Certificados para Cloud Management GatewayCertificates for the cloud management gateway

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

Según el escenario que use para administrar clientes en Internet con Cloud Management Gateway (CMG), necesita uno o varios de los certificados digitales siguientes:Depending upon the scenario you use to manage clients on the internet with the cloud management gateway (CMG), you need one or more of the following digital certificates:

Para obtener más información sobre los diferentes escenarios, vea Plan for cloud management gateway (Planificación para Cloud Management Gateway).For more information about the different scenarios, see plan for cloud management gateway.

Información generalGeneral information

Los certificados para Cloud Management Gateway admiten las siguientes configuraciones:Certificates for the cloud management gateway support the following configurations:

  • Longitud de clave de 2048 o 4096 bits2048-bit or 4096-bit key length

  • Proveedores de almacenamiento de claves para claves privadas de certificado.Key storage providers for certificate private keys. Para obtener más información, consulte Introducción a los certificados CNG.For more information, see CNG certificates overview.

  • Al configurar Windows con la siguiente directiva: Criptografía de sistema: use algoritmos que cumplan la norma FIPS para cifrado, aplicación de algoritmo hash y firma.When you configure Windows with the following policy: System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing

  • TLS 1.2.TLS 1.2. Para más información, consulte Habilitación de TLS 1.2.For more information, see How to enable TLS 1.2.

Certificado de autenticación de servidor CMGCMG server authentication certificate

Este certificado es necesario en todos los escenarios.This certificate is required in all scenarios.

Este certificado se proporciona al crear la instancia de CMG en la consola de Configuration Manager.You supply this certificate when creating the CMG in the Configuration Manager console.

CMG crea un servicio HTTPS al que se conectan los clientes basados en Internet.The CMG creates an HTTPS service to which internet-based clients connect. El servidor requiere un certificado de autenticación de servidor para crear el canal seguro.The server requires a server authentication certificate to build the secure channel. Puede adquirir un certificado para este fin de un proveedor público o emitirlo desde su propia infraestructura de clave pública (PKI).Acquire a certificate for this purpose from a public provider, or issue it from your public key infrastructure (PKI). Para obtener más información, vea Certificado raíz de confianza de CMG para clientes.For more information, see CMG trusted root certificate to clients.

Nota

El certificado de autenticación de servidor de CMG admite caracteres comodín.The CMG server authentication certificate supports wildcards. Algunas entidades de certificación emiten certificados con un carácter comodín para el nombre de host.Some certificate authorities issue certificates using a wildcard character for the hostname. Por ejemplo, *.contoso.com.For example, *.contoso.com. Algunas organizaciones usan certificados con caracteres comodín para simplificar sus PKI y reducir los costos de mantenimiento.Some organizations use wildcard certificates to simplify their PKI and reduce maintenance costs.

Para más información sobre cómo usar un certificado comodín con una instancia de CMG, vea Configurar una instancia de CMG.For more information on how to use a wildcard certificate with a CMG, see Set up a CMG.

Este certificado requiere un nombre único global para identificar el servicio de Azure.This certificate requires a globally unique name to identify the service in Azure. Antes de solicitar un certificado, confirme que el nombre de dominio de Azure que quiere sea único.Before requesting a certificate, confirm that the Azure domain name you want is unique. Por ejemplo, GraniteFalls.CloudApp.Net.For example, GraniteFalls.CloudApp.Net.

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.

  2. Seleccione Todos los recursos y, luego, seleccione Agregar.Select All resources, and then select Add.

  3. Busque el servicio en la nube.Search for Cloud service. Seleccione Crear.Select Create.

  4. En el campo Nombre DNS, escriba el prefijo que quiere, por ejemplo, GraniteFalls.In the DNS name field, type the prefix you want, for example GraniteFalls. La interfaz mostrará si el nombre de dominio está disponible o si ya está en uso por otro servicio.The interface reflects whether the domain name is available or already in use by another service.

    Importante

    No cree el servicio en el portal, simplemente use este proceso para comprobar si el nombre está disponible.Don't create the service in the portal, just use this process to check the name availability.

Si también permitirá la instancia de CMG para el contenido, confirme que el nombre del servicio de CMG también sea un nombre único de cuenta de almacenamiento de Azure.If you will also enable the CMG for content, confirm that the CMG service name is also a unique Azure storage account name. Si el nombre del servicio en la nube de CMG es único, pero el nombre de la cuenta de almacenamiento no lo es, Configuration Manager no puede aprovisionar el servicio en Azure.If the CMG cloud service name is unique, but the storage account name isn't, Configuration Manager fails to provision the service in Azure. Repita el proceso mencionado en Azure Portal con estos cambios:Repeat the above process in the Azure portal with the following changes:

  • Busque la cuenta de almacenamiento.Search for Storage account
  • Puede su nombre en el campo Storage account name (Nombre de la cuenta de almacenamiento).Test your name in the Storage account name field

El perfil de nombre DNS (por ejemplo, GraniteFalls) debe tener entre 3 y 24 caracteres alfanuméricos.The DNS name prefix, for example GraniteFalls, should be 3 to 24 characters long, and only use alphanumeric characters. No use caracteres especiales, como guiones (-).Don't use special characters, like a dash (-).

Certificado raíz de confianza de CMG para clientesCMG trusted root certificate to clients

Los clientes deben confiar en el certificado de autenticación de servidor CMG.Clients must trust the CMG server authentication certificate. Hay dos métodos para conseguir esta relación de confianza:There are two methods to accomplish this trust:

  • Usar un certificado de un proveedor de certificados público y de confianza global.Use a certificate from a public and globally trusted certificate provider. Por ejemplo, DigiCert, VeriSign o Thawte, entre otros.For example, but not limited to, DigiCert, Thawte, or VeriSign. Los clientes de Windows incluyen entidades de certificación raíz de confianza (CA) de estos proveedores.Windows clients include trusted root certificate authorities (CAs) from these providers. Al usar un certificado de autenticación de servidor emitido por uno de estos proveedores, los clientes confían automáticamente en él.By using a server authentication certificate issued by one of these providers, your clients automatically trust it.

  • Usar un certificado emitido por una entidad de certificación de empresa de la infraestructura de clave pública (PKI).Use a certificate issued by an enterprise CA from your public key infrastructure (PKI). La mayoría de las implementaciones de PKI de empresa agregan las entidades de certificación raíz de confianza a clientes de Windows.Most enterprise PKI implementations add the trusted root CAs to Windows clients. Por ejemplo, mediante el uso de Servicios de certificados de Active Directory con una directiva de grupo.For example, using Active Directory Certificate Services with group policy. Si emite el certificado de autenticación de servidor CMG desde una entidad de certificación en la que los clientes no confían automáticamente, agregue el certificado raíz de confianza de la entidad de certificación a los clientes basados en Internet.If you issue the CMG server authentication certificate from a CA that your clients don't automatically trust, add the CA trusted root certificate to internet-based clients.

Certificado de autenticación de servidor emitido por un proveedor públicoServer authentication certificate issued by public provider

Un proveedor de certificados de terceros no puede crear un certificado para CloudApp.net, ya que el dominio es propiedad de Microsoft.A third-party certificate provider can't create a certificate for CloudApp.net, as that domain is owned by Microsoft. Solo puede obtener un certificado emitido para un dominio que sea de su propiedad.You can only get a certificate issued for a domain you own. La razón principal para adquirir un certificado de un proveedor de terceros es que los clientes ya confíen en el certificado raíz de dicho proveedor.The main reason for acquiring a certificate from a third-party provider is that your clients already trust that provider's root certificate.

Siga este procedimiento para crear un alias DNS:Use the following process to create a DNS alias:

  1. Crear un registro de nombre canónico (CNAME) en el DNS público de su organización.Create a canonical name record (CNAME) in your organization's public DNS. Este registro crea un alias para CMG para el nombre descriptivo que se usa en el certificado público.This record creates an alias for the CMG to a friendly name that you use in the public certificate.

    Por ejemplo, Contoso asigna el nombre GraniteFalls a su instancia de CMG.For example, Contoso names their CMG GraniteFalls. Este nombre se convierte en GraniteFalls.CloudApp.Net en Azure.This name becomes GraniteFalls.CloudApp.Net in Azure. En el DNS espacio de nombres público de Contoso, contoso.com, el administrador de DNS crea un registro CNAME para GraniteFalls.Contoso.com con el nombre del host real, GraniteFalls.CloudApp.net.In Contoso's public DNS contoso.com namespace, the DNS administrator creates a new CNAME record for GraniteFalls.Contoso.com for the real host name, GraniteFalls.CloudApp.net.

  2. Con el nombre común (CN) del alias de CNAME, solicite un certificado de autenticación de servidor de un proveedor público.Request a server authentication certificate from a public provider using the Common Name (CN) of the CNAME alias. Por ejemplo, Contoso usa GraniteFalls.Contoso.com como CN del certificado.For example, Contoso uses GraniteFalls.Contoso.com for the certificate CN.

  3. Cree la instancia de CMG en la consola de Configuration Manager mediante este certificado.Create the CMG in the Configuration Manager console using this certificate. En la página Configuración del Asistente para crear una instancia de Cloud Management Gateway:On the Settings page of the Create Cloud Management Gateway Wizard:

    • Al agregar el certificado de servidor para este servicio en la nube (desde el archivo de certificado), el asistente extrae el nombre de host del nombre común del certificado como nombre del servicio.When you add the server certificate for this cloud service (from Certificate file), the wizard extracts the hostname from the certificate CN as the service name.

    • Después, anexa ese nombre de host a cloudapp.net, o a usgovcloudapp.net para la nube de Azure US Government , como FQDN de servicio para crear el servicio en Azure.It then appends that hostname to cloudapp.net, or usgovcloudapp.net for the Azure US Government cloud, as the Service FQDN to create the service in Azure.

    • Por ejemplo, cuando Contoso crea la instancia de CMG, Configuration Manager extrae el nombre de host GraniteFalls desde el nombre común del certificado.For example, when Contoso creates the CMG, Configuration Manager extracts the hostname GraniteFalls from the certificate CN. Azure crea el servicio real como GraniteFalls.CloudApp.net.Azure creates the actual service as GraniteFalls.CloudApp.net.

Al crear la instancia de CMG en Configuration Manager, aunque el certificado contiene GraniteFalls.Contoso.com, Configuration Manager solo extrae el nombre de host, por ejemplo: GraniteFalls.When you create the CMG instance in Configuration Manager, while the certificate has GraniteFalls.Contoso.com, Configuration Manager only extracts the hostname, for example: GraniteFalls. Este nombre de host se anexa a CloudApp.net, que Azure necesita al crear un servicio en la nube.It appends this hostname to CloudApp.net, which Azure requires when creating a cloud service. El alias CNAME del espacio de nombres DNS para el dominio, Contoso.com, asigna estos dos FQDN conjuntamente.The CNAME alias in the DNS namespace for your domain, Contoso.com, maps together these two FQDNs. Configuration Manager ofrece a los clientes una directiva para acceder a esta instancia de CMG y la asignación de DNS los une, para que puedan acceder de forma segura al servicio de Azure.Configuration Manager gives clients a policy to access this CMG, the DNS mapping ties it together so that they can securely access the service in Azure.

Certificado de autenticación de servidor emitido por una PKI de empresaServer authentication certificate issued from enterprise PKI

Cree un certificado SSL personalizado para CMG tal como haría para un punto de distribución en la nube.Create a custom SSL certificate for the CMG the same as for a cloud distribution point. Siga las instrucciones de Implementación del certificado de servicio para puntos de distribución basados en la nube, pero con las siguientes diferencias:Follow the instructions for Deploying the service certificate for cloud-based distribution points but do the following things differently:

  • Cuando se solicita el certificado de servidor web personalizado, proporcione un FQDN para el nombre común del certificado.When requesting the custom web server certificate, provide an FQDN for the certificate's common name. Este nombre puede ser un nombre de dominio público que ya tenga, o bien puede usar el dominio cloudapp.net.This name can be a public domain name you own or you may use the cloudapp.net domain. Si usa su propio dominio público, consulte el proceso anterior para crear un alias de DNS en el DNS público de su organización.If using your own public domain, refer to the process above for creating a DNS alias in your organization's public DNS.

