Planejar o gateway de gerenciamento de nuvem no Configuration ManagerPlan for the cloud management gateway in Configuration Manager

Aplica-se a: System Center Configuration Manager (Branch Atual)Applies to: System Center Configuration Manager (Current Branch)

O CMG (gateway de gerenciamento de nuvem) fornece uma maneira simples de gerenciar clientes do Configuration Manager na Internet.The cloud management gateway (CMG) provides a simple way to manage Configuration Manager clients on the internet. Implantando o CMG como um serviço de nuvem no Microsoft Azure, você pode gerenciar clientes tradicionais que usam um perfil móvel na Internet sem infraestrutura local adicional.By deploying the CMG as a cloud service in Microsoft Azure, you can manage traditional clients that roam on the internet without additional on-premises infrastructure. Você também não precisa expor sua infraestrutura local para a Internet.You also don't need to expose your on-premises infrastructure to the internet.

Observação

O Configuration Manager não habilita esse recurso opcional por padrão.Configuration Manager doesn't enable this optional feature by default. É necessário habilitar esse recurso antes de usá-lo.You must enable this feature before using it. Para obter mais informações, consulte Enable optional features from updates (Habilitar recursos opcionais de atualizações).For more information, see Enable optional features from updates.

Depois de estabelecer os pré-requisitos, a criação do CMG consiste nas três seguintes etapas no console do Configuration Manager:After establishing the prerequisites, creating the CMG consists of the following three steps in the Configuration Manager console:

  1. Implantar o serviço de nuvem do CMG no Azure.Deploy the CMG cloud service to Azure.
  2. Adicionar a função do ponto de conexão do CMG.Add the CMG connection point role.
  3. Configurar o site e as funções do site para o serviço.Configure the site and site roles for the service. Depois de implantados e configurados, os clientes acessam diretamente as funções locais do site, independentemente de estarem na intranet ou na Internet.Once deployed and configured, clients seamlessly access on-premises site roles regardless of whether they're on the intranet or internet.

Este artigo fornece o conhecimento básico para saber mais sobre o CMG, projetar como ele se ajusta ao ambiente e planejar a implementação.This article provides the foundational knowledge to learn about the CMG, design how it fits in your environment, and plan the implementation.

CenáriosScenarios

Há vários cenários para os quais um CMG é útil.There are several scenarios for which a CMG is beneficial. Os seguintes cenários são alguns dos mais comuns:The following scenarios are some of the more common:

  • Gerenciar clientes tradicionais do Windows com a identidade ingressada no domínio do Active Directory.Manage traditional Windows clients with Active Directory domain-joined identity. Esses clientes incluem Windows 7, Windows 8.1 e Windows 10.These clients include Windows 7, Windows 8.1, and Windows 10. Ele usa certificados PKI para proteger o canal de comunicação.It uses PKI certificates to secure the communication channel. As atividades de gerenciamento incluem:Management activities include:

    • Atualizações de software e proteção de ponto de extremidadeSoftware updates and endpoint protection
    • Inventário e status do clienteInventory and client status
    • Configurações de conformidadeCompliance settings
    • Distribuição de software para o dispositivoSoftware distribution to the device
    • Sequência de tarefas de atualização in-loco do Windows 10Windows 10 in-place upgrade task sequence
  • Gerenciar clientes tradicionais do Windows 10 com a identidade moderna, ingressados em domínio de nuvem pura ou híbrida com o Azure AD (Azure Active Directory).Manage traditional Windows 10 clients with modern identity, either hybrid or pure cloud domain-joined with Azure Active Directory (Azure AD). Os clientes usam o Azure AD para autenticação, em vez de certificados PKI.Clients use Azure AD to authenticate rather than PKI certificates. O uso do Azure AD tem configuração e manutenção mais simples comparado aos sistemas de PKI mais complexos.Using Azure AD is simpler to set up, configure and maintain than more complex PKI systems. As atividades de gerenciamento são as mesmas que no primeiro cenário, bem como:Management activities are the same as the first scenario, as well as:

    • Distribuição de software para o usuárioSoftware distribution to the user
  • Instalar o cliente do Configuration Manager em dispositivos Windows 10 pela Internet.Install the Configuration Manager client on Windows 10 devices over the internet. O uso do Azure AD permite que o dispositivo se autentique no CMG para o registro de cliente e atribuição.Using Azure AD allows the device to authenticate to the CMG for client registration and assignment. Instale o cliente manualmente ou use outro método de distribuição de software, como o Microsoft Intune.You can install the client manually, or using another software distribution method, such as Microsoft Intune.

