De CMG in Configuration Manager plannen
Van toepassing op: Configuration Manager (current branch)
Om het beheer van op internet gebaseerde clients te vereenvoudigen, moet u eerst een plan ontwikkelen voor de cloudbeheergateway (CMG). Ontwerp hoe het in uw omgeving past en bereid u voor op uw implementatie.
Zie Overzicht van CMG voor meer basiskennis van CMG-scenario's en use cases.
Opmerking
Sommige secties die eerder in dit artikel stonden, zijn verplaatst:
- Hiërarchieontwerp: CMG-hiërarchieontwerp
- Prestaties en schaal: CMG-prestaties en -schaal
Controlelijst voor planning
Het algemene CMG-planningsproces is onderverdeeld in de volgende onderdelen:
Onderdelen en vereisten: dit artikel bevat een overzicht van de onderdelen waaruit het CMG-systeem bestaat. Ook worden de systeemvereisten vermeld.
Clientverificatie: bepaal welke verificatiemethode u wilt gebruiken voor clients van mogelijk niet-vertrouwde netwerken.
Hiërarchieontwerp: plan waar u de CMG in uw omgeving wilt plaatsen.
Ondersteunde configuraties: inzicht in welke Configuration Manager functies u kunt ondersteunen op internetclients die verbinding maken met de CMG.
Prestaties en schaal: bepaal hoeveel serviceonderdelen u nodig hebt om uw aantal clients het beste te ondersteunen.
Kosten: inzicht in de kosten van de op Azure gebaseerde onderdelen.
CMG-onderdelen
De implementatie en werking van de CMG omvat de volgende onderdelen:
De CMG-cloudservice in Azure verifieert en stuurt Configuration Manager clientaanvragen via internet door naar het on-premises CMG-verbindingspunt.
De sitesysteemrol CMG-verbindingspunt maakt een consistente en hoogwaardige verbinding van het on-premises netwerk naar de CMG-service in Azure mogelijk. Het publiceert ook instellingen naar de CMG, inclusief verbindingsgegevens en beveiligingsinstellingen. Het CMG-verbindingspunt stuurt clientaanvragen van de CMG door naar on-premises rollen op basis van URL-toewijzingen. Bijvoorbeeld het beheerpunt en het software-updatepunt.
De sitesysteemrol van het serviceverbindingspunt voert het cloudservicebeheeronderdeel uit, dat alle CMG-implementatietaken afhandelt. Daarnaast wordt de servicestatus en logboekregistratiegegevens van Microsoft Entra id bewaakt en gerapporteerd. Zorg ervoor dat uw serviceverbindingspunt zich in de onlinemodus bevindt.
Het beheerpunt en de sitesysteemrollen van het software-updatepunt serviceclientaanvragen per normaal.
De CMG maakt gebruik van een https-webservice op basis van certificaten om netwerkcommunicatie met clients te beveiligen.
Internetclients maken verbinding met de CMG voor toegang tot on-premises Configuration Manager onderdelen. Er zijn meerdere opties voor clientidentiteit en verificatie:
- Microsoft Entra ID
- PKI-certificaten
- Configuration Manager door de site uitgegeven tokens
Zie Cmg-clientverificatie plannen voor meer informatie.
De CMG maakt een Azure-opslagaccount dat wordt gebruikt voor de standaardbewerkingen. De CMG is standaard ook ingeschakeld voor inhoud om implementatie-inhoud te bieden aan internetclients. Dit opslagaccount biedt geen ondersteuning voor aanpassingen, zoals beperkingen voor virtuele netwerken.
Opmerking
Het clouddistributiepunt (CDP) is afgeschaft. Vanaf versie 2107 kunt u geen nieuwe CDP-exemplaren maken. Als u inhoud wilt leveren aan internetapparaten, schakelt u de CMG in om inhoud te distribueren.
Azure Resource Manager
U maakt de CMG met behulp van een Azure Resource Manager-implementatie. Azure Resource Manager is een modern platform voor het beheren van alle oplossingsresources als één entiteit, een resourcegroep genoemd. Wanneer u een CMG implementeert met Azure Resource Manager, gebruikt de site Microsoft Entra id om de benodigde cloudresources te verifiëren en te maken.
Belangrijk
Vanaf versie 2203 wordt de optie voor het implementeren van een CMG als cloudservice (klassiek) verwijderd. Alle CMG-implementaties moeten gebruikmaken van een virtuele-machineschaalset. Zie Verwijderde en afgeschafte functies voor meer informatie.
Virtuele-machineschaalsets
Opmerking
Deze functie is voor het eerst geïntroduceerd in versie 2010 als een prereleasefunctie. Vanaf versie 2107 is het geen pre-releasefunctie meer.
Configuration Manager schakelt deze optionele functie niet standaard in. U moet deze functie inschakelen voordat u deze kunt gebruiken. Zie Optionele functies van updates inschakelen voor meer informatie.
Vanaf versie 2010 kunnen klanten met een CSP-abonnement (Cloud Solution Provider) de CMG implementeren met een virtuele-machineschaalset in Azure. Deze ondersteuning is alleen als er momenteel geen CMG is geïmplementeerd met behulp van klassieke cloudservices naar een ander abonnement.
Vanaf versie 2107 kunnen alle klanten een CMG implementeren met een virtuele-machineschaalset. Als u een bestaande CMG hebt geïmplementeerd met de klassieke cloudservice, converteert u de CMG om een virtuele-machineschaalset te gebruiken.
Op enkele uitzonderingen na, blijven de configuratie, werking en functionaliteit van de CMG hetzelfde.
Andere Azure-resourceproviders in uw Azure-abonnement.
Verschillende implementatienamen, bijvoorbeeld GraniteFalls.EastUS.CloudApp.Azure.Com voor een implementatie in de Azure-regio VS - oost . Deze naamwijziging kan van invloed zijn op hoe u het CMG-serververificatiecertificaat maakt en beheert.
Het CMG-verbindingspunt communiceert alleen met de virtuele-machineschaalset in Azure via HTTPS. Hiervoor zijn geen TCP-TLS-poorten vereist.
Beperkingen voor een CMG met een virtuele-machineschaalset
Beperkingen met versies 2107 en hoger
Opmerking
Vanaf versie 2111 ondersteunen CMG-implementaties met een virtuele-machineschaalset Azure-cloudomgevingen van de Amerikaanse overheid.
- Gebruikers kunnen een vertraging van maximaal drie seconden ervaren voor acties in Software Center.
- U kunt toepassingsaanvragen niet goedkeuren/weigeren via de CMG.
- Versie 2107 biedt geen ondersteuning voor Azure-cloudomgevingen van de Amerikaanse overheid.
Beperkingen met versies 2010 en 2103
- Als u meer dan één CMG-exemplaar nodig hebt, moeten ze allemaal dezelfde implementatiemethode gebruiken.
- Het ondersteunde aantal gelijktijdige clientverbindingen is 2000 per VM-exemplaar. Zie CMG-prestaties en -schaal voor meer informatie.
- Dit wordt alleen ondersteund met een zelfstandige primaire site.
- Het biedt geen ondersteuning voor cloudomgevingen van Azure US Government.
- Gebruikers kunnen een vertraging van maximaal drie seconden ervaren voor acties in Software Center.
- Configuration Manager maakt momenteel de Azure-opslagcontainer op basis van de naam van de resourcegroep. Azure heeft verschillende naamgevingsvereisten voor resourcegroepen en opslagcontainers. Zorg ervoor dat de naam van de resourcegroep voor deze service alleen kleine letters, cijfers en afbreekstreepjes bevat. Als u een bestaande resourcegroep hebt die niet werkt, wijzigt u deze in de Azure Portal of maakt u een nieuwe resourcegroep.