  • Al usar el dominio público cloudapp.net para el certificado de servidor web CMG:When using the cloudapp.net public domain for the CMG web server certificate:

    • En la nube pública de Azure, use un nombre que termine en cloudapp.net.On the Azure public cloud, use a name that ends in cloudapp.net

    • Use un nombre que termine en usgovcloudapp.net para la nube del Gobierno de los EE. UU. de Azure.Use a name that ends in usgovcloudapp.net for the Azure US Government cloud

Certificado de autenticación del clienteClient authentication certificate

Este certificado es necesario para los clientes basados en Internet que ejecutan Windows 7, Windows 8.1 y dispositivos de Windows 10 no unidos a Azure Active Directory (Azure AD). También es necesario en el punto de conexión de CMG. No hace falta para los clientes de Windows 10 que usen Azure AD.This certificate is required for internet-based clients running Windows 7, Windows 8.1, and Windows 10 devices not joined to Azure Active Directory (Azure AD). It's also required on the CMG connection point. It isn't required for Windows 10 clients joined to Azure AD.

Los clientes usan este certificado al autenticarse con CMG.The clients use this certificate to authenticate with the CMG. Los dispositivos de Windows 10 híbridos o unidos a un dominio en la nube no necesitan este certificado porque usan Azure AD para autenticarse.Windows 10 devices that are hybrid or cloud domain-joined don't require this certificate because they use Azure AD to authenticate.

Aprovisione este certificado fuera del contexto de Configuration Manager.Provision this certificate outside of the context of Configuration Manager. Por ejemplo, use Servicios de certificados de Active Directory y una directiva de grupo para emitir certificados de autenticación de cliente.For example, use Active Directory Certificate Services and group policy to issue client authentication certificates. Para obtener más información, vea Implementación del certificado de cliente para equipos Windows.For more information, see Deploying the client certificate for Windows computers.

Para desviar las solicitudes de cliente, el punto de conexión de CMG requiere un certificado de autenticación del cliente que corresponde al certificado de autenticación de servidor en el punto de administración HTTPS.To securely forward client requests, the CMG connection point requires a client authentication certificate that corresponds to the server authentication certificate on the HTTPS management point. Si los clientes usan la autenticación de Azure AD o si se configura el punto de administración para HTTP mejorado, este certificado no es necesario.If clients use Azure AD authentication, or you configure the management point for Enhanced HTTP, this certificate isn't required. Para obtener más información, vea Enable management point for HTTPS (Habilitar el punto de administración para HTTPS).For more information, see Enable management point for HTTPS.

Certificado raíz de confianza de cliente para CMGClient trusted root certificate to CMG

Este certificado es necesario cuando se usan certificados de autenticación de cliente. Cuando todos los clientes usan Azure AD para la autenticación, este certificado no hace falta.This certificate is required when using client authentication certificates. When all clients use Azure AD for authentication, this certificate isn't required.

Este certificado se proporciona al crear la instancia de CMG en la consola de Configuration Manager.You supply this certificate when creating the CMG in the Configuration Manager console.

CMG debe confiar en los certificados de autenticación de cliente.The CMG must trust the client authentication certificates. Para conseguir esta relación de confianza, proporcione la cadena de certificados raíz de confianza.To accomplish this trust, provide the trusted root certificate chain. Asegúrese de agregar todos los certificados en la cadena de confianza.Make sure to add all certificates in the trust chain. Por ejemplo, si una entidad de certificación intermedia emite el certificado de autenticación del cliente, agregue tanto el certificado de la CA intermedia como el de la CA raíz.For example, if the client authentication certificate is issued by an intermediate CA, add both the intermediate and root CA certificates.

Nota

A partir de la versión 1806, para crear una instancia de CMG ya no es necesario proporcionar un certificado raíz de confianza en la página Configuración.Starting in version 1806, when you create a CMG, you're no longer required to provide a trusted root certificate on the Settings page. Este certificado no es necesario cuando se usa Azure Active Directory (Azure AD) para la autenticación de cliente, pero solía ser necesario en el asistente.This certificate isn't required when using Azure Active Directory (Azure AD) for client authentication, but used to be required in the wizard. Si usa certificados de autenticación de cliente PKI, entonces todavía debe agregar un certificado raíz de confianza a la CMG.If you're using PKI client authentication certificates, then you still must add a trusted root certificate to the CMG.

