure Resource Manager 部署 CMG 的Microsoft Entra識別碼整合時,您需要全局管理員

    • 當您建立 CMG 時,您需要 Azure 訂用帳戶擁有者和Microsoft Entra標識符全域管理員的帳戶。

  • 您的使用者帳戶必須是 Configuration Manager 中的系統管理員基礎結構系統管理員

  • 至少一部內部部署 Windows 伺服器來裝載 CMG 連接點。 您可以將此角色與其他Configuration Manager月臺系統角色共置。

  • 服務連接點必須處於線上模式

  • 設定 管理點 以允許來自 CMG 的流量。 它也需要 HTTPS,或設定增強 HTTP的網站。

  • CMG 的 伺服器驗證憑證

  • CMG 名稱必須介於 3-24 個英數位元之間。 名稱的開頭必須是字母、以字母或數位結尾,而且不包含連續的連字號。

  • 視您的用戶端 OS 版本和驗證模型而定,可能需要其他憑證。 如需詳細資訊, 請參閱設定用戶端驗證

  • 用戶端必須使用 IPv4

  • 請確定已針對將使用 CMG 的裝置啟用雲端服務群組中的下列用戶端設定

    • 讓用戶端使用雲端管理閘道
    • 允許存取雲端發佈點

    注意事項

    如果您啟用 [在 可用時下載差異內容] 的用戶端設定,則協力廠商更新的內容將不會下載至用戶端。

後續步驟

接下來,判斷用戶端如何使用 CMG 進行驗證: