Planificación de Cloud Management Gateway en Configuration ManagerPlan for the cloud management gateway in Configuration Manager

Se aplica a: System Center Configuration Manager (Rama actual)Applies to: System Center Configuration Manager (Current Branch)

Cloud Management Gateway (CMG) proporciona una manera sencilla de administrar clientes de Configuration Manager en Internet.The cloud management gateway (CMG) provides a simple way to manage Configuration Manager clients on the internet. Al implementar CMG como un servicio en la nube de Microsoft Azure, puede administrar los clientes tradicionales que se mueven por Internet sin una infraestructura local adicional.By deploying the CMG as a cloud service in Microsoft Azure, you can manage traditional clients that roam on the internet without additional on-premises infrastructure. Tampoco necesita exponer la infraestructura local a Internet.You also don't need to expose your on-premises infrastructure to the internet.

Nota

Configuration Manager no habilita esta característica opcional de forma predeterminada.Configuration Manager doesn't enable this optional feature by default. Deberá habilitarla para poder usarla.You must enable this feature before using it. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.For more information, see Enable optional features from updates.

Después de establecer los requisitos previos, la creación de CMG consta de los tres pasos siguientes en la consola de Configuration Manager:After establishing the prerequisites, creating the CMG consists of the following three steps in the Configuration Manager console:

  1. Implementar el servicio en la nube de CMG en Azure.Deploy the CMG cloud service to Azure.
  2. Agregar el rol de punto de conexión de CMG.Add the CMG connection point role.
  3. Configurar el sitio y los roles de sitio para el servicio.Configure the site and site roles for the service. Una vez que lo haya implementado y configurado, los clientes podrán tener acceso sin problemas a los roles locales de sitio independientemente de si están en la intranet o en Internet.Once deployed and configured, clients seamlessly access on-premises site roles regardless of whether they're on the intranet or internet.

En este artículo se proporcionan conceptos básicos para obtener información sobre CMG, diseñar cómo encaja en el entorno y planear la implementación.This article provides the foundational knowledge to learn about the CMG, design how it fits in your environment, and plan the implementation.

EscenariosScenarios

Hay varios escenarios en los que CMG resulta beneficioso.There are several scenarios for which a CMG is beneficial. Los escenarios siguientes son algunos de los más comunes:The following scenarios are some of the more common:

  • Administración de clientes tradicionales de Windows con la identidad unida a un dominio de Active Directory.Manage traditional Windows clients with Active Directory domain-joined identity. Estos clientes incluyen Windows 7, Windows 8.1 y Windows 10.These clients include Windows 7, Windows 8.1, and Windows 10. Usa certificados PKI para proteger el canal de comunicación.It uses PKI certificates to secure the communication channel. Entre las actividades de administración se incluyen las siguientes:Management activities include:

    • Actualizaciones de software y Endpoint ProtectionSoftware updates and endpoint protection
    • Estado de cliente y de inventarioInventory and client status
    • Configuración de cumplimientoCompliance settings
    • Distribución de software para el dispositivoSoftware distribution to the device
    • Secuencia de tareas de actualización local de Windows 10Windows 10 in-place upgrade task sequence
  • Administración de clientes tradicionales de Windows 10 con identidad moderna, tanto híbridos como unidos a un dominio en la nube pura con Azure Active Directory (Azure AD).Manage traditional Windows 10 clients with modern identity, either hybrid or pure cloud domain-joined with Azure Active Directory (Azure AD). Los clientes usan Azure AD para la autenticación, en lugar de certificados PKI.Clients use Azure AD to authenticate rather than PKI certificates. Azure AD es más fácil de instalar, configurar y mantener que los sistemas PKI más complejos.Using Azure AD is simpler to set up, configure and maintain than more complex PKI systems. Las actividades de administración son las mismas que el primer escenario, a las que se agregan la siguiente:Management activities are the same as the first scenario, as well as:

    • Distribución de software para el usuarioSoftware distribution to the user
  • Instalación del cliente de Configuration Manager en dispositivos Windows 10 a través de Internet.Install the Configuration Manager client on Windows 10 devices over the internet. El uso de Azure AD permite que el dispositivo se autentique en CMG para el registro y la asignación de clientes.Using Azure AD allows the device to authenticate to the CMG for client registration and assignment. Puede instalar el cliente de forma manual o mediante otro método de distribución de software, como Microsoft Intune.You can install the client manually, or using another software distribution method, such as Microsoft Intune.

  • Aprovisionamiento de dispositivos nuevos con administración conjunta.New device provisioning with co-management. Al inscribir automáticamente los clientes existentes, CMG no es necesario para la administración conjunta.When auto-enrolling existing clients, CMG isn't required for co-management. Se necesita para nuevos dispositivos que implican Windows AutoPilot, Azure AD, Microsoft Intune y Configuration Manager.It is required for new devices involving Windows AutoPilot, Azure AD, Microsoft Intune, and Configuration Manager. Para más información, consulte Rutas hacia la administración conjunta.For more information, see Paths to co-management.

Casos de uso específicosSpecific use cases

En estos escenarios podrían aplicarse los siguientes casos de uso de dispositivos específicos:Across these scenarios the following specific device use cases may apply:

  • Dispositivos de itinerancia, como equipos portátiles.Roaming devices such as laptops

  • Dispositivos remotos o de sucursales, que resultan menos costosos y más eficaces a la hora de administrarlos a través de Internet, en lugar de WAN o VPN.Remote/branch office devices that are less expensive and more efficient to manage over the internet than across a WAN or through a VPN.

