Planifier la passerelle de gestion cloud dans Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Pour simplifier la gestion des clients basés sur Internet, commencez par développer un plan pour la passerelle de gestion cloud (CMG). Concevez la façon dont il s’intègre à votre environnement et préparez votre implémentation.

Pour plus d’informations sur les scénarios et les cas d’usage de la passerelle de gestion cloud, consultez Vue d’ensemble de la passerelle de gestion cloud.

Remarque

Certaines sections qui figuraient précédemment dans cet article ont été déplacées :

Liste de vérification de planification

Le processus de planification global de la passerelle de gestion cloud est divisé en plusieurs parties :

  • Composants et exigences : cet article résume les composants qui composent le système de passerelle de gestion cloud. Il répertorie également la configuration système requise.

  • Authentification du client : déterminez la méthode d’authentification que vous allez utiliser pour les clients provenant de réseaux potentiellement non approuvés.

  • Conception de hiérarchie : planifiez où placer la passerelle de gestion cloud dans votre environnement.

  • Configurations prises en charge : découvrez les fonctionnalités Configuration Manager que vous pouvez prendre en charge sur les clients Internet qui se connectent à la passerelle de gestion cloud.

  • Performances et mise à l’échelle : déterminez le nombre de composants de service dont vous aurez besoin pour prendre en charge le mieux votre nombre de clients.

  • Coût : comprendre le coût des composants Basés sur Azure.

Composants de la passerelle de gestion cloud

Le déploiement et le fonctionnement de la passerelle de gestion cloud incluent les composants suivants :

  • Le service cloud de passerelle de gestion cloud dans Azure authentifie et transfère Configuration Manager demandes des clients via Internet au point de connexion de la passerelle de gestion cloud local.

  • Le rôle de système de site de point de connexion de passerelle de gestion cloud permet une connexion cohérente et hautes performances entre le réseau local et le service de passerelle de gestion cloud dans Azure. Il publie également les paramètres sur la passerelle de gestion cloud, notamment les informations de connexion et les paramètres de sécurité. Le point de connexion de la passerelle de gestion cloud transfère les demandes des clients de la passerelle de gestion cloud aux rôles locaux en fonction des mappages d’URL. Par exemple, le point de gestion et le point de mise à jour logicielle.

  • Le rôle de système de site du point de connexion de service exécute le composant Cloud Service Manager, qui gère toutes les tâches de déploiement de la passerelle de gestion cloud. En outre, il surveille et signale l’intégrité du service et les informations de journalisation à partir de Microsoft Entra ID. Vérifiez que votre point de connexion de service est en mode en ligne.

  • Les rôles de système de site de point de gestion et de point de mise à jour logicielle service par normal.

  • La passerelle de gestion cloud utilise un service web HTTPS basé sur un certificat pour sécuriser la communication réseau avec les clients.

  • Les clients Basés sur Internet se connectent à la passerelle de gestion cloud pour accéder aux composants Configuration Manager locaux. Il existe plusieurs options pour l’identité et l’authentification du client :

    • Identifiant Microsoft Entra
    • Certificats PKI
    • Configuration Manager jetons émis sur le site

    Pour plus d’informations, consultez Planifier l’authentification du client de passerelle de gestion cloud.

  • La passerelle de gestion cloud crée un compte de stockage Azure, qu’elle utilise pour ses opérations standard. Par défaut, la passerelle de gestion cloud est également activée sur le contenu pour fournir du contenu de déploiement aux clients Basés sur Internet. Ce compte de stockage ne prend pas en charge les personnalisations, telles que les restrictions de réseau virtuel.

    Remarque

    Le point de distribution cloud (CDP) est déconseillé. À compter de la version 2107, vous ne pouvez pas créer de nouvelles instances CDP. Pour fournir du contenu à des appareils Basés sur Internet, autorisez la passerelle de gestion cloud à distribuer du contenu.

Gestionnaire de ressources Azure

Vous créez la passerelle de gestion cloud à l’aide d’un déploiement Azure Resource Manager. Azure Resource Manager est une plateforme moderne permettant de gérer toutes les ressources de solution sous la forme d’une seule entité, appelée groupe de ressources. Lorsque vous déployez une passerelle de gestion cloud avec Azure Resource Manager, le site utilise Microsoft Entra ID pour authentifier et créer les ressources cloud nécessaires.

