Pianificare il gateway di gestione cloud in Configuration ManagerPlan for the cloud management gateway in Configuration Manager

Si applica a: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Il gateway di gestione cloud (CMG) consente di gestire i client di Configuration Manager in Internet in modo semplice.The cloud management gateway (CMG) provides a simple way to manage Configuration Manager clients on the internet. Distribuendo il gateway di gestione cloud come servizio cloud in Microsoft Azure, è possibile gestire i client tradizionali che effettuano il roaming in Internet senza un'infrastruttura locale aggiuntiva.By deploying the CMG as a cloud service in Microsoft Azure, you can manage traditional clients that roam on the internet without additional on-premises infrastructure. Inoltre non è necessario esporre l'infrastruttura locale a Internet.You also don't need to expose your on-premises infrastructure to the internet.

Nota

Configuration Manager non abilita questa funzionalità facoltativa per impostazione predefinita.Configuration Manager doesn't enable this optional feature by default. Pertanto sarà necessario abilitarla prima di poterla usare.You must enable this feature before using it. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).For more information, see Enable optional features from updates.

Dopo aver definito i prerequisiti, la creazione del gateway di gestione cloud (CMG) prevede i tre passaggi seguenti nella console di Configuration Manager:After establishing the prerequisites, creating the CMG consists of the following three steps in the Configuration Manager console:

  1. Distribuire il servizio cloud Cloud Management Gateway (CMG) in Azure.Deploy the CMG cloud service to Azure.
  2. Aggiungere il ruolo del punto di connessione del gateway di gestione cloud.Add the CMG connection point role.
  3. Configurare il sito e i ruoli del sito per il servizio.Configure the site and site roles for the service. Dopo la distribuzione e la configurazione, i client possono accedere facilmente ai ruoli dei siti locali, indipendentemente dal fatto che si trovino nella Intranet o in Internet.Once deployed and configured, clients seamlessly access on-premises site roles regardless of whether they're on the intranet or internet.

Questo articolo offre le nozioni fondamentali sul gateway di gestione cloud, sulla progettazione per l'ambiente e sulla pianificazione dell'implementazione del gateway.This article provides the foundational knowledge to learn about the CMG, design how it fits in your environment, and plan the implementation.

ScenariScenarios

Un gateway di gestione cloud può essere utile in scenari diversi.There are several scenarios for which a CMG is beneficial. Gli scenari seguenti sono alcuni degli scenari più comuni:The following scenarios are some of the more common:

  • Gestire client Windows tradizionali con identità appartenente al dominio di Active Directory.Manage traditional Windows clients with Active Directory domain-joined identity. Questi client includono Windows 7, Windows 8.1 e Windows 10.These clients include Windows 7, Windows 8.1, and Windows 10. Per la protezione del canale di comunicazione vengono usati certificati PKI.It uses PKI certificates to secure the communication channel. Le attività di gestione includono:Management activities include:

    • Aggiornamenti software e protezione degli endpointSoftware updates and endpoint protection
    • Inventario e stato del clientInventory and client status
    • Impostazioni di conformitàCompliance settings
    • Distribuzione del software al dispositivoSoftware distribution to the device
    • Sequenza di attività di aggiornamento sul posto di Windows 10Windows 10 in-place upgrade task sequence
  • Gestire i client Windows 10 tradizionali con identità moderna, ibridi o solo aggiunti al dominio cloud con Azure Active Directory (Azure AD).Manage traditional Windows 10 clients with modern identity, either hybrid or pure cloud domain-joined with Azure Active Directory (Azure AD). Per l'autenticazione i client usano Azure AD anziché i certificati PKI.Clients use Azure AD to authenticate rather than PKI certificates. L'uso di Azure AD è più semplice da configurare e gestire rispetto ai sistemi PKI più complessi.Using Azure AD is simpler to set up, configure and maintain than more complex PKI systems. Le attività di gestione sono le stesse del primo scenario, come anche:Management activities are the same as the first scenario, as well as:

    • Distribuzione del software all'utenteSoftware distribution to the user
  • Installare il client Configuration Manager in dispositivi Windows 10 tramite Internet.Install the Configuration Manager client on Windows 10 devices over the internet. L'uso di Azure AD consente al dispositivo di eseguire l'autenticazione nel gateway di gestione cloud per la registrazione e l'assegnazione dei client.Using Azure AD allows the device to authenticate to the CMG for client registration and assignment. È possibile installare il client manualmente oppure usando un altro metodo di distribuzione del software, ad esempio Microsoft Intune.You can install the client manually, or using another software distribution method, such as Microsoft Intune.

  • Nuovo provisioning di dispositivi von co-gestione.New device provisioning with co-management. Quando si esegue la registrazione automatica dei client esistenti, CMG non è necessario per la co-gestione.When auto-enrolling existing clients, CMG isn't required for co-management. È necessario per i nuovi dispositivi che prevedono l'uso di Windows AutoPilot, Azure AD, Microsoft Intune e Configuration Manager.It is required for new devices involving Windows AutoPilot, Azure AD, Microsoft Intune, and Configuration Manager. Per altre informazioni, vedere Percorsi della co-gestione.For more information, see Paths to co-management.

Casi d'uso specificiSpecific use cases

In questi scenari possono essere applicati i casi d'uso di dispositivi specifici seguenti:Across these scenarios the following specific device use cases may apply:

  • Dispositivi che effettuano il roaming, ad esempio i computer portatiliRoaming devices such as laptops

  • Dispositivi remoti o di succursali che offrono una gestione su Internet meno costosa e più efficiente rispetto a quella tramite WAN o VPN.Remote/branch office devices that are less expensive and more efficient to manage over the internet than across a WAN or through a VPN.

