Certificados para o gateway de gerenciamento de nuvemCertificates for the cloud management gateway

Aplica-se a: System Center Configuration Manager (Branch Atual)Applies to: System Center Configuration Manager (Current Branch)

Dependendo do cenário usado para gerenciar clientes na Internet com o CMG (gateway de gerenciamento de nuvem), você precisa de um ou mais dos seguintes certificados digitais:Depending upon the scenario you use to manage clients on the internet with the cloud management gateway (CMG), you need one or more of the following digital certificates:

Para obter mais informações sobre os diferentes cenários, consulte Planejar o gateway de gerenciamento de nuvem.For more information about the different scenarios, see plan for cloud management gateway.

Informações geraisGeneral information

Certificados para o Gateway de Gerenciamento de Nuvem têm suporte para as seguintes configurações:Certificates for the cloud management gateway support the following configurations:

  • Comprimento de chave de 2048 ou 4096 bits2048-bit or 4096-bit key length

  • Provedores de armazenamento de chaves para chaves privadas do certificado.Key storage providers for certificate private keys. Para obter mais informações, consulte Visão geral dos certificados CNG.For more information, see CNG certificates overview.

  • Quando você configura o Windows com a seguinte política: Criptografia do sistema: use algoritmos em conformidade com FIPS para criptografia, hash e assinaturaWhen you configure Windows with the following policy: System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing

  • TLS 1.2.TLS 1.2. Para saber mais, confira Como habilitar o TLS 1.2.For more information, see How to enable TLS 1.2.

Certificado de autenticação de servidor do CMGCMG server authentication certificate

Este certificado é obrigatório em todos os cenários.This certificate is required in all scenarios.

Você fornece esse certificado ao criar o CMG no console do Configuration Manager.You supply this certificate when creating the CMG in the Configuration Manager console.

O CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se conectam.The CMG creates an HTTPS service to which internet-based clients connect. O servidor exige um certificado de autenticação de servidor para criar o canal de segurança.The server requires a server authentication certificate to build the secure channel. Adquira um certificado para essa finalidade de um provedor público ou emita-o por meio da PKI (infraestrutura de chave pública).Acquire a certificate for this purpose from a public provider, or issue it from your public key infrastructure (PKI). Para obter mais informações, consulte Certificado raiz confiável do CMG para clientes.For more information, see CMG trusted root certificate to clients.

Observação

O certificado de autenticação de servidor do CMG aceita caracteres curinga.The CMG server authentication certificate supports wildcards. Algumas autoridades de certificação emitem certificados usando um caractere curinga para o nome do host.Some certificate authorities issue certificates using a wildcard character for the hostname. Por exemplo, *.contoso.com.For example, *.contoso.com. Algumas organizações usam certificados curinga para simplificar sua PKI e reduzir os custos de manutenção.Some organizations use wildcard certificates to simplify their PKI and reduce maintenance costs.

Para saber mais sobre como usar um certificado curinga com um CMG, consulte Configurar um CMG.For more information on how to use a wildcard certificate with a CMG, see Set up a CMG.

Esse certificado exige um nome exclusivo para identificar o serviço no Azure.This certificate requires a globally unique name to identify the service in Azure. Antes de solicitar um certificado, confirme se o nome de domínio do Azure desejado é exclusivo.Before requesting a certificate, confirm that the Azure domain name you want is unique. Por exemplo, GraniteFalls.CloudApp.Net.For example, GraniteFalls.CloudApp.Net.

  1. Entre no portal do Azure.Sign in to the Azure portal.

  2. Selecione Todos os recursos e Adicionar.Select All resources, and then select Add.

  3. Pesquise Serviço de nuvem.Search for Cloud service. Selecione Criar.Select Create.

  4. No campo Nome DNS, digite o prefixo desejado, por exemplo, GraniteFalls.In the DNS name field, type the prefix you want, for example GraniteFalls. A interface reflete se o nome de domínio está disponível ou se já está em uso por outro serviço.The interface reflects whether the domain name is available or already in use by another service.

    Importante

    Não crie o serviço no portal. Use esse processo apenas para verificar a disponibilidade do nome.Don't create the service in the portal, just use this process to check the name availability.