Importante

À compter de la version 2203, l’option de déploiement d’une passerelle de gestion cloud en tant que service cloud (classique) est supprimée. Tous les déploiements de passerelle de gestion cloud doivent utiliser un groupe de machines virtuelles identiques. Pour plus d’informations, consultez Fonctionnalités supprimées et dépréciées.

Groupes de machines virtuelles identiques

Remarque

Cette fonctionnalité a été introduite pour la première fois dans la version 2010 en tant que fonctionnalité en préversion. À compter de la version 2107, il ne s’agit plus d’une fonctionnalité en préversion.

Configuration Manager n’active pas cette fonctionnalité facultative par défaut. Vous devez activer cette fonctionnalité avant de l’utiliser. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.

À compter de la version 2010, les clients disposant d’un abonnement fournisseur de solutions cloud (CSP) peuvent déployer la passerelle de gestion cloud avec un groupe de machines virtuelles identiques dans Azure. Cette prise en charge est uniquement si aucune passerelle de gestion cloud n’est actuellement déployée à l’aide de services cloud classiques dans un autre abonnement.

À compter de la version 2107, tous les clients peuvent déployer une passerelle de gestion cloud avec un groupe de machines virtuelles identiques. Si vous disposez d’une passerelle de gestion cloud existante déployée avec le service cloud classique, convertissez-la pour utiliser un groupe de machines virtuelles identiques.

À quelques exceptions près, la configuration, le fonctionnement et les fonctionnalités de la passerelle de gestion cloud restent les mêmes.

  • Autres fournisseurs de ressources Azure dans votre abonnement Azure.

  • Différents noms de déploiement, par exemple , GraniteFalls.EastUS.CloudApp.Azure.Com pour un déploiement dans la région Azure USA Est . Ce changement de nom peut affecter la façon dont vous créez et gérez le certificat d’authentification du serveur de passerelle de gestion cloud.

  • Le point de connexion de la passerelle de gestion cloud communique uniquement avec le groupe de machines virtuelles identiques dans Azure via HTTPS. Il ne nécessite pas de ports TCP-TLS.

Limitations d’une passerelle de gestion cloud avec un groupe de machines virtuelles identiques

Limitations avec les versions 2107 et ultérieures

Remarque

À compter de la version 2111, les déploiements de passerelle de gestion cloud avec un groupe de machines virtuelles identiques prennent en charge les environnements cloud Azure US Government.

  • Les utilisateurs peuvent rencontrer un délai allant jusqu’à trois secondes pour les actions dans le Centre logiciel.
  • Vous ne pouvez pas approuver/refuser les demandes d’application via la passerelle de gestion cloud.
  • La version 2107 ne prend pas en charge les environnements cloud Azure US Government.

Limitations avec les versions 2010 et 2103

  • Si vous avez besoin de plusieurs instance de passerelle de gestion cloud, elles doivent toutes utiliser la même méthode de déploiement.
  • Le nombre de connexions clientes simultanées prises en charge est de 2 000 par machine virtuelle instance. Pour plus d’informations, consultez Performances et mise à l’échelle de la passerelle de gestion cloud.
  • Il n’est pris en charge qu’avec un site principal autonome.
  • Il ne prend pas en charge les environnements cloud Azure US Government.
  • Les utilisateurs peuvent rencontrer un délai allant jusqu’à trois secondes pour les actions dans le Centre logiciel.
  • Configuration Manager crée actuellement le conteneur de stockage Azure en fonction du nom du groupe de ressources. Azure a des exigences de nommage différentes pour les groupes de ressources et les conteneurs de stockage. Assurez-vous que le nom du groupe de ressources pour ce service comporte uniquement des lettres minuscules, des chiffres et des traits d’union. Si vous avez un groupe de ressources existant qui ne fonctionne pas, renommez-le dans le Portail Azure ou créez un groupe de ressources.
  • Si vous avez plusieurs points de gestion HTTPS, vous ne pouvez pas installer le client Configuration Manager sur des appareils via Internet. Si vous devez installer des clients hors site à l’aide d’une passerelle de gestion cloud, vous ne pouvez avoir qu’un seul point de gestion HTTPS. Vous devez également activer la passerelle de gestion cloud pour le contenu.
  • Vous ne pouvez pas approuver/refuser les demandes d’application via la passerelle de gestion cloud.

