Planificación de Cloud Management Gateway en Configuration ManagerPlan for the cloud management gateway in Configuration Manager

Se aplica a: Configuration Manager (rama actual)Applies to: Configuration Manager (current branch)

Cloud Management Gateway (CMG) proporciona una manera sencilla de administrar clientes de Configuration Manager en Internet.The cloud management gateway (CMG) provides a simple way to manage Configuration Manager clients on the internet. Al implementar CMG como un servicio en la nube de Microsoft Azure, puede administrar los clientes tradicionales que se mueven por Internet sin una infraestructura local adicional.By deploying the CMG as a cloud service in Microsoft Azure, you can manage traditional clients that roam on the internet without additional on-premises infrastructure. Tampoco necesita exponer la infraestructura local a Internet.You also don't need to expose your on-premises infrastructure to the internet.

Nota

Configuration Manager no habilita esta característica opcional de forma predeterminada.Configuration Manager doesn't enable this optional feature by default. Deberá habilitarla para poder usarla.You must enable this feature before using it. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.For more information, see Enable optional features from updates.

Después de establecer los requisitos previos, la creación de CMG consta de los tres pasos siguientes en la consola de Configuration Manager:After establishing the prerequisites, creating the CMG consists of the following three steps in the Configuration Manager console:

  1. Implementar el servicio en la nube de CMG en Azure.Deploy the CMG cloud service to Azure.
  2. Agregar el rol de punto de conexión de CMG.Add the CMG connection point role.
  3. Configurar el sitio y los roles de sitio para el servicio.Configure the site and site roles for the service. Una vez que lo haya implementado y configurado, los clientes podrán tener acceso sin problemas a los roles locales de sitio independientemente de si están en la intranet o en Internet.Once deployed and configured, clients seamlessly access on-premises site roles regardless of whether they're on the intranet or internet.

En este artículo se proporcionan conceptos básicos para obtener información sobre CMG, diseñar cómo encaja en el entorno y planear la implementación.This article provides the foundational knowledge to learn about the CMG, design how it fits in your environment, and plan the implementation.

EscenariosScenarios

Hay varios escenarios en los que CMG resulta beneficioso.There are several scenarios for which a CMG is beneficial. Los escenarios siguientes son algunos de los más comunes:The following scenarios are some of the more common:

  • Administración de clientes tradicionales de Windows con la identidad unida a un dominio de Active Directory.Manage traditional Windows clients with Active Directory domain-joined identity. Estos clientes incluyen Windows 8.1 y Windows 10.These clients include Windows 8.1 and Windows 10. Usa certificados PKI para proteger el canal de comunicación.It uses PKI certificates to secure the communication channel. Entre las actividades de administración se incluyen las siguientes:Management activities include:

    • Actualizaciones de software y Endpoint ProtectionSoftware updates and endpoint protection
    • Estado de cliente y de inventarioInventory and client status
    • Configuración de cumplimientoCompliance settings
    • Distribución de software para el dispositivoSoftware distribution to the device
    • Secuencia de tareas de actualización local de Windows 10Windows 10 in-place upgrade task sequence
  • Administración de clientes tradicionales de Windows 10 con identidad moderna, tanto híbridos como unidos a un dominio en la nube pura con Azure Active Directory (Azure AD).Manage traditional Windows 10 clients with modern identity, either hybrid or pure cloud domain-joined with Azure Active Directory (Azure AD). Los clientes usan Azure AD para la autenticación, en lugar de certificados PKI.Clients use Azure AD to authenticate rather than PKI certificates. Azure AD es más fácil de instalar, configurar y mantener que los sistemas PKI más complejos.Using Azure AD is simpler to set up, configure and maintain than more complex PKI systems. Las actividades de administración son las mismas que el primer escenario, a las que se agregan la siguiente:Management activities are the same as the first scenario, as well as:

    • Distribución de software para el usuarioSoftware distribution to the user
  • Instalación del cliente de Configuration Manager en dispositivos Windows 10 a través de Internet.Install the Configuration Manager client on Windows 10 devices over the internet. El uso de Azure AD permite que el dispositivo se autentique en CMG para el registro y la asignación de clientes.Using Azure AD allows the device to authenticate to the CMG for client registration and assignment. Puede instalar el cliente de forma manual o mediante otro método de distribución de software, como Microsoft Intune.You can install the client manually, or using another software distribution method, such as Microsoft Intune.

  • Aprovisionamiento de dispositivos nuevos con administración conjunta.New device provisioning with co-management. Al inscribir automáticamente los clientes existentes, CMG no es necesario para la administración conjunta.When auto-enrolling existing clients, CMG isn't required for co-management. Se necesita para nuevos dispositivos que implican Windows AutoPilot, Azure AD, Microsoft Intune y Configuration Manager.It is required for new devices involving Windows AutoPilot, Azure AD, Microsoft Intune, and Configuration Manager. Para más información, consulte Rutas hacia la administración conjunta.For more information, see Paths to co-management.

Casos de uso específicosSpecific use cases

En estos escenarios podrían aplicarse los siguientes casos de uso de dispositivos específicos:Across these scenarios the following specific device use cases may apply:

  • Dispositivos de itinerancia, como equipos portátiles.Roaming devices such as laptops

  • Dispositivos remotos o de sucursales, que resultan menos costosos y más eficaces a la hora de administrarlos a través de Internet, en lugar de WAN o VPN.Remote/branch office devices that are less expensive and more efficient to manage over the internet than across a WAN or through a VPN.

  • Las fusiones y las adquisiciones, en las que puede ser más fácil unir dispositivos a Azure AD y administrarlos a través de CMG.Mergers and acquisitions, where it may be easiest to join devices to Azure AD and manage through a CMG.

  • Clientes de grupo de trabajo.Workgroup clients. Es posible que estos dispositivos requieran configuración adicional, como, por ejemplo, certificados.These devices may require additional configuration, such as certificates.

    A partir de la versión 2002, Configuration Manager admite la autenticación basada en tokens, que puede ayudar en la administración de clientes de grupo de trabajo remotos.Starting in version 2002, Configuration Manager supports token-based authentication, which may help with management of remote workgroup clients. Para obtener más información, vea Autenticación basada en tokens para CMG.For more information, see Token-based authentication for CMG.

Importante

De forma predeterminada, todos los clientes reciben una directiva para CMG y empiezan a usarla cuando están basados en Internet.By default all clients receive policy for a CMG, and start using it when they become internet-based. Según cuál sea el escenario y el caso de uso que se aplique a la organización, es posible que tenga que definir el ámbito del uso de CMG.Depending upon the scenario and use case that applies to your organization, you may need to scope usage of the CMG. Para obtener más información, vea la configuración de cliente Permitir que los clientes usen una instancia de Cloud Management Gateway.For more information, see the Enable clients to use a cloud management gateway client setting.

Diseño de topologíaTopology design

Componentes de CMGCMG components

La implementación y el funcionamiento de CMG incluye los componentes siguientes:Deployment and operation of the CMG includes the following components:

  • El servicio en la nube de CMG en Azure autentica y reenvía las solicitudes de cliente de Configuration Manager al punto de conexión de CMG.The CMG cloud service in Azure authenticates and forwards Configuration Manager client requests to the CMG connection point.

  • El rol de sistema de sitio del punto de conexión de CMG permite una conexión coherente y de alto rendimiento desde la red local con el servicio de CMG en Azure.The CMG connection point site system role enables a consistent and high-performance connection from the on-premises network to the CMG service in Azure. Además, publica la configuración de CMG, incluida la información de conexión y la configuración de seguridad.It also publishes settings to the CMG including connection information and security settings. El punto de conexión de CMG reenvía las solicitudes de cliente desde CMG a los roles locales en función de las asignaciones de direcciones URL.The CMG connection point forwards client requests from the CMG to on-premises roles according to URL mappings.

  • El rol de sistema de sitio del punto de conexión del servicio ejecuta el componente del administrador del servicio en la nube, que controla todas las tareas de implementación de CMG.The service connection point site system role runs the cloud service manager component, which handles all CMG deployment tasks. Además, supervisa y notifica la información de estado y el registro del servicio de Azure AD.Additionally, it monitors and reports service health and logging information from Azure AD. Asegúrese de que el punto de conexión del servicio está en modo en línea.Make sure your service connection point is in online mode.

  • El rol de sistema de sitio del punto de administración atiende las solicitudes de cliente de manera normal.The management point site system role services client requests per normal.

  • El rol de sistema de sitio del punto de actualización de software atiende las solicitudes de cliente de manera normal.The software update point site system role services client requests per normal.

    Nota

    Las instrucciones de ajuste de tamaño de los puntos de administración y de los puntos de actualización de software no cambian ya sean servicios locales o clientes basados en Internet.Sizing guidance for management points and software update points doesn't change whether they service on-premises or internet-based clients. Para más información, consulte Números de tamaño y escala.For more information, see Size and scale numbers.

  • Los clientes basados en Internet se conectan a CMG para tener acceso a los componentes locales de Configuration Manager.Internet-based clients connect to the CMG to access on-premises Configuration Manager components.

  • CMG usa un servicio web HTTPS basado en certificados para ayudar a proteger la comunicación de red con los clientes.The CMG uses a certificate-based HTTPS web service to help secure network communication with clients.

  • Los clientes basados en Internet usan certificados PKI o Azure AD para la identidad y la autenticación.Internet-based clients use PKI certificates or Azure AD for identity and authentication.

  • Un punto de distribución en la nube proporciona contenido a los clientes basados en Internet según sea necesario.A cloud distribution point provides content to internet-based clients, as needed.

    • Una instancia de CMG también puede servir contenido a los clientes.A CMG can also serve content to clients. Esta funcionalidad reduce los certificados necesarios y el costo de máquinas virtuales de Azure.This functionality reduces the required certificates and cost of Azure VMs. Para obtener más información, vea Modify a CMG (Modificar una instancia de CMG).For more information, see Modify a CMG.

Azure Resource ManagerAzure Resource Manager

Cree la instancia de CMG mediante una implementación de Azure Resource Manager.Create the CMG using an Azure Resource Manager deployment. Azure Resource Manager es una moderna plataforma para administrar todos los recursos de la solución como una única entidad, denominada grupo de recursos.Azure Resource Manager is a modern platform for managing all solution resources as a single entity, called a resource group. Al implementar CMG con Azure Resource Manager, el sitio usa Azure Active Directory (Azure AD) para autenticar y crear los recursos necesarios en la nube.When deploying CMG with Azure Resource Manager, the site uses Azure Active Directory (Azure AD) to authenticate and create the necessary cloud resources. Esta implementación modernizada no requiere el certificado de administración de Azure clásico.This modernized deployment doesn't require the classic Azure management certificate.

Nota

Esta función no habilita la compatibilidad de los proveedores de servicios en la nube (CSP) de Azure.This capability doesn't enable support for Azure Cloud Service Providers (CSP). La implementación de CMG con Azure Resource Manager sigue usando el servicio en la nube clásico, que no es compatible con los proveedores de servicios en la nube.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Para obtener más información, consulte Available Azure services in Azure CSP (Servicios de Azure disponibles en los proveedores de servicios en la nube de Azure).For more information, see available Azure services in Azure CSP.

A partir de la versión 1902 de Configuration Manager, Azure Resource Manager es el único mecanismo de implementación para instancias nuevas de Cloud Management Gateway.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. Las implementaciones existentes seguirán funcionando.Existing deployments continue to work.

