Skonfiguruj bramę zarządzania chmurą dla Configuration ManagerSet up cloud management gateway for Configuration Manager

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Po spełnieniu wymagań wstępnych można uruchomić proces, aby skonfigurować bramę zarządzania chmurą (CMG).Once you have the prerequisites in place, you can start the process to set up a cloud management gateway (CMG). Przed rozpoczęciem tego procesu upewnij się, że masz niezbędne informacje i wymagania wstępne dotyczące tworzenia CMG.Before you start this process, make sure you have the necessary information and prerequisites to create a CMG. Aby uzyskać więcej informacji, zobacz Konfigurowanie listy kontrolnej dla bramy zarządzania chmurą.For more information, see Set up checklist for cloud management gateway.

Ten krok ogólnego procesu obejmuje następujące akcje:This step of the overall process includes the following actions:

  • Za pomocą konsoli Configuration Manager Utwórz usługę CMG na platformie Azure.Use the Configuration Manager console to create the CMG service in Azure.
  • Skonfiguruj lokację główną do uwierzytelniania za pomocą certyfikatu klienta.Configure the primary site for client certificate authentication.
  • Dodaj rolę systemu lokacji punktu połączenia CMG.Add the CMG connection point site system role.
  • Skonfiguruj punkt zarządzania i punkt aktualizacji oprogramowania dla ruchu CMG.Configure the management point and software update point for CMG traffic.
  • Skonfiguruj grupy granic.Configure boundary groups.

Uwaga

Niektóre sekcje, które wcześniej znajdowały się w tym artykule, zostały przeniesione:Some sections that were previously in this article have moved:

Konfigurowanie CMGSet up a CMG

Uwaga

Configuration Manager domyślnie nie włącza tej funkcji opcjonalnej.Configuration Manager doesn't enable this optional feature by default. Aby móc kontynuować, musisz włączyć tę funkcję.Before you can continue, you have to enable this feature. Aby uzyskać więcej informacji, zobacz Enable optional features from updates.For more information, see Enable optional features from updates.

Wykonaj tę procedurę w lokacji najwyższego poziomu.Do this procedure on the top-level site. Ta lokacja jest autonomiczną lokacją główną lub centralną lokacją administracyjną.That site is either a standalone primary site, or the central administration site.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł Cloud Servicesi wybierz pozycję brama zarządzania chmurą.In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select Cloud Management Gateway.

  2. Na wstążce wybierz pozycję utwórz Brama zarządzania chmurą .Select Create Cloud Management Gateway in the ribbon.

  3. Na stronie Ogólne kreatora wybierz pozycję Zaloguj.On the General page of the wizard, select Sign in. Uwierzytelnij się przy użyciu konta właściciela subskrypcji platformy Azure.Authenticate with an Azure Subscription Owner account. Kreator automatycznie wypełnia pozostałe pola z informacji przechowywanych w ramach wymagań wstępnych integracji usługi Azure AD.The wizard automatically populates the remaining fields from the information stored during the Azure AD integration prerequisite. Jeśli masz wiele subskrypcji, wybierz Identyfikator subskrypcji , której chcesz użyć.If you own multiple subscriptions, select the Subscription ID of the subscription you want to use.

  4. Określ środowisko platformy Azure dla tego CMG:Specify the Azure environment for this CMG:

    • AzurePublicCloud: Utwórz usługę w globalnej chmurze platformy Azure.AzurePublicCloud: Create the service in the global Azure cloud.
    • AzureUSGovernmentCloud: Utwórz usługę w chmurze platformy Azure dla instytucji rządowych USA.AzureUSGovernmentCloud: Create the service in the Azure US Government cloud.

    Wybierz pozycję daleji poczekaj, aż lokacja przetestuje połączenie z platformą Azure.Select Next, and wait as the site tests the connection to Azure.

  5. Na stronie Ustawienia kreatora najpierw Przejdź do. Plik PFX dla certyfikatu uwierzytelniania serwera CMG.On the Settings page of the wizard, first Browse to the .PFX file for the CMG server authentication certificate. Nazwa pospolita z tego certyfikatu jest używana do wypełniania pól nazwa usługi i nazwa wdrożenia .The common name from this certificate is used to populate the Service name and Deployment name fields.

    Jeśli używasz certyfikatu wieloznacznego, Zastąp gwiazdkę ( * ) w polu nazwa usługi nazwą globalnego prefiksu nazwy wdrożenia CMG.If you use a wildcard certificate, replace the asterisk (*) in the Service name field with the globally unique deployment name prefix for your CMG.

    1. Opcjonalnie można określić Opis , aby dodatkowo zidentyfikować ten CMG w konsoli Configuration Manager.Optionally specify a Description to further identify this CMG in the Configuration Manager console.

    2. Wybierz region platformy Azure dla tego CMG.Select an Azure Region for this CMG. Lista dostępnych regionów może się różnić w zależności od wybranej subskrypcji.The list of available regions may vary based on the selected subscription.

    3. Wybierz opcję grupy zasobów :Select a Resource Group option:

      • Jeśli wybierzesz opcję Użyj istniejącej, wybierz istniejącą grupę zasobów z listy.If you choose Use existing, then select an existing resource group from the list. Ta grupa zasobów musi już istnieć w tym samym regionie wybranym dla CMG.This resource group needs to already exist in the same region you selected for the CMG. W przypadku wybrania istniejącej grupy zasobów, która znajduje się w innym regionie niż poprzednio wybrany region, CMG nie zostanie wdrożona.If you select an existing resource group, and it's in a different region than the previously selected region, the CMG will fail to deploy.

      • Jeśli wybierzesz pozycję Utwórz nowy, a następnie wprowadź nazwę nowej grupy zasobów.If you choose Create new, then enter the new resource group name.

    4. W polu wystąpienie maszyny wirtualnej wprowadź liczbę maszyn wirtualnych dla tej usługi.In the VM Instance field, enter the number of VMs for this service. Wartość domyślna to jeden, ale można skalować maksymalnie 16 maszyn wirtualnych na CMG.The default is one, but you can scale up to 16 VMs per CMG.

    5. Jeśli używasz certyfikatów uwierzytelniania klienta, wybierz pozycję Certyfikaty , aby dodać zaufane certyfikaty główne.If you're using client authentication certificates, select Certificates to add trusted root certificates. Dodaj wszystkie certyfikaty w łańcuchu zaufania.Add all of the certificates in the trust chain.

      Uwaga

      Zaufany certyfikat główny nie jest wymagany w przypadku korzystania z Azure Active Directory (Azure AD) lub tokenów wystawionych przez lokację na potrzeby uwierzytelniania klientów.A trusted root certificate isn't required when using Azure Active Directory (Azure AD) or site-issued tokens for client authentication.

    6. Domyślnie Kreator włącza opcję weryfikacji odwołania certyfikatu klienta.By default, the wizard enables the option to Verify Client Certificate Revocation. Lista odwołania certyfikatów (CRL) musi być opublikowana publicznie na potrzeby tej weryfikacji.A certificate revocation list (CRL) must be publicly published for this verification to work. Aby uzyskać więcej informacji, zobacz Publikowanie listy odwołania certyfikatów.For more information, see Publish the certificate revocation list.

    7. Wymuś protokół TLS 1,2: Włącz tę opcję, aby wymagać, aby maszyna wirtualna usługi w chmurze Azure korzystała z protokołu szyfrowania TLS 1,2.Enforce TLS 1.2: Enable this option to require the Azure cloud service VM to use the TLS 1.2 encryption protocol. Nie dotyczy żadnych lokalnych serwerów lokacji lub klientów Configuration Manager.It doesn't apply to any on-premises Configuration Manager site servers or clients. Aby uzyskać więcej informacji na temat protokołu TLS 1,2, zobacz How to enable tls 1,2.For more information on TLS 1.2, see How to enable TLS 1.2.

    8. Domyślnie Kreator włącza opcję zezwalania funkcji CMG jako punktu dystrybucji w chmurze i obsłużyć zawartość z usługi Azure Storage.By default, the wizard enables the option to Allow CMG to function as a cloud distribution point and serve content from Azure storage. CMG może również udostępniać zawartość klientom.A CMG can also serve content to clients. Ta funkcja ogranicza wymagane certyfikaty i koszt maszyn wirtualnych platformy Azure.This functionality reduces the required certificates and cost of Azure VMs. Po włączeniu tej opcji nie trzeba również wdrażać punktu dystrybucji w chmurze.When you enable this option, you don't need to also deploy a cloud distribution point.

  6. Następnie jest stroną alerty kreatora.Next is the Alerts page of the wizard. Aby monitorować ruch CMG z 14-dniowym progiem, Włącz alert progu.To monitor CMG traffic with a 14-day threshold, enable the threshold alert. Następnie określ próg i wartość procentową, przy której mają zostać zgłoszone różne poziomy alertów.Then specify the threshold, and the percentage at which to raise the different alert levels. Po zakończeniu wybierz pozycję dalej .Choose Next when you're done.

  7. Przejrzyj ustawienia i Ukończ pracę kreatora.Review the settings, and complete the wizard.

Configuration Manager rozpoczęcie konfigurowania usługi.Configuration Manager starts to set up the service. Po zamknięciu kreatora trwa od 5 do 15 minut, aby całkowicie zainicjować obsługę administracyjną usługi na platformie Azure.After you close the wizard, it takes 5 to 15 minutes to completely provision the service in Azure. Aby określić, kiedy usługa jest gotowa, Wyświetl kolumnę stan dla nowego CMG.To determine when the service is ready, view the Status column for the new CMG.

Uwaga

Aby rozwiązać problemy z wdrożeniami CMG, użyj plik CloudMgr. log i CMGSetup. log.To troubleshoot CMG deployments, use CloudMgr.log and CMGSetup.log. Aby uzyskać więcej informacji, zobacz pliki dziennika.For more information, see Log files.

Skonfiguruj lokację główną do uwierzytelniania certyfikatu klientaConfigure primary site for client certificate authentication

Jeśli używasz certyfikatów uwierzytelniania klienta do uwierzytelniania za pomocą CMG, wykonaj poniższą procedurę, aby skonfigurować każdą lokację główną.If you're using client authentication certificates for clients to authenticate with the CMG, follow this procedure to configure each primary site.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł Konfiguracja lokacji, a następnie wybierz pozycję Lokacje.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select Sites.

  2. Wybierz lokację główną, do której są przypisani klienci internetowi, a następnie wybierz pozycję Właściwości.Select the primary site to which your internet-based clients are assigned, and choose Properties.

  3. Przejdź do karty zabezpieczenia komunikacji , a następnie wybierz opcję Użyj certyfikatu klienta PKI (uwierzytelnianie klienta), jeśli jest dostępny.Switch to the Communication Security tab, and select Use PKI client certificate (client authentication) when available.

  4. Jeśli nie opublikujesz listy CRL, wyłącz następującą opcję: klienci sprawdzają listę odwołania certyfikatów (CRL) dla systemów lokacjiprogramu.If you don't publish a CRL, disable the following option: Clients check the certificate revocation list (CRL) for site systems.

Dodawanie punktu połączenia CMGAdd the CMG connection point

Punkt połączenia CMG to rola systemu lokacji służąca do komunikacji z CMG.The CMG connection point is the site system role for communicating with the CMG. Aby dodać punkt połączenia CMG, postępuj zgodnie z ogólnymi instrukcjami dotyczącymi instalowania ról systemu lokacji.To add the CMG connection point, follow the general instructions to install site system roles. Na stronie Wybór roli systemu w Kreatorze dodawania roli systemu lokacji wybierz pozycję punkt połączenia bramy zarządzania chmurą.On the System Role Selection page of the Add Site System Role Wizard, select Cloud management gateway connection point. Następnie wybierz nazwę bramy zarządzania chmurą , z którą łączy się ten serwer.Then select the Cloud management gateway name to which this server connects. Kreator pokazuje region dla wybranej CMG.The wizard shows the region for the selected CMG.