Configuration requise

Conseil

Pour clarifier la terminologie Azure :

  • Le locataire de l’ID Microsoft Entra est le répertoire des comptes d’utilisateur et des inscriptions d’applications. Un locataire peut avoir plusieurs abonnements.
  • Un abonnement Azure sépare la facturation, les ressources et les services. Il est associé à un seul locataire.

Pour plus d’informations, consultez Abonnements, licences, comptes et locataires pour les offres cloud de Microsoft.

  • Un abonnement Azure pour héberger la passerelle de gestion cloud. Cet abonnement peut se trouver dans l’un des environnements suivants :

    • Cloud Azure global
    • Cloud Azure US Government

    Les clients disposant d’un abonnement fournisseur de services cloud (CSP) doivent utiliser la version 2010 ou ultérieure avec un déploiement de groupe de machines virtuelles identiques .

  • Intégrez le site à l’ID Microsoft Entra pour déployer le service avec Azure Resource Manager. Pour plus d’informations, consultez Configurer l’ID Microsoft Entra pour la passerelle de gestion cloud.

    Lorsque vous intégrez le site à Microsoft Entra ID, vous pouvez éventuellement activer Microsoft Entra détection d’utilisateurs. Il n’est pas nécessaire de créer la passerelle de gestion cloud, mais obligatoire si vous envisagez d’utiliser l’authentification Microsoft Entra avec des identités hybrides. Pour plus d’informations, consultez Installer des clients à l’aide de l’ID de Microsoft Entra et à propos de Microsoft Entra découverte d’utilisateurs.

  • Un administrateur Azure doit participer à la création initiale de certains composants. Ce personnage peut être le même que l’administrateur Configuration Manager ou être distinct. S’ils sont séparés, ils ne nécessitent pas d’autorisations dans Configuration Manager.

    • Lorsque vous intégrez le site à l’ID Microsoft Entra pour déployer la passerelle de gestion cloud à l’aide d’Azure Resource Manager, vous avez besoin d’un administrateur général.

    • Lorsque vous créez la passerelle de gestion cloud, vous avez besoin d’un compte qui est un propriétaire d’abonnement Azure et un administrateur général d’ID Microsoft Entra.

  • Votre compte d’utilisateur doit être administrateur complet ou administrateur d’infrastructure dans Configuration Manager.

  • Au moins un serveur Windows local pour héberger le point de connexion de la passerelle de gestion cloud. Vous pouvez colocaliser ce rôle avec d’autres rôles de système de site Configuration Manager.

  • Le point de connexion de service doit être en mode en ligne.

  • Configurez le point de gestion pour autoriser le trafic à partir de la passerelle de gestion cloud. Il doit également exiger le protocole HTTPS ou configurer le site pour le protocole HTTP amélioré.

  • Un certificat d’authentification serveur pour la passerelle de gestion cloud.

  • Les noms de passerelle de gestion cloud doivent comporter entre 3 et 24 caractères alphanumériques. Le nom doit commencer par une lettre, se terminer par une lettre ou un chiffre et ne pas contenir de traits d’union consécutifs.

  • D’autres certificats peuvent être nécessaires, en fonction de la version de votre système d’exploitation client et du modèle d’authentification. Pour plus d’informations, consultez Configurer l’authentification client.

  • Les clients doivent utiliser IPv4.

  • Vérifiez que les paramètres client suivants dans le groupe Services cloud sont activés pour les appareils qui utilisent la passerelle de gestion cloud :

    • Autoriser les clients à utiliser une passerelle de gestion cloud
    • Autoriser l’accès au point de distribution cloud

    Remarque

    Si vous activez le paramètre client sur Télécharger le contenu delta lorsqu’il est disponible, le contenu des mises à jour tierces ne sera pas téléchargé sur les clients.

Prochaines étapes

Ensuite, déterminez comment les clients s’authentifieront auprès de la passerelle de gestion cloud :