  • Las fusiones y las adquisiciones, en las que puede ser más fácil unir dispositivos a Azure AD y administrarlos a través de CMG.Mergers and acquisitions, where it may be easiest to join devices to Azure AD and manage through a CMG.

Importante

De forma predeterminada, todos los clientes reciben una directiva para CMG y empiezan a usarla cuando están basados en Internet.By default all clients receive policy for a CMG, and start using it when they become internet-based. Según cuál sea el escenario y el caso de uso que se aplique a la organización, es posible que tenga que definir el ámbito del uso de CMG.Depending upon the scenario and use case that applies to your organization, you may need to scope usage of the CMG. Para obtener más información, vea la configuración de cliente Permitir que los clientes usen una instancia de Cloud Management Gateway.For more information, see the Enable clients to use a cloud management gateway client setting.

Diseño de topologíaTopology design

Componentes de CMGCMG components

La implementación y el funcionamiento de CMG incluye los componentes siguientes:Deployment and operation of the CMG includes the following components:

  • El servicio en la nube de CMG en Azure autentica y reenvía las solicitudes de cliente de Configuration Manager al punto de conexión de CMG.The CMG cloud service in Azure authenticates and forwards Configuration Manager client requests to the CMG connection point.

  • El rol de sistema de sitio del punto de conexión de CMG permite una conexión coherente y de alto rendimiento desde la red local con el servicio de CMG en Azure.The CMG connection point site system role enables a consistent and high-performance connection from the on-premises network to the CMG service in Azure. Además, publica la configuración de CMG, incluida la información de conexión y la configuración de seguridad.It also publishes settings to the CMG including connection information and security settings. El punto de conexión de CMG reenvía las solicitudes de cliente desde CMG a los roles locales en función de las asignaciones de direcciones URL.The CMG connection point forwards client requests from the CMG to on-premises roles according to URL mappings.

  • El rol de sistema de sitio del punto de conexión del servicio ejecuta el componente del administrador del servicio en la nube, que controla todas las tareas de implementación de CMG.The service connection point site system role runs the cloud service manager component, which handles all CMG deployment tasks. Además, supervisa y notifica la información de estado y el registro del servicio de Azure AD.Additionally, it monitors and reports service health and logging information from Azure AD. Asegúrese de que el punto de conexión del servicio está en modo en línea.Make sure your service connection point is in online mode.

  • El rol de sistema de sitio del punto de administración atiende las solicitudes de cliente de manera normal.The management point site system role services client requests per normal.

  • El rol de sistema de sitio del punto de actualización de software atiende las solicitudes de cliente de manera normal.The software update point site system role services client requests per normal.

  • Los clientes basados en Internet se conectan a CMG para tener acceso a los componentes locales de Configuration Manager.Internet-based clients connect to the CMG to access on-premises Configuration Manager components.

  • CMG usa un servicio web HTTPS basado en certificados para ayudar a proteger la comunicación de red con los clientes.The CMG uses a certificate-based HTTPS web service to help secure network communication with clients.

  • Los clientes basados en Internet usan certificados PKI o Azure AD para la identidad y la autenticación.Internet-based clients use PKI certificates or Azure AD for identity and authentication.

  • Un punto de distribución en la nube proporciona contenido a los clientes basados en Internet según sea necesario.A cloud distribution point provides content to internet-based clients, as needed.

    • A partir de la versión 1806, una CMG también puede servir contenido a los clientes.Starting in version 1806, a CMG can also serve content to clients. Esta funcionalidad reduce los certificados necesarios y el costo de máquinas virtuales de Azure.This functionality reduces the required certificates and cost of Azure VMs. Para obtener más información, vea Modify a CMG (Modificar una instancia de CMG).For more information, see Modify a CMG.

Azure Resource ManagerAzure Resource Manager

Cree la instancia de CMG mediante una implementación de Azure Resource Manager.Create the CMG using an Azure Resource Manager deployment. Azure Resource Manager es una moderna plataforma para administrar todos los recursos de la solución como una única entidad, denominada grupo de recursos.Azure Resource Manager is a modern platform for managing all solution resources as a single entity, called a resource group. Al implementar CMG con Azure Resource Manager, el sitio usa Azure Active Directory (Azure AD) para autenticar y crear los recursos necesarios en la nube.When deploying CMG with Azure Resource Manager, the site uses Azure Active Directory (Azure AD) to authenticate and create the necessary cloud resources. Esta implementación modernizada no requiere el certificado de administración de Azure clásico.This modernized deployment doesn't require the classic Azure management certificate.

Nota

Esta función no habilita la compatibilidad de los proveedores de servicios en la nube (CSP) de Azure.This capability doesn't enable support for Azure Cloud Service Providers (CSP). La implementación de CMG con Azure Resource Manager sigue usando el servicio en la nube clásico, que no es compatible con los proveedores de servicios en la nube.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Para obtener más información, consulte Available Azure services in Azure CSP (Servicios de Azure disponibles en los proveedores de servicios en la nube de Azure).For more information, see available Azure services in Azure CSP.

A partir de la versión 1902 de Configuration Manager, Azure Resource Manager es el único mecanismo de implementación para instancias nuevas de Cloud Management Gateway.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. Las implementaciones existentes seguirán funcionando.Existing deployments continue to work.

En la versión 1810 y versiones anteriores de Configuration Manager, el asistente de CMG seguirá proporcionando la opción de una implementación del servicio clásico mediante un certificado de administración de Azure.In Configuration Manager version 1810 and earlier, the CMG wizard still provides the option for a classic service deployment using an Azure management certificate. Para simplificar la implementación y la administración de recursos, se recomienda el modelo de implementación de Azure Resource Manager para todas las instancias nuevas de CMG.To simplify the deployment and management of resources, the Azure Resource Manager deployment model is recommended for all new CMG instances. Si es posible, vuelva a implementar las instancias existentes de CMG a través de Resource Manager.If possible, redeploy existing CMG instances through Resource Manager. Para obtener más información, vea Modify a CMG (Modificar una instancia de CMG).For more information, see Modify a CMG.

Importante

A partir de la versión 1810, la implementación del servicio clásico de Azure ya no se usa en Configuration Manager.Starting in version 1810, the classic service deployment in Azure is deprecated for use in Configuration Manager. Esta versión es la última que admite la creación de estas implementaciones de Azure.This version is the last to support creation of these Azure deployments. Esta funcionalidad se quitará en una edición futura de Configuration Manager.This functionality will be removed in a future Configuration Manager version.

Diseño de jerarquíaHierarchy design

Cree la instancia de CMG en el sitio de nivel superior de la jerarquía.Create the CMG at the top-tier site of your hierarchy. Si es un sitio de administración central, cree puntos de conexión de CMG en sitios principales secundarios.If that's a central administration site, then create CMG connection points at child primary sites. El componente del administrador de servicios en la nube está en el punto de conexión de servicio, que también está en el sitio de administración central.The cloud service manager component is on the service connection point, which is also on the central administration site. Este diseño puede compartir el servicio en varios sitios principales si es necesario.This design can share the service across different primary sites if needed.

Puede crear varios servicios CMG en Azure y varios puntos de conexión de CMG.You can create multiple CMG services in Azure, and you can create multiple CMG connection points. La existencia de varios puntos de conexión de CMG proporciona equilibrio de carga para el tráfico de cliente desde CMG a los roles locales.Multiple CMG connection points provide load balancing of client traffic from the CMG to the on-premises roles. Para reducir la latencia de red, asigne la instancia de CMG asociada a la misma región geográfica que el sitio principal.To reduce network latency, assign the associated CMG to the same geographical region as the primary site.

A partir de la versión 1902, puede asociar una instancia de CMG con un grupo de límites.Starting in version 1902, you can associate a CMG with a boundary group. Esta configuración permite a los clientes predeterminar o recurrir a dicha instancia de CMG para la comunicación con el cliente de acuerdo con las relaciones de grupo de límites.This configuration allows clients to default or fallback to the CMG for client communication according to boundary group relationships. Este comportamiento es especialmente útil en escenarios de sucursales y VPN.This behavior is especially useful in branch office and VPN scenarios. Puede dirigir el tráfico de clientes lejos de los enlaces WAN caros y lentos para utilizar servicios más rápidos en Microsoft Azure.You can direct client traffic away from expensive and slow WAN links to instead use faster services in Microsoft Azure.

Nota

Los clientes basados en Internet no pertenecen a ningún grupo de límites.Internet-based clients don't fall into any boundary group.

En la versión 1810 y anteriores de Configuration Manager, la instancia de CMG no pertenece a ningún grupo de límites.In Configuration Manager version 1810 and earlier, the CMG doesn't fall into any boundary group.

Otros factores, como el número de clientes que se van a administrar, también afectan al diseño de CMG.Other factors, such as the number of clients to manage, also impact your CMG design. Para obtener más información, vea Rendimiento y escalabilidad.For more information, see Performance and scale.

Ejemplo 1: sitio principal independienteExample 1: standalone primary site

Contoso tiene un sitio principal independiente en un centro de datos local en su sede central de Nueva York.Contoso has a standalone primary site in an on-premises datacenter at their headquarters in New York City.

  • Crea una instancia de CMG en la región de Azure del Este de EE. UU. para reducir la latencia de red.They create a CMG in the East US Azure region to reduce network latency.
  • Crea dos puntos de conexión de CMG, ambos vinculados al servicio CMG único.They create two CMG connection points, both linked to the single CMG service.

Cuando los clientes se mueven hacia Internet, se comunican con CMG en la región de Azure del Este de EE. UU.As clients roam onto the internet, they communicate with the CMG in the East US Azure region. CMG reenvía esta comunicación a través de ambos puntos de conexión de CMG.The CMG forwards this communication through both of the CMG connection points.

Ejemplo 2: jerarquía con una instancia de CMG específica del sitioExample 2: hierarchy with site-specific CMG

Fourth Coffee tiene un sitio de administración central en un centro de datos local en su sede de Seattle.Fourth Coffee has a central administration site in an on-premises datacenter at their headquarters in Seattle. Un sitio principal está en el mismo centro de datos y el otro sitio principal está en su oficina central europea, en París.One primary site is in the same datacenter, and the other primary site is in their main European office in Paris.