Ważne

Jeśli używasz certyfikatów uwierzytelniania klienta, punkt połączenia usługi CMG potrzebuje tego certyfikatu.If you're using client authentication certificates, the CMG connection point needs this certificate. Aby uzyskać więcej informacji, zobacz certyfikat uwierzytelniania klienta.For more information, see client authentication certificate.

Aby rozwiązać problem z usługą CMG Service Health, użyj CMGService. log i SMS_Cloud_ProxyConnector. log.To troubleshoot CMG service health, use CMGService.log and SMS_Cloud_ProxyConnector.log. Aby uzyskać więcej informacji, zobacz pliki dziennika.For more information, see Log files.

Konfigurowanie ról związanych z klientem dla ruchu CMGConfigure client-facing roles for CMG traffic

Skonfiguruj punkt zarządzania i systemy lokacji punktu aktualizacji oprogramowania w celu akceptowania ruchu CMG.Configure the management point and software update point site systems to accept CMG traffic. Wykonaj tę procedurę w lokacji głównej dla wszystkich punktów zarządzania i punktów aktualizacji oprogramowania, które obsługują klientów internetowych.Do this procedure on the primary site, for all management points and software update points that service internet-based clients.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł Konfiguracja lokacji, a następnie wybierz węzeł serwery i role systemu lokacji .In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Servers and Site System Roles node. Na karcie Narzędzia główne wstążki w grupie Widok wybierz pozycję serwery z rolą.On the Home tab of the ribbon, in the View group, select Servers with Role. Następnie z listy wybierz pozycję punkt zarządzania .Then select Management point from the list.

  2. Wybierz serwer systemu lokacji, który chcesz skonfigurować dla ruchu CMG.Select the site system server you want to configure for CMG traffic. Wybierz rolę punkt zarządzania w okienku szczegółów, a następnie w grupie rola lokacji wstążki wybierz pozycję Właściwości.Select the Management point role in the details pane, and then in the Site Role group of the ribbon, select Properties.

  3. W arkuszu właściwości punktu zarządzania w obszarze połączenia klientów wybierz opcję Zezwalaj na Configuration Manager ruch bramy zarządzania chmurą.In the Management point properties sheet, under Client Connections select Allow Configuration Manager cloud management gateway traffic.

    W zależności od projektu CMG i wersji Configuration Manager może być konieczne włączenie opcji https .Depending upon your CMG design and Configuration Manager version, you may need to enable the HTTPS option. Aby uzyskać więcej informacji, zobacz Włączanie punktu zarządzania dla protokołu HTTPS.For more information, see Enable management point for HTTPS.

  4. Wybierz przycisk OK , aby zamknąć okno właściwości punktu zarządzania.Select OK to close the management point properties window.

Powtórz te kroki w razie potrzeby w przypadku dodatkowych punktów zarządzania, a także dla wszystkich punktów aktualizacji oprogramowania.Repeat these steps for additional management points as needed, and for any software update points.

Konfigurowanie grup granicConfigure boundary groups

Można skojarzyć CMG z grupą granic.You can associate a CMG with a boundary group. Ta konfiguracja umożliwia klientom korzystanie z CMG do komunikacji z klientem zgodnie z relacjami grup granic.This configuration allows clients to use the CMG for client communication according to boundary group relationships. Ta konfiguracja jest korzystna dla klientów sieci VPN lub biur oddziałów, w których lepszym rozwiązaniem jest zarządzanie nimi za pośrednictwem CMG niż za pośrednictwem połączenia sieci VPN lub WAN.This configuration is beneficial for VPN or branch office clients where it might be better to manage them via a CMG than over the VPN or WAN connection.

Aby uzyskać więcej informacji na temat grup granic, zobacz Konfigurowanie grup granic.For more information on boundary groups, see Configure boundary groups.

Podczas tworzenia lub konfigurowania grupy granic, na karcie odwołania Dodaj bramę zarządzania chmurą.When you create or configure a boundary group, on the References tab, add a cloud management gateway. Ta akcja kojarzy CMG z tą grupą granic.This action associates the CMG with this boundary group.

Następne krokiNext steps

Kontynuuj instalację usługi CMG, konfigurując klientów dla usługi CMG:Continue your CMG setup by configuring clients for CMG: