Einrichten der Prüfliste für CMG

Artikel
11/18/2023

Gilt für: Configuration Manager (Current Branch)

Bevor Sie ein Cloudverwaltungsgateway (CMG) bereitstellen, verwenden Sie diesen Artikel, um den Einrichtungsprozess zu verstehen. Stellen Sie außerdem sicher, dass Alle Voraussetzungen für den Einstieg bereit sind.

Entwickeln Sie zunächst Ihren Entwurf und Plan für die Implementierung eines CMG in Ihrer Umgebung. Weitere Informationen finden Sie unter Planen des Cloudverwaltungsgateways. Verwenden Sie diesen Abschnitt von Artikeln, um Ihren CMG-Entwurf zu bestimmen.

Der gesamte CMG-Einrichtungsprozess ist in die folgenden fünf Standard Teile unterteilt:

Abrufen des CMG-Serverauthentifizierungszertifikats: Das CMG verwendet HTTPS für die sichere Clientkommunikation über das öffentliche Internet. Sie können ein Zertifikat von einem öffentlichen Anbieter abrufen oder eines aus Ihrer Public Key-Infrastruktur (PKI) ausstellen.
Konfigurieren Microsoft Entra ID: Configuration Manager erfordert App-Registrierungen in Microsoft Entra ID. Sie können Configuration Manager sie erstellen lassen, oder ein Azure-Administrator kann die Registrierungen vorab erstellen.
Konfigurieren der Clientauthentifizierung: Da Clients über das Internet kommunizieren, erfordert Configuration Manager mehr Sicherheit für diesen Kanal. Sie können Microsoft Entra-ID, PKI-Zertifikate oder tokenbasierte Authentifizierung vom Standortserver verwenden.
Einrichten des CMG: Dieser Schritt umfasst auch das Konfigurieren des Standorts und das Hinzufügen der Standortsystemrolle CMG-Verbindungspunkt.
Konfigurieren Sie Clients für die Verwendung des CMG.

Die anderen Artikel in diesem Abschnitt durchlaufen die einzelnen Teile des Prozesses.

Begrifflichkeiten

Die folgenden Begriffe werden im Kontext der Einrichtung eines CMG verwendet. Sie werden hier aus Gründen der Übersichtlichkeit definiert.

Microsoft Entra ID-Mandant: Das Verzeichnis der Benutzerkonten und App-Registrierungen. Ein Mandant kann über mehrere Abonnements verfügen.
Azure-Abonnement: Ein Abonnement trennt Abrechnung, Ressourcen und Dienste. Sie ist einem einzelnen Mandanten zugeordnet.

Tipp

Weitere Informationen finden Sie unter Abonnements, Lizenzen, Konten und Mandanten für die Cloudangebote von Microsoft.
Azure-Ressourcengruppe: Ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe enthält die Ressourcen, die Sie als Gruppe verwalten möchten. Sie entscheiden, welche Ressourcen zu einer Ressourcengruppe gehören, basierend darauf, was für Ihre organization am sinnvollsten ist. Weitere Informationen finden Sie unter Ressourcengruppen.
CMG-Dienstname: Der allgemeine Name (Common Name, CN) des CMG-Serverauthentifizierungszertifikats. Clients und die CMG-Verbindungspunkt-Standortsystemrolle kommunizieren mit diesem Dienstnamen. Zum Beispiel GraniteFalls.Contoso.Com oder GraniteFalls.WestUS.CloudApp.Azure.Com.
CMG-Bereitstellungsname: Der erste Teil des Dienstnamens sowie der Azure-Standort für die Clouddienstbereitstellung. Die Clouddienst-Manager-Komponente des Dienstverbindungspunkts verwendet diesen Namen bei der Bereitstellung des CMG in Azure. Der Bereitstellungsname befindet sich immer in einer Azure-Domäne. Der Azure-Standort hängt von der Bereitstellungsmethode ab, z. B.:
- VM-Skalierungsgruppe: GraniteFalls.WestUS.CloudApp.Azure.Com
- Klassische Bereitstellung: GraniteFalls.CloudApp.Net

Prüfliste

Verwenden Sie die folgende Prüfliste, um sicherzustellen, dass Sie über die erforderlichen Informationen und Voraussetzungen zum Erstellen eines CMG verfügen:

Die zu verwendende Azure-Umgebung. Beispielsweise die öffentliche Azure-Cloud oder die Azure US Government-Cloud.
Die Azure-Region für diese CMG-Bereitstellung.
Wie viele VM-Instanzen Sie für Skalierung und Redundanz benötigen.
Azure-Anwendungsentwickler, Cloudanwendungsadministrator, Anwendungsadministrator oder globaler Administrator zum Registrieren von Apps in Microsoft Entra ID.
Eine Azure-Abonnementbesitzerrolle für beim Erstellen des CMG in Azure.
Mindestens einen vorhandenen Standortsystemserver, auf dem Sie die CMG-Verbindungspunktrolle hinzufügen möchten.
Überprüfen Sie die Internetzugriffsanforderungen , um sicherzustellen, dass alle erforderlichen Dienste erreicht werden können.
Aktivieren Sie dieses optionale Feature.

In den nächsten Schritten des Prozesses richten Sie weitere erforderliche Komponenten ein.

Automatisieren mit PowerShell

Optional können Sie Aspekte der CMG-Einrichtung mithilfe von PowerShell automatisieren. Während einige Cmdlets in früheren Versionen verfügbar waren, enthält Version 2010 neue Cmdlets und erhebliche Verbesserungen an vorhandenen Cmdlets.

Beispielsweise erstellt ein Azure-Administrator zuerst die beiden erforderlichen Apps in Microsoft Entra ID. Anschließend schreiben Sie ein Skript, das die folgenden Cmdlets verwendet, um ein CMG bereitzustellen:

Import-CMAADServerApplication: Erstellen Sie die Microsoft Entra-Server-App-Definition in Configuration Manager.
Import-CMAADClientApplication: Erstellen Sie die Microsoft Entra Client-App-Definition in Configuration Manager.
Verwenden Sie Get-CMAADApplication, um die App-Objekte abzurufen, und übergeben Sie dann an New-CMCloudManagementAzureService, um die Azure-Dienstverbindung in Configuration Manager zu erstellen.
New-CMCloudManagementGateway: Erstellen Sie den CMG-Dienst in Azure.
Add-CMCloudManagementGatewayConnectionPoint: Erstellen Sie das Standortsystem des CMG-Verbindungspunkts.

Sie können diese Cmdlets verwenden, um die Erstellung, Konfiguration und Verwaltung des CMG-Diensts und Microsoft Entra Anforderungen zu automatisieren.

Microsoft Entra App-Definitionen in Configuration Manager:

Der Azure-Dienst cloud management in Configuration Manager:

Der Cloudverwaltungsgatewaydienst in Configuration Manager:

Die Standortsystemrolle CMG-Verbindungspunkt:

Nächste Schritte

Beginnen Sie mit der CMG-Einrichtung, indem Sie ein Serverauthentifizierungszertifikat abrufen:

CMG-Serverauthentifizierungszertifikat