  • En el sitio de administración central, crea dos servicios de CMG:On the central administration site, they create two CMG services:
    • Una instancia de CMG en la región de Azure del Oeste de EE. UU.One CMG in the West US Azure region.
    • Una instancia de CMG en la región de Azure de Europa Occidental.One CMG in the West Europe Azure region.
  • En el sitio principal basado en Seattle, crea un punto de conexión de CMG vinculado a la instancia de CMG del Oeste de EE. UU.On the Seattle-based primary site, they create a CMG connection point linked to the West US CMG.
  • En el sitio principal basado en París, crea un punto de conexión de CMG vinculado a la instancia de CMG de Europa Occidental.On the Paris-based primary site, they create a CMG connection point linked to the West Europe CMG.

Cuando los clientes de Seattle se mueven hacia Internet, se comunican con CMG en la región de Azure del Oeste de EE. UU.As Seattle-based clients roam onto the internet, they communicate with the CMG in the West US Azure region. CMG reenvía esta comunicación al punto de conexión de CMG basado en Seattle.The CMG forwards this communication to the Seattle-based CMG connection point.

Del mismo modo, cuando los clientes de París se mueven hacia Internet, se comunican con CMG en la región de Azure de Europa Occidental.Similarly, as Paris-based clients roam onto the internet, they communicate with the CMG in the West Europe Azure region. CMG reenvía esta comunicación al punto de conexión de CMG basado en París.The CMG forwards this communication to the Paris-based CMG connection point. Cuando los usuarios de París viajan a la sede de la empresa en Seattle, sus equipos se siguen comunicando con la instancia de CMG de la región de Azure de Europa Occidental.When Paris-based users travel to the company headquarters in Seattle, their computers continue to communicate with the CMG in the West Europe Azure region.

Nota

Fourth Coffee consideró la posibilidad de crear otro punto de conexión de CMG en el sitio principal basado en París vinculado a la instancia de CMG del Oeste de EE. UU.Fourth Coffee considered creating another CMG connection point on the Paris-based primary site linked to the West US CMG. Los clientes basados en París usarían ambas instancias de CMG, independientemente de su ubicación.Paris-based clients would then use both CMGs, regardless of their location. Aunque esta configuración contribuye a equilibrar la carga del tráfico y proporciona redundancia de servicio, también puede provocar retrasos cuando los clientes de París se comunican con la instancia de CMG de Estados Unidos.While this configuration helps load balance traffic and provide service redundancy, it can also cause delays when Paris-based clients communicate with the US-based CMG. Los clientes de Configuration Manager no conocen actualmente su región geográfica, por lo que no dan preferencia a una instancia de CMG que esté más cercana geográficamente,Configuration Manager clients aren't currently aware of their geographical region, so don't prefer a CMG that's geographically closer. sino que usan de forma aleatoria una instancia de CMG que esté disponible.Clients randomly use an available CMG.

requisitosRequirements

  • Una suscripción de Azure para hospedar CMG.An Azure subscription to host the CMG.

  • Es necesario que un administrador de Azure participe en la creación inicial de determinados componentes, en función del diseño.An Azure administrator needs to participate in the initial creation of certain components, depending upon your design. Este rol no necesita permisos en Configuration Manager.This persona doesn't require permissions in Configuration Manager.

    • Para implementar la instancia de CMG, necesita un administrador de suscripciones.To deploy the CMG, you need a Subscription Admin
    • Para integrar el sitio con Azure AD a fin de implementar la instancia de CMG con Azure Resource Manager, necesita un administrador global.To integrate the site with Azure AD for deploying the CMG using Azure Resource Manager, you need a Global Admin
  • Al menos un servidor local de Windows para hospedar el punto de conexión de CMG.At least one on-premises Windows server to host the CMG connection point. Puede colocalizar este rol con otros roles de sistema de sitio de Configuration Manager.You can colocate this role with other Configuration Manager site system roles.

  • El punto de conexión del servicio debe estar en modo en línea.The service connection point must be in online mode.

  • Integración con Azure AD para implementar el servicio con Azure Resource Manager.Integration with Azure AD for deploying the service with Azure Resource Manager. Para obtener más información, vea Configuración de servicios de Azure.For more information, see Configure Azure services.

  • Un certificado de autenticación de servidor para CMG.A server authentication certificate for the CMG.

  • Podrían ser necesarios otros certificados, según el modelo de autenticación y la versión del sistema operativo del cliente.Other certificates may be required, depending upon your client OS version and authentication model. Para obtener más información, vea CMG certificates (Certificados de CMG).For more information, see CMG certificates.

    A partir de la versión 1806, cuando se usa la opción del sitio Usar los certificados generados por Configuration Manager para sistemas de sitios HTTP, el punto de administración puede ser HTTP.Starting in version 1806, when using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Para obtener más información, vea HTTP mejorado.For more information, see Enhanced HTTP.

  • En la versión 1810 o anteriores de Configuration Manager, si se usa el método de implementación clásico de Azure, debe usar un certificado de automatización de Azure.In Configuration Manager version 1810 or earlier, if using the Azure classic deployment method, you must use an Azure management certificate.

    Sugerencia

    Use el modelo de implementación de Azure Resource Manager.Use the Azure Resource Manager deployment model. No necesita este certificado de administración.It doesn't require this management certificate.