  • Novo provisionamento de dispositivos com cogerenciamento.New device provisioning with co-management. Ao registrar automaticamente clientes existentes, o CMG não é necessário para cogerenciamento.When auto-enrolling existing clients, CMG isn't required for co-management. Ele é necessário para novos dispositivos que envolvem o Windows AutoPilot, Azure AD, Microsoft Intune e Configuration Manager.It is required for new devices involving Windows AutoPilot, Azure AD, Microsoft Intune, and Configuration Manager. Para saber mais, confira Caminhos para cogerenciamento.For more information, see Paths to co-management.

Casos de uso específicosSpecific use cases

Entre esses cenários, os seguintes casos de uso de dispositivo específicos podem ser aplicáveis:Across these scenarios the following specific device use cases may apply:

  • Dispositivos móveis, como laptopsRoaming devices such as laptops

  • Dispositivos remotos/da filial são mais baratos e mais eficientes de serem gerenciados pela Internet em uma WAN ou por meio de uma VPN.Remote/branch office devices that are less expensive and more efficient to manage over the internet than across a WAN or through a VPN.

  • Fusões e aquisições, em que pode ser mais fácil ingressar dispositivos no Azure AD e gerenciá-los por meio de um CMG.Mergers and acquisitions, where it may be easiest to join devices to Azure AD and manage through a CMG.

Importante

Por padrão, todos os clientes recebem uma política para um CMG e começam a usá-la quando se tornam baseados na Internet.By default all clients receive policy for a CMG, and start using it when they become internet-based. Dependendo do cenário e do caso de uso aplicáveis à sua organização, talvez você precise definir o escopo de uso do CMG.Depending upon the scenario and use case that applies to your organization, you may need to scope usage of the CMG. Para obter mais informações, consulte a configuração de cliente Permitir que os clientes usem um gateway de gerenciamento de nuvem.For more information, see the Enable clients to use a cloud management gateway client setting.

Design da topologiaTopology design

Componentes do CMGCMG components

A implantação e a operação do CMG incluem os seguintes componentes:Deployment and operation of the CMG includes the following components:

  • O serviço de nuvem do CMG do Azure autentica e encaminha as solicitações de cliente do Configuration Manager para o ponto de conexão do CMG.The CMG cloud service in Azure authenticates and forwards Configuration Manager client requests to the CMG connection point.

  • A função do sistema de sites do ponto de conexão do CMG permite uma conexão consistente e de alto desempenho da rede local com o serviço do CMG no Azure.The CMG connection point site system role enables a consistent and high-performance connection from the on-premises network to the CMG service in Azure. Ele também publica configurações no CMG, incluindo informações de conexão e configurações de segurança.It also publishes settings to the CMG including connection information and security settings. O ponto de conexão do CMG encaminha as solicitações de cliente do CMG para funções locais, de acordo com os mapeamentos de URL.The CMG connection point forwards client requests from the CMG to on-premises roles according to URL mappings.

  • A função do sistema de sites do ponto de conexão de serviço executa o componente do gerenciador de serviço de nuvem, que manipula todas as tarefas de implantação do CMG.The service connection point site system role runs the cloud service manager component, which handles all CMG deployment tasks. Além disso, ele monitora e reporta informações de integridade e de registro em log do serviço do Azure AD.Additionally, it monitors and reports service health and logging information from Azure AD. Verifique se o ponto de conexão do serviço está no modo online.Make sure your service connection point is in online mode.

  • A função do sistema de sites do ponto de gerenciamento atende às solicitações do cliente de modo habitual.The management point site system role services client requests per normal.

  • A função do sistema de sites do ponto de atualização de software atende às solicitações do cliente de modo habitual.The software update point site system role services client requests per normal.

  • Os clientes baseados na Internet se conectam ao CMG para acessar os componentes locais do Configuration Manager.Internet-based clients connect to the CMG to access on-premises Configuration Manager components.

  • O CMG usa um serviço Web HTTPS baseado em certificado para ajudar a proteger a comunicação de rede com clientes.The CMG uses a certificate-based HTTPS web service to help secure network communication with clients.

  • Os clientes baseados na Internet usam certificados PKI ou o Azure AD para identidade e autenticação.Internet-based clients use PKI certificates or Azure AD for identity and authentication.

  • Um ponto de distribuição na nuvem fornece conteúdo para clientes baseados na Internet, conforme necessário.A cloud distribution point provides content to internet-based clients, as needed.

    • Da versão 1806 em diante, um CMG pode também fornecer conteúdo aos clientes.Starting in version 1806, a CMG can also serve content to clients. Essa funcionalidade reduz os certificados necessários e o custo das VMs do Azure.This functionality reduces the required certificates and cost of Azure VMs. Para obter mais informações, consulte Modificar um CMG.For more information, see Modify a CMG.

Azure Resource ManagerAzure Resource Manager

Criar o CMG usando uma implantação do Azure Resource Manager.Create the CMG using an Azure Resource Manager deployment. O Azure Resource Manager é uma plataforma moderna para gerenciar todos os recursos da solução como uma única entidade, chamado grupo de recursos.Azure Resource Manager is a modern platform for managing all solution resources as a single entity, called a resource group. Ao implantar o CMG com o Azure Resource Manager, o site usa o Azure Active Directory (Azure AD) para autenticar e criar os recursos necessários para a nuvem.When deploying CMG with Azure Resource Manager, the site uses Azure Active Directory (Azure AD) to authenticate and create the necessary cloud resources. Essa implantação modernizada não exige o certificado de gerenciamento do Azure clássico.This modernized deployment doesn't require the classic Azure management certificate.

Observação

Essa funcionalidade não habilita o suporte para CSPs (Provedores de Serviços de Nuvem) do Azure.This capability doesn't enable support for Azure Cloud Service Providers (CSP). A implantação do CMG com o Azure Resource Manager continua usando o serviço de nuvem clássico, ao qual o CSP não dá suporte.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Para saber mais, confira os serviços do Azure disponíveis no CSP do Azure.For more information, see available Azure services in Azure CSP.

A partir do Configuration Manager versão 1902, o Azure Resource Manager é o único mecanismo de implantação para novas instâncias do gateway de gerenciamento de nuvem.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. As implantações existentes continuam a funcionar.Existing deployments continue to work.

No Configuration Manager versão 1810 e anterior, o assistente do CMG ainda fornece a opção para uma implantação de serviço clássico usando um certificado de gerenciamento do Azure.In Configuration Manager version 1810 and earlier, the CMG wizard still provides the option for a classic service deployment using an Azure management certificate. Para simplificar a implantação e o gerenciamento de recursos, o modelo de implantação do Azure Resource Manager é recomendado para todas as novas instâncias do CMG.To simplify the deployment and management of resources, the Azure Resource Manager deployment model is recommended for all new CMG instances. Se possível, reimplante as instâncias CMG existentes por meio do Resource Manager.If possible, redeploy existing CMG instances through Resource Manager. Para obter mais informações, consulte Modificar um CMG.For more information, see Modify a CMG.

Importante

Da versão 1810, a implantação de serviço clássico no Azure é preterida para uso no Configuration Manager.Starting in version 1810, the classic service deployment in Azure is deprecated for use in Configuration Manager. Esta versão é a última a dar suporte à criação dessas implantações do Azure.This version is the last to support creation of these Azure deployments. Essa funcionalidade será removida em uma versão futura do Configuration Manager.This functionality will be removed in a future Configuration Manager version.

Design de hierarquiaHierarchy design

Crie o CMG no site de nível superior da hierarquia.Create the CMG at the top-tier site of your hierarchy. Se esse for um site de administração central, crie pontos de conexão do CMG em sites primários filho.If that's a central administration site, then create CMG connection points at child primary sites. O componente de gerenciador de serviço de nuvem está localizado no ponto de conexão de serviço, que também está no site de administração central.The cloud service manager component is on the service connection point, which is also on the central administration site. Esse design pode compartilhar o serviço em sites primários diferentes, se necessário.This design can share the service across different primary sites if needed.

Você pode criar vários serviços do CMG no Azure e criar vários pontos de conexão do CMG.You can create multiple CMG services in Azure, and you can create multiple CMG connection points. Vários pontos de conexão do CMG fornecem o balanceamento de carga do tráfego do cliente do CMG para as funções locais.Multiple CMG connection points provide load balancing of client traffic from the CMG to the on-premises roles. Para reduzir a latência da rede, atribua o CMG associado à mesma região geográfica do site primário.To reduce network latency, assign the associated CMG to the same geographical region as the primary site.