En la versión 1902 y versiones anteriores, solo puede agregar dos CA raíz de confianza y cuatro CA intermedias (subordinadas).In version 1902 and earlier, you can only add two trusted root CAs and four intermediate (subordinate) CAs.

Exportar la raíz de confianza del certificado de clienteExport the client certificate's trusted root

Después de emitir un certificado de autenticación de cliente a un equipo, siga este proceso en ese equipo para exportar la raíz de confianza.After issuing a client authentication certificate to a computer, use this process on that computer to export the trusted root.

  1. Abra el menú Inicio.Open the Start menu. Escriba "ejecutar" para abrir la ventana de ejecución.Type "run" to open the Run window. Abra mmc.Open mmc.

  2. En el menú Archivo, elija Agregar o quitar complemento.From the File menu, choose Add/Remove Snap-in....

  3. En el cuadro de diálogo Agregar o quitar complementos, seleccione Certificados y Agregar.In the Add or Remove Snap-ins dialog box, select Certificates, then select Add.

    1. En el cuadro de diálogo Complemento de certificados, seleccione Cuenta de equipo y Siguiente.In the Certificates snap-in dialog box, select Computer account, then select Next.

    2. En el cuadro de diálogo Seleccionar equipo, seleccione Equipo local y Finalizar.In the Select Computer dialog box, select Local computer, then select Finish.

    3. En el cuadro de diálogo Agregar o quitar complementos, seleccione Aceptar.In the Add or Remove Snap-ins dialog box, select OK.

  4. Expanda Certificados, expanda Personal y seleccione Certificados.Expand Certificates, expand Personal, and select Certificates.

  5. Seleccione un certificado cuyo uso previsto sea Autenticación de cliente.Select a certificate whose Intended Purpose is Client Authentication.

    1. En el menú Acción, seleccione Abrir.From the Action menu, select Open.

    2. Vaya a la pestaña Ruta de certificación.Go to the Certification Path tab.

    3. Seleccione el certificado siguiente en la cadena y seleccione Ver certificado.Select the next certificate up the chain, and select View Certificate.

  6. En este nuevo cuadro de diálogo de certificado, vaya a la pestaña Detalles. Seleccione Copiar en archivo… .On this new Certificate dialog box, go to the Details tab. Select Copy to File....

  7. Complete el Asistente para exportar certificados con el formato de certificado predeterminado, DER binario codificado X.509 (.CER) .Complete the Certificate Export Wizard using the default certificate format, DER encoded binary X.509 (.CER). Anote el nombre y la ubicación del certificado exportado.Make note of the name and location of the exported certificate.

  8. Exporte todos los certificados de la ruta de acceso de certificación del certificado de autenticación del cliente original.Export all of the certificates in the certification path of the original client authentication certificate. Tome nota de qué certificados exportados son entidades de certificación intermedias y cuáles son entidades de certificación raíz de confianza.Make note of which exported certificates are intermediate CAs, and which ones are trusted root CAs.

Habilitar un punto de administración para HTTPSEnable management point for HTTPS

Aprovisione este certificado fuera del contexto de Configuration Manager.Provision this certificate outside of the context of Configuration Manager. Por ejemplo, use Servicios de certificados de Active Directory y una directiva de grupo para emitir un certificado de servidor web.For example, use Active Directory Certificate Services and group policy to issue a web server certificate. Para obtener más información, vea Requisitos de certificados PKI e Implementación del certificado de servidor web para sistemas de sitio que ejecutan IIS.For more information, see PKI certificate requirements and Deploy the web server certificate for site systems that run IIS.

  • En la versión 1802, este certificado es necesario en todos los escenarios.In version 1802, this certificate is required in all scenarios. Solo los puntos de administración que habilite para CMG deben ser HTTPS.Only management points that you enable for CMG must be HTTPS. Este cambio de comportamiento proporciona una mejor compatibilidad con la autenticación basada en tokens de Azure AD.This change in behavior provides better support for Azure AD token-based authentication.