    El método de implementación clásico está en desuso desde la versión 1810.The classic deployment method is deprecated as of version 1810.

  • Los clientes deben usar IPv4.Clients must use IPv4.

EspecificacionesSpecifications

  • Todas las versiones de Windows que aparecen en Sistemas operativos compatibles con dispositivos y clientes son compatibles con CMG.All Windows versions listed in Supported operating systems for clients and devices are supported for CMG.

  • CMG solo admite los roles de punto de administración y punto de actualización de software.CMG only supports the management point and software update point roles.

  • CMG no es compatible con los clientes que solo se comunican con direcciones IPv6.CMG doesn't support clients that only communicate with IPv6 addresses.

  • Los puntos de actualización de software que usan un equilibrador de carga de red no funcionan con CMG.Software update points using a network load balancer don't work with CMG.

  • Las implementaciones de CMG que usan el modelo de implementación de Azure no permiten la compatibilidad con proveedores de servicios en la nube (CSP) de Azure.CMG deployments using the Azure Resource Model don't enable support for Azure Cloud Service Providers (CSP). La implementación de CMG con Azure Resource Manager sigue usando el servicio en la nube clásico, que no es compatible con los proveedores de servicios en la nube.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Para obtener más información, vea Servicios de Azure disponibles en el programa CSP.For more information, see available Azure services in Azure CSP

Compatibilidad con características de Configuration ManagerSupport for Configuration Manager features

En la tabla siguiente se muestra la compatibilidad de CMG con características de Configuration Manager:The following table lists CMG support for Configuration Manager features:

CaracterísticaFeature CompatibilidadSupport
Actualizaciones de softwareSoftware updates Compatible.
Endpoint ProtectionEndpoint protection Compatible.
Inventario de hardware y softwareHardware and software inventory Compatible.
Estado de cliente y notificacionesClient status and notifications Compatible.
Ejecutar scriptsRun scripts Compatible.
Configuración de cumplimientoCompliance settings Compatible.
Instalación de clienteClient install
(con integración de Azure AD)(with Azure AD integration)
Compatible.
Distribución de software (dirigida al dispositivo)Software distribution (device-targeted) Compatible.
Distribución de software (dirigida al usuario, obligatorio)Software distribution (user-targeted, required)
(con integración de Azure AD)(with Azure AD integration)
Compatible.
Distribución de software (dirigida al usuario, disponible)Software distribution (user-targeted, available)
(todos los requisitos)(all requirements)
Compatible.
Secuencia de tareas de actualización local de Windows 10Windows 10 in-place upgrade task sequence Compatible.
Secuencias de tareas que no usan imágenes de arranque y que se implementan con una opción: Descargar todo el contenido localmente antes de iniciar la secuencia de tareasTask sequences that aren't using boot images and are deployed with an option: Download all content locally before starting task sequence Compatible.
CMPivotCMPivot Compatible. (1806)(1806)
Cualquier otro escenario de secuencia de tareasAny other task sequence scenario No compatible
Inserción de clienteClient push No compatible
Asignación automática de sitioAutomatic site assignment No compatible
Solicitudes de aprobación de softwareSoftware approval requests No compatible
Consola de Configuration ManagerConfiguration Manager console No compatible
Herramientas remotasRemote tools No compatible
Sitio web de generación de informesReporting website No compatible
Wake on LANWake on LAN No compatible
Clientes Mac, Linux y UNIXMac, Linux, and UNIX clients No compatible
Almacenamiento en caché del mismo nivelPeer cache No compatible
MDM localOn-premises MDM No compatible
ClaveKey
Compatible. = Esta característica es compatible con CMG en todas las versiones compatibles de Configuration Manager.= This feature is supported with CMG by all supported versions of Configuration Manager
Compatible (AAMM) = Esta característica es compatible con CMG a partir de la versión AAMM de Configuration Manager.Supported (YYMM) = This feature is supported with CMG starting with version YYMM of Configuration Manager
No compatible = Esta característica no se admite con CMG.= This feature isn't supported with CMG

CosteCost

Importante

La siguiente información sobre los costos se indica solo con fines de estimación.The following cost information is for estimating purposes only. Su entorno puede tener otras variables que afecten al costo general del uso de CMG.Your environment may have other variables that affect the overall cost of using CMG.

CMG usa los siguientes componentes de Azure, que conllevan cargos en la cuenta de suscripción de Azure:CMG uses the following Azure components, which incur charges to the Azure subscription account:

Máquina virtualVirtual machine

  • CMG usa Azure Cloud Services como plataforma como servicio (PaaS).CMG uses Azure Cloud Services as platform as a service (PaaS). Este servicio usa máquinas virtuales (VM) que conllevan costos de proceso.This service uses virtual machines (VMs) that incur compute costs.

  • CMG usa una máquina virtual estándar A2 V2.CMG uses a Standard A2 V2 VM.

  • Seleccione el número de instancias de máquina virtual que CMG admite.You select how many VM instances support the CMG. El valor predeterminado es una y el máximo es 16.One is the default, and 16 is the maximum. Este número se establece al crear la instancia de CMG y se pueden cambiar posteriormente para escalar el servicio según sea necesario.This number is set when creating the CMG, and can be changed afterwards to scale the service as needed.

