Konfigurowanie listy kontrolnej dla usługi CMG

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Przed wdrożeniem bramy zarządzania chmurą użyj tego artykułu, aby zrozumieć proces konfiguracji. Upewnij się również, że masz wszystkie wymagania wstępne gotowe do rozpoczęcia pracy.

Najpierw opracuj swój projekt i plan wdrożenia cmg w środowisku. Aby uzyskać więcej informacji, zobacz Planowanie bramy zarządzania chmurą. Użyj tej sekcji artykułów, aby określić projekt cmg.

Ogólny proces konfiguracji cmg jest podzielony na następujące pięć głównych części:

  1. Pobierz certyfikat uwierzytelniania serwera CMG: usługa CMG używa protokołu HTTPS do bezpiecznej komunikacji z klientem za pośrednictwem publicznego Internetu. Certyfikat można uzyskać od dostawcy publicznego lub wystawić go z infrastruktury kluczy publicznych (PKI).

  2. Skonfiguruj identyfikator Microsoft Entra: Configuration Manager wymaga rejestracji aplikacji w identyfikatorze Microsoft Entra. Możesz zezwolić Configuration Manager ich utworzenia lub administrator platformy Azure może wstępnie utworzyć rejestracje.

  3. Konfigurowanie uwierzytelniania klienta: ponieważ klienci komunikują się przez Internet, Configuration Manager wymaga więcej zabezpieczeń dla tego kanału. Możesz użyć identyfikatora Microsoft Entra, certyfikatów PKI lub uwierzytelniania opartego na tokenach z serwera lokacji.

  4. Konfigurowanie cmg: ten krok obejmuje również konfigurowanie lokacji i dodawanie roli systemu lokacji punktu połączenia cmg.

  5. Skonfiguruj klientów do korzystania z usługi CMG.

Inne artykuły w tej sekcji przechodzą przez poszczególne części procesu.

Terminologia

Poniższe terminy są używane w kontekście konfigurowania cmg. Są one zdefiniowane tutaj dla jasności.

  • Microsoft Entra dzierżawy identyfikatora: katalog kont użytkowników i rejestracji aplikacji. Jedna dzierżawa może mieć wiele subskrypcji.

  • Subskrypcja platformy Azure: subskrypcja oddziela rozliczenia, zasoby i usługi. Jest ona skojarzona z jedną dzierżawą.

    Porada

    Aby uzyskać więcej informacji , zobacz Subskrypcje, licencje, konta i dzierżawy dla ofert firmy Microsoft w chmurze.

  • Grupa zasobów platformy Azure: kontener, który przechowuje powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów zawiera te zasoby, które chcesz zarządzać jako grupa. Decydujesz, które zasoby należą do grupy zasobów w zależności od tego, co jest najbardziej zrozumiałe dla Twojej organizacji. Aby uzyskać więcej informacji, zobacz Grupy zasobów.

  • Nazwa usługi CMG: nazwa pospolita (CN) certyfikatu uwierzytelniania serwera CMG. Klienci i rola systemu lokacji punktu połączenia cmg komunikują się z tą nazwą usługi. Na przykład GraniteFalls.Contoso.Com lub GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nazwa wdrożenia cmg: pierwsza część nazwy usługi oraz lokalizacja platformy Azure dla wdrożenia usługi w chmurze. Składnik menedżera usług w chmurze punktu połączenia z usługą używa tej nazwy podczas wdrażania usługi CMG na platformie Azure. Nazwa wdrożenia jest zawsze w domenie platformy Azure. Lokalizacja platformy Azure zależy od metody wdrażania, na przykład:

    • Zestaw skalowania maszyn wirtualnych: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Wdrożenie klasyczne: GraniteFalls.CloudApp.Net

Lista kontrolna

Użyj poniższej listy kontrolnej, aby upewnić się, że masz niezbędne informacje i wymagania wstępne do utworzenia cmg:

  • Środowisko platformy Azure do użycia. Na przykład chmura publiczna platformy Azure lub chmura azure us government.

  • Region platformy Azure dla tego wdrożenia cmg.

  • Ile wystąpień maszyn wirtualnych jest potrzebnych do skalowania i nadmiarowości.

  • Deweloper aplikacji platformy Azure, administrator aplikacji w chmurze, administrator aplikacji lub administrator globalny do rejestrowania aplikacji w Microsoft Entra identyfikatorze.

  • Rola właściciela subskrypcji platformy Azure dla podczas tworzenia usługi CMG na platformie Azure.

  • Co najmniej jeden istniejący serwer systemu lokacji, na którym planujesz dodać rolę punktu połączenia cmg .

  • Przejrzyj wymagania dotyczące dostępu do Internetu , aby upewnić się, że można osiągnąć wszystkie wymagane usługi.

  • Włącz tę opcjonalną funkcję.

Podczas kolejnych kroków procesu skonfigurujesz inne składniki wymagań wstępnych.

Automatyzowanie przy użyciu programu PowerShell

Opcjonalnie możesz zautomatyzować aspekty konfiguracji cmg przy użyciu programu PowerShell. Chociaż niektóre polecenia cmdlet były dostępne we wcześniejszych wersjach, wersja 2010 zawiera nowe polecenia cmdlet i znaczne ulepszenia istniejących poleceń cmdlet.

Na przykład administrator platformy Azure najpierw tworzy dwie wymagane aplikacje w Microsoft Entra identyfikatorze. Następnie piszesz skrypt, który używa następujących poleceń cmdlet do wdrożenia cmg:

  1. Import-CMAADServerApplication: utwórz definicję aplikacji serwera Microsoft Entra w Configuration Manager.
  2. Import-CMAADClientApplication: utwórz definicję aplikacji klienta Microsoft Entra w Configuration Manager.
  3. Użyj polecenia Get-CMAADApplication, aby pobrać obiekty aplikacji, a następnie przejdź do polecenia New-CMCloudManagementAzureService, aby utworzyć połączenie usługi platformy Azure w Configuration Manager.
  4. New-CMCloudManagementGateway: Tworzenie usługi CMG na platformie Azure.
  5. Add-CMCloudManagementGatewayConnectionPoint: Utwórz system lokacji punktu połączenia CMG.

Te polecenia cmdlet umożliwiają automatyzację tworzenia, konfigurowania i zarządzania usługą CMG oraz wymaganiami Microsoft Entra.

Microsoft Entra definicje aplikacji w Configuration Manager:

Usługa Cloud Management Azure w Configuration Manager:

Usługa bramy zarządzania chmurą w Configuration Manager:

Rola systemu lokacji punktu połączenia cmg:

Następne kroki

Rozpocznij pracę z konfiguracją programu CMG, pobierając certyfikat uwierzytelniania serwera:

Certyfikat uwierzytelniania serwera CMG