  • A partir de la versión 1806, cuando se usa la opción del sitio Usar los certificados generados por Configuration Manager para sistemas de sitios HTTP, el punto de administración puede ser HTTP.Starting in version 1806, when using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Para obtener más información, vea HTTP mejorado.For more information, see Enhanced HTTP.

Sugerencia

Si no usa HTTP mejorado y el entorno tiene varios puntos de administración, no es necesario que los habilite por HTTPS para CMG.If you aren't using Enhanced HTTP, and your environment has multiple management points, you don't have to HTTPS-enable them all for CMG. Configure los puntos de administración habilitados para CMG como solo para Internet.Configure the CMG-enabled management points as Internet only. Por lo tanto, los clientes locales no intentan usarlos.Then your on-premises clients don't try to use them.

Resumen del modo de conexión de cliente de punto de administraciónManagement point client connection mode summary

En estas tablas se resume si el punto de administración requiere HTTP o HTTPS, en función del tipo de cliente y versión del sitio.These tables summarize whether the management point requires HTTP or HTTPS, depending upon the type of client and site version.

Para la comunicación de clientes basada en Internet con Cloud Management GatewayFor internet-based clients communicating with the cloud management gateway

Configure un punto de administración local para permitir conexiones desde la instancia de CMG con el modo de conexión de cliente siguiente:Configure an on-premises management point to allow connections from the CMG with the following client connection mode:

Tipo de clienteType of client 18021802 18061806 18101810
Grupo de trabajoWorkgroup HTTPSHTTPS E-HTTPNota 1, HTTPSE-HTTPNote 1, HTTPS E-HTTPNota 1, HTTPSE-HTTPNote 1, HTTPS
Unido a dominio de ADAD domain-joined HTTPSHTTPS E-HTTPNota 1, HTTPSE-HTTPNote 1, HTTPS E-HTTPNota 1, HTTPSE-HTTPNote 1, HTTPS
Unidos a Azure ADAzure AD-joined HTTPSHTTPS E-HTTP, HTTPSE-HTTP, HTTPS E-HTTP, HTTPSE-HTTP, HTTPS
Unido a híbridoHybrid-joined HTTPSHTTPS E-HTTP, HTTPSE-HTTP, HTTPS E-HTTP, HTTPSE-HTTP, HTTPS

Nota

Nota 1: Esta configuración requiere que el cliente tenga un certificado de autenticación del cliente y solo es compatible con escenarios centrados en el dispositivo.Note 1: This configuration requires the client has a client authentication certificate, and only supports device-centric scenarios.

Para la comunicación de clientes locales con el punto de administración localFor on-premises clients communicating with the on-premises management point

Configure un punto de administración local con el modo de conexión de cliente siguiente:Configure an on-premises management point with the following client connection mode:

Tipo de clienteType of client 18021802 18061806 18101810
Grupo de trabajoWorkgroup HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS
Unido a dominio de ADAD domain-joined HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS
Unidos a Azure ADAzure AD-joined HTTPSHTTPS HTTPSHTTPS HTTPSHTTPS
Unido a híbridoHybrid-joined HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS

Nota

En la versión 1806, los clientes unidos a un dominio de AD admiten los escenarios centrados en el dispositivo y el usuario para la comunicación con un punto de administración HTTP o HTTPS.In version 1806, AD domain-joined clients support both device- and user-centric scenarios communicating with an HTTP or HTTPS management point.

Los clientes unidos a Azure AD y a híbrido se pueden comunicar a través de HTTP para los escenarios centrados en el dispositivo, pero necesitan E-HTTP o HTTPS para habilitar los escenarios centrados en el usuario.Azure AD-joined and hybrid-joined clients can communicate via HTTP for device-centric scenarios, but need E-HTTP or HTTPS to enable user-centric scenarios. En caso contrario, se comportan igual que los clientes del grupo de trabajo.Otherwise they behave the same as workgroup clients.