- Als u meer dan één HTTPS-beheerpunt hebt, kunt u de Configuration Manager-client niet installeren op apparaten via internet. Als u off-premises clients wilt installeren met behulp van een CMG, kunt u slechts één HTTPS-beheerpunt hebben. U moet ook de CMG voor inhoud inschakelen.
- U kunt toepassingsaanvragen niet goedkeuren/weigeren via de CMG.
Vereisten
Tip
Ter verduidelijking van enkele Azure-terminologie:
- De tenant Microsoft Entra-id is de map met gebruikersaccounts en app-registraties. Eén tenant kan meerdere abonnementen hebben.
- Een Azure-abonnement scheidt facturering, resources en services. Deze is gekoppeld aan één tenant.
Zie Abonnementen, licenties, accounts en tenants voor de cloudaanbiedingen van Microsoft voor meer informatie.
Een Azure-abonnement voor het hosten van de CMG. Dit abonnement kan zich in een van de volgende omgevingen bevinden:
- Wereldwijde Azure-cloud
- Azure US Government-cloud
Klanten met een CSP-abonnement (Cloud Service Provider) moeten versie 2010 of hoger gebruiken met een implementatie van een virtuele-machineschaalset .
Integreer de site met Microsoft Entra-id om de service te implementeren met Azure Resource Manager. Zie Microsoft Entra-id configureren voor CMG voor meer informatie.
Wanneer u de site onboardt naar Microsoft Entra-id, kunt u optioneel Microsoft Entra gebruikersdetectie inschakelen. Het is niet vereist om de CMG te maken, maar vereist als u van plan bent Microsoft Entra verificatie te gebruiken met hybride identiteiten. Zie Clients installeren met Microsoft Entra-id en Over Microsoft Entra gebruikersdetectie voor meer informatie.
Een Azure-beheerder moet deelnemen aan het maken van bepaalde onderdelen. Deze persona kan hetzelfde zijn als de Configuration Manager beheerder of afzonderlijk. Als ze zijn gescheiden, hebben ze geen machtigingen nodig in Configuration Manager.
Wanneer u de site integreert met Microsoft Entra-id voor het implementeren van de CMG met behulp van Azure Resource Manager, hebt u een globale beheerder nodig.
Wanneer u de CMG maakt, hebt u een account nodig dat een Azure-abonnementseigenaar en een globale beheerder van de Microsoft Entra-id is.
Uw gebruikersaccount moet een volledige beheerder of infrastructuurbeheerder zijn in Configuration Manager.
Ten minste één on-premises Windows-server voor het hosten van het CMG-verbindingspunt. U kunt deze rol koppelen aan andere Configuration Manager sitesysteemrollen.
Het serviceverbindingspunt moet zich in de onlinemodus bevinden.
Configureer het beheerpunt om verkeer van de CMG toe te staan. Er moet ook HTTPS worden vereist of de site worden geconfigureerd voor Verbeterde HTTP.
Een serververificatiecertificaat voor de CMG.
CMG-namen moeten tussen 3 en 24 alfanumerieke tekens bevatten. De naam moet beginnen met een letter, eindigen op een letter of cijfer en mag geen opeenvolgende afbreekstreepjes bevatten.
Er zijn mogelijk andere certificaten vereist, afhankelijk van de versie van het client-besturingssysteem en het verificatiemodel. Zie Clientverificatie configureren voor meer informatie.
Clients moeten IPv4 gebruiken.
Zorg ervoor dat de volgende clientinstellingen in de groep Cloudservices zijn ingeschakeld voor apparaten die gebruikmaken van de CMG:
- Clients in staat stellen een cloudbeheergateway te gebruiken
- Toegang tot clouddistributiepunt toestaan
Opmerking
Als u de clientinstelling Delta-inhoud downloaden inschakelt indien beschikbaar, wordt de inhoud voor updates van derden niet gedownload naar clients.
Volgende stappen
Bepaal vervolgens hoe clients worden geverifieerd met de CMG:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor