Planifier CMG dans Configuration Manager

Mises à jour vers Configuration Manager (Current Branch)

Pour simplifier la gestion des clients basés sur Internet, développez d’abord un plan pour la passerelle de gestion cloud (CMG). Concevez la façon dont il s’adapte à votre environnement et préparez-vous à votre implémentation.

Pour une connaissance plus approfondie des scénarios CMG et des cas d’utilisation, voir Vue d’ensemble de CMG.

Notes

Certaines sections précédemment dans cet article ont été déplacées :

Liste de vérification de planification

Le processus de planification global de CMG est divisé en deux parties :

  • Composants et exigences: cet article récapitule les composants qui composant le système CMG. Il répertorie également la exigences système.

  • Authentification du client: déterminez la méthode d’authentification que vous utiliserez pour les clients provenant de réseaux potentiellement non confiance.

  • Conception de hiérarchie : planifiez l’endroit où placer le CMG dans votre environnement.

  • Configurations prise en charge: comprendre les fonctionnalités configuration manager que vous pouvez prendre en charge sur les clients basés sur Internet qui se connectent à CMG.

  • Performances et échelle: déterminez le nombre de composants de service dont vous aurez besoin pour prendre en charge au mieux votre nombre de clients.

  • Coût: comprendre le coût des composants Azure.

Composants CMG

Le déploiement et le fonctionnement de CMG incluent les composants suivants :

  • Le service cloud CMG dans Azure authentifier et forward les demandes client Configuration Manager via Internet au point de connexion CMG local.

  • Le rôle système de site de point de connexion CMG permet une connexion cohérente et hautes performances entre le réseau local et le service CMG dans Azure. Il publie également des paramètres sur CMG, y compris les informations de connexion et les paramètres de sécurité. Le point de connexion CMG permet de forwarder les demandes client du CMG vers les rôles locaux en fonction des mappages d’URL. Par exemple, le point de gestion et le point de mise à jour logicielle.

  • Le rôle système de site de point de connexion de service exécute le composant gestionnaire de service cloud, qui gère toutes les tâches de déploiement CMG. En outre, il surveille et signale l’état du service et les informations de journalisation Azure Active Directory (Azure AD). Assurez-vous que votre point de connexion de service est en mode en ligne.

  • Le point de gestion et le point de mise à jour logicielle des rôles système de site service service demandes par normal.

  • Le CMG utilise un service web HTTPS basé sur des certificats pour sécuriser la communication réseau avec les clients.

  • Les clients Internet se connectent à CMG pour accéder aux composants Configuration Manager locaux. Il existe plusieurs options pour l’identité et l’authentification des clients :

    • Azure AD
    • Certificats pKI
    • Jetons émis par le site Configuration Manager

    Pour plus d’informations, voir Planifier l’authentification du client CMG.

  • Le CMG crée un compte de stockage Azure, qu’il utilise pour ses opérations standard. Par défaut, CMG est également activé pour le contenu afin de fournir du contenu de déploiement aux clients basés sur Internet. Ce compte de stockage ne prend pas en charge les personnalisations, telles que les restrictions de réseau virtuel.

    Notes

    Le point de distribution en nuage (CDP) est supprimé. À partir de la version 2107, vous ne pouvez pas créer de nouvelles instances CDP. Pour fournir du contenu aux appareils basés sur Internet, activez CMG pour distribuer le contenu.

Azure Resource Manager

Vous créez le CMG à l’aide d’un déploiement Azure Resource Manager. Azure Resource Manager est une plateforme moderne pour la gestion de toutes les ressources de solution en tant qu’entité unique, appelée groupe de ressources. Lorsque vous déployez un CMG avec Azure Resource Manager, le site utilise Azure Active Directory (Azure AD) pour authentifier et créer les ressources cloud nécessaires.

Notes

Les déploiements CMG avec la méthode de service cloud (classique) ne prisent pas en charge les abonnements pour les fournisseurs de services Cloud Azure. Le déploiement CMG avec Azure Resource Manager continue d’utiliser le service cloud classique, que le fournisseur CSP ne prend pas en charge. Pour plus d’informations, consultez les services Azure disponibles dans le programme Azure CSP. Dans les versions 2006 et antérieures, cette méthode de déploiement est la seule option.

L’option de déploiement d’un CMG en tant que service cloud (classique) est désaccatée. Tous les déploiements CMG doivent utiliser un jeu d’échelle de machine virtuelle. Pour plus d’informations, voir Fonctionnalités supprimées et supprimées.

Jeux d’échelle des ordinateurs virtuels

Notes

Cette fonctionnalité a été introduite pour la première fois dans la version 2010 en tant que fonctionnalité de pré-publication. À compter de la version 2107, il ne s’agit plus d’une fonctionnalité de pré-publication.

À partir de la version 2010, les clients titulaires d’un abonnement fournisseur de solutions Cloud (CSP) peuvent déployer CMG avec une mise à l’échelle de machine virtuelle définie dans Azure. Cette prise en charge est uniquement si un CMG n’est actuellement pas déployé à l’aide des services cloud classiques vers un autre abonnement.

À partir de la version 2107, tous les clients peuvent déployer un CMG avec un jeu d’échelle de machine virtuelle. Si vous avez un CMG existant déployé avec le service cloud classique, convertissez-le pour utiliser un jeu d’échelle de machine virtuelle.

À quelques exceptions près, la configuration, l’opération et les fonctionnalités de CMG restent identiques.

  • Autres fournisseurs de ressources Azure dans votre abonnement Azure.

