Configurer la passerelle de gestion cloud pour Configuration Manager

S’applique à : Configuration Manager (branche actuelle)

Une fois que vous avez les prérequis en place, vous pouvez démarrer le processus de configuration d’une passerelle de gestion cloud (CMG). Avant de commencer ce processus, vérifiez que vous disposez des informations et des prérequis nécessaires pour créer une passerelle de gestion cloud. Pour plus d’informations, consultez Configurer la liste de contrôle pour la passerelle de gestion cloud.

Cette étape du processus global comprend les actions suivantes :

  • Utilisez la console Configuration Manager pour créer le service de passerelle de gestion cloud dans Azure.
  • Configurez le site principal pour l’authentification par certificat client.
  • Ajoutez le rôle de système de site de point de connexion de passerelle de gestion cloud.
  • Configurez le point de gestion et le point de mise à jour logicielle pour le trafic de passerelle de gestion cloud.
  • Configurer des groupes de limites.

Configurer une passerelle de gestion cloud

Remarque

Le déploiement d’une passerelle de gestion cloud avec un groupe de machines virtuelles identiques dans Azure a été introduit pour la première fois dans la version 2010 en tant que fonctionnalité de préversion. À compter de la version 2107, il ne s’agit plus d’une fonctionnalité en préversion.

Configuration Manager n’active pas cette fonctionnalité facultative par défaut. Vous devez activer cette fonctionnalité avant de l’utiliser. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.

Effectuez cette procédure sur le site de niveau supérieur. Ce site est soit un site principal autonome, soit le site d’administration centrale (CAS).

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez Passerelle de gestion cloud.

  2. Sélectionnez Créer une passerelle de gestion cloud dans le ruban.

  3. Dans la page Général de l’Assistant, spécifiez d’abord l’environnement Azure pour cette passerelle de gestion cloud :

    • AzurePublicCloud : créez le service dans le cloud Azure global.
    • AzureUSGovernmentCloud : créez le service dans le cloud Azure US Government.
  4. Choisissez ensuite la façon dont vous souhaitez déployer la passerelle de gestion cloud dans Azure :

    • Groupe de machines virtuelles identiques

      • À compter de la version 2203, le groupe de machines virtuelles identiques est la seule option.

      • À compter de la version 2107, cette option est la méthode de déploiement recommandée. Même si une passerelle de gestion cloud existante est déployée avec la méthode de service cloud (classique), déployez de nouvelles instances de passerelle de gestion cloud en tant que groupe de machines virtuelles identiques.

      • Dans les versions 2010 et 2103, vous devez activer cette fonctionnalité en préversion pour l’afficher. Dans ces versions, il est uniquement destiné aux clients disposant d’un abonnement fournisseur de solutions Cloud (CSP). Si vous avez déjà déployé une passerelle de gestion cloud avec la méthode de service cloud (classique), cette option n’est pas disponible. Pour plus d’informations, consultez Planifier la passerelle de gestion cloud : Groupes de machines virtuelles identiques.

    • Service cloud (classique)

      Importante

      À compter de la version 2203, l’option de déploiement d’une passerelle de gestion cloud en tant que service cloud (classique) est supprimée. Tous les déploiements de passerelle de gestion cloud doivent utiliser un groupe de machines virtuelles identiques. Pour plus d’informations, consultez Fonctionnalités supprimées et dépréciées.

      • Dans les versions 2107 et ultérieures, utilisez cette option uniquement si vous ne pouvez pas déployer avec un groupe de machines virtuelles identiques en raison de l’une des limitations.

      • Dans les versions 2010 et 2103, la plupart des clients doivent utiliser cette méthode de déploiement.

  5. À compter de la version 2309, sélectionnez Microsoft Entra nom du locataire, Microsoft Entra nom de l’application se remplit automatiquement. Sélectionnez Connexion. Authentifiez-vous avec un compte de propriétaire d’abonnement Azure. Si vous possédez plusieurs abonnements, sélectionnez l’ID d’abonnement de l’abonnement que vous souhaitez utiliser.

    Remarque

    À compter de la version 2309, nous avons déprécié l’utilisation de l’application interne pour la création de la passerelle de gestion cloud. À présent, la passerelle de gestion cloud utilise une application serveur tierce pour obtenir des jetons du porteur.

  6. Dans les versions 2303 et antérieures, sélectionnez Se connecter. Authentifiez-vous avec un compte de propriétaire d’abonnement Azure. L’Assistant remplit automatiquement les champs restants à partir des informations stockées pendant la Microsoft Entra prérequis de l’intégration. Si vous possédez plusieurs abonnements, sélectionnez l’ID d’abonnement de l’abonnement que vous souhaitez utiliser.

    Sélectionnez Suivant, puis attendez que le site teste la connexion à Azure.

  7. Dans la page Paramètres de l’Assistant, commencez par accéder à . Fichier PFX pour le certificat d’authentification du serveur de la passerelle de gestion cloud (fichier de certificat). Le nom commun de ce certificat est utilisé pour renseigner les champs Nom du service et Nom du déploiement .

    Si vous utilisez un certificat générique, remplacez l’astérisque (*) dans le champ Nom du service par le préfixe de nom de déploiement global unique pour votre passerelle de gestion cloud.

    1. Si vous le souhaitez, spécifiez une Description pour identifier davantage cette passerelle de gestion cloud dans la console Configuration Manager.

    2. Sélectionnez une région Azure pour cette passerelle de gestion cloud. La liste des régions disponibles peut varier en fonction de l’abonnement sélectionné.

    3. Sélectionnez une option Groupe de ressources :

      • Si vous choisissez Utiliser l’existant, sélectionnez un groupe de ressources existant dans la liste. Ce groupe de ressources doit déjà exister dans la région que vous avez sélectionnée pour la passerelle de gestion cloud. Si vous sélectionnez un groupe de ressources existant et qu’il se trouve dans une autre région que la région sélectionnée précédemment, la passerelle de gestion cloud ne parvient pas à déployer.

      • Si vous choisissez Créer, entrez le nom du nouveau groupe de ressources.

    4. Par défaut, la taille de la machine virtuelle est Standard (A2_V2). Sélectionnez une autre option que votre conception spécifie. Par exemple, Grande (A4_v2) pour une capacité client accrue par machine virtuelle, ou Labo (B2s) dans un environnement de test de petite taille.

      Importante

      La machine virtuelle de taille lab (B2s) est uniquement destinée aux tests de laboratoire et aux petits environnements de preuve de concept. Par exemple, avec la branche technical preview Configuration Manager. Les machines virtuelles B2s ne sont pas destinées à être utilisées en production avec la passerelle de gestion cloud. Elles sont peu coûteuses et peu performantes.

    5. Dans le champ Instance de machine virtuelle , entrez le nombre de machines virtuelles pour ce service. La valeur par défaut est un, mais vous pouvez effectuer un scale-up jusqu’à 16 machines virtuelles par passerelle de gestion cloud.

    6. Si vous utilisez des certificats d’authentification client, sélectionnez Certificats pour ajouter des certificats racines approuvés. Ajoutez tous les certificats dans la chaîne d’approbation.

      Remarque

      Un certificat racine approuvé n’est pas nécessaire lors de l’utilisation de l’ID Microsoft Entra ou des jetons émis par le site pour l’authentification du client.

    7. Par défaut, l’Assistant active l’option Vérifier la révocation du certificat client. Une liste de révocation de certificats (CRL) doit être publiée publiquement pour que cette vérification fonctionne. Pour plus d’informations, consultez Publier la liste de révocation de certificats.

    8. Par défaut, l’Assistant active l’option Appliquer TLS 1.2. Ce paramètre nécessite que la machine virtuelle Azure utilise le protocole de chiffrement TLS 1.2. Elle ne s’applique pas aux serveurs ou clients de site Configuration Manager locaux. À compter de la version 2107 avec le correctif cumulatif, ce paramètre s’applique également au compte de stockage de la passerelle de gestion cloud. Pour plus d’informations, consultez Comment activer TLS 1.2.

    9. Par défaut, l’Assistant active l’option Autoriser la passerelle de gestion cloud à fonctionner en tant que point de distribution cloud et à distribuer du contenu à partir du stockage Azure. Si vous envisagez de cibler des déploiements avec du contenu sur les clients, vous devez configurer la passerelle de gestion cloud pour fournir du contenu.

  8. Voici la page Alertes de l’Assistant. Pour surveiller le trafic de passerelle de gestion cloud avec un seuil de 14 jours, activez l’alerte de seuil. Spécifiez ensuite le seuil et le pourcentage auquel déclencher les différents niveaux d’alerte. Vous pouvez également activer un seuil d’alerte de stockage. Lorsque vous avez terminé, choisissez Suivant .

  9. Passez en revue les paramètres et terminez l’Assistant.

Configuration Manager commence à configurer le service. Le temps nécessaire à l’approvisionnement complet du service dans Azure dépend des paramètres que vous avez spécifiés. Pour déterminer quand le service est prêt, consultez la colonne État de la nouvelle passerelle de gestion cloud.

Pour résoudre les problèmes liés aux déploiements de passerelle de gestion cloud, utilisez CloudMgr.log et CMGSetup.log. Pour plus d’informations, consultez Surveiller la passerelle de gestion cloud.

Conseil

Vous pouvez également utiliser l’applet de commande PowerShell New-CMCloudManagementGateway pour ce processus. Utilisez éventuellement cette applet de commande pour créer le service de passerelle de gestion cloud. Pour plus d’informations, consultez New-CMCloudManagementGateway.

Configurer le site principal pour l’authentification par certificat client

Si vous utilisez des certificats d’authentification client pour que les clients s’authentifient auprès de la passerelle de gestion cloud, suivez cette procédure pour configurer chaque site principal.

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez Sites.

  2. Sélectionnez le site principal auquel vos clients Basés sur Internet sont affectés, puis choisissez Propriétés.

  3. Basculez vers l’onglet Sécurité des communications , puis sélectionnez Utiliser le certificat client PKI (authentification client) le cas échéant.

  4. Si vous ne publiez pas de liste de révocation de certificats, désactivez l’option suivante : Clients case activée la liste de révocation de certificats (CRL) pour les systèmes de site.

Ajouter le point de connexion de la passerelle de gestion cloud

Le point de connexion de la passerelle de gestion cloud est le rôle de système de site requis pour la communication entre votre déploiement Configuration Manager local et la passerelle cloud. Avant de commencer ce processus, vous devez avoir déjà développé un plan pour le rôle et identifié au moins un serveur de système de site existant. Pour plus d’informations, consultez Planifier la passerelle de gestion cloud.

Pour ajouter le point de connexion de passerelle de gestion cloud, les étapes suivantes résument les instructions d’installation des rôles de système de site :

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Serveurs et rôles de système de site.

  2. Sélectionnez un serveur de site existant auquel vous souhaitez ajouter ce rôle. Dans le ruban, sous l’onglet Accueil , sélectionnez Ajouter des rôles de système de site.

  3. Dans l’écran Sélection du rôle système, choisissez Point de connexion de la passerelle de gestion cloud, puis sélectionnez Suivant. Choisissez le nom de la passerelle de gestion cloud à laquelle ce serveur se connecte. L’Assistant affiche la région de la passerelle de gestion cloud sélectionnée.

Importante

Si vous utilisez des certificats d’authentification client, le point de connexion de la passerelle de gestion cloud a besoin de ce certificat. Pour plus d’informations, consultez Certificat d’authentification client.

Pour résoudre les problèmes d’intégrité du service de passerelle de gestion cloud, utilisez CMGService.log et SMS_Cloud_ProxyConnector.log. Pour plus d’informations, consultez Fichiers journaux.

Conseil

Si vous le souhaitez, vous pouvez également utiliser l’applet de commande PowerShell Add-CMCloudManagementGatewayConnectionPoint pour ajouter le rôle de point de connexion de passerelle de gestion cloud à un serveur de système de site.