En la versión 1810 y versiones anteriores de Configuration Manager, el asistente de CMG seguirá proporcionando la opción de una implementación del servicio clásico mediante un certificado de administración de Azure.In Configuration Manager version 1810 and earlier, the CMG wizard still provides the option for a classic service deployment using an Azure management certificate. Para simplificar la implementación y la administración de recursos, se recomienda el modelo de implementación de Azure Resource Manager para todas las instancias nuevas de CMG.To simplify the deployment and management of resources, the Azure Resource Manager deployment model is recommended for all new CMG instances. Si es posible, vuelva a implementar las instancias existentes de CMG a través de Resource Manager.If possible, redeploy existing CMG instances through Resource Manager. Para obtener más información, vea Modify a CMG (Modificar una instancia de CMG).For more information, see Modify a CMG.

Importante

La implementación del servicio clásico de Azure ha quedado en desuso en Configuration Manager.The classic service deployment in Azure is deprecated for use in Configuration Manager. La versión 1810 es la última que admite la creación de estas implementaciones de Azure.Version 1810 is the last to support creation of these Azure deployments. Esta funcionalidad se quitará en una edición futura de Configuration Manager.This functionality will be removed in a future Configuration Manager version.

Diseño de jerarquíaHierarchy design

Cree la instancia de CMG en el sitio de nivel superior de la jerarquía.Create the CMG at the top-tier site of your hierarchy. Si es un sitio de administración central, cree puntos de conexión de CMG en sitios principales secundarios.If that's a central administration site, then create CMG connection points at child primary sites. El componente del administrador de servicios en la nube está en el punto de conexión de servicio, que también está en el sitio de administración central.The cloud service manager component is on the service connection point, which is also on the central administration site. Este diseño puede compartir el servicio en varios sitios principales si es necesario.This design can share the service across different primary sites if needed.

Puede crear varios servicios CMG en Azure y varios puntos de conexión de CMG.You can create multiple CMG services in Azure, and you can create multiple CMG connection points. La existencia de varios puntos de conexión de CMG proporciona equilibrio de carga para el tráfico de cliente desde CMG a los roles locales.Multiple CMG connection points provide load balancing of client traffic from the CMG to the on-premises roles.

A partir de la versión 1902, puede asociar una instancia de CMG con un grupo de límites.Starting in version 1902, you can associate a CMG with a boundary group. Esta configuración permite a los clientes predeterminar o recurrir a dicha instancia de CMG para la comunicación con el cliente de acuerdo con las relaciones de grupo de límites.This configuration allows clients to default or fallback to the CMG for client communication according to boundary group relationships. Este comportamiento es especialmente útil en escenarios de sucursales y VPN.This behavior is especially useful in branch office and VPN scenarios. Puede dirigir el tráfico de clientes lejos de los enlaces WAN caros y lentos para utilizar servicios más rápidos en Microsoft Azure.You can direct client traffic away from expensive and slow WAN links to instead use faster services in Microsoft Azure.

Nota

Los clientes basados en Internet no pertenecen a ningún grupo de límites.Internet-based clients don't fall into any boundary group.

En la versión 1810 y anteriores de Configuration Manager, la instancia de CMG no pertenece a ningún grupo de límites.In Configuration Manager version 1810 and earlier, the CMG doesn't fall into any boundary group.

Otros factores, como el número de clientes que se van a administrar, también afectan al diseño de CMG.Other factors, such as the number of clients to manage, also impact your CMG design. Para obtener más información, vea Rendimiento y escalabilidad.For more information, see Performance and scale.

Ejemplo 1: sitio principal independienteExample 1: standalone primary site

Contoso tiene un sitio principal independiente en un centro de datos local en su sede central de Nueva York.Contoso has a standalone primary site in an on-premises datacenter at their headquarters in New York City.

  • Crea una instancia de CMG en la región de Azure del Este de EE. UU. para reducir la latencia de red.They create a CMG in the East US Azure region to reduce network latency.
  • Crea dos puntos de conexión de CMG, ambos vinculados al servicio CMG único.They create two CMG connection points, both linked to the single CMG service.

Cuando los clientes se mueven hacia Internet, se comunican con CMG en la región de Azure del Este de EE. UU.As clients roam onto the internet, they communicate with the CMG in the East US Azure region. CMG reenvía esta comunicación a través de ambos puntos de conexión de CMG.The CMG forwards this communication through both of the CMG connection points.

Ejemplo 2: JerarquíaExample 2: hierarchy

Fourth Coffee tiene un sitio de administración central en un centro de datos local en su sede de Seattle.Fourth Coffee has a central administration site in an on-premises datacenter at their headquarters in Seattle. Un sitio principal está en el mismo centro de datos y el otro sitio principal está en su oficina central europea, en París.One primary site is in the same datacenter, and the other primary site is in their main European office in Paris.

  • En el sitio de administración central, crean un servicio de CMG en la región de Azure del oeste de EE. UU.On the central administration site, they create a CMG service in the West US Azure region. Escalan el número de máquinas virtuales en función de la carga esperada de clientes de itinerancia en toda la jerarquía.They scale the number of VMs for the expected load of roaming clients in the entire hierarchy.
  • En el sitio primario situado en Seattle, crean un punto de conexión de CMG vinculado a la instancia única de CMG.On the Seattle-based primary site, they create a CMG connection point linked to the single CMG.
  • En el sitio primario situado en París, crean un punto de conexión de CMG vinculado a la instancia única de CMG.On the Paris-based primary site, they create a CMG connection point linked to the single CMG.

Cuando los clientes se mueven en Internet, se comunican con el CMG de la región de Azure del este de EE. UU.As clients roam onto the internet, they communicate with the CMG in the West US Azure region. El CMG reenvía esta comunicación al punto de conexión de CMG del sitio primario asignado del cliente.The CMG forwards this communication to the CMG connection point in the client's assigned primary site.