  • Para obtener más información sobre cuántas máquinas virtuales necesita para sus clientes, vea Rendimiento y escalabilidad.For more information on how many VMs you need to support your clients, see Performance and scale.

  • Vea la Calculadora de precios de Azure para determinar los costos potenciales.See the Azure pricing calculator to help determine potential costs.

    Nota

    Los costos de máquina virtual varían según la región.Virtual machine costs vary by region.

Transferencia de datos de salidaOutbound data transfer

  • Los cargos se basan en los datos que fluyen fuera de Azure (salida o descarga).Charges are based on data flowing out of Azure (egress or download). Todos los datos que fluyan a Azure son gratuitos (entrada o carga).Any data flows into Azure are free (ingress or upload). Los flujos de datos de CMG fuera de Azure incluyen la directiva para el cliente, las notificaciones de cliente y las respuestas del cliente reenviadas por la CMG al sitio.CMG data flows out of Azure include policy to the client, client notifications, and client responses forwarded by the CMG to the site. Estas respuestas incluyen informes de inventario, mensajes de estado y estado de cumplimiento.These responses include inventory reports, status messages, and compliance status.

  • Incluso aunque ningún cliente se comunique con CMG, algún tipo de comunicación de fondo genera tráfico de red entre CMG y el sitio local.Even without any clients communicating with a CMG, some background communication causes network traffic between the CMG and the on-premises site.

  • Vea la transferencia de datos de salida (GB) en la consola de Configuration Manager.View the Outbound data transfer (GB) in the Configuration Manager console. Para obtener más información, vea Monitor clients on CMG (Supervisar clientes en CMG).For more information, see Monitor clients on CMG.

  • Vea Detalles de precios de ancho de banda de Azure para determinar los costos potenciales.See the Azure bandwidth pricing details to help determine potential costs. Los precios de la transferencia de datos se organizan por plan de tarifa.Pricing for data transfer is tiered. Cuanto más uso haga, menos pagará por gigabyte.The more you use, the less you pay per gigabyte.

  • Solo con fines de estimación, calcule aproximadamente 100-300 MB por cliente al mes para clientes basados en Internet.For estimating purposes only, expect approximately 100-300 MB per client per month for internet-based clients. La estimación más baja es la de una configuración de cliente predeterminada.The lower estimate is for a default client configuration. La estimación más alta es la de una configuración de cliente más agresiva.The upper estimate is for a more aggressive client configuration. El uso real puede variar en función de la configuración del cliente.Your actual usage may vary depending upon how you configure client settings.

    Nota

    Si realiza otras acciones, como implementar actualizaciones de software o aplicaciones, aumentará la cantidad de transferencia de datos de salida de Azure.Performing other actions, such as deploying software updates or applications, increases the amount of outbound data transfer from Azure.

  • La configuración errónea de la opción CMG para comprobar la revocación de certificado de cliente puede generar tráfico adicional desde los clientes a CMG.Misconfiguration of the CMG option to Verify client certificate revocation can cause additional traffic from clients to the CMG. Este tráfico adicional puede aumentar los datos de salida de Azure, lo que podría aumentar los costos de Azure.This additional traffic can increase the Azure egress data, which can increase your Azure costs. Para obtener más información, vea Publicar la lista de revocación de certificados.For more information, see Publish the certificate revocation list.

Almacenamiento de contenidoContent storage

  • Los clientes basados en Internet obtienen contenido de actualización de software de Microsoft desde Windows Update sin ningún costo.Internet-based clients get Microsoft software update content from Windows Update at no charge. No distribuya paquetes de actualización con contenido de actualización de Microsoft a un punto de distribución en la nube, ya que podría conllevar costos de almacenamiento y salida de datos.Don't distribute update packages with Microsoft update content to a cloud distribution point, otherwise you may incur storage and data egress costs.

  • Para otros contenidos necesarios, como aplicaciones o actualizaciones de software de terceros, debe distribuir a un punto de distribución en la nube.For any other necessary content, such as applications or third-party software updates, you must distribute to a cloud distribution point. En estos momentos, CMG solo admite el punto de distribución en la nube para enviar contenido a los clientes.Currently, the CMG supports only the cloud distribution point for sending content to clients.

  • Para obtener más información, vea el costo de la utilización de puntos de distribución en la nube.For more information, see the cost of using cloud distribution points.

  • A partir de la versión 1806, una instancia de CMG también puede ser un punto de distribución en la nube para brindar contenido a los clientes.Starting in version 1806, a CMG can also be a cloud distribution point to serve content to clients. Esta funcionalidad reduce los certificados necesarios y el costo de máquinas virtuales de Azure.This functionality reduces the required certificates and cost of Azure VMs. Para obtener más información, vea Modify a CMG (Modificar una instancia de CMG).For more information, see Modify a CMG.

Otros costosOther costs

  • Todos los servicios en la nube tienen una dirección IP dinámica.Each cloud service has a dynamic IP address. Cada instancia de CMG diferente usa una nueva dirección IP dinámica.Each distinct CMG uses a new dynamic IP address. El hecho de agregar máquinas virtuales adicionales por CMG no aumenta estas direcciones.Adding additional VMs per CMG doesn't increase these addresses.

Rendimiento y escalabilidadPerformance and scale

Para obtener más información sobre la escala CMG, vea Números de tamaño y escala.For more information on CMG scale, see Size and scale numbers.

Las siguientes recomendaciones le ayudarán a mejorar el rendimiento de CMG:The following recommendations can help you improve CMG performance:

  • Si es posible, configure CMG, el punto de conexión de CMG y el servidor de sitio de Configuration Manager en la misma región de red para reducir la latencia.If possible, configure the CMG, CMG connection point, and the Configuration Manager site server in same network region to reduce latency.

  • La región no es relevante para la conexión entre el cliente de Configuration Manager y CMG.The connection between the Configuration Manager client and the CMG isn't region-aware. La comunicación del cliente no se ve afectada en gran medida por la latencia o la separación geográfica.Client communication is largely unaffected by latency / geographic separation. No es necesario implementar varias instancias de CMG para la finalidad de proximidad geográfica.It's not necessary to deploy multiple CMG for the purposes of geo-proximity. Implemente la instancia de CMG en el sitio de nivel superior de la jerarquía y agregue instancias para aumentar la escala.Deploy the CMG at the top-level site in your hierarchy and add instances to increase scale.

  • Para una alta disponibilidad del servicio, cree una instancia de CMG con al menos dos servicios y dos puntos de conexión de CMG por sitio.For high availability of the service, create a CMG with at least two CMG instances and two CMG connection points per site.

  • Escale CMG para que admita más clientes mediante la adición de más instancias de máquina virtual.Scale the CMG to support more clients by adding more VM instances. El equilibrador de carga de Azure controla las conexiones de cliente con el servicio.The Azure load balancer controls client connections to the service.

  • Cree más puntos de conexión de CMG para distribuir la carga entre ellos.Create more CMG connection points to distribute the load among them. CMG aplica el sistema round robin para distribuir el tráfico a sus puntos de conexión de CMG en conexión.The CMG distributes the traffic to its connecting CMG connection points in a round-robin fashion.

  • Cuando CMG soporta una carga elevada con más del número de clientes es mayor que el admitido, sigue administrando las solicitudes, pero pueden producirse retrasos.When the CMG is under high load with more than the supported number of clients, it still handles requests but there may be delay.

Nota

Mientras que Configuration Manager no tiene un límite máximo para el número de clientes de un punto de conexión de CMG, Windows Server tiene un intervalo máximo de puertos dinámicos TCP predeterminado de 16 384.While Configuration Manager has no hard limit on the number of clients for a CMG connection point, Windows Server has a default maximum TCP dynamic port range of 16,384. Si un sitio de Configuration Manager administra más de 16 384 clientes con un solo punto de conexión de CMG, debe aumentar el límite de Windows Server.If a Configuration Manager site manages more than 16,384 clients with a single CMG connection point, you must increase the Windows Server limit. Todos los clientes mantienen un canal para las notificaciones de cliente, que contiene un puerto abierto en el punto de conexión de CMG.All clients maintain a channel for client notifications, which holds a port open on the CMG connection point. Para obtener más información sobre cómo usar el comando netsh para aumentar este límite, vea el artículo 929851 del Soporte técnico de Microsoft .For more information on how to use the netsh command to increase this limit, see Microsoft Support article 929851.

Puertos y flujo de datosPorts and data flow

No es necesario abrir ningún puerto de entrada a la red local.You don't need to open any inbound ports to your on-premises network. El punto de conexión de servicio y el punto de conexión de CMG inician todas las comunicaciones con Azure y CMG.The service connection point and CMG connection point initiate all communication with Azure and the CMG. Estos dos roles de sistema de sitio deben poder crear conexiones de salida a la nube de Microsoft.These two site system roles need to create outbound connections to the Microsoft cloud. El punto de conexión de servicio implementa y supervisa el servicio de Azure, por lo que debe estar en modo en línea.The service connection point deploys and monitors the service in Azure, thus must be online mode. El punto de conexión de CMG conecta con CMG para administrar las comunicaciones entre los roles de sistema de sitio de CMG y local.The CMG connection point connects to the CMG to manage communication between the CMG and on-premises site system roles.

El diagrama siguiente es un flujo de datos conceptual básico para CMG:The following diagram is a basic, conceptual data flow for the CMG:

Flujo de datos de CMG

  1. El punto de conexión de servicio conecta con Azure a través del puerto HTTPS 443.The service connection point connects to Azure over HTTPS port 443. Para la autenticación, usa Azure AD o el certificado de administración de Azure.It authenticates using Azure AD or the Azure management certificate. El punto de conexión de servicio implementa CMG en Azure.The service connection point deploys the CMG in Azure. CMG crea el servicio en la nube HTTPS con mediante certificado de autenticación de servidor.The CMG creates the HTTPS cloud service using the server authentication certificate.

  2. El punto de conexión de CMG se conecta a CMG en Azure a través de TCP-TLS o HTTPS.The CMG connection point connects to the CMG in Azure over TCP-TLS or HTTPS. Mantiene la conexión abierta y crea el canal para la comunicación bidireccional futura.It holds the connection open, and builds the channel for future two-way communication.

  3. El cliente se conecta a CMG a través del puerto HTTPS 443.The client connects to the CMG over HTTPS port 443. Para la autenticación, usa Azure AD o el certificado de autenticación de cliente.It authenticates using Azure AD or the client authentication certificate.

  4. CMG reenvía la comunicación de cliente a través de la conexión existente al punto de conexión de CMG local.The CMG forwards the client communication over the existing connection to the on-premises CMG connection point. No es necesario abrir ningún puerto de firewall de entrada.You don't need to open any inbound firewall ports.

  5. El punto de conexión de CMG reenvía la comunicación de cliente al punto de administración local y al punto de actualización de software.The CMG connection point forwards the client communication to the on-premises management point and software update point.

Para más información sobre hospedar contenido en Azure, consulte Usar un punto de distribución basado en la nube.For more information when you host content in Azure, see Use a cloud-based distribution point.

Puertos necesariosRequired ports

En esta tabla se enumeran los protocolos y los puertos de red requeridos.This table lists the required network ports and protocols. El cliente es el dispositivo que inicia la conexión y requiere un puerto de salida.The Client is the device initiating the connection, requiring an outbound port. El servidor es el dispositivo que acepta la conexión y requiere un puerto de entrada.The Server is the device accepting the connection, requiring an inbound port.

ClienteClient ProtocoloProtocol PuertoPort ServerServer DescripciónDescription
Punto de conexión de servicioService connection point HTTPSHTTPS 443443 AzureAzure Implementación de CMGCMG deployment
Punto de conexión de CMGCMG connection point TCP-TLSTCP-TLS 10140-1015510140-10155 Servicio de CMGCMG service Protocolo preferido para crear el canal de CMG 1Preferred protocol to build CMG channel 1
Punto de conexión de CMGCMG connection point HTTPSHTTPS 443443 Servicio de CMGCMG service Protocolo de reserva para crear el canal de CMG para una sola instancia de máquina virtual2Fallback protocol to build CMG channel to only one VM instance2
Punto de conexión de CMGCMG connection point HTTPSHTTPS 10124-1013910124-10139 Servicio de CMGCMG service Protocolo de reserva para crear el canal de CMG para dos o más instancias de máquina virtual3Fallback protocol to build CMG channel to two or more VM instances3
ClienteClient HTTPSHTTPS 443443 CMGCMG Comunicación de cliente generalGeneral client communication
Punto de conexión de CMGCMG connection point HTTPS o HTTPHTTPS or HTTP 443 o 80443 or 80 Punto de administraciónManagement point
(versión 1710)(version 1710)
Para el tráfico local, el puerto depende de la configuración del punto de administraciónOn-premises traffic, port depends upon management point configuration
Punto de conexión de CMGCMG connection point HTTPSHTTPS 443443 Punto de administraciónManagement point
(versión 1802)(version 1802)
El tráfico local debe ser HTTPSOn-premises traffic must be HTTPS
Punto de conexión de CMGCMG connection point HTTPS o HTTPHTTPS or HTTP 443 o 80443 or 80 Punto de actualización de softwareSoftware update point Para el tráfico local, el puerto depende de la configuración del punto de actualización de softwareOn-premises traffic, port depends upon software update point configuration

1 El punto de conexión de CMG primero intenta establecer una conexión TCP-TLS de larga duración con cada instancia de máquina virtual de CMG.1 The CMG connection point first tries to establish a long-lived TCP-TLS connection with each CMG VM instance. Se conecta a la primera instancia de máquina virtual en el puerto 10140.It connects to the first VM instance on port 10140. La segunda instancia de máquina virtual usa el puerto 10141, hasta la decimosexta en el puerto 10155.The second VM instance uses port 10141, up to the 16th on port 10155. Una conexión TCP-TLS tiene un mejor rendimiento, pero no es compatible con un proxy de Internet.A TCP-TLS connection performs the best, but it doesn’t support internet proxy. Si el punto de conexión de CMG no se puede conectar a través de TCP-TLS, recurre a HTTPS2.If the CMG connection point can’t connect via TCP-TLS, then it falls back to HTTPS2.

2 Si el punto de conexión de CMG no se puede conectar a CMG a través de TCP-TLS1, se conecta al equilibrador de carga de red de Azure a través de HTTPS 443 solo para una instancia de máquina virtual.2 If the CMG connection point can’t connect to the CMG via TCP-TLS1, it connects to the Azure network load balancer over HTTPS 443 only for one VM instance.

3 Si hay dos o más instancias de máquina virtual, el punto de conexión de CMG usa HTTPS 10124 para la primera instancia de máquina virtual, no HTTPS 443.3 If there are two or more VM instances, the CMG connection point uses HTTPS 10124 to the first VM instance, not HTTPS 443. Se conecta a la segunda instancia de máquina virtual en HTTPS 10125, hasta la decimosexta en el puerto HTTPS 10139.It connects to the second VM instance on HTTPS 10125, up to the 16th on HTTPS port 10139.

Requisitos de acceso a InternetInternet access requirements

Si la organización restringe la comunicación de red con Internet a través de un dispositivo proxy o firewall, necesita permitir que el punto de conexión de CMG y el punto de conexión de servicio accedan a los puntos de conexión de Internet.If your organization restricts network communication with the internet using a firewall or proxy device, you need to allow CMG connection point and service connection point to access internet endpoints.

Para más información, consulte los requisitos de acceso a Internet.For more information, see Internet access requirements.

Pasos siguientesNext steps