Pour plus d’informations, consultez Add-CMCloudManagementGatewayConnectionPoint.

Configurer des rôles côté client pour le trafic de passerelle de gestion cloud

Configurez les systèmes de site du point de gestion et du point de mise à jour logicielle pour accepter le trafic de la passerelle de gestion cloud. Effectuez cette procédure sur le site principal pour tous les points de gestion et points de mise à jour logicielle qui service les clients Basés sur Internet.

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Serveurs et rôles de système de site. Sous l’onglet Accueil du ruban, dans le groupe Affichage, sélectionnez Serveurs avec rôle. Sélectionnez ensuite Point de gestion dans la liste.

  2. Sélectionnez le serveur de système de site que vous souhaitez configurer pour le trafic de passerelle de gestion cloud. Sélectionnez le rôle Point de gestion dans le volet d’informations, puis dans le groupe Rôle de site du ruban, sélectionnez Propriétés.

  3. Dans la feuille des propriétés du point de gestion, sous Connexions clientes, sélectionnez Autoriser Configuration Manager trafic de la passerelle de gestion cloud.

    En fonction de votre conception de passerelle de gestion cloud et de Configuration Manager version, vous devrez peut-être activer l’option HTTPS. Pour plus d’informations, consultez Activer le point de gestion pour HTTPS.

  4. Sélectionnez OK pour fermer la fenêtre des propriétés du point de gestion.

Répétez ces étapes pour les autres points de gestion en fonction des besoins et pour tous les points de mise à jour logicielle.

Configurer des groupes de limites

Vous pouvez associer une passerelle de gestion cloud à un groupe de limites. Cette configuration permet aux clients d’utiliser la passerelle de gestion cloud pour la communication client en fonction des relations de groupe de limites. Cette configuration est utile pour les clients VPN ou de succursale où il peut être préférable de les gérer via une passerelle de gestion cloud plutôt que via la connexion VPN ou WAN. Si vous activez l’option Préférer les sources basées sur le cloud aux sources locales , les clients préfèrent la passerelle de gestion cloud pour la stratégie et le contenu.

Pour plus d’informations sur les groupes de limites, consultez Configurer des groupes de limites.

Lorsque vous créez ou configurez un groupe de limites, sous l’onglet Références , ajoutez une passerelle de gestion cloud. Cette action associe la passerelle de gestion cloud à ce groupe de limites.

Branchcache

Pour permettre à une passerelle de gestion cloud avec contenu d’utiliser Windows BranchCache, installez la fonctionnalité BranchCache sur le serveur de site.

  • Si le serveur de site a un rôle de système de site de point de distribution local, configurez l’option dans les propriétés de ce rôle sur Activer et configurer BranchCache. Pour plus d’informations, consultez Configurer un point de distribution.

  • Si le serveur de site n’a pas de rôle de point de distribution, installez la fonctionnalité BranchCache dans Windows. Pour plus d’informations, consultez Installer la fonctionnalité BranchCache.

Si vous avez déjà distribué du contenu à une passerelle de gestion cloud, puis que vous décidez d’activer BranchCache, installez d’abord la fonctionnalité. Redistribuez ensuite le contenu à la passerelle de gestion cloud.

Distribuer et gérer le contenu

Distribuez le contenu à la passerelle de gestion cloud compatible avec le contenu de la même façon que tout autre point de distribution. Le point de gestion n’inclut pas la passerelle de gestion cloud dans la liste des emplacements de contenu, sauf s’il contient le contenu demandé par les clients. Pour plus d’informations, consultez Distribuer et gérer du contenu.

Gérez le contenu d’une passerelle de gestion cloud de la même façon que n’importe quel autre point de distribution. Ces actions incluent son affectation à un groupe de points de distribution et la gestion des packages de contenu. Pour plus d’informations, consultez Installer et configurer des points de distribution.

Prochaines étapes

Poursuivez la configuration de votre passerelle de gestion cloud en configurant des clients pour la passerelle de gestion cloud :