Se você também habilitar o CMG para o conteúdo, confirme se o nome do serviço CMG também é um nome de conta exclusivo de armazenamento do Azure.If you will also enable the CMG for content, confirm that the CMG service name is also a unique Azure storage account name. Se o nome do serviço de nuvem do CMG for exclusivo, mas o nome da conta de armazenamento não, o Configuration Manager não conseguirá provisionar o serviço no Azure.If the CMG cloud service name is unique, but the storage account name isn't, Configuration Manager fails to provision the service in Azure. Repita o processo acima no portal do Azure com as seguintes alterações:Repeat the above process in the Azure portal with the following changes:

  • Pesquise Conta de armazenamentoSearch for Storage account
  • Teste seu nome no campo Nome da conta de armazenamentoTest your name in the Storage account name field

O prefixo do nome DNS, por exemplo, GraniteFalls, deve ter de 3 a 24 caracteres e usar apenas caracteres alfanuméricos.The DNS name prefix, for example GraniteFalls, should be 3 to 24 characters long, and only use alphanumeric characters. Não use caracteres especiais, como um traço (-).Don't use special characters, like a dash (-).

Certificado raiz confiável do CMG para clientesCMG trusted root certificate to clients

Os clientes devem confiar no certificado de autenticação de servidor do CMG.Clients must trust the CMG server authentication certificate. Há dois métodos para estabelecer essa relação de confiança:There are two methods to accomplish this trust:

  • Use um certificado de um provedor de certificados público e globalmente confiável.Use a certificate from a public and globally trusted certificate provider. Por exemplo, DigiCert, Thawte ou VeriSign, entre outros.For example, but not limited to, DigiCert, Thawte, or VeriSign. Os clientes do Windows incluem ACs (autoridades de certificação) raiz confiáveis desses provedores.Windows clients include trusted root certificate authorities (CAs) from these providers. Usando um certificado de autenticação de servidor emitido por um desses provedores, os clientes automaticamente confiam nele.By using a server authentication certificate issued by one of these providers, your clients automatically trust it.

  • Use um certificado emitido por uma AC corporativa da PKI (infraestrutura de chave pública).Use a certificate issued by an enterprise CA from your public key infrastructure (PKI). A maioria das implementações de PKI corporativo adiciona autoridades de certificação raiz confiáveis aos clientes do Windows.Most enterprise PKI implementations add the trusted root CAs to Windows clients. Por exemplo, usando os Serviços de Certificados do Active Directory com a política de grupo.For example, using Active Directory Certificate Services with group policy. Se você emitir o certificado de autenticação de servidor do CMG de uma AC na qual os clientes não confiam automaticamente, adicione o certificado raiz confiável da AC aos clientes baseados na Internet.If you issue the CMG server authentication certificate from a CA that your clients don't automatically trust, add the CA trusted root certificate to internet-based clients.

Certificado de autenticação de servidor emitido por um provedor públicoServer authentication certificate issued by public provider

Um provedor de certificados de terceiros não pode criar um certificado para CloudApp.net, pois esse domínio pertence à Microsoft.A third-party certificate provider can't create a certificate for CloudApp.net, as that domain is owned by Microsoft. Você só pode obter um certificado emitido para um domínio de sua propriedade.You can only get a certificate issued for a domain you own. O principal motivo para adquirir um certificado de um provedor de terceiros é que os clientes já confiam no certificado raiz daquele provedor.The main reason for acquiring a certificate from a third-party provider is that your clients already trust that provider's root certificate.

Use o seguinte processo para criar um alias DNS:Use the following process to create a DNS alias:

  1. Crie um registro de nome canônico (CNAME) no DNS público de sua organização.Create a canonical name record (CNAME) in your organization's public DNS. Esse registro cria um alias para o CMG com um nome amigável que você usa no certificado público.This record creates an alias for the CMG to a friendly name that you use in the public certificate.

    Por exemplo, a Contoso nomeia seu CMG GraniteFalls.For example, Contoso names their CMG GraniteFalls. Esse nome vira GraniteFalls.CloudApp.Net no Azure.This name becomes GraniteFalls.CloudApp.Net in Azure. No namespace contoso.com do DNS público da Contoso, o administrador de DNS cria um novo registro CNAME para GraniteFalls.Contoso.com para o nome do host real GraniteFalls.CloudApp.net.In Contoso's public DNS contoso.com namespace, the DNS administrator creates a new CNAME record for GraniteFalls.Contoso.com for the real host name, GraniteFalls.CloudApp.net.

  2. Solicite um certificado de autenticação de servidor de um provedor público usando o CN (Nome Comum) do alias CNAME.Request a server authentication certificate from a public provider using the Common Name (CN) of the CNAME alias. Por exemplo, a Contoso usa GraniteFalls.Contoso.com para o CN do certificado.For example, Contoso uses GraniteFalls.Contoso.com for the certificate CN.

  3. Crie o CMG no console do Configuration Manager usando esse certificado.Create the CMG in the Configuration Manager console using this certificate. Na página Configurações do Assistente para Criação de Gateway de Gerenciamento de Nuvem:On the Settings page of the Create Cloud Management Gateway Wizard:

    • Quando você adiciona o certificado do servidor a esse serviço de nuvem (por meio do Arquivo de certificado), o assistente extrai o nome do host do CN do certificado como o nome do serviço.When you add the server certificate for this cloud service (from Certificate file), the wizard extracts the hostname from the certificate CN as the service name.

    • Em seguida, ele acrescenta esse nome do host a cloudapp.net ou usgovcloudapp.net para a nuvem do Azure US Government, como o FQDN do Serviço para criar o serviço no Azure.It then appends that hostname to cloudapp.net, or usgovcloudapp.net for the Azure US Government cloud, as the Service FQDN to create the service in Azure.

    • Por exemplo, quando a Contoso cria o CMG, o Configuration Manager extrai o nome do host GraniteFalls do CN do certificado.For example, when Contoso creates the CMG, Configuration Manager extracts the hostname GraniteFalls from the certificate CN. O Azure cria o serviço real como GraniteFalls.CloudApp.net.Azure creates the actual service as GraniteFalls.CloudApp.net.

Quando você cria a instância do CMG no Configuration Manager, embora o certificado tenha GraniteFalls.Contoso.com, o Configuration Manager só extrai o nome do host, por exemplo: GraniteFalls.When you create the CMG instance in Configuration Manager, while the certificate has GraniteFalls.Contoso.com, Configuration Manager only extracts the hostname, for example: GraniteFalls. Ele acrescenta esse nome de host ao CloudApp.net, que o Azure requer durante a criação de um serviço de nuvem.It appends this hostname to CloudApp.net, which Azure requires when creating a cloud service. O alias CNAME no namespace DNS para seu domínio, Contoso.com, mapeia juntos esses dois FQDNs.The CNAME alias in the DNS namespace for your domain, Contoso.com, maps together these two FQDNs. O Configuration Manager fornece aos clientes uma política para acessar esse CMG, e o mapeamento de DNS as vincula para que eles possam acessar com segurança o serviço no Azure.Configuration Manager gives clients a policy to access this CMG, the DNS mapping ties it together so that they can securely access the service in Azure.

Certificado de autenticação de servidor emitido pelo PKI empresarialServer authentication certificate issued from enterprise PKI

Crie um certificado SSL personalizado para o CMG da mesma maneira que para um ponto de distribuição na nuvem.Create a custom SSL certificate for the CMG the same as for a cloud distribution point. Siga as instruções em Implantando o certificado de serviço em pontos de distribuição baseados em nuvem, mas realize o seguinte de forma diferente:Follow the instructions for Deploying the service certificate for cloud-based distribution points but do the following things differently:

  • Ao solicitar o certificado do servidor Web personalizado, forneça um FQDN para o nome comum do certificado.When requesting the custom web server certificate, provide an FQDN for the certificate's common name. Esse nome pode ser um nome de domínio público que você tem ou é possível usar o domínio cloudapp.net.This name can be a public domain name you own or you may use the cloudapp.net domain. Se estiver usando seu próprio domínio público, consulte o processo acima para criar um alias de DNS no DNS público de sua organização.If using your own public domain, refer to the process above for creating a DNS alias in your organization's public DNS.

  • Ao usar o domínio cloudapp.net público para o certificado do servidor Web do CMG:When using the cloudapp.net public domain for the CMG web server certificate:

    • Na nuvem pública do Azure, use um nome que termine em cloudapp.netOn the Azure public cloud, use a name that ends in cloudapp.net

    • Use um nome que termine em usgovcloudapp.net para a nuvem do Governo dos EUA do AzureUse a name that ends in usgovcloudapp.net for the Azure US Government cloud

Certificado de autenticação de clienteClient authentication certificate

Esse certificado é obrigatório para os clientes baseados na Internet que executam dispositivos Windows 7, Windows 8.1 e Windows 10 não ingressados no Azure AD (Azure Active Directory). Ele também é obrigatório no ponto de conexão do CMG. Ele não é obrigatório para os clientes do Windows 10 ingressados no Azure AD.This certificate is required for internet-based clients running Windows 7, Windows 8.1, and Windows 10 devices not joined to Azure Active Directory (Azure AD). It's also required on the CMG connection point. It isn't required for Windows 10 clients joined to Azure AD.

Os clientes usam esse certificado para se autenticarem no CMG.The clients use this certificate to authenticate with the CMG. Os dispositivos Windows 10 híbridos ou ingressado no domínio de nuvem não exigem esse certificado, porque usam o Azure AD para autenticação.Windows 10 devices that are hybrid or cloud domain-joined don't require this certificate because they use Azure AD to authenticate.

Provisione esse certificado fora do contexto do Configuration Manager.Provision this certificate outside of the context of Configuration Manager. Por exemplo, use os Serviços de Certificados do Active Directory e a política de grupo para emitir certificados de autenticação de cliente.For example, use Active Directory Certificate Services and group policy to issue client authentication certificates. Para obter mais informações, consulte Implantando o certificado do cliente em computadores Windows.For more information, see Deploying the client certificate for Windows computers.

Para encaminhar solicitações de cliente com segurança, o ponto de conexão do CMG requer um certificado de autenticação de cliente que corresponda ao certificado de autenticação de servidor no ponto de gerenciamento de HTTPS.To securely forward client requests, the CMG connection point requires a client authentication certificate that corresponds to the server authentication certificate on the HTTPS management point. Se os clientes usarem a autenticação do Azure AD ou se você configurar o ponto de gerenciamento para HTTP Aprimorado, esse certificado não será necessário.If clients use Azure AD authentication, or you configure the management point for Enhanced HTTP, this certificate isn't required. Para obter mais informações, consulte Habilitar ponto de gerenciamento para HTTPS.For more information, see Enable management point for HTTPS.

Certificado raiz confiável do cliente para o CMGClient trusted root certificate to CMG

Esse certificado é obrigatório ao usar certificados de autenticação de cliente. Quando todos os clientes usam o Azure AD para autenticação, esse certificado não é obrigatório.This certificate is required when using client authentication certificates. When all clients use Azure AD for authentication, this certificate isn't required.

Você fornece esse certificado ao criar o CMG no console do Configuration Manager.You supply this certificate when creating the CMG in the Configuration Manager console.

O CMG deve confiar nos certificados de autenticação de cliente.The CMG must trust the client authentication certificates. Para estabelecer essa relação de confiança, forneça a cadeia de certificados raiz confiáveis.To accomplish this trust, provide the trusted root certificate chain. Adicione todos os certificados na cadeia de confiança.Make sure to add all certificates in the trust chain. Por exemplo, se o certificado de autenticação de cliente tiver sido emitido por uma autoridade de certificação intermediária, adicione os certificados de autoridade de certificação intermediários e raiz.For example, if the client authentication certificate is issued by an intermediate CA, add both the intermediate and root CA certificates.

Observação

Da versão 1806 em diante, ao criar um CMG, não é mais necessário fornecer um certificado raiz confiável na página Configurações.Starting in version 1806, when you create a CMG, you're no longer required to provide a trusted root certificate on the Settings page. Esse certificado não é necessário ao usar o Azure AD (Azure Active Directory) para autenticação do cliente, mas costumava ser necessário no assistente.This certificate isn't required when using Azure Active Directory (Azure AD) for client authentication, but used to be required in the wizard. Se você estiver usando certificados de autenticação de cliente de PKI, ainda será necessário adicionar um certificado raiz confiável para o CMG.If you're using PKI client authentication certificates, then you still must add a trusted root certificate to the CMG.

Na versão 1902 e anteriores, você só podia adicionar duas ACs raiz confiáveis e quatro ACs (subordinadas) intermediárias.In version 1902 and earlier, you can only add two trusted root CAs and four intermediate (subordinate) CAs.

Exportar a raiz confiável do certificado do clienteExport the client certificate's trusted root

Depois de emitir um certificado de autenticação de cliente para um computador, use esse processo nesse computador para exportar a raiz confiável.After issuing a client authentication certificate to a computer, use this process on that computer to export the trusted root.

  1. Abra o menu Iniciar.Open the Start menu. Digite "executar" para abrir a janela Executar.Type "run" to open the Run window. Abra mmc.Open mmc.

  2. No menu Arquivo, escolha Adicionar/Remover Snap-in... .From the File menu, choose Add/Remove Snap-in....

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.In the Add or Remove Snap-ins dialog box, select Certificates, then select Add.

    1. Na caixa de diálogo Snap-in dos certificados, selecione Conta de computador e, em seguida, selecione em Avançar.In the Certificates snap-in dialog box, select Computer account, then select Next.

    2. Na caixa de diálogo Selecionar Computador, selecione Computador local e, em seguida, selecione em Concluir.In the Select Computer dialog box, select Local computer, then select Finish.

    3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione OK.In the Add or Remove Snap-ins dialog box, select OK.

  4. Expanda Certificados, expanda Pessoais e selecione Certificados.Expand Certificates, expand Personal, and select Certificates.

  5. Selecione um certificado cuja Finalidade Pretendida é a Autenticação de Cliente.Select a certificate whose Intended Purpose is Client Authentication.

    1. No menu Ação, selecione Abrir.From the Action menu, select Open.

    2. Vá para a guia Caminho de Certificação.Go to the Certification Path tab.

    3. Selecione o próximo certificado na cadeia e, em seguida, selecione Exibir Certificado.Select the next certificate up the chain, and select View Certificate.

  6. Nessa nova caixa de diálogo Certificado, mude para a guia Detalhes. Selecione Copiar para Arquivo... .On this new Certificate dialog box, go to the Details tab. Select Copy to File....

  7. Conclua o Assistente para Exportação de Certificados usando o formato de certificado padrão, X.509 binário codificado em DER (.CER) .Complete the Certificate Export Wizard using the default certificate format, DER encoded binary X.509 (.CER). Anote o nome e o local do certificado exportado.Make note of the name and location of the exported certificate.

  8. Exporte todos os certificados no caminho de certificação do certificado de autenticação de cliente original.Export all of the certificates in the certification path of the original client authentication certificate. Anote quais certificados exportados são ACs intermediárias e quais são ACs raiz confiáveis.Make note of which exported certificates are intermediate CAs, and which ones are trusted root CAs.

Habilitar o ponto de gerenciamento para HTTPSEnable management point for HTTPS

Provisione esse certificado fora do contexto do Configuration Manager.Provision this certificate outside of the context of Configuration Manager. Por exemplo, use os Serviços de Certificados do Active Directory e a política de grupo para emitir um certificado do servidor Web.For example, use Active Directory Certificate Services and group policy to issue a web server certificate. Para obter mais informações, consulte Requisitos de certificado PKI e Implantar o certificado do servidor Web em sistemas de sites que executam o IIS.For more information, see PKI certificate requirements and Deploy the web server certificate for site systems that run IIS.

  • Na versão 1802, esse certificado é obrigatório em todos os cenários.In version 1802, this certificate is required in all scenarios. Somente os pontos de gerenciamento que você habilitar para CMG devem ser HTTPS.Only management points that you enable for CMG must be HTTPS. Essa alteração no comportamento fornece melhor suporte para autenticação baseada em token do Azure AD.This change in behavior provides better support for Azure AD token-based authentication.

  • Começando na versão 1806, ao usar a opção do site para Usar certificados gerados pelo Configuration Manager para o sistema de sites HTTP, o ponto de gerenciamento pode ser HTTP.Starting in version 1806, when using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Para obter mais informações, confira HTTP aprimorado.For more information, see Enhanced HTTP.