Leyenda de términosLegend of terms

  • Grupo de trabajo: el dispositivo no está unido a un dominio ni a Azure AD, pero tiene un certificado de autenticación del cliente.Workgroup: The device isn't joined to a domain or Azure AD, but has a client authentication certificate
  • Unido a dominio de AD: el dispositivo se une un dominio de Active Directory local.AD domain-joined: You join the device to an on-premises Active Directory domain
  • Unido a Azure AD: también conocido como "unido a un dominio en la nube", el dispositivo se une a un inquilino de Azure Active Directory.Azure AD-joined: Also known as cloud domain-joined, you join the device to an Azure Active Directory tenant
  • Unido a híbrido: el dispositivo se une a un dominio de Active Directory y un inquilino de Azure AD.Hybrid-joined: You join the device to both an Active Directory domain and an Azure AD tenant
  • HTTP: en las propiedades del punto de administración, las conexiones de cliente se establecen en HTTP.HTTP: On the management point properties, you set the client connections to HTTP
  • HTTPS: en las propiedades del punto de administración, las conexiones de cliente se establecen en HTTPS.HTTPS: On the management point properties, you set the client connections to HTTPS
  • E-HTTP: en las propiedades del sitio, en la pestaña Comunicación de equipo cliente, la configuración del sistema de sitio se establece en HTTPS o HTTP, y se habilita la opción para usar los certificados generados por Configuration Manager para sistemas de sitios HTTP.E-HTTP: On the site properties, Client Computer Communication tab, you set the site system settings to HTTPS or HTTP, and you enable the option to Use Configuration Manager-generated certificates for HTTP site systems. Configurará el punto de administración para HTTP; el punto de administración de HTTP está preparado para comunicaciones HTTP y HTTPS (escenarios de autenticación por tokens).You configure the management point for HTTP, the HTTP management point is ready for both HTTP and HTTPS communication (token auth scenarios).

    Nota

    A partir de la versión 1906, esta pestaña se denomina Communication Security (Seguridad de la comunicación).Starting in version 1906, this tab is called Communication Security.

Certificado de administración de AzureAzure management certificate

Este certificado es necesario para las implementaciones del servicio clásico. No hace falta para las implementaciones de Azure Resource Manager.This certificate is required for classic service deployments. It's not required for Azure Resource Manager deployments.

Importante

A partir de la versión 1810, las implementaciones de servicio clásico de Azure estarán en desuso en Configuration Manager.Starting in version 1810, classic service deployments in Azure are deprecated in Configuration Manager. Empiece a usar implementaciones de Azure Resource Manager para Cloud Management Gateway.Start using Azure Resource Manager deployments for the cloud management gateway. Para obtener más información, vea Planear para Cloud Management Gateway.For more information, see Plan for CMG.

A partir de la versión 1902 de Configuration Manager, Azure Resource Manager es el único mecanismo de implementación para instancias nuevas de Cloud Management Gateway.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. Este certificado no es necesario en la versión 1902 o posteriores de Configuration Manager.This certificate isn't required in Configuration Manager version 1902 or later.

Este certificado se proporciona en Azure Portal y al crear la instancia de CMG en la consola de Configuration Manager.You supply this certificate in the Azure portal, and when creating the CMG in the Configuration Manager console.

Para crear la instancia de CMG en Azure, el punto de conexión de servicio de Configuration Manager debe autenticarse primero en su suscripción de Azure.To create the CMG in Azure, the Configuration Manager service connection point needs to first authenticate to your Azure subscription. Cuando se usa una implementación del servicio clásico, emplea el certificado de administración de Azure para esta autenticación.When using a classic service deployment, it uses the Azure management certificate for this authentication. Un administrador de Azure cargará este certificado en su suscripción.An Azure administrator uploads this certificate to your subscription. Cuando cree la instancia de CMG en la consola de Configuration Manager, proporcione este certificado.When you create the CMG in the Configuration Manager console, provide this certificate.

Para obtener más información e instrucciones sobre cómo cargar un certificado de administración, vea los artículos siguientes de la documentación de Azure:For more information and instructions for how to upload a management certificate, see the following articles in the Azure documentation:

Importante

Asegúrese de copiar el identificador de suscripción asociado al certificado de administración,Make sure to copy the subscription ID associated with the management certificate. Lo usará para crear la instancia de CMG en la consola de Configuration Manager.You use it for creating the CMG in the Configuration Manager console.

Pasos siguientesNext steps