Sugerencia

No es necesario implementar más de una puerta de enlace de administración en la nube para fines de ubicación geográfica.You don't need to deploy more than one cloud management gateway for the purposes of geolocation. El cliente de Configuration Manager no resulta apenas afectado por la ligera latencia que se puede producir con el servicio en la nube, incluso cuando está geográficamente lejos.The Configuration Manager client is mostly unaffected by the slight latency that can occur with the cloud service, even when geographically distant.

Entornos de pruebaTest environments

Muchas organizaciones cuentan con entornos independientes para la producción, las pruebas, el desarrollo o la garantía de calidad.Many organizations have separate environments for production, test, development, or quality assurance. Al planear la implementación de CMG, tenga en cuenta las siguientes preguntas:When you plan your CMG deployment, consider the following questions:

  • ¿Cuántos inquilinos de Azure AD tiene su organización?How many Azure AD tenants does your organization have?

    • ¿Hay un inquilino independiente para las pruebas?Is there a separate tenant for testing?
    • ¿Están las identidades de los usuarios y de los dispositivos en el mismo inquilino?Are user and device identities in the same tenant?
  • ¿Cuántas suscripciones hay en cada inquilino?How many subscriptions are in each tenant?

    • ¿Hay suscripciones específicas para las pruebas?Are there subscriptions that are specific for testing?

El servicio de Azure de Configuration Manager para la administración en la nube admite varios inquilinos.Configuration Manager's Azure service for Cloud management supports multiple tenants. Varios sitios Configuration Manager pueden conectarse al mismo inquilino.Multiple Configuration Manager sites can connect to the same tenant. Un solo sitio puede implementar varios servicios de CMG en distintas suscripciones.A single site can deploy multiple CMG services into different subscriptions. Varios sitios pueden implementar servicios de CMG en la misma suscripción.Multiple sites can deploy CMG services into the same subscription. Configuration Manager proporciona flexibilidad para distintos entornos y requisitos empresariales.Configuration Manager provides flexibility depending upon your environment and business requirements.

Para más información, vea las siguientes preguntas frecuentes: ¿Las cuentas de usuario deben estar en el mismo inquilino de Azure AD que la suscripción que hospeda el servicio en la nube de CMG?For more information, see the following FAQ: Do the user accounts have to be in the same Azure AD tenant as the tenant associated with the subscription that hosts the CMG cloud service?

RequisitosRequirements

  • Una suscripción de Azure para hospedar CMG.An Azure subscription to host the CMG.

    Importante

    CMG no admite suscripciones con un proveedor de servicios en la nube (CSP) de Azure.CMG doesn't support subscriptions with an Azure Cloud Service Provider (CSP).

  • Su cuenta de usuario ha de ser de Administrador total o de Administrador de infraestructura en Configuration Manager.Your user account needs to be a Full administrator or Infrastructure administrator in Configuration Manager.

  • Es necesario que un administrador de Azure participe en la creación inicial de determinados componentes, en función del diseño.An Azure administrator needs to participate in the initial creation of certain components, depending upon your design. Esta persona puede ser el administrador de Configuration Manager o ser distinto.This persona can be the same as the Configuration Manager administrator, or separate. Si es distinto, no necesita permisos en Configuration Manager.If separate, it doesn't require permissions in Configuration Manager.

    • Para implementar la instancia de CMG, necesita un propietario de suscripciones.To deploy the CMG, you need a Subscription Owner
    • Para integrar el sitio con Azure AD a fin de implementar la instancia de CMG con Azure Resource Manager, necesita un administrador global.To integrate the site with Azure AD for deploying the CMG using Azure Resource Manager, you need a Global Admin
  • Al menos un servidor local de Windows para hospedar el punto de conexión de CMG.At least one on-premises Windows server to host the CMG connection point. Puede colocalizar este rol con otros roles de sistema de sitio de Configuration Manager.You can colocate this role with other Configuration Manager site system roles.

  • El punto de conexión del servicio debe estar en modo en línea.The service connection point must be in online mode.

  • Integración con Azure AD para implementar el servicio con Azure Resource Manager.Integration with Azure AD for deploying the service with Azure Resource Manager. Para obtener más información, vea Configuración de servicios de Azure.For more information, see Configure Azure services.

  • Un certificado de autenticación de servidor para CMG.A server authentication certificate for the CMG.

  • Podrían ser necesarios otros certificados, según el modelo de autenticación y la versión del sistema operativo del cliente.Other certificates may be required, depending upon your client OS version and authentication model. Para obtener más información, vea CMG certificates (Certificados de CMG).For more information, see CMG certificates.

    Si se usa la opción de sitio para Usar los certificados generados por Configuration Manager para sistemas de sitios HTTP, el punto de administración puede ser HTTP.When you use the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Para obtener más información, vea HTTP mejorado.For more information, see Enhanced HTTP.

  • En la versión 1810 o anteriores de Configuration Manager, si se usa el método de implementación clásico de Azure, debe usar un certificado de automatización de Azure.In Configuration Manager version 1810 or earlier, if using the Azure classic deployment method, you must use an Azure management certificate.

    Sugerencia

    Use el modelo de implementación de Azure Resource Manager.Use the Azure Resource Manager deployment model. No necesita este certificado de administración.It doesn't require this management certificate.

    El método de implementación clásico está en desuso desde la versión 1810.The classic deployment method is deprecated as of version 1810.

  • Los clientes deben usar IPv4.Clients must use IPv4.

EspecificacionesSpecifications

  • Todas las versiones de Windows que aparecen en Sistemas operativos compatibles con dispositivos y clientes son compatibles con CMG.All Windows versions listed in Supported operating systems for clients and devices are supported for CMG.

  • CMG solo admite los roles de punto de administración y punto de actualización de software.CMG only supports the management point and software update point roles.

  • CMG no es compatible con los clientes que solo se comunican con direcciones IPv6.CMG doesn't support clients that only communicate with IPv6 addresses.

  • Los puntos de actualización de software que usan un equilibrador de carga de red no funcionan con CMG.Software update points using a network load balancer don't work with CMG.

  • Las implementaciones de CMG que usan el modelo de implementación de Azure no permiten la compatibilidad con proveedores de servicios en la nube (CSP) de Azure.CMG deployments using the Azure Resource Model don't enable support for Azure Cloud Service Providers (CSP). La implementación de CMG con Azure Resource Manager sigue usando el servicio en la nube clásico, que no es compatible con los proveedores de servicios en la nube.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Para más información, consulte Servicios de Azure disponibles en el programa CSP de Azure.For more information, see Azure services available in the Azure CSP program.

Compatibilidad con características de Configuration ManagerSupport for Configuration Manager features

En la tabla siguiente se muestra la compatibilidad de CMG con características de Configuration Manager:The following table lists CMG support for Configuration Manager features:

CaracterísticaFeature CompatibilidadSupport
Actualizaciones de softwareSoftware updates Compatible.
Endpoint ProtectionEndpoint protection Compatible Nota 1Supported Note 1
Inventario de hardware y softwareHardware and software inventory Compatible.
Estado de cliente y notificacionesClient status and notifications Compatible.
Ejecutar scriptsRun scripts Compatible.
CMPivotCMPivot Compatible.
Configuración de cumplimientoCompliance settings Compatible.
Instalación de clienteClient install
(con integración de Azure AD)(with Azure AD integration)
Compatible.
Instalación de clienteClient install
(con autenticación de tokens)(with token authentication)
Compatible. (2002)(2002)
Distribución de software (dirigida al dispositivo)Software distribution (device-targeted) Compatible.
Distribución de software (dirigida al usuario, obligatorio)Software distribution (user-targeted, required)
(con integración de Azure AD)(with Azure AD integration)
Compatible.
Distribución de software (dirigida al usuario, disponible)Software distribution (user-targeted, available)
(todos los requisitos)(all requirements)
Compatible.
Secuencia de tareas de actualización local de Windows 10Windows 10 in-place upgrade task sequence Compatible.
Secuencias de tareas que no usan imágenes de arranque y que se implementan con una opción: Descargar todo el contenido localmente antes de iniciar la secuencia de tareasTask sequences that aren't using boot images and are deployed with an option: Download all content locally before starting task sequence Compatible.
Secuencias de tareas que no usan imágenes de arranque y con cualquiera de las opciones de descargaTask sequences that aren't using boot images with either download option Compatible. (1910)(1910)
Cualquier otro escenario de secuencia de tareasAny other task sequence scenario No compatible
Inserción de clienteClient push No compatible
Asignación automática de sitioAutomatic site assignment No compatible
Solicitudes de aprobación de softwareSoftware approval requests No compatible
Consola de Configuration ManagerConfiguration Manager console No compatible
Herramientas remotasRemote tools No compatible
Sitio web de generación de informesReporting website No compatible
Wake on LANWake on LAN No compatible
Clientes Mac, Linux y UNIXMac, Linux, and UNIX clients No compatible
Almacenamiento en caché del mismo nivelPeer cache No compatible
MDM localOn-premises MDM No compatible
Administración de BitLockerBitLocker Management No compatible
KeyKey
Compatible. = Esta característica es compatible con CMG en todas las versiones compatibles de Configuration Manager.= This feature is supported with CMG by all supported versions of Configuration Manager
Compatible (AAMM) = Esta característica es compatible con CMG a partir de la versión AAMM de Configuration Manager.Supported (YYMM) = This feature is supported with CMG starting with version YYMM of Configuration Manager
No compatible = Esta característica no se admite con CMG.= This feature isn't supported with CMG

Nota 1: Compatibilidad con Endpoint ProtectionNote 1: Support for endpoint protection

Para que los dispositivos unidos a un dominio apliquen la directiva de Endpoint Protection, necesitan tener acceso al dominio.For domain-joined devices to apply endpoint protection policy, they require access to the domain. Los dispositivos con acceso poco frecuente a la red interna pueden experimentar retrasos en la aplicación de la directiva de Endpoint Protection.Devices with infrequent access to the internal network may experience delays in applying endpoint protection policy. Si necesita que los dispositivos apliquen inmediatamente la directiva de Endpoint Protection después de recibirla, considere una de las siguientes opciones:If you require that devices immediately apply endpoint protection policy after they receive it, consider one of the following options:

CosteCost

Importante

La siguiente información sobre los costos se indica solo con fines de estimación.The following cost information is for estimating purposes only. Su entorno puede tener otras variables que afecten al costo general del uso de CMG.Your environment may have other variables that affect the overall cost of using CMG.

CMG usa los siguientes componentes de Azure, que conllevan cargos en la cuenta de suscripción de Azure:CMG uses the following Azure components, which incur charges to the Azure subscription account:

Máquina virtualVirtual machine

  • CMG usa Azure Cloud Services como plataforma como servicio (PaaS).CMG uses Azure Cloud Services as platform as a service (PaaS). Este servicio usa máquinas virtuales (VM) que conllevan costos de proceso.This service uses virtual machines (VMs) that incur compute costs.

  • CMG usa una máquina virtual estándar A2 V2.CMG uses a Standard A2 V2 VM.

  • Seleccione el número de instancias de máquina virtual que CMG admite.You select how many VM instances support the CMG. El valor predeterminado es una y el máximo es 16.One is the default, and 16 is the maximum. Este número se establece al crear la instancia de CMG y se pueden cambiar posteriormente para escalar el servicio según sea necesario.This number is set when creating the CMG, and can be changed afterwards to scale the service as needed.

  • Para obtener más información sobre cuántas máquinas virtuales necesita para sus clientes, vea Rendimiento y escalabilidad.For more information on how many VMs you need to support your clients, see Performance and scale.

  • Vea la Calculadora de precios de Azure para determinar los costos potenciales.See the Azure pricing calculator to help determine potential costs.

    Nota

    Los costos de máquina virtual varían según la región.Virtual machine costs vary by region.

Transferencia de datos de salidaOutbound data transfer

  • Los cargos se basan en los datos que fluyen fuera de Azure (salida o descarga).Charges are based on data flowing out of Azure (egress or download). Todos los datos que fluyan a Azure son gratuitos (entrada o carga).Any data flows into Azure are free (ingress or upload). Los flujos de datos de CMG fuera de Azure incluyen la directiva para el cliente, las notificaciones de cliente y las respuestas del cliente reenviadas por la CMG al sitio.CMG data flows out of Azure include policy to the client, client notifications, and client responses forwarded by the CMG to the site. Estas respuestas incluyen informes de inventario, mensajes de estado y estado de cumplimiento.These responses include inventory reports, status messages, and compliance status.

  • Incluso aunque ningún cliente se comunique con CMG, algún tipo de comunicación de fondo genera tráfico de red entre CMG y el sitio local.Even without any clients communicating with a CMG, some background communication causes network traffic between the CMG and the on-premises site.

  • Vea la transferencia de datos de salida (GB) en la consola de Configuration Manager.View the Outbound data transfer (GB) in the Configuration Manager console. Para obtener más información, vea Monitor clients on CMG (Supervisar clientes en CMG).For more information, see Monitor clients on CMG.

  • Vea Detalles de precios de ancho de banda de Azure para determinar los costos potenciales.See the Azure bandwidth pricing details to help determine potential costs. Los precios de la transferencia de datos se organizan por plan de tarifa.Pricing for data transfer is tiered. Cuanto más uso haga, menos pagará por gigabyte.The more you use, the less you pay per gigabyte.

  • Solo con fines de estimación, calcule aproximadamente 100-300 MB por cliente al mes para clientes basados en Internet.For estimating purposes only, expect approximately 100-300 MB per client per month for internet-based clients. La estimación más baja es la de una configuración de cliente predeterminada.The lower estimate is for a default client configuration. La estimación más alta es la de una configuración de cliente más agresiva.The upper estimate is for a more aggressive client configuration. El uso real puede variar en función de la configuración del cliente.Your actual usage may vary depending upon how you configure client settings.

    Nota

    Si realiza otras acciones, como implementar actualizaciones de software o aplicaciones, aumentará la cantidad de transferencia de datos de salida de Azure.Performing other actions, such as deploying software updates or applications, increases the amount of outbound data transfer from Azure.

  • Los clientes basados en Internet obtienen contenido de actualización de software de Microsoft desde Windows Update sin ningún costo.Internet-based clients get Microsoft software update content from Windows Update at no charge. No distribuya paquetes de actualización con contenido de actualización de Microsoft a un punto de distribución en la nube, ya que podría conllevar costos de almacenamiento y salida de datos.Don't distribute update packages with Microsoft update content to a cloud distribution point, otherwise you may incur storage and data egress costs.

  • La configuración errónea de la opción CMG para comprobar la revocación de certificado de cliente puede generar tráfico adicional desde los clientes a CMG.Misconfiguration of the CMG option to Verify client certificate revocation can cause additional traffic from clients to the CMG. Este tráfico adicional puede aumentar los datos de salida de Azure, lo que podría aumentar los costos de Azure.This additional traffic can increase the Azure egress data, which can increase your Azure costs. Para obtener más información, vea Publicar la lista de revocación de certificados.For more information, see Publish the certificate revocation list.

Almacenamiento de contenidoContent storage

  • Los clientes basados en Internet obtienen contenido de actualización de software de Microsoft desde Windows Update sin ningún costo.Internet-based clients get Microsoft software update content from Windows Update at no charge. No distribuya paquetes de actualización con contenido de actualización de Microsoft a un punto de distribución en la nube, ya que podría conllevar costos de almacenamiento y salida de datos.Don't distribute update packages with Microsoft update content to a cloud distribution point, otherwise you may incur storage and data egress costs.

  • Para otros contenidos necesarios, como aplicaciones o actualizaciones de software de terceros, debe distribuir a un punto de distribución en la nube.For any other necessary content, such as applications or third-party software updates, you must distribute to a cloud distribution point. En estos momentos, CMG solo admite el punto de distribución en la nube para enviar contenido a los clientes.Currently, the CMG supports only the cloud distribution point for sending content to clients.

    • Cuando se usa CMG para el almacenamiento de contenido, el contenido de las actualizaciones de terceros no se descarga en los clientes si está habilitada la opción de cliente Descarga de contenido diferencial cuando esté disponible.When using a CMG for content storage, the content for third-party updates won't download to clients if the Download delta content when available client setting is enabled.
  • Para obtener más información, vea el costo de la utilización de puntos de distribución en la nube.For more information, see the cost of using cloud distribution points.

  • Una instancia de CMG también puede ser un punto de distribución en la nube para brindar contenido a los clientes.A CMG can also be a cloud distribution point to serve content to clients. Esta funcionalidad reduce los certificados necesarios y el costo de máquinas virtuales de Azure.This functionality reduces the required certificates and cost of Azure VMs. Para obtener más información, vea Modify a CMG (Modificar una instancia de CMG).For more information, see Modify a CMG.

  • CMG usa el almacenamiento con redundancia local (LRS) de Azure.CMG uses Azure locally redundant storage (LRS). Para más información, consulte Almacenamiento con redundancia local.For more information, see Locally redundant storage.

Otros costosOther costs

  • Todos los servicios en la nube tienen una dirección IP dinámica.Each cloud service has a dynamic IP address. Cada instancia de CMG diferente usa una nueva dirección IP dinámica.Each distinct CMG uses a new dynamic IP address. El hecho de agregar máquinas virtuales adicionales por CMG no aumenta estas direcciones.Adding additional VMs per CMG doesn't increase these addresses.

Rendimiento y escalabilidadPerformance and scale

Para obtener más información sobre la escala CMG, vea Números de tamaño y escala.For more information on CMG scale, see Size and scale numbers.

Las siguientes recomendaciones le ayudarán a mejorar el rendimiento de CMG:The following recommendations can help you improve CMG performance:

  • La región no es relevante para la conexión entre el cliente de Configuration Manager y CMG.The connection between the Configuration Manager client and the CMG isn't region-aware. La comunicación del cliente no se ve afectada en gran medida por la latencia o la separación geográfica.Client communication is largely unaffected by latency / geographic separation. No es necesario implementar varias instancias de CMG para la finalidad de proximidad geográfica.It's not necessary to deploy multiple CMG for the purposes of geo-proximity. Implemente la instancia de CMG en el sitio de nivel superior de la jerarquía y agregue instancias para aumentar la escala.Deploy the CMG at the top-level site in your hierarchy and add instances to increase scale.

  • Para una alta disponibilidad del servicio, cree una instancia de CMG con al menos dos servicios y dos puntos de conexión de CMG por sitio.For high availability of the service, create a CMG with at least two CMG instances and two CMG connection points per site.

  • Escale CMG para que admita más clientes mediante la adición de más instancias de máquina virtual.Scale the CMG to support more clients by adding more VM instances. El equilibrador de carga de Azure controla las conexiones de cliente con el servicio.The Azure load balancer controls client connections to the service.

  • Cree más puntos de conexión de CMG para distribuir la carga entre ellos.Create more CMG connection points to distribute the load among them. CMG aplica el sistema round robin para distribuir el tráfico a sus puntos de conexión de CMG en conexión.The CMG distributes the traffic to its connecting CMG connection points in a round-robin fashion.

  • Cuando CMG soporta una carga elevada con más del número de clientes es mayor que el admitido, sigue administrando las solicitudes, pero pueden producirse retrasos.When the CMG is under high load with more than the supported number of clients, it still handles requests but there may be delay.

Nota

Mientras que Configuration Manager no tiene un límite máximo para el número de clientes de un punto de conexión de CMG, Windows Server tiene un intervalo máximo de puertos dinámicos TCP predeterminado de 16 384.While Configuration Manager has no hard limit on the number of clients for a CMG connection point, Windows Server has a default maximum TCP dynamic port range of 16,384. Si un sitio de Configuration Manager administra más de 16 384 clientes con un solo punto de conexión de CMG, debe aumentar el límite de Windows Server.If a Configuration Manager site manages more than 16,384 clients with a single CMG connection point, you must increase the Windows Server limit. Todos los clientes mantienen un canal para las notificaciones de cliente, que contiene un puerto abierto en el punto de conexión de CMG.All clients maintain a channel for client notifications, which holds a port open on the CMG connection point. Para obtener más información sobre cómo usar el comando netsh para aumentar este límite, vea el artículo 929851 del Soporte técnico de Microsoft .For more information on how to use the netsh command to increase this limit, see Microsoft Support article 929851.

Puertos y flujo de datosPorts and data flow

No es necesario abrir ningún puerto de entrada a la red local.You don't need to open any inbound ports to your on-premises network. El punto de conexión de servicio y el punto de conexión de CMG inician todas las comunicaciones con Azure y CMG.The service connection point and CMG connection point initiate all communication with Azure and the CMG. Estos dos roles de sistema de sitio deben poder crear conexiones de salida a la nube de Microsoft.These two site system roles need to create outbound connections to the Microsoft cloud. El punto de conexión de servicio implementa y supervisa el servicio de Azure, por lo que debe estar en modo en línea.The service connection point deploys and monitors the service in Azure, thus must be online mode. El punto de conexión de CMG conecta con CMG para administrar las comunicaciones entre los roles de sistema de sitio de CMG y local.The CMG connection point connects to the CMG to manage communication between the CMG and on-premises site system roles.

El diagrama siguiente es un flujo de datos conceptual básico para CMG:The following diagram is a basic, conceptual data flow for the CMG:

Flujo de datos de CMGCMG data flow

  1. El punto de conexión de servicio conecta con Azure a través del puerto HTTPS 443.The service connection point connects to Azure over HTTPS port 443. Para la autenticación, usa Azure AD o el certificado de administración de Azure.It authenticates using Azure AD or the Azure management certificate. El punto de conexión de servicio implementa CMG en Azure.The service connection point deploys the CMG in Azure. CMG crea el servicio en la nube HTTPS con mediante certificado de autenticación de servidor.The CMG creates the HTTPS cloud service using the server authentication certificate.

  2. El punto de conexión de CMG se conecta a CMG en Azure a través de TCP-TLS o HTTPS.The CMG connection point connects to the CMG in Azure over TCP-TLS or HTTPS. Mantiene la conexión abierta y crea el canal para la comunicación bidireccional futura.It holds the connection open, and builds the channel for future two-way communication.

  3. El cliente se conecta a CMG a través del puerto HTTPS 443.The client connects to the CMG over HTTPS port 443. Para la autenticación, usa Azure AD o el certificado de autenticación de cliente.It authenticates using Azure AD or the client authentication certificate.

    Nota

    Si habilita CMG para servir contenido o usar un punto de distribución de nube, el cliente se conecta directamente al almacenamiento de blobs de Azure a través del puerto HTTPS 443.If you enable the CMG to serve content or use a cloud distribution point, the client connects directly to Azure blob storage over HTTPS port 443. Para más información, consulte Usar un punto de distribución de nube.For more information, see Use a cloud-based distribution point.

  4. CMG reenvía la comunicación de cliente a través de la conexión existente al punto de conexión de CMG local.The CMG forwards the client communication over the existing connection to the on-premises CMG connection point. No es necesario abrir ningún puerto de firewall de entrada.You don't need to open any inbound firewall ports.

  5. El punto de conexión de CMG reenvía la comunicación de cliente al punto de administración local y al punto de actualización de software.The CMG connection point forwards the client communication to the on-premises management point and software update point.

Para más información sobre hospedar contenido en Azure, consulte Usar un punto de distribución basado en la nube.For more information when you host content in Azure, see Use a cloud-based distribution point.

Puertos necesariosRequired ports

En esta tabla se enumeran los protocolos y los puertos de red requeridos.This table lists the required network ports and protocols. El cliente es el dispositivo que inicia la conexión y requiere un puerto de salida.The Client is the device initiating the connection, requiring an outbound port. El servidor es el dispositivo que acepta la conexión y requiere un puerto de entrada.The Server is the device accepting the connection, requiring an inbound port.

ClienteClient ProtocoloProtocol PuertoPort ServerServer DescripciónDescription
Punto de conexión de servicioService connection point HTTPSHTTPS 443443 AzureAzure Implementación de CMGCMG deployment
Punto de conexión de CMGCMG connection point TCP-TLSTCP-TLS 10140-1015510140-10155 Servicio de CMGCMG service Protocolo preferido para crear el canal de CMG Nota 1Preferred protocol to build CMG channel Note 1
Punto de conexión de CMGCMG connection point HTTPSHTTPS 443443 Servicio de CMGCMG service Protocolo de reserva para crear el canal de CMG para una sola instancia de máquina virtual Nota 2Fallback protocol to build CMG channel to only one VM instance Note 2
Punto de conexión de CMGCMG connection point HTTPSHTTPS 10124-1013910124-10139 Servicio de CMGCMG service Protocolo de reserva para crear el canal de CMG para dos o más instancias de máquina virtual Nota 3Fallback protocol to build CMG channel to two or more VM instances Note 3
ClienteClient HTTPSHTTPS 443443 CMGCMG Comunicación de cliente generalGeneral client communication
ClienteClient HTTPSHTTPS 443443 Blob StorageBlob storage Descarga de contenido basado en la nubeDownload cloud-based content
Punto de conexión de CMGCMG connection point HTTPS o HTTPHTTPS or HTTP 443 o 80443 or 80 Punto de administraciónManagement point Para el tráfico local, el puerto depende de la configuración del punto de administraciónOn-premises traffic, port depends upon management point configuration
Punto de conexión de CMGCMG connection point HTTPS o HTTPHTTPS or HTTP 443 o 80443 or 80 Punto de actualización de softwareSoftware update point Para el tráfico local, el puerto depende de la configuración del punto de actualización de softwareOn-premises traffic, port depends upon software update point configuration

Nota 1: Puertos TCP-TLS de punto de conexión de CMGNote 1: CMG connection point TCP-TLS ports

El punto de conexión de CMG primero intenta establecer una conexión TCP-TLS de larga duración con cada instancia de máquina virtual de CMG.The CMG connection point first tries to establish a long-lived TCP-TLS connection with each CMG VM instance. Se conecta a la primera instancia de máquina virtual en el puerto 10140.It connects to the first VM instance on port 10140. La segunda instancia de máquina virtual usa el puerto 10141, hasta la decimosexta en el puerto 10155.The second VM instance uses port 10141, up to the 16th on port 10155. Una conexión TCP-TLS tiene mejor rendimiento, pero no es compatible con un proxy de Internet.A TCP-TLS connection performs the best, but it doesn't support internet proxy. Si el punto de conexión de CMG no se puede conectar a través de TCP-TLS, recurre a HTTPSNota 2.If the CMG connection point can't connect via TCP-TLS, then it falls back to HTTPSNote 2.

Nota 2: Puertos HTTPS de punto de conexión de CMG para una máquina virtualNote 2: CMG connection point HTTPS ports for one VM

Si el punto de conexión de CMG no se puede conectar a CMG a través de TCP-TLSNota 1, se conecta al equilibrador de carga de red de Azure a través de HTTPS 443 solo para una instancia de máquina virtual.If the CMG connection point can't connect to the CMG via TCP-TLSNote 1, it connects to the Azure network load balancer over HTTPS 443 only for one VM instance.

Nota 3: Puertos HTTPS de punto de conexión de CMG para dos o más máquinas virtualesNote 3: CMG connection point HTTPS ports for two or more VMs

Si hay dos o más instancias de máquina virtual, el punto de conexión de CMG usa HTTPS 10124 para la primera instancia de máquina virtual, no HTTPS 443.If there are two or more VM instances, the CMG connection point uses HTTPS 10124 to the first VM instance, not HTTPS 443. Se conecta a la segunda instancia de máquina virtual en HTTPS 10125, hasta la decimosexta en el puerto HTTPS 10139.It connects to the second VM instance on HTTPS 10125, up to the 16th on HTTPS port 10139.

Requisitos de acceso a InternetInternet access requirements

Si la organización restringe la comunicación de red con Internet a través de un dispositivo proxy o firewall, necesita permitir que el punto de conexión de CMG y el punto de conexión de servicio accedan a los puntos de conexión de Internet.If your organization restricts network communication with the internet using a firewall or proxy device, you need to allow CMG connection point and service connection point to access internet endpoints.

Para más información, consulte los requisitos de acceso a Internet.For more information, see Internet access requirements.

Pasos siguientesNext steps