Tervezze meg a felhő adatkezelési átjáró a Configuration ManagerbenPlan for the cloud management gateway in Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

1610 verziójától kezdve felhő adatkezelési átjáró kezelése a Configuration Manager-ügyfelek az interneten lévő egyszerű módszert kínál.Beginning in version 1610, cloud management gateway provides a simple way to manage Configuration Manager clients on the Internet. A felhő management gateway szolgáltatás telepítve van a Microsoft Azure, és egy Azure-előfizetést igényel.The cloud management gateway service is deployed to Microsoft Azure and requires an Azure subscription. Csatlakozik a helyi Configuration Manager-infrastruktúrát, a felhő felügyeleti átjáró összekötőpontja nevű új szerepkör használatával.It connects to your on-premises Configuration Manager infrastructure using a new role called the cloud management gateway connector point. Miután rendszerbe állította és konfigurálta, ügyfelek fognak tudni hozzáférni a helyi Configuration Manager helyrendszer-szerepkörök függetlenül attól, hogy fontosságúak a belső magánhálózati hálózati vagy az interneten.Once deployed and configured, clients will be able to access on-premises Configuration Manager site system roles regardless of whether they're on the internal private network or on the Internet.

Tip

Bevezetett 1610 verziójával, a felhő adatkezelési átjáró egy olyan előzetes verziójú szolgáltatás.Introduced with version 1610, the cloud management gateway is a pre-release feature. Az engedélyezéshez, lásd: használata a frissítések előzetes kiadású szolgáltatások.To enable it, see Use pre-release features from updates.

A Configuration Manager konzol segítségével a szolgáltatás üzembe helyezése az Azure-ba, adja hozzá a felhő felügyeleti átjáró connector-pont szerepkört, és helyrendszer-szerepköröket felhő felügyeleti átjáró forgalom engedélyezésére kell konfigurálni.Use the Configuration Manager console to deploy the service to Azure, add the cloud management gateway connector point role, and configure site system roles to allow cloud management gateway traffic. Felhő adatkezelési átjáró jelenleg csak támogatja a felügyeleti pont és a szoftver frissítés pont szerepkör.Cloud management gateway currently only supports the management point and software update point roles.

Ügyféltanúsítványok és a Secure Socket Layer (SSL)-tanúsítványok szükségesek számítógépek hitelesítéséhez és a különböző rétegeket, a szolgáltatás közötti kommunikáció titkosításához.Client certificates and Secure Socket Layer (SSL) certificates are required to authenticate computers and encrypt communications between the different layers of the service. Ügyfélszámítógépek általában keresztül csoport házirend betartatása ügyfél tanúsítványt kaphasson.Client computers typically receive a client certificate through group policy enforcement. Az ügyfelek és a szerepköröket üzemeltető helyrendszer-kiszolgáló közötti forgalom titkosításához, hozzon létre egy egyéni SSL-tanúsítványt a CA-tól kell.To encrypt the traffic between clients and site system server hosting the roles, you need to create a custom SSL certificate from the CA. Is kell állít be, amely lehetővé teszi a felhőalapú felügyeleti átjáró szolgáltatás telepítéséhez a Configuration Manager Azure felügyeleti tanúsítvánnyal.You also need set up a management certificate on Azure that allows Configuration Manager to deploy the cloud management gateway service.

Felügyeleti átjáró követelményeiRequirements for cloud management gateway

 • Az internetes ügyfelek részére felhő felügyeleti átjáró összekötőt futtató helyrendszer.Site system running the cloud management gateway connector for Internet-based clients to use.

 • Egyéni SSL, a belső hitelesítésszolgáltató – az ügyfélszámítógépek számára a kommunikáció titkosítására és a felhő management gateway szolgáltatás identitásának hitelesítésére használt tanúsítványok.Custom SSL certificates from the internal CA - used to encrypt communication from the client computers and authenticate the identity of the cloud management gateway service.

 • Azure-előfizetés felhőszolgáltatásai számára.Azure subscription for cloud services.

 • Az Azure felügyeleti tanúsítvány - való hitelesítéshez szükséges a Configuration Manager az Azure-ral.Azure management certificate - used to authenticate Configuration Manager with Azure.

Felügyeleti átjáró specifikációkSpecifications for cloud management gateway

 • Felügyeleti átjáró minden példánya támogatja a 4 000 ügyféltől.Each instance of cloud management gateway supports 4,000 clients.
 • Azt javasoljuk, hogy hozzon létre legalább két példányban kezelési átjáró a rendelkezésre állás javítása érdekében.We recommend that you create at least two instances of cloud management gateway to improve availability.
 • Felügyeleti átjáró csak a felügyeleti pont és a szoftver frissítés pont szerepköre támogatja.Cloud management gateway only supports the management point and software update point roles.
 • A következő szolgáltatások a Configuration Managerben is felhő adatkezelési átjáró jelenleg nem támogatott:The following features in Configuration Manager are currently unsupported for cloud management gateway:

  • Ügyfél leküldéseClient push
  • Automatikus helyhozzárendelésAutomatic site assignment
  • Alkalmazáskatalógus (beleértve a szoftver jóváhagyási kérelmek)Application catalog (including software approval requests)
  • Teljes operációs rendszer központi telepítési (OSD)Full operating system deployment (OSD)
  • Feladatütemezések (összes)Task Sequences (all)
  • Configuration Manager-konzolConfiguration Manager console
  • TáveszközökRemote tools
  • Jelentéskészítő webhelyReporting website
  • Hálózati ébresztésWake on LAN
  • Mac, Linux és UNIX rendszerű ügyfelekMac, Linux, and UNIX clients
  • Azure Resource ManagerAzure Resource Manager
  • Társ-gyorsítótárazásPeer cache
  • Helyszíni mobileszköz-felügyeletOn-premises Mobile Device Management

Felügyeleti átjáró költségeCost of cloud management gateway

Important

A következő költségadatai jelleggel becsléséhez van.The following cost information is for estimating purposes only. Előfordulhat, hogy a környezet más változókat, amelyek hatással vannak a teljes költség szempontjából felhő adatkezelési átjáró használatával.Your environment may have other variables that affect the overall cost of using cloud management gateway.

Felügyeleti átjáró használja, a következő Microsoft Azure, amely az Azure-előfizetés fiók költségeket terhel:Cloud management gateway uses the following Microsoft Azure functionality, which incurs charges to the Azure subscription account:

 • Virtuális gépVirtual machine

  • Felhő adatkezelési átjáró jelenleg van szükség a szabványos_A2 virtuális gépet.Cloud management gateway currently requires a Standard_A2 virtual machine. A szolgáltatás létrehozásakor választhat hány virtuális gépek támogatásához a szolgáltatás (egyik az alapértelmezett érték).When creating the service, you can select how many VMs to support the service (one is the default).

  • A becsléséhez jelleggel, várt, hogy egyetlen Azure Standard_A2 virtuális gép is körülbelül 2000 egyidejű Internet alapú ügyfél támogatására.For estimating purposes only, expect that a single Azure Standard_A2 virtual machine can support approximately 2,000 simultaneous Internet-based clients.

  • Tekintse meg a Azure árképzési Számológép annak meghatározásához, potenciális költségeket.See the Azure pricing calculator to help determine potential costs.

   Note

   Virtuális gép költségek régiónként eltérőek lehetnek.Virtual machine costs vary by region.

 • Kimenő adatátvitelOutbound data transfer

  • Nem működik a áramló adatok a díjak sem merülnek fel.Charges are incurred for data flowing out of the service. Tekintse meg a Azure díjszabása sávszélesség annak meghatározásához, potenciális költségeket.See the Azure bandwidth pricing details to help determine potential costs.

  • A becsléséhez jelleggel, várt körülbelül 100 MB / hónap ügyfelenként Internet alapú ügyfelek ezzel a házirend frissítése minden órában.For estimating purposes only, expect approximately 100 MB per client per month for Internet-based clients doing policy refreshes every hour.

  Note

  Egyéb műveleteket a felhő adatkezelési átjáró (például központi telepítés szoftverfrissítéseket vagy alkalmazások) keresztül lesz növelje a kimenő adatforgalom az Azure-ból.Performing other actions supported via the cloud management gateway (for example, deploying software updates or applications) will increase the amount of outbound data transfer from Azure.

 • TartalomtárolásContent storage

  • Internetalapú ügyfelek az adatkezelési átjáró felhő felügyelt kap szoftver tartalom frissítése a Windows Update díjmentesen.Internet-based clients managed with cloud management gateway will get software update content from Windows Update at no charge.

  • Egyéb szükséges tartalmat (például alkalmazások) a felhőalapú terjesztési pont elérhetőnek kell lennie.Any other necessary content (for example, applications) must be distributed to a cloud-based distribution point. A felhő adatkezelési átjáró jelenleg csak a felhőalapú terjesztési pont támogatja az ügyfelek számára a tartalom küldése.Currently, the cloud management gateway supports only Cloud Distribution Point for sending content to clients.

  • Tekintse meg a költségeinek egy felhő alapú terjesztési további részleteket.See the cost of using a cloud-based distribution for more details.

A felhő adatkezelési átjáró (CMG) kapcsolatos gyakori kérdésekFrequently asked questions about the cloud management gateway (CMG)

A felhő adatkezelési átjáró miért érdemes használni?Why use the cloud management gateway?

Ez a szerepkör használatával egyszerűsíthető Internet alapú ügyfélfelügyelethez három lépésben a Configuration Manager konzoljáról.Use this role to simplify Internet-based client management in three steps from the Configuration Manager console.

 1. Az Azure használatával telepítse a CMG a létrehozása kezelési átjáró a varázsló.Deploy the CMG to Azure using the Create Cloud Management Gateway wizard.
 2. Konfigurálja a felhőcsatlakozási pont felügyeleti átjáró helyrendszerszerepkör.Configure the cloud management gateway connection point site system role.
 3. Felügyeleti átjáró felhőforgalom szerepkörök konfigurálásához, például a felügyeleti pont és a szoftverfrissítési pont frissítését.Configure roles for cloud management gateway traffic, like the management point, and software update point.

Hogyan működik a felhő adatkezelési átjáró?How does the cloud management gateway work?

 • A felhő felügyeleti átjáró csatlakozási pont lehetővé teszi, hogy következetes és nagy teljesítményű kapcsolatot az internetről a felhő adatkezelési átjáró.The cloud management gateway connection point enables a consistent and high-performance connection from the Internet to the cloud management gateway.
 • A Configuration Manager a kapcsolat adatait és biztonsági beállításait például CMG teszi közzé a beállításokat.Configuration Manager publishes settings to the CMG including connection information and security settings.
 • A CMG hitelesíti, és továbbítja a Configuration Manager ügyfelek kéréseit az a felhő felügyeleti átjáró csatlakozási pont.The CMG authenticates and forwards Configuration Manager client requests to the cloud management gateway connection point. Ezeket a kéréseket a vállalati hálózat megfelelően URL-cím hozzárendelések szerepkörök továbbítja.These requests are forwarded to roles in the corporate network according to URL mappings.

Hogyan történik a felhő adatkezelési átjáró?How is the cloud management gateway deployed?

A cloud service manager összetevője a szolgáltatáskapcsolódási pont összes CMG telepítési feladatok kezeli.The cloud service manager component on the service connection point handles all CMG deployment tasks. Továbbá figyeli, és jelenti a szolgáltatás állapotának és a naplózási adatokat az Azure AD.Additionally, it monitors and reports service health and logging information from Azure AD. Győződjön meg arról a szolgáltatáskapcsolódási pont online módban.Ensure your service connection point is in online mode.

TanúsítványkövetelményekCertificate requirements

Az alábbi tanúsítványok biztonságossá tételéhez a CMG lesz szüksége:You need the following certificates to secure the CMG:

 • Felügyeleti tanúsítvány – Ez lehet bármely olyan tanúsítvány, beleértve az önaláírt tanúsítványokat.Management certificate - This can be any certificate including self-signed certificates. Használhatja az Azure AD feltöltött nyilvános tanúsítvány vagy egy titkos kulcsot tartalmazó PFX importálása a Configuration Manager az Azure AD szolgáltatással való hitelesítésre.You can use a public certificate uploaded to Azure AD or a PFX with private key imported into Configuration Manager to authenticate with Azure AD.
 • Webszolgáltatásának olyan tanúsítvánnyal -javasoljuk, hogy ahhoz, hogy az ügyfelek által natív megbízhatósági egy nyilvános Hitelesítésszolgáltatói tanúsítványt használjon.Web service certificate - We recommend that you use a public CA certificate to gain native trust by clients. Hozzon létre a CNAME rekordot a nyilvános DNS-regisztráló webhelyén.Create the CName in the public DNS registrar. Nem támogatja a helyettesítő tanúsítványokat.Wild card certificates are not supported.
 • Legfelső szintű/SubCA tanúsítványok feltöltése CMG -a CMG kell teljes tanúsítványlánc ellenőrzése az ügyfél PKI-tanúsítványokat.Root/SubCA certificates upload to CMG - The CMG needs to do full chain validation on client PKI certificates. Ha egy vállalati hitelesítésszolgáltató használata kiállító PKI-ügyféltanúsítványok és a legfelső szintű vagy alárendelt hitelesítésszolgáltató nem érhető el az interneten, majd fel kell tölteni azt a CMG.If you use an enterprise CA for issuing client PKI certificates and their root or subordinate CA is not available on the internet, then you must upload it to the CMG.

A központi telepítési folyamatDeployment process

A központi telepítéshez két fázisból áll:There are two phases to the deployment:

Ha módosítja a CMG konfigurációját, egy központi telepítését a CMG való lehet kezdeményezni.If you change the configuration of the CMG, a configuration deployment is initiated to the CMG.

Ha a felügyeleti átjáró beállítása?Where do I set up the cloud management gateway?

A felhő adatkezelési átjáró hozhat létre a hierarchia legfelső szintű helyén.You can create the cloud management gateway at the top-tier site of your hierarchy. Ha, amely egy központi adminisztrációs helyet, majd létrehozhat CMG csatlakozási pontok alárendelt elsődleges helyeken.If that is a central administration site, you can then create CMG connection points at child primary sites.

Hogyan segít a felhőalapú adatkezelési átjáró biztonsága?How does the cloud management gateway help ensure security?

A CMG biztosíthatja biztonsági a következőképpen:The CMG helps ensure security in the following ways:

 • Fogad el, és kezeli a kapcsolatok CMG csatlakozási pontok például a belső tanúsítványokkal kölcsönös SSL-hitelesítés és a kapcsolat azonosítók.Accepts and manages connections from CMG connection points including mutual SSL authentication using internal certificates and connection IDs.
 • Fogad el, és továbbítja az ügyfélkéréseketAccepts and forwards client requests

  • Előzetesen hitelesíti kölcsönös SSL használatával a PKI-ügyféltanúsítvány a kapcsolatokat.Pre-authenticates connections using mutual SSL on the client PKI certificate.
  • A megbízható tanúsítványok listáját a PKI-ügyféltanúsítvány gyökérmappájában ellenőrzi.The certificate trust list checks the root of the client PKI certificate. Ezt a beállítást, az ügyfél kommunikációt hely tulajdonságai beállításokat adhatja meg.You can specify this setting in the client communicate settings in site properties. Is érvényesítésének a ugyanabban a felügyeleti pontként az ügyfél számára.Also performs the same validation as the management point for the client.
  • Ellenőrzi a fogadott URL-címekValidates received URLs
  • Szűrők URL-címeket ellenőrizni, ha bármely csatlakozó CMG szolgáltatáskapcsolódási pont is szolgáltatás az URL-kérelmet kapott.Filters received URLs to check if any connecting CMG connection point can service the URL request.
  • Ellenőrzi a tartalom hossza ellenőrzés közzétételi végpontok.Checks content length check for each publishing endpoint.
  • Használja a "ciklikus multiplexelés" terheléselosztásához ugyanazon helyről CMG csatlakozási pont között.Uses 'round-robin' to load balance between CMG connection points from the same site.
 • Biztonságossá teszi a CMG szolgáltatáskapcsolódási pontSecures the CMG connection point

  • A kapcsolódó CMG mindegyik virtuális példányának konzisztens HTTP vagy TCP-kapcsolatok alkot.Builds consistent HTTP/TCP connections to all virtual instances of the connecting CMG. Ellenőrzi, és kapcsolatok percenként fenn.Checks and maintains connections every minute.
  • SSL-hitelesítés kölcsönösen CMG belső tanúsítványok segítségével hitelesíti.Mutually authenticates SSL authentication with CMG using internal certificates.
  • Továbbítja a HTTP-kérelmek URL-cím leképezések alapján.Forwards HTTP requests based on URL mappings.
  • A jelentés megjelenítése a felügyeleti szolgáltatás állapot létesített kapcsolat állapotát.Reports connection status to show admin service health status.
  • A jelentés végpont forgalom jelentés végpontonként 5 perc.Reports endpoint traffic report per endpoint every five minutes.
 • Biztonságos közzététel végpont Configuration Manager-ügyfél irányuló szerepkörök, például a felügyeleti pont és a szoftver frissítés pont állomás végpontok az IIS-ben ügyfelektől érkező kérelmeket.Secure the publishing endpoint Configuration Manager client facing roles like the management point, and software update point host endpoints in IIS to service client requests. Minden a CMG közzétett végpont egy URL-címmegfeleltetés rendelkezik.Every endpoint published to the CMG has an URL mapping. A külső URL-CÍMÉT, a egy, az ügyfél használ a CMG folytatott kommunikációhoz.The external URL is the one the client uses to communicate with the CMG. A belső URL-címe a CMG csatlakozási pont továbbítják a belső kiszolgálóhoz intézett kérésekben.The internal URL is the CMG connection point used to forward requests to the internal server.

Például:Example:

Ha engedélyezi a CMG forgalom a felügyeleti ponton, a Configuration Manager jönnek létre a belső a felügyeleti pont kiszolgálókon, például ccm_system, ccm_incoming és sms_mp leképezéseit URL-CÍMÉT.When you enable CMG traffic on a management point, Configuration Manager creates a set of URL mappings internally for each management point server, like ccm_system, ccm_incoming, and sms_mp. A külső URL-címet a felügyeleti pont ccm_system végpont nézhet https:///CCM_Proxy_MutualAuth//CCM_System.The external URL for the management point ccm_system endpoint might look like https:///CCM_Proxy_MutualAuth//CCM_System. Az URL-címe: egyedi valamennyi felügyeleti pontnál.The URL is unique for each management point. A Configuration Manager-ügyfél ezután visszahelyezi a CMG engedélyezve van a felügyeleti csomag neve például /CCM_Proxy_MutualAuth/ azokat a internetes felügyeleti pontok listáját.The Configuration Manager client then puts the CMG enabled MP name like /CCM_Proxy_MutualAuth/ into its internet management point list. Az összes közzétett külső URL-címek feltöltötte-e a CMG automatikusan akkor CMG el az URL-szűrés.All published external URLs are uploaded to the CMG automatically then CMG is able to do URL filtering. Az összes URL-címmegfeleltetés replikálja CMG szolgáltatáskapcsolódási pont, a belső kiszolgálókhoz külső URL-CÍMÉT kérő ügyfél szerint továbbíthatja.All URL mapping replicates to CMG connection point so it can forward to internal servers according to client requesting external URL.

Mely portokat kell használni a felhő felügyeleti átjáró?What ports are used by the cloud management gateway?

 • Nincs bejövő portok használata kötelező a helyszíni hálózat.No inbound ports are required for the on-premises network. CMG telepítését hoz létre álló, lemezcsoport CMG automatikusan.Deployment of CMG will create a bunch on CMG automatically.
 • 443-as mellett néhány kimenő portok a CMG csatlakozási pont igényel.Besides 443, some outbound ports are required by the CMG connection point.
AdatfolyamData flow KiszolgálóServer Kiszolgáló portServer ports ÜgyfélClient
CMG központi telepítésCMG deployment AzureAzure 443443 A Configuration Manager szolgáltatáskapcsolódási pontConfiguration Manager service connection point
CMG csatorna létrehozásaBuild CMG channel CMGCMG Virtuálisgép-példány: 1-port: 443VM instance: 1 Port: 443
Virtuálisgép-példány: N (N > = 2, az N < = 16) portok: 10124 ~ N 10140 ~ NVM instance: N (N>=2 and N<= 16) Ports: 10124~N 10140~N
CMG szolgáltatáskapcsolódási pontCMG Connection point
CMG ügyfélClient to CMG CMGCMG 443443 ÜgyfélClient
CMG-összekötő helyrendszer-szerepkör (jelenleg a felügyeleti pontok és a szoftverfrissítési pontok)CMG connector to site role (currently management points and software update points) HelyszerepkörSite role A helyrendszer-szerepkör konfigurált protokoll és portokProtocol/Ports configured on the site role CMG szolgáltatáskapcsolódási pontCMG connection point

Hogyan javítható a kezelési átjáró a teljesítménye?How can you improve performance of the cloud management gateway?

 • Ha lehetséges, konfigurálja a CMG CMG kapcsolódási pontjánál, és a Configuration Manager helykiszolgálón, a régióban azonos hálózati késés csökkentése érdekében.If possible, configure the CMG, CMG connection point, and the Configuration Manager site server in same network region to reduce latency.
 • A kapcsolatot a Configuration Manager-ügyfél és a CMG jelenleg nem régió-kompatibilis.Currently, the connection between the Configuration Manager client and the CMG is not region-aware.
 • Ahhoz, hogy a magas rendelkezésre állású, javasoljuk a CMG legalább két virtuális példánya, és két CMG csatlakozási pontok helyenkéntTo gain high availability, we recommend at least two virtual instances of the CMG and two CMG connection points per site
 • Több ügyfél támogatására képes több Virtuálisgép-példányok hozzáadásával CMG méretezheti.You can scale the CMG to support more clients by adding more VM instances. Az Azure AD terheléselosztó által elosztott terhelésű.They are load balanced by the Azure AD load balancer.
 • Hozzon létre több CMG csatlakozási pontok közöttük a terhelés elosztása.Create more CMG connection points to distribute the load among them. A CMG fog "ciklikus multiplexelés" a forgalmat a kapcsolódó CMG csatlakozási pontokhoz.The CMG will 'round-robin' the traffic to its connecting CMG connection points.
 • Támogatási ügyfél CMG VM példányonként értéke 6k 1702 kiadásában.Support client number per CMG VM instance is 6k in the 1702 release. A CMG csatorna nagy terhelésnek van kitéve, ha a kérelem automatikusan továbbra is elvégezhető, de a szokásosnál hosszabb ideig is tarthat.When the CMG channel is under high load, the request will still be handled but might take longer than normal.

Hogyan figyelheti a felügyeleti átjáró?How can you monitor the cloud management gateway?

Az üzembe helyezés hibaelhárítása használja CloudMgr.log és CMGSetup.log.For troubleshooting deployment, use CloudMgr.log and CMGSetup.log. Hibaelhárítás a szolgáltatás állapotát, használja a CMGService.log és SMS_CLOUD_PROXYCONNECTOR.log.For troubleshooting service health, use CMGService.log and SMS_CLOUD_PROXYCONNECTOR.log. Hibaelhárítási ügyfélforgalmat, használjon CMGHttpHandler.log, CMGService.Log, és SMS_CLOUD_PROXYCONNECTOR.log.For troubleshooting client traffic, use CMGHttpHandler.log, CMGService.Log, and SMS_CLOUD_PROXYCONNECTOR.log.

Minden CMG kapcsolódó naplófájlok listáját lásd: naplófájlok a Configuration ManagerbenFor a list of all CMG-related log files, see Log files in Configuration Manager

További lépésekNext steps

Felhőfelügyeleti átjáró beállításaSet up cloud management gateway