Dica

Se você não estiver usando HTTP Aprimorado e seu ambiente tiver vários pontos de gerenciamento, não será necessário habilitar o HTTPS para o CMG.If you aren't using Enhanced HTTP, and your environment has multiple management points, you don't have to HTTPS-enable them all for CMG. Configure os pontos de gerenciamento habilitados para CMG como somente Internet.Configure the CMG-enabled management points as Internet only. Assim, seus clientes locais não tentarão usá-los.Then your on-premises clients don't try to use them.

Resumo do modo de conexão do cliente do ponto de gerenciamentoManagement point client connection mode summary

Essas tabelas resumem se o ponto de gerenciamento requer HTTP ou HTTPS, dependendo do tipo de cliente e da versão do site.These tables summarize whether the management point requires HTTP or HTTPS, depending upon the type of client and site version.

Para clientes baseados na Internet se comunicando com o gateway de gerenciamento de nuvemFor internet-based clients communicating with the cloud management gateway

Configure um ponto de gerenciamento local para permitir conexões do CMG com o seguinte modo de conexão de cliente:Configure an on-premises management point to allow connections from the CMG with the following client connection mode:

Tipo de clienteType of client 18021802 18061806 18101810
Grupo de trabalhoWorkgroup HTTPSHTTPS E-HTTPObservação 1, HTTPSE-HTTPNote 1, HTTPS E-HTTPObservação 1, HTTPSE-HTTPNote 1, HTTPS
Ingressado no domínio do ADAD domain-joined HTTPSHTTPS E-HTTPObservação 1, HTTPSE-HTTPNote 1, HTTPS E-HTTPObservação 1, HTTPSE-HTTPNote 1, HTTPS
Ingressado no Azure ADAzure AD-joined HTTPSHTTPS E-HTTP, HTTPSE-HTTP, HTTPS E-HTTP, HTTPSE-HTTP, HTTPS
Ingressado no híbridoHybrid-joined HTTPSHTTPS E-HTTP, HTTPSE-HTTP, HTTPS E-HTTP, HTTPSE-HTTP, HTTPS

Observação

Observação 1: essa configuração exige que o cliente tenha um certificado de autenticação de cliente e só dá suporte a cenários centrados no dispositivo.Note 1: This configuration requires the client has a client authentication certificate, and only supports device-centric scenarios.

Para clientes locais se comunicando com o ponto de gerenciamento localFor on-premises clients communicating with the on-premises management point

Configure um ponto de gerenciamento local com o seguinte modo de conexão de cliente:Configure an on-premises management point with the following client connection mode:

Tipo de clienteType of client 18021802 18061806 18101810
Grupo de trabalhoWorkgroup HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS
Ingressado no domínio do ADAD domain-joined HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS
Ingressado no Azure ADAzure AD-joined HTTPSHTTPS HTTPSHTTPS HTTPSHTTPS
Ingressado no híbridoHybrid-joined HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS HTTP, HTTPSHTTP, HTTPS

Observação

Na versão 1806, os clientes ingressados no domínio do AD dão suporte a cenários centrados no dispositivo e no usuário que se comunicam com um ponto de gerenciamento de HTTP ou de HTTPS.In version 1806, AD domain-joined clients support both device- and user-centric scenarios communicating with an HTTP or HTTPS management point.

Clientes ingressados no Azure AD e no híbrido podem se comunicar por meio de HTTP para cenários centrados em dispositivos, mas precisam de E-HTTP ou HTTPS para habilitar cenários centrados no usuário.Azure AD-joined and hybrid-joined clients can communicate via HTTP for device-centric scenarios, but need E-HTTP or HTTPS to enable user-centric scenarios. Caso contrário, eles se comportariam da mesma maneira que os clientes de grupo de trabalho.Otherwise they behave the same as workgroup clients.

Legenda de termosLegend of terms

  • Grupo de trabalho: o dispositivo não está associado a um domínio ou ao Azure AD, mas tem um certificado de autenticação de clienteWorkgroup: The device isn't joined to a domain or Azure AD, but has a client authentication certificate
  • Ingressado no domínio do AD: você ingressa o dispositivo em um domínio do Active Directory localAD domain-joined: You join the device to an on-premises Active Directory domain
  • Ingressado no Azure AD: também conhecido como ingressado no domínio de nuvem, você ingressa o dispositivo em um locatário do Azure Active DirectoryAzure AD-joined: Also known as cloud domain-joined, you join the device to an Azure Active Directory tenant
  • Ingressado no híbrido: você ingressa o dispositivo tanto em um domínio do Active Directory quanto em um locatário do Azure ADHybrid-joined: You join the device to both an Active Directory domain and an Azure AD tenant
  • HTTP: nas propriedades do ponto de gerenciamento, você define as conexões do cliente para HTTPHTTP: On the management point properties, you set the client connections to HTTP
  • HTTPS: nas propriedades do ponto de gerenciamento, você define as conexões do cliente para HTTPSHTTPS: On the management point properties, you set the client connections to HTTPS
  • E-HTTP: nas propriedades do site, guia Comunicação do Computador Cliente, você define as configurações do sistema de sites como HTTPS ou HTTP e, em seguida, habilita a opção para Usar certificados gerados pelo Configuration Manager para sistemas de sites HTTP.E-HTTP: On the site properties, Client Computer Communication tab, you set the site system settings to HTTPS or HTTP, and you enable the option to Use Configuration Manager-generated certificates for HTTP site systems. Configure o ponto de gerenciamento para HTTP, o ponto de gerenciamento de HTTP está pronto para comunicação HTTP e HTTPS (cenários de autenticação de token).You configure the management point for HTTP, the HTTP management point is ready for both HTTP and HTTPS communication (token auth scenarios).

    Observação

    A partir da versão 1906, essa guia é chamada Segurança da Comunicação.Starting in version 1906, this tab is called Communication Security.

Certificado de gerenciamento do AzureAzure management certificate

Esse certificado é obrigatório para implantações de serviço clássico. Ele não é obrigatório para implantações do Azure Resource Manager.This certificate is required for classic service deployments. It's not required for Azure Resource Manager deployments.

Importante

Da versão 1810 em diante, implantações de serviço clássico no Azure são preteridas no Configuration Manager.Starting in version 1810, classic service deployments in Azure are deprecated in Configuration Manager. Comece a usar as implantações do Azure Resource Manager para o gateway de gerenciamento de nuvem.Start using Azure Resource Manager deployments for the cloud management gateway. Para obter mais informações, confira Planejar para CMG.For more information, see Plan for CMG.

A partir do Configuration Manager versão 1902, o Azure Resource Manager é o único mecanismo de implantação para novas instâncias do gateway de gerenciamento de nuvem.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. Esse certificado não é necessário no Configuration Manager versão 1902 ou posterior.This certificate isn't required in Configuration Manager version 1902 or later.

Você fornece esse certificado no portal do Azure e ao criar o CMG no console do Configuration Manager.You supply this certificate in the Azure portal, and when creating the CMG in the Configuration Manager console.

Para criar o CMG no Azure, o ponto de conexão de serviço do Configuration Manager precisa primeiro se autenticar em sua assinatura do Azure.To create the CMG in Azure, the Configuration Manager service connection point needs to first authenticate to your Azure subscription. Ao usar uma implantação de serviço clássico, ele usa o certificado de gerenciamento do Azure para essa autenticação.When using a classic service deployment, it uses the Azure management certificate for this authentication. Um administrador do Azure carrega o certificado em sua assinatura.An Azure administrator uploads this certificate to your subscription. Quando você cria o CMG no console do Configuration Manager, forneça esse certificado.When you create the CMG in the Configuration Manager console, provide this certificate.

Para obter mais informações e instruções sobre como carregar um certificado de gerenciamento, consulte os artigos a seguir na documentação do Azure:For more information and instructions for how to upload a management certificate, see the following articles in the Azure documentation:

Importante

Certifique-se de copiar a ID da assinatura associada ao certificado de gerenciamento.Make sure to copy the subscription ID associated with the management certificate. Use-o para criar o CMG no console do Configuration Manager.You use it for creating the CMG in the Configuration Manager console.

Próximas etapasNext steps