  • Fusioni e acquisizioni in cui può risultare più semplice aggiungere dispositivi ad Azure AD e gestirli tramite un gateway di gestione cloud.Mergers and acquisitions, where it may be easiest to join devices to Azure AD and manage through a CMG.

Importante

Per impostazione predefinita tutti i client ricevono i criteri di un gateway di gestione cloud e iniziano a usarli quando diventano basati su Internet.By default all clients receive policy for a CMG, and start using it when they become internet-based. A seconda dello scenario e del caso d'uso applicabile all'organizzazione, può essere necessario definire l'ambito di utilizzo del gateway di gestione cloud.Depending upon the scenario and use case that applies to your organization, you may need to scope usage of the CMG. Per altre informazioni, vedere l'impostazione client Consenti ai client di usare un gateway di gestione cloud.For more information, see the Enable clients to use a cloud management gateway client setting.

Progettazione della topologiaTopology design

Componenti del gateway di gestione cloudCMG components

La distribuzione e l'utilizzo del gateway di gestione cloud includono i componenti seguenti:Deployment and operation of the CMG includes the following components:

  • Il servizio cloud Cloud Management Gateway (CMG) in Azure esegue l'autenticazione e inoltra le richieste del client Configuration Manager al punto di connessione del gateway di gestione cloud.The CMG cloud service in Azure authenticates and forwards Configuration Manager client requests to the CMG connection point.

  • Il ruolo del sistema del sito del punto di connessione del gateway di gestione cloud abilita una connessione coerente e ad alte prestazioni dalla rete locale al servizio Cloud Management Gateway (CMG) in Azure.The CMG connection point site system role enables a consistent and high-performance connection from the on-premises network to the CMG service in Azure. Pubblica anche le impostazioni nel gateway di gestione cloud, incluse le informazioni sulla connessione e le impostazioni di sicurezza.It also publishes settings to the CMG including connection information and security settings. Il punto di connessione del gateway di gestione cloud inoltra le richieste del client dal gateway di gestione cloud ai ruoli locali in base al mapping degli URL.The CMG connection point forwards client requests from the CMG to on-premises roles according to URL mappings.

  • Il ruolo del sistema del sito del punto di connessione del servizio esegue il componente di gestione del servizio cloud che gestisce tutte le attività di distribuzione del gateway di gestione cloud.The service connection point site system role runs the cloud service manager component, which handles all CMG deployment tasks. Esegue inoltre il monitoraggio e l'invio di informazioni sull'integrità del servizio e di registrazione da Azure AD.Additionally, it monitors and reports service health and logging information from Azure AD. Verificare che il punto di connessione del servizio sia in modalità online.Make sure your service connection point is in online mode.

  • Il ruolo del sistema del sito del punto di gestione risponde alle richieste del client normalmente.The management point site system role services client requests per normal.

  • Il ruolo del sistema del sito del punto di aggiornamento software risponde alle richieste del client normalmente.The software update point site system role services client requests per normal.

  • I client basati su Internet si connettono al gateway di gestione cloud per accedere ai componenti di Configuration Manager locali.Internet-based clients connect to the CMG to access on-premises Configuration Manager components.

  • Il gateway di gestione cloud usa un servizio Web HTTPS basato sui certificati per proteggere la comunicazione di rete con i client.The CMG uses a certificate-based HTTPS web service to help secure network communication with clients.

  • I client basati su Internet usano i certificati PKI o Azure AD per l'identità e l'autenticazione.Internet-based clients use PKI certificates or Azure AD for identity and authentication.

  • Un punto di distribuzione cloud fornisce i contenuti ai client basati su Internet, in base alle esigenze.A cloud distribution point provides content to internet-based clients, as needed.

    • A partire dalla versione 1806, un CMG può anche trasferire contenuti ai client.Starting in version 1806, a CMG can also serve content to clients. Questa funzionalità riduce i certificati necessari e i costi delle macchine virtuali di Azure.This functionality reduces the required certificates and cost of Azure VMs. Per altre informazioni, vedere Modify a CMG (Modificare un gateway di gestione cloud).For more information, see Modify a CMG.

Azure Resource ManagerAzure Resource Manager

Creare il Cloud Management Gateway usando una distribuzione Azure Resource Manager.Create the CMG using an Azure Resource Manager deployment. Azure Resource Manager è una piattaforma moderna per la gestione di tutte le risorse di una soluzione come una singola entità detta gruppo di risorse.Azure Resource Manager is a modern platform for managing all solution resources as a single entity, called a resource group. Quando si distribuisce Cloud Management Gateway con Azure Resource Manager, il sito usa Azure Active Directory (Azure AD) per autenticare e creare le risorse cloud necessarie.When deploying CMG with Azure Resource Manager, the site uses Azure Active Directory (Azure AD) to authenticate and create the necessary cloud resources. Questa distribuzione modernizzata non richiede il certificato di gestione classico di Azure.This modernized deployment doesn't require the classic Azure management certificate.

Nota

Questa funzionalità non supporta i provider di servizi cloud di Azure.This capability doesn't enable support for Azure Cloud Service Providers (CSP). La distribuzione del gateway di gestione cloud con Azure Resource Manager continua infatti a usare il servizio cloud classico, non supportato dal provider di servizi cloud.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Per altre informazioni, vedere Available Azure services in Azure CSP (servizi di Azure disponibili in Azure CSP).For more information, see available Azure services in Azure CSP.

A partire da Configuration Manager versione 1902, Azure Resource Manager è l'unico meccanismo di distribuzione per le nuove istanze di Cloud Management Gateway.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. Le distribuzioni esistenti continuano a funzionare normalmente.Existing deployments continue to work.

In Configuration Manager versione 1810 e precedenti la procedura guidata di Cloud Management Gateway offre ancora l'opzione per una distribuzione classica del servizio tramite un certificato di gestione di Azure.In Configuration Manager version 1810 and earlier, the CMG wizard still provides the option for a classic service deployment using an Azure management certificate. Per semplificare la distribuzione e la gestione delle risorse, è consigliabile usare il modello di distribuzione Azure Resource Manager per tutte le nuove istanze di Cloud Management Gateway.To simplify the deployment and management of resources, the Azure Resource Manager deployment model is recommended for all new CMG instances. Se possibile, ridistribuire le istanze di Cloud Management Gateway esistenti tramite Resource Manager.If possible, redeploy existing CMG instances through Resource Manager. Per altre informazioni, vedere Modify a CMG (Modificare un gateway di gestione cloud).For more information, see Modify a CMG.

Importante

A partire dalla versione 1810, la distribuzione classica del servizio in Azure è deprecata in Configuration Manager.Starting in version 1810, the classic service deployment in Azure is deprecated for use in Configuration Manager. Si tratta dell'ultima versione che supporta la creazione di queste distribuzioni di Azure.This version is the last to support creation of these Azure deployments. Questa funzionalità verrà rimossa in una versione futura di Configuration Manager.This functionality will be removed in a future Configuration Manager version.

Progettazione della gerarchiaHierarchy design

Creare il gateway di gestione client nel sito di livello superiore della gerarchia.Create the CMG at the top-tier site of your hierarchy. Se si tratta di un sito di amministrazione centrale, creare punti di connessione del gateway di gestione cloud nei siti primari figlio.If that's a central administration site, then create CMG connection points at child primary sites. Il componente di gestione del servizio cloud è sul punto di connessione del servizio, che si trova nel sito di amministrazione centrale.The cloud service manager component is on the service connection point, which is also on the central administration site. Questa progettazione consente di condividere il servizio tra diversi siti primari, se necessario.This design can share the service across different primary sites if needed.

È possibile creare più servizi Cloud Management Gateway (CMG) in Azure ed è possibile creare più punti di connessione del gateway di gestione cloud.You can create multiple CMG services in Azure, and you can create multiple CMG connection points. Più punti di connessione del gateway di gestione cloud offrono un bilanciamento del carico del traffico client dal gateway di gestione cloud ai ruoli locali.Multiple CMG connection points provide load balancing of client traffic from the CMG to the on-premises roles. Per ridurre la latenza di rete, assegnare il gateway di gestione cloud associato alla stessa area geografica del sito primario.To reduce network latency, assign the associated CMG to the same geographical region as the primary site.

A partire dalla versione 1902 è possibile associare un Cloud Management Gateway a un gruppo di limiti.Starting in version 1902, you can associate a CMG with a boundary group. Questa configurazione consente ai client di usare Cloud Management Gateway per impostazione predefinita o come fallback per le comunicazioni client in base alle relazioni del gruppo di limiti.This configuration allows clients to default or fallback to the CMG for client communication according to boundary group relationships. Questo comportamento è particolarmente utile in scenari con succursali e VPN.This behavior is especially useful in branch office and VPN scenarios. È possibile indirizzare il traffico client da collegamenti WAN lenti e dispendiosi per usare invece servizi più veloci in Microsoft Azure.You can direct client traffic away from expensive and slow WAN links to instead use faster services in Microsoft Azure.

Nota

I client basati su Internet non rientrano in alcun gruppo di limiti.Internet-based clients don't fall into any boundary group.

In Configuration Manager versione 1810 e precedenti Cloud Management Gateway non rientra in alcun gruppo di limiti.In Configuration Manager version 1810 and earlier, the CMG doesn't fall into any boundary group.

Anche altri fattori, ad esempio il numero di client da gestire, influiscono sulla progettazione del gateway di gestione cloud.Other factors, such as the number of clients to manage, also impact your CMG design. Per altre informazioni, vedere Prestazioni e scalabilità.For more information, see Performance and scale.

Esempio 1: sito primario autonomoExample 1: standalone primary site

Contoso ha un sito primario autonomo in un data center locale nella sede di New York City.Contoso has a standalone primary site in an on-premises datacenter at their headquarters in New York City.

  • Viene creato un gateway di gestione cloud nell'area di Azure degli Stati Uniti orientali per ridurre la latenza di rete.They create a CMG in the East US Azure region to reduce network latency.
  • Vengono creati due punti di connessione del gateway di gestione cloud, entrambi collegati all'unico servizio Cloud Management Gateway.They create two CMG connection points, both linked to the single CMG service.

Quando effettuano il roaming in Internet, i client comunicano con il gateway di gestione cloud nell'area di Azure degli Stati Uniti orientali.As clients roam onto the internet, they communicate with the CMG in the East US Azure region. Il gateway di gestione cloud inoltra le comunicazioni tramite entrambi i punti di connessione del gateway di gestione cloud.The CMG forwards this communication through both of the CMG connection points.

Esempio 2: gerarchia con gateway di gestione cloud specifico del sitoExample 2: hierarchy with site-specific CMG

Fourth Coffee ha un sito di amministrazione centrale in un data center locale nella sede di Seattle.Fourth Coffee has a central administration site in an on-premises datacenter at their headquarters in Seattle. Un sito primario è nel data center, mentre l'altro sito primario è nella sede centrale europea di Parigi.One primary site is in the same datacenter, and the other primary site is in their main European office in Paris.

  • Nel sito di amministrazione centrale, vengono creati due servizi Cloud Management Gateway (CMG):On the central administration site, they create two CMG services:
    • Un Cloud Management Gateway (CMG) nell'area di Azure degli Stati Uniti occidentali.One CMG in the West US Azure region.
    • Un Cloud Management Gateway (CMG) nell'area di Azure dell'Europa occidentale.One CMG in the West Europe Azure region.
  • Nel sito primario di Seattle, viene creato un punto di connessione del gateway di gestione cloud collegato al gateway di gestione cloud degli Stati Uniti occidentali.On the Seattle-based primary site, they create a CMG connection point linked to the West US CMG.
  • Nel sito primario di Parigi, viene creato un punto di connessione del gateway di gestione cloud collegato al gateway di gestione cloud dell'Europa occidentale.On the Paris-based primary site, they create a CMG connection point linked to the West Europe CMG.

Quando effettuano il roaming in Internet, i client di Seattle comunicano con il gateway di gestione cloud nell'area di Azure degli Stati Uniti occidentali.As Seattle-based clients roam onto the internet, they communicate with the CMG in the West US Azure region. Il gateway di gestione cloud inoltra le comunicazioni al punto di connessione del gateway di gestione cloud di Seattle.The CMG forwards this communication to the Seattle-based CMG connection point.

Analogamente, quando effettuano il roaming in Internet, i client di Parigi comunicano con il gateway di gestione cloud nell'area di Azure dell'Europa occidentale.Similarly, as Paris-based clients roam onto the internet, they communicate with the CMG in the West Europe Azure region. Il gateway di gestione cloud inoltra le comunicazioni al punto di connessione del gateway di gestione cloud di Parigi.The CMG forwards this communication to the Paris-based CMG connection point. Quando gli utenti di Parigi si recano nella sede di Seattle, i loro computer continuano a comunicare con il gateway di gestione cloud dell'area di Azure dell'Europa occidentale.When Paris-based users travel to the company headquarters in Seattle, their computers continue to communicate with the CMG in the West Europe Azure region.

Nota

Fourth Coffee prende in considerazione la creazione di un altro punto di connessione del gateway di gestione cloud nel sito primario di Parigi collegato al gateway di gestione cloud degli Stati Uniti occidentali.Fourth Coffee considered creating another CMG connection point on the Paris-based primary site linked to the West US CMG. I client di Parigi potrebbero in questo modo usare entrambi i gateway di gestione cloud, indipendentemente dalla loro posizione.Paris-based clients would then use both CMGs, regardless of their location. Sebbene consenta di bilanciare il carico del traffico e di offrire la ridondanza del servizio, questa configurazione potrebbe anche causare ritardi di comunicazione tra i client di Parigi e il gateway di gestione cloud degli Stati Uniti.While this configuration helps load balance traffic and provide service redundancy, it can also cause delays when Paris-based clients communicate with the US-based CMG. Poiché i client di Configuration Manager non considerano l'area geografica di appartenenza, non preferire un gateway di gestione cloud geograficamente più vicino.Configuration Manager clients aren't currently aware of their geographical region, so don't prefer a CMG that's geographically closer. I client usano qualsiasi gateway di gestione cloud disponibile.Clients randomly use an available CMG.

requisitiRequirements

  • Una sottoscrizione di Azure per l'hosting del gateway di gestione cloud.An Azure subscription to host the CMG.

  • Un amministratore di Azure deve partecipare alla creazione iniziale di alcuni componenti, a seconda della progettazione.An Azure administrator needs to participate in the initial creation of certain components, depending upon your design. Questo utente tipo non necessita di autorizzazioni in Configuration Manager.This persona doesn't require permissions in Configuration Manager.

    • Per distribuire Cloud Management Gateway è necessario un amministratore della sottoscrizioneTo deploy the CMG, you need a Subscription Admin
    • Per integrare il sito con Azure AD per distribuire Cloud Management Gateway tramite Azure Resource Manager è necessario un amministratore globaleTo integrate the site with Azure AD for deploying the CMG using Azure Resource Manager, you need a Global Admin
  • Almeno un server Windows locale per l'hosting del punto di connessione del gateway di gestione cloud.At least one on-premises Windows server to host the CMG connection point. È possibile condividere il percorso di questo ruolo con altri ruoli del sistema del sito di Configuration Manager.You can colocate this role with other Configuration Manager site system roles.

  • Il punto di connessione del servizio deve essere in modalità online.The service connection point must be in online mode.

  • Integrazione con Azure AD per distribuire il servizio con Azure Resource Manager.Integration with Azure AD for deploying the service with Azure Resource Manager. Per altre informazioni, vedere Configurare i servizi di Azure.For more information, see Configure Azure services.

  • Un certificato di autenticazione server per il gateway di gestione cloud.A server authentication certificate for the CMG.

  • Possono essere necessari altri certificati, a seconda della versione del sistema operativo del client e del modello di autenticazione.Other certificates may be required, depending upon your client OS version and authentication model. Per altre informazioni, vedere CMG certificates (Certificati per il gateway di gestione cloud).For more information, see CMG certificates.

    A partire dalla versione 1806, quando si usa l'opzione del sito Usa i certificati generati da Configuration Manager per sistemi del sito HTTP, il punto di gestione può essere HTTP.Starting in version 1806, when using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Per altre informazioni, vedere HTTP migliorato.For more information, see Enhanced HTTP.

  • In Configuration Manager versione 1810 o precedenti con il metodo di distribuzione classico di Azure è necessario usare un certificato di gestione di Azure.In Configuration Manager version 1810 or earlier, if using the Azure classic deployment method, you must use an Azure management certificate.

    Suggerimento

    Usare il modello di distribuzione Azure Resource Manager.Use the Azure Resource Manager deployment model. che non richiede il certificato di gestione.It doesn't require this management certificate.

    Il metodo di distribuzione classica è deprecato a partire dalla versione 1810.The classic deployment method is deprecated as of version 1810.

  • I client devono usare IPv4.Clients must use IPv4.

SpecificheSpecifications

  • Tutte le versioni di Windows elencate in Sistemi operativi supportati per client e dispositivi sono supportate per il gateway di gestione cloud.All Windows versions listed in Supported operating systems for clients and devices are supported for CMG.

  • Il gateway di gestione cloud supporta solo i ruoli del punto di gestione e del punto di aggiornamento software.CMG only supports the management point and software update point roles.

  • CMG non supporta i client che comunicano solo con indirizzi IPv6.CMG doesn't support clients that only communicate with IPv6 addresses.

  • I punti di aggiornamento software che usano un bilanciamento del carico di rete non funzionano con il gateway di gestione cloud.Software update points using a network load balancer don't work with CMG.

  • Le distribuzioni del gateway di gestione cloud che usano il modello Azure Resource Manager non abilitano il supporto dei provider di servizi cloud di Azure.CMG deployments using the Azure Resource Model don't enable support for Azure Cloud Service Providers (CSP). La distribuzione del gateway di gestione cloud con Azure Resource Manager continua infatti a usare il servizio cloud classico, non supportato dal provider di servizi cloud.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Per altre informazioni, vedere Available Azure services in Azure CSP (Servizi di Azure disponibili in Azure CSP).For more information, see available Azure services in Azure CSP

Supporto delle funzionalità di Configuration ManagerSupport for Configuration Manager features

La tabella seguente elenca il supporto di Cloud Management Gateway (CMG) per le funzionalità di Configuration Manager:The following table lists CMG support for Configuration Manager features:

FunzionalitàFeature SupportoSupport
Aggiornamenti softwareSoftware updates Supportato
Protezione degli endpointEndpoint protection Supportato
Inventario hardware e softwareHardware and software inventory Supportato
Stato del client e notificheClient status and notifications Supportato
Esecuzione di scriptRun scripts Supportato
Impostazioni di conformitàCompliance settings Supportato
Installazione clientClient install
(con integrazione di Azure AD)(with Azure AD integration)
Supportato
Distribuzione del software (indirizzata a dispositivi)Software distribution (device-targeted) Supportato
Distribuzione del software (indirizzata a utenti, obbligatoria)Software distribution (user-targeted, required)
(con integrazione di Azure AD)(with Azure AD integration)
Supportato
Distribuzione del software (indirizzata a utenti, disponibile)Software distribution (user-targeted, available)
(tutti i requisiti)(all requirements)
Supportato
Sequenza di attività di aggiornamento sul posto di Windows 10Windows 10 in-place upgrade task sequence Supportato
Sequenze di attività che non usano le immagini d'avvio e vengono distribuite con un'opzione: Scaricare tutto il contenuto in locale prima di avviare la sequenza di attivitàTask sequences that aren't using boot images and are deployed with an option: Download all content locally before starting task sequence Supportato
CMPivotCMPivot Supportato (1806)(1806)
Qualsiasi altro scenario di sequenza di attivitàAny other task sequence scenario Non supportato
Push clientClient push Non supportato
Assegnazione automatica al sitoAutomatic site assignment Non supportato
Richieste di approvazione del softwareSoftware approval requests Non supportato
Console di Configuration ManagerConfiguration Manager console Non supportato
Strumenti remotiRemote tools Non supportato
Sito Web di ReportingReporting website Non supportato
Riattivazione LANWake on LAN Non supportato
Client Mac, Linux e UNIXMac, Linux, and UNIX clients Non supportato
Peer cachePeer cache Non supportato
Software MDM localeOn-premises MDM Non supportato
ChiaveKey
Supportato = Questa funzionalità è supportata con Cloud Management Gateway (CMG) da tutte le versioni supportate di Configuration Manager= This feature is supported with CMG by all supported versions of Configuration Manager
Supportato (AAMM) = Questa funzionalità è supportata con Cloud Management Gateway (CMG) a partire dalla versione AAMM di Configuration ManagerSupported (YYMM) = This feature is supported with CMG starting with version YYMM of Configuration Manager
Non supportato = Questa funzionalità non è supportata con CMG= This feature isn't supported with CMG

CostiCost

Importante

Le informazioni sui costi seguenti sono puramente stime.The following cost information is for estimating purposes only. Altre variabili di ambiente possono influire sul costo complessivo dell'uso di Cloud Management Gateway (CMG).Your environment may have other variables that affect the overall cost of using CMG.

Cloud Management Gateway (CMG) usa i componenti di Azure seguenti, che implicano l'addebito di costi per l'account della sottoscrizione di Azure:CMG uses the following Azure components, which incur charges to the Azure subscription account:

Macchina virtualeVirtual machine

  • Cloud Management Gateway (CMG) usa i servizi cloud di Azure come piattaforma distribuita come servizio (PaaS).CMG uses Azure Cloud Services as platform as a service (PaaS). Questo servizio usa macchine virtuali che comportano costi di calcolo.This service uses virtual machines (VMs) that incur compute costs.

  • CMG usa una macchina virtuale standard A2 V2.CMG uses a Standard A2 V2 VM.

  • Selezionare il numero di istanze di macchina virtuale che supportano Cloud Management Gateway (CMG).You select how many VM instances support the CMG. 1 è il valore predefinito e 16 è il valore massimo.One is the default, and 16 is the maximum. Questo numero viene impostato durante la creazione del gateway di gestione cloud e può essere modificato in un secondo momento per ridimensionare il servizio in base alle esigenze.This number is set when creating the CMG, and can be changed afterwards to scale the service as needed.

  • Per altre informazioni sul numero di macchine virtuali necessarie per supportare i client, vedere Prestazioni e scalabilità.For more information on how many VMs you need to support your clients, see Performance and scale.

  • Vedere il calcolatore dei prezzi di Azure per determinare i costi potenziali.See the Azure pricing calculator to help determine potential costs.

    Nota

    I costi delle macchine virtuali variano a seconda dell'area.Virtual machine costs vary by region.

Trasferimento dati in uscitaOutbound data transfer

  • Gli addebiti si basano sul flusso di dati in uscita da Azure (dati in uscita o download).Charges are based on data flowing out of Azure (egress or download). I flussi di dati verso Azure sono gratuiti (dati in ingresso o caricamento).Any data flows into Azure are free (ingress or upload). I flussi di dati del gateway di gestione cloud in uscita da Azure includono i criteri per il client, le notifiche del client e le risposte del client inoltrate dal gateway di gestione cloud al sito.CMG data flows out of Azure include policy to the client, client notifications, and client responses forwarded by the CMG to the site. Queste risposte includono i report di inventario, i messaggi di stato e lo stato di conformità.These responses include inventory reports, status messages, and compliance status.

  • Anche in assenza di client che comunicano con un gateway di gestione cloud, alcune comunicazioni in background causano traffico di rete tra il gateway di gestione cloud e il sito locale.Even without any clients communicating with a CMG, some background communication causes network traffic between the CMG and the on-premises site.

  • Visualizzare il valore Trasferimento di dati in uscita (GB) nella console di Configuration Manager.View the Outbound data transfer (GB) in the Configuration Manager console. Per altre informazioni, vedere Monitor clients on CMG (Monitorare i client in Cloud Management Gateway).For more information, see Monitor clients on CMG.

  • Vedere i dettagli sui prezzi per la larghezza di banda di Azure per determinare i costi potenziali.See the Azure bandwidth pricing details to help determine potential costs. I prezzi del trasferimento dei dati sono diversificati.Pricing for data transfer is tiered. Un maggior utilizzo comporta un costo minore per gigabyte.The more you use, the less you pay per gigabyte.

  • Per una stima, prevedere circa 100-300 MB per client al mese per i client basati su Internet.For estimating purposes only, expect approximately 100-300 MB per client per month for internet-based clients. La stima inferiore è per una configurazione di client predefinito.The lower estimate is for a default client configuration. La stima superiore è per una configurazione di client più aggressiva.The upper estimate is for a more aggressive client configuration. L'utilizzo effettivo può variare a seconda della configurazione delle impostazioni del client.Your actual usage may vary depending upon how you configure client settings.

    Nota

    L'esecuzione di altre azioni, ad esempio la distribuzione di aggiornamenti software o di applicazioni, aumenta la quantità di dati in uscita da Azure.Performing other actions, such as deploying software updates or applications, increases the amount of outbound data transfer from Azure.

  • Una configurazione errata dell'opzione Gateway di gestione cloud per verificare la revoca del certificato client può causare un traffico aggiuntivo dai client al gateway di gestione cloud.Misconfiguration of the CMG option to Verify client certificate revocation can cause additional traffic from clients to the CMG. Questo traffico aggiuntivo può aumentare i dati in uscita di Azure e quindi i relativi costi.This additional traffic can increase the Azure egress data, which can increase your Azure costs. Per altre informazioni, vedere Pubblicare l'elenco di revoche di certificati (CRL).For more information, see Publish the certificate revocation list.

Archivio del contenutoContent storage

  • I client basati su Internet ottengono i contenuti degli aggiornamenti del software Microsoft da Windows Update senza alcun costo.Internet-based clients get Microsoft software update content from Windows Update at no charge. Non distribuire i pacchetti di aggiornamento con i contenuti degli aggiornamenti Microsoft a un punto di distribuzione cloud per non incorrere in costi di archiviazione e dati in ingresso.Don't distribute update packages with Microsoft update content to a cloud distribution point, otherwise you may incur storage and data egress costs.

  • Altri contenuti necessari, ad esempio applicazioni o aggiornamenti software di terze parti, devono essere distribuiti a un punto di distribuzione cloud.For any other necessary content, such as applications or third-party software updates, you must distribute to a cloud distribution point. Attualmente il gateway di gestione cloud supporta solo il punto di distribuzione cloud per l'invio di contenuti ai client.Currently, the CMG supports only the cloud distribution point for sending content to clients.

  • Per altre informazioni, vedere i costi d'uso dei punti di distribuzione cloud.For more information, see the cost of using cloud distribution points.

  • A partire dalla versione 1806, un CMG può anche essere un punto di distribuzione cloud per distribuire contenuti ai client.Starting in version 1806, a CMG can also be a cloud distribution point to serve content to clients. Questa funzionalità riduce i certificati necessari e i costi delle macchine virtuali di Azure.This functionality reduces the required certificates and cost of Azure VMs. Per altre informazioni, vedere Modify a CMG (Modificare un gateway di gestione cloud).For more information, see Modify a CMG.

Altri costiOther costs

  • Ogni servizio cloud ha un indirizzo IP dinamico.Each cloud service has a dynamic IP address. Ogni gateway di gestione cloud usa un nuovo indirizzo IP dinamico.Each distinct CMG uses a new dynamic IP address. L'aggiunta di macchine virtuali per il gateway di gestione cloud non aumenta il numero di indirizzi.Adding additional VMs per CMG doesn't increase these addresses.

Prestazioni e scalabilitàPerformance and scale

Per altre informazioni sulla scalabilità del gateway di gestione cloud, vedere Numeri di ridimensionamento e scalabilità.For more information on CMG scale, see Size and scale numbers.

I suggerimenti seguenti consentono di migliorare le prestazioni del gateway di gestione cloud:The following recommendations can help you improve CMG performance:

  • Se possibile, configurare il gateway di gestione cloud, il punto di connessione del gateway di gestione cloud e il server del sito di Configuration Manager nella stessa area di rete per ridurre la latenza.If possible, configure the CMG, CMG connection point, and the Configuration Manager site server in same network region to reduce latency.

  • La connessione tra il client di Configuration Manager e il CMG non è in grado di riconoscere l'area.The connection between the Configuration Manager client and the CMG isn't region-aware. Le comunicazioni client sono in gran parte non interessate dalla latenza e/o dalla separazione geografica.Client communication is largely unaffected by latency / geographic separation. Non è necessario distribuire più CMG ai fini della prossimità geografica.It's not necessary to deploy multiple CMG for the purposes of geo-proximity. Distribuire il CMG nel sito di livello superiore nella gerarchia e aggiungere istanze per aumentare la disponibilità.Deploy the CMG at the top-level site in your hierarchy and add instances to increase scale.

  • Per la disponibilità elevata del servizio, creare un CMG con almeno due istanze di CMG e due punti di connessione CMG per ogni sito.For high availability of the service, create a CMG with at least two CMG instances and two CMG connection points per site.

  • Scalare il gateway di gestione cloud per supportare più client mediante l'aggiunta di più istanze di macchine virtuali.Scale the CMG to support more clients by adding more VM instances. Il bilanciamento del carico di Azure controlla le connessioni client al servizio.The Azure load balancer controls client connections to the service.

  • Creare altri punti di connessione del gateway di gestione cloud per distribuire il carico tra di essi.Create more CMG connection points to distribute the load among them. Il gateway di gestione cloud distribuisce il traffico ai punti di connessione mediante un approccio 'round robin'.The CMG distributes the traffic to its connecting CMG connection points in a round-robin fashion.

  • Quando il CMG è sottoposto a un carico elevato con un numero di client maggiore di quello supportato, le richieste continuano a essere gestite ma potrebbero verificarsi ritardi.When the CMG is under high load with more than the supported number of clients, it still handles requests but there may be delay.

Nota

Mentre Configuration Manager non ha limiti hardware per il numero di client per punto di connessione del gateway di gestione cloud, Windows Server ha un intervallo di porte dinamico TCP massimo predefinito di 16.384.While Configuration Manager has no hard limit on the number of clients for a CMG connection point, Windows Server has a default maximum TCP dynamic port range of 16,384. Se un sito di Configuration Manager gestisce più di 16.384 client con un unico punto di connessione del gateway di gestione cloud, è necessario aumentare il limite di Windows Server.If a Configuration Manager site manages more than 16,384 clients with a single CMG connection point, you must increase the Windows Server limit. Tutti i client hanno un canale per le notifiche client che mantiene una porta aperta sul punto di connessione del gateway di gestione cloud.All clients maintain a channel for client notifications, which holds a port open on the CMG connection point. Per altre informazioni su come usare il comando netsh per aumentare questo limite, vedere l'articolo del supporto tecnico Microsoft 929851.For more information on how to use the netsh command to increase this limit, see Microsoft Support article 929851.

Porte e flusso di datiPorts and data flow

Non è necessario aprire alcuna porta in ingresso per la rete locale.You don't need to open any inbound ports to your on-premises network. Il punto di connessione del servizio e il punto di connessione del gateway di gestione cloud avviano tutte le comunicazioni con Azure e il gateway di gestione cloud.The service connection point and CMG connection point initiate all communication with Azure and the CMG. Questi due ruoli del sistema del sito devono creare connessioni in uscita per il cloud Microsoft.These two site system roles need to create outbound connections to the Microsoft cloud. Il punto di connessione del servizio distribuisce ed esegue il monitoraggio del servizio in Azure e pertanto deve essere in modalità online.The service connection point deploys and monitors the service in Azure, thus must be online mode. Il punto di connessione del gateway di gestione cloud si connette a gateway per gestire le comunicazioni tra il gateway di gestione cloud e i ruoli del sistema del sito locali.The CMG connection point connects to the CMG to manage communication between the CMG and on-premises site system roles.

Il diagramma seguente rappresenta un flusso di dati concettuale di base per il gateway di gestione cloud:The following diagram is a basic, conceptual data flow for the CMG:

Flusso di dati del CMG

  1. Il punto di connessione del servizio si connette ad Azure tramite la porta HTTPS 443.The service connection point connects to Azure over HTTPS port 443. Esegue l'autenticazione usando Azure AD o il certificato di gestione di Azure.It authenticates using Azure AD or the Azure management certificate. Il punto di connessione del servizio distribuisce il gateway di gestione cloud in Azure.The service connection point deploys the CMG in Azure. Il gateway di gestione cloud crea il servizio cloud HTTPS usando il certificato di autenticazione del server.The CMG creates the HTTPS cloud service using the server authentication certificate.

  2. Il punto di connessione del gateway di gestione cloud si connette al gateway in Azure tramite TCP-TLS o HTTPS.The CMG connection point connects to the CMG in Azure over TCP-TLS or HTTPS. Mantiene la connessione aperta e crea il canale per le future comunicazioni bidirezionali.It holds the connection open, and builds the channel for future two-way communication.

  3. Il client si connette al gateway di gestione cloud sulla porta HTTPS 443.The client connects to the CMG over HTTPS port 443. Esegue l'autenticazione usando Azure AD o il certificato di autenticazione del client.It authenticates using Azure AD or the client authentication certificate.

  4. Il gateway di gestione cloud inoltra la comunicazione client tramite la connessione esistente al punto di connessione del gateway di gestione cloud locale.The CMG forwards the client communication over the existing connection to the on-premises CMG connection point. Non è necessario aprire alcuna porta del firewall in entrata.You don't need to open any inbound firewall ports.

  5. Il punto di connessione del gateway di gestione cloud inoltra la comunicazione client al punto di gestione locale e al punto di aggiornamento software.The CMG connection point forwards the client communication to the on-premises management point and software update point.

Per altre informazioni sull'hosting di contenuti in Azure, vedere Usare un punto di distribuzione basato sul cloud.For more information when you host content in Azure, see Use a cloud-based distribution point.

Porte richiesteRequired ports

La tabella seguente elenca le porte e i protocolli di rete richiesti.This table lists the required network ports and protocols. Il client è il dispositivo che avvia la connessione e richiede una porta in uscita.The Client is the device initiating the connection, requiring an outbound port. Il server è il dispositivo che accetta la connessione e richiede una porta in ingresso.The Server is the device accepting the connection, requiring an inbound port.

ClientClient ProtocolloProtocol PortaPort ServerServer DescrizioneDescription
punto di connessione del servizioService connection point HTTPSHTTPS 443443 AzureAzure Distribuzione del gateway di gestione cloudCMG deployment
Punto di connessione del gateway di gestione cloudCMG connection point TCP-TLSTCP-TLS 10140-1015510140-10155 Servizio Cloud Management GatewayCMG service Protocollo preferito per la creazione del canale del gateway di gestione cloud1Preferred protocol to build CMG channel 1
Punto di connessione del gateway di gestione cloudCMG connection point HTTPSHTTPS 443443 Servizio Cloud Management GatewayCMG service Protocollo di fallback per la creazione del canale del gateway di gestione cloud in una sola istanza di macchina virtuale2Fallback protocol to build CMG channel to only one VM instance2
Punto di connessione del gateway di gestione cloudCMG connection point HTTPSHTTPS 10124-1013910124-10139 Servizio Cloud Management GatewayCMG service Protocollo di fallback per la creazione del canale del gateway di gestione cloud in due o più istanze di macchina virtuale3Fallback protocol to build CMG channel to two or more VM instances3
ClientClient HTTPSHTTPS 443443 Gateway di gestione cloudCMG Comunicazione client generaleGeneral client communication
Punto di connessione del gateway di gestione cloudCMG connection point HTTPS o HTTPHTTPS or HTTP 443 o 80443 or 80 Punto di gestioneManagement point
(versione 1710)(version 1710)
Traffico locale, la porta dipende dalla configurazione del punto di gestioneOn-premises traffic, port depends upon management point configuration
Punto di connessione del gateway di gestione cloudCMG connection point HTTPSHTTPS 443443 Punto di gestioneManagement point
(versione 1802)(version 1802)
Il traffico locale deve essere HTTPSOn-premises traffic must be HTTPS
Punto di connessione del gateway di gestione cloudCMG connection point HTTPS o HTTPHTTPS or HTTP 443 o 80443 or 80 Punto di aggiornamento softwareSoftware update point Traffico locale, la porta dipende dalla configurazione del punto di aggiornamento softwareOn-premises traffic, port depends upon software update point configuration

1 Il punto di connessione del gateway di gestione cloud tenta innanzitutto di stabilire una connessione TCP-TLS di lunga durata con ogni istanza di macchina virtuale del gateway di gestione cloud.1 The CMG connection point first tries to establish a long-lived TCP-TLS connection with each CMG VM instance. Si connette alla prima istanza di macchina virtuale sulla porta 10140.It connects to the first VM instance on port 10140. La seconda istanza di macchina virtuale usa la porta 10141, fino alla sedicesima sulla porta 10155.The second VM instance uses port 10141, up to the 16th on port 10155. Una connessione TCP-TLS offre le prestazioni migliori, ma non supporta proxy Internet.A TCP-TLS connection performs the best, but it doesn’t support internet proxy. Se il punto di connessione del gateway di gestione cloud non può connettersi tramite TCP-TLS, torna a HTTPS2.If the CMG connection point can’t connect via TCP-TLS, then it falls back to HTTPS2.

2 Se il punto di connessione del gateway di gestione cloud non può connettersi a gateway tramite TCP-TLS1, si connette al bilanciamento del carico di rete di Azure su HTTPS 443 per una sola istanza di macchina virtuale.2 If the CMG connection point can’t connect to the CMG via TCP-TLS1, it connects to the Azure network load balancer over HTTPS 443 only for one VM instance.

3 Se sono presenti due o più istanze di macchina virtuale, il punto di connessione del gateway di gestione cloud usa HTTPS 10124 per la prima istanza di macchina virtuale, non HTTPS 443.3 If there are two or more VM instances, the CMG connection point uses HTTPS 10124 to the first VM instance, not HTTPS 443. Si connette alla seconda istanza di macchina virtuale su HTTPS 10125, fino alla sedicesima sulla porta HTTPS 10139.It connects to the second VM instance on HTTPS 10125, up to the 16th on HTTPS port 10139.

Requisiti per l'accesso a InternetInternet access requirements

Se l'organizzazione limita le comunicazioni della rete con Internet tramite un firewall o un dispositivo proxy, è necessario consentire al punto di connessione del Cloud Management Gateway e al punto di connessione del servizio di accedere agli endpoint Internet.If your organization restricts network communication with the internet using a firewall or proxy device, you need to allow CMG connection point and service connection point to access internet endpoints.

Per altre informazioni, vedere i requisiti di accesso Internet.For more information, see Internet access requirements.

Passaggi successiviNext steps