  • Différents noms de déploiement, par exemple, GraniteFalls.EastUS.CloudApp.Azure.Com pour un déploiement dans la région Azure est des États-Unis. Ce changement de nom peut affecter la façon dont vous créez et gérez le certificat d’authentification du serveur CMG.

  • Le point de connexion CMG communique uniquement avec l’échelle de la machine virtuelle définie dans Azure sur HTTPS. Il ne nécessite pas de ports TCP-TLS.

Limitations pour un CMG avec un jeu d’échelle de machine virtuelle

Limitations avec les versions 2107 et ultérieures

Notes

À partir de la version 2111, les déploiements CMG avec un jeu d’échelle de machine virtuelle prise en charge les environnements cloud Azure US Government.

  • Les utilisateurs peuvent faire face à un délai de trois secondes maximum pour les actions dans le Centre logiciel.
  • Vous ne pouvez pas approuver/refuser des demandes d’application via le CMG.
  • La version 2107 ne prend pas en charge les environnements cloud Azure US Government.

Limitations avec les versions 2010 et 2103

  • Si vous avez besoin de plusieurs instances CMG, elles doivent toutes utiliser la même méthode de déploiement.
  • Le nombre de connexions client simultanées pris en charge est de 2 000 par instance de la VM. Pour plus d’informations, voir performances et échelle de CMG.
  • Il est uniquement pris en charge avec un site principal autonome.
  • Il ne prend pas en charge les environnements cloud Azure US Government.
  • Les utilisateurs peuvent faire face à un délai de trois secondes maximum pour les actions dans le Centre logiciel.
  • Configuration Manager crée actuellement le conteneur de stockage Azure en fonction du nom du groupe de ressources. Azure a des exigences d’affectation de noms différentes pour les groupes de ressources et les conteneurs de stockage. Assurez-vous que le nom du groupe de ressources pour ce service ne contient que des lettres minuscules, des chiffres et des tirets. Si vous avez un groupe de ressources existant qui ne fonctionne pas, renommez-le dans le portail Azure ou créez un groupe de ressources.
  • Si vous avez plusieurs points de gestion HTTPS, vous ne pouvez pas installer le client Configuration Manager sur les appareils sur Internet. Si vous devez installer des clients hors site à l’aide d’un CMG,vous ne pouvez avoir qu’un seul point de gestion HTTPS. Vous devez également activer CMG pour le contenu.
  • Vous ne pouvez pas approuver/refuser des demandes d’application via le CMG.

Configuration requise

Conseil

Pour clarifier une terminologie Azure :

  • Le Azure AD client est le répertoire des comptes d’utilisateurs et des inscriptions d’applications. Un client peut avoir plusieurs abonnements.
  • Un abonnement Azure sépare la facturation, les ressources et les services. Il est associé à un seul client.

Pour plus d’informations, voir Subscriptions, licenses, accounts, and tenants for Microsoft’s cloud offerings.

  • Un abonnement Azure pour héberger CMG. Cet abonnement peut se trouver dans l’un des environnements suivants :

    • Cloud Azure global
    • Cloud Azure pour le gouvernement américain

    Les clients ayant un abonnement fournisseur de services Cloud (CSP) doivent utiliser la version 2010 ou une version ultérieure avec un déploiement de jeu d’échelle de machine virtuelle.

  • Intégrez le site à Azure AD pour déployer le service avec Azure Resource Manager. Pour plus d’informations, voir Configure Azure AD for CMG.

    Lorsque vous intégrerez le site à Azure AD, vous pouvez éventuellement activer Azure AD découverte d’utilisateurs. Il n’est pas nécessaire de créer le CMG, mais requis si vous prévoyez d’utiliser l’authentification Azure AD avec des identités hybrides. Pour plus d’informations, voir Installer des clients à l’Azure AD et voir à propos Azure AD la découverte d’utilisateurs.

  • Un administrateur Azure doit participer à la création initiale de certains composants. Ce personnage peut être identique à l’administrateur Configuration Manager ou distinct. S’ils sont séparés, ils n’ont pas besoin d’autorisations dans Configuration Manager.

    • Lorsque vous intégrez le site à Azure AD pour déployer CMG à l’aide d’Azure Resource Manager, vous avez besoin d’un administrateur général.

    • Lorsque vous créez le CMG, vous avez besoin d’un compte qui est un propriétaire d’abonnement Azure et un administrateur Azure AD général.

  • Votre compte d’utilisateur doit être administrateur complet ou administrateur d’infrastructure dans Configuration Manager.

  • Au moins un serveur local Windows héberger le point de connexion CMG. Vous pouvez colocer ce rôle avec d’autres rôles système de site Configuration Manager.

  • Le point de connexion de service doit être en mode en ligne.

  • Configurez le point de gestion pour autoriser le trafic à partir de CMG. Il doit également exiger HTTPS ou configurer le site pour le protocole HTTP amélioré.

  • Un certificat d’authentification de serveur pour CMG.

  • D’autres certificats peuvent être requis, en fonction de la version de votre système d’exploitation client et de votre modèle d’authentification. Pour plus d’informations, voir Configurer l’authentification client.

  • Les clients doivent utiliser IPv4.

  • Assurez-vous que les paramètres client suivants dans le groupe services Cloud sont activés pour les appareils qui utiliseront CMG :

    • Permettre aux clients d’utiliser une passerelle de gestion cloud
    • Autoriser l’accès au point de distribution cloud

    Notes

    Si vous activez le paramètre client pour télécharger le contenu deltalorsqu’il est disponible, le contenu des mises à jour tierces ne sera pas téléchargé vers les clients.

Prochaines étapes

Ensuite, déterminez comment les clients s’authentifieront auprès de CMG :