Configurare l'elenco di controllo per CMG

  • Articolo

Si applica a: Configuration Manager (Current Branch)

Prima di distribuire un gateway di gestione cloud, usare questo articolo per comprendere il processo di installazione. Assicurarsi anche di avere tutti i prerequisiti pronti per iniziare.

In primo luogo, sviluppare la progettazione e il piano per l'implementazione di un cmg nell'ambiente. Per altre informazioni, vedere Pianificare il gateway di gestione cloud. Usare questa sezione di articoli per determinare la progettazione di CMG.

Il processo di configurazione generale del cmg è suddiviso nelle cinque parti principali seguenti:

  1. Ottenere il certificato di autenticazione del server CMG: il cmg usa HTTPS per la comunicazione client sicura tramite Internet pubblico. È possibile ottenere un certificato da un provider pubblico o rilasciarne uno dall'infrastruttura a chiave pubblica (PKI).

  2. Configurare Microsoft Entra ID: Configuration Manager richiede registrazioni dell'app nell'ID Microsoft Entra. È possibile consentire Configuration Manager crearle oppure un amministratore di Azure può pre-creare le registrazioni.

  3. Configurare l'autenticazione client: poiché i client comunicano tramite Internet, Configuration Manager richiede maggiore sicurezza per questo canale. È possibile usare Microsoft Entra ID, i certificati PKI o l'autenticazione basata su token dal server del sito.

  4. Configurare cmg: questo passaggio include anche la configurazione del sito e l'aggiunta del ruolo del sistema del sito del punto di connessione cmg.

  5. Configurare i client per l'uso di CMG.

Gli altri articoli di questa sezione illustrano ogni parte del processo.

Terminologia

I termini seguenti vengono usati nel contesto della configurazione di un cmg. Sono definiti qui per chiarezza.

  • Microsoft Entra tenant ID: directory degli account utente e delle registrazioni dell'app. Un tenant può avere più sottoscrizioni.

  • Sottoscrizione di Azure: una sottoscrizione separa fatturazione, risorse e servizi. È associato a un singolo tenant.

    Consiglio

    Per altre informazioni, vedere Sottoscrizioni, licenze, account e tenant per le offerte cloud microsoft.

  • Gruppo di risorse di Azure: contenitore che contiene le risorse correlate per una soluzione azure. Il gruppo di risorse include le risorse che si desidera gestire come gruppo. Si decide quali risorse appartengono a un gruppo di risorse in base a ciò che ha più senso per l'organizzazione. Per altre informazioni, vedere Gruppi di risorse.

  • Nome del servizio CMG: nome comune (CN) del certificato di autenticazione del server CMG. I client e il ruolo del sistema del sito del punto di connessione cmg comunicano con questo nome di servizio. Ad esempio, GraniteFalls.Contoso.Com o GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nome distribuzione cmg: la prima parte del nome del servizio più la posizione di Azure per la distribuzione del servizio cloud. Il componente di Gestione servizi cloud del punto di connessione del servizio usa questo nome quando distribuisce il cmg in Azure. Il nome della distribuzione è sempre in un dominio di Azure. La posizione di Azure dipende dal metodo di distribuzione, ad esempio:

    • Set di scalabilità di macchine virtuali: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Distribuzione classica: GraniteFalls.CloudApp.Net

Elenco di controllo

Usare l'elenco di controllo seguente per assicurarsi di avere le informazioni e i prerequisiti necessari per creare un cmg:

  • Ambiente di Azure da usare. Ad esempio, il cloud pubblico di Azure o azure US Government Cloud.

  • Area di Azure per questa distribuzione di CMG.

  • Numero di istanze di macchina virtuale necessarie per la scalabilità e la ridondanza.

  • Uno sviluppatore di applicazioni di Azure, un amministratore di applicazioni cloud, un amministratore di applicazioni o un ruolo di amministratore globale per registrare le app nell Microsoft Entra ID.

  • Un ruolo di proprietario della sottoscrizione di Azure per quando si crea il cmg in Azure.

  • Almeno un server del sistema del sito esistente in cui si prevede di aggiungere il ruolo del punto di connessione cmg .

  • Esaminare i requisiti di accesso a Internet per assicurarsi che sia possibile raggiungere ogni servizio richiesto.

  • Abilitare questa funzionalità facoltativa.

Verranno configurati altri componenti prerequisiti durante i passaggi successivi del processo.

Automatizzare con PowerShell

Facoltativamente, è possibile automatizzare gli aspetti della configurazione di CMG usando PowerShell. Anche se alcuni cmdlet erano disponibili nelle versioni precedenti, la versione 2010 include nuovi cmdlet e miglioramenti significativi ai cmdlet esistenti.

Ad esempio, un amministratore di Azure crea prima le due app necessarie nell Microsoft Entra ID. Si scrive quindi uno script che usa i cmdlet seguenti per distribuire un cmg:

  1. Import-CMAADServerApplication: creare la definizione dell'app server Microsoft Entra in Configuration Manager.
  2. Import-CMAADClientApplication: creare la definizione dell'app client Microsoft Entra in Configuration Manager.
  3. Usare Get-CMAADApplication per ottenere gli oggetti app e quindi passare a New-CMCloudManagementAzureService per creare la connessione al servizio di Azure in Configuration Manager.
  4. New-CMCloudManagementGateway: creare il servizio CMG in Azure.
  5. Add-CMCloudManagementGatewayConnectionPoint: creare il sistema del sito del punto di connessione cmg.

È possibile usare questi cmdlet per automatizzare la creazione, la configurazione e la gestione del servizio CMG e dei requisiti di Microsoft Entra.

Microsoft Entra definizioni di app in Configuration Manager:

Il servizio Azure di gestione cloud in Configuration Manager:

Il servizio gateway di gestione cloud in Configuration Manager:

Ruolo del sistema del sito del punto di connessione cmg:

Passaggi successivi

Per iniziare a configurare cmg, ottenere un certificato di autenticazione server:

Certificato di autenticazione del server cmg