A partir da versão 1902, é possível associar um CMG a um grupo de limites.Starting in version 1902, you can associate a CMG with a boundary group. Essa configuração permite que os clientes façam fallback ou voltem ao CMG padrão para comunicações de cliente de acordo com os relacionamentos de grupos de limite.This configuration allows clients to default or fallback to the CMG for client communication according to boundary group relationships. Esse comportamento é especialmente útil em cenários de VPN e de branch do Office.This behavior is especially useful in branch office and VPN scenarios. É possível direcionar o tráfego do cliente para longe de links WAN caros e lentos e, em lugar disso, usar os serviços mais rápidos do Microsoft Azure.You can direct client traffic away from expensive and slow WAN links to instead use faster services in Microsoft Azure.

Observação

Clientes baseados na Internet não se enquadram em nenhum grupo de limites.Internet-based clients don't fall into any boundary group.

No Configuration Manager versão 1810 e anterior, o CMG não se enquadra em nenhum grupo de limites.In Configuration Manager version 1810 and earlier, the CMG doesn't fall into any boundary group.

Outros fatores, como o número de clientes a serem gerenciados, também afetam o design do CMG.Other factors, such as the number of clients to manage, also impact your CMG design. Para obter mais informações, consulte Desempenho e escala.For more information, see Performance and scale.

Exemplo 1: site primário autônomoExample 1: standalone primary site

A Contoso tem um site primário autônomo em um datacenter local na sede de Nova York.Contoso has a standalone primary site in an on-premises datacenter at their headquarters in New York City.

  • Eles criam um CMG na região Leste dos EUA do Azure para reduzir a latência da rede.They create a CMG in the East US Azure region to reduce network latency.
  • Eles também criam dois pontos de conexão do CMG, ambos vinculados ao único serviço do CMG.They create two CMG connection points, both linked to the single CMG service.

Como os clientes usam um perfil móvel na Internet, eles se comunicam com o CMG na região do Leste dos EUA do Azure.As clients roam onto the internet, they communicate with the CMG in the East US Azure region. O CMG encaminha essa comunicação pelos dois pontos de conexão do CMG.The CMG forwards this communication through both of the CMG connection points.

Exemplo 2: hierarquiaExample 2: hierarchy

A Fourth Coffee tem um site de administração central em um datacenter local na sede de Seattle.Fourth Coffee has a central administration site in an on-premises datacenter at their headquarters in Seattle. Um site primário está no mesmo datacenter e o outro site primário está em seu escritório principal na Europa em Paris.One primary site is in the same datacenter, and the other primary site is in their main European office in Paris.

  • No site de administração central, eles criam um serviço CMG na região do Azure Oeste dos EUA.On the central administration site, they create a CMG service in the West US Azure region. Eles escalam o número de VMs para a carga esperada de clientes em roaming em toda a hierarquia.They scale the number of VMs for the expected load of roaming clients in the entire hierarchy.
  • No site primário de Seattle, eles criam um ponto de conexão CMG vinculado ao único CMG.On the Seattle-based primary site, they create a CMG connection point linked to the single CMG.
  • No site primário de Paris, eles criam um ponto de conexão CMG vinculado ao único CMG.On the Paris-based primary site, they create a CMG connection point linked to the single CMG.

Como os clientes usam um perfil móvel na Internet, eles se comunicam com o CMG na região do Azure Oeste dos EUA.As clients roam onto the internet, they communicate with the CMG in the West US Azure region. O CMG encaminha essa comunicação para o ponto de conexão CMG no site primário atribuído do cliente.The CMG forwards this communication to the CMG connection point in the client's assigned primary site.

Dica

Você não precisa implantar várias instâncias do CMG para fins de geolocalização.You don't need to deploy multiple CMG instances for the purposes of geolocation. O cliente do Configuration Manager não é afetado essencialmente pela latência que ocorre com o serviço de nuvem, mesmo quando geograficamente distante.The Configuration Manager client is mostly unaffected by the slightly latency that occurs with the cloud service, even when geographically distant.

requisitosRequirements

  • Uma assinatura do Azure para hospedar o CMG.An Azure subscription to host the CMG.

  • Um administrador do Azure precisa participar da criação inicial de alguns componentes, dependendo do design.An Azure administrator needs to participate in the initial creation of certain components, depending upon your design. Essa persona não precisa de permissões no Configuration Manager.This persona doesn't require permissions in Configuration Manager.

    • Para implantar o CMG, é necessário ter um Administrador de AssinaturaTo deploy the CMG, you need a Subscription Admin
    • Para integrar o site com o Azure AD para implantar o CMG usando o Azure Resource Manager, é necessário ter um Administrador GlobalTo integrate the site with Azure AD for deploying the CMG using Azure Resource Manager, you need a Global Admin
  • Pelo menos, um Windows Server local para hospedar o ponto de conexão do CMG.At least one on-premises Windows server to host the CMG connection point. Você pode colocalizar essa função com outras funções do sistema de sites do Configuration Manager.You can colocate this role with other Configuration Manager site system roles.

  • O ponto de conexão de serviço deve estar no modo online.The service connection point must be in online mode.

  • Integração com o Azure AD para implantar o serviço com o Azure Resource Manager.Integration with Azure AD for deploying the service with Azure Resource Manager. Para obter mais informações, consulte Configurar serviços do Azure.For more information, see Configure Azure services.

  • Um certificado de autenticação de servidor para o CMG.A server authentication certificate for the CMG.

  • Outros certificados podem ser obrigatórios, dependendo do modelo de autenticação e da versão do sistema operacional cliente.Other certificates may be required, depending upon your client OS version and authentication model. Para obter mais informações, consulte certificados do CMG.For more information, see CMG certificates.

    Começando na versão 1806, ao usar a opção do site para Usar certificados gerados pelo Configuration Manager para o sistema de sites HTTP, o ponto de gerenciamento pode ser HTTP.Starting in version 1806, when using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Para obter mais informações, confira HTTP aprimorado.For more information, see Enhanced HTTP.

  • No Configuration Manager versão 1810 e anterior, se você estiver usando o método clássico de implantação do Azure, você deverá usar um certificado de gerenciamento do Azure.In Configuration Manager version 1810 or earlier, if using the Azure classic deployment method, you must use an Azure management certificate.

    Dica

    Use o modelo de implantação do Azure Resource Manager.Use the Azure Resource Manager deployment model. Ele não exige esse certificado de gerenciamento.It doesn't require this management certificate.

    O método de implantação clássico foi preterido da versão 1810 em diante.The classic deployment method is deprecated as of version 1810.

  • Os clientes devem usar IPv4.Clients must use IPv4.

EspecificaçõesSpecifications

  • Todas as versões do Windows listadas em Sistemas operacionais compatíveis com clientes e dispositivos são compatíveis com o CMG.All Windows versions listed in Supported operating systems for clients and devices are supported for CMG.

  • O CMG é compatível apenas com as funções de ponto de gerenciamento e ponto de atualização de software.CMG only supports the management point and software update point roles.

  • O CMG não dá suporte a clientes que se comunicam somente com endereços IPv6.CMG doesn't support clients that only communicate with IPv6 addresses.

  • Os pontos de atualização de software que usam um balanceador de carga de rede não funcionam com o CMG.Software update points using a network load balancer don't work with CMG.

  • As implantações do CMG que usam o Modelo de Recurso do Azure não permitem o suporte para CSPs (Provedores de Serviços de Nuvem) do Azure.CMG deployments using the Azure Resource Model don't enable support for Azure Cloud Service Providers (CSP). A implantação do CMG com o Azure Resource Manager continua usando o serviço de nuvem clássico, ao qual o CSP não dá suporte.The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. Para obter mais informações, consulte os serviços do Azure disponíveis no Azure CSPFor more information, see available Azure services in Azure CSP

Suporte para recursos do Configuration ManagerSupport for Configuration Manager features

A seguinte tabela lista o suporte do CMG para recursos do Configuration Manager:The following table lists CMG support for Configuration Manager features:

RecursoFeature SuporteSupport
Atualizações de softwareSoftware updates Com suporte
Endpoint ProtectionEndpoint protection Com suporte
Inventário de hardware e softwareHardware and software inventory Com suporte
Notificações e status do clienteClient status and notifications Com suporte
Executar scriptsRun scripts Com suporte
Configurações de conformidadeCompliance settings Com suporte
Instalação do clienteClient install
(com integração com o Azure AD)(with Azure AD integration)
Com suporte
Distribuição de software (direcionada ao dispositivo)Software distribution (device-targeted) Com suporte
Distribuição de software (direcionada ao usuário, obrigatória)Software distribution (user-targeted, required)
(com integração com o Azure AD)(with Azure AD integration)
Com suporte
Distribuição de software (direcionada ao usuário, disponível)Software distribution (user-targeted, available)
(todos os requisitos)(all requirements)
Com suporte
Sequência de tarefas de atualização in-loco do Windows 10Windows 10 in-place upgrade task sequence Com suporte
Sequências de tarefas que não estão usando imagens de inicialização e são implantadas com uma opção: Baixar todo o conteúdo localmente antes de iniciar a sequência de tarefasTask sequences that aren't using boot images and are deployed with an option: Download all content locally before starting task sequence Com suporte
CMPivotCMPivot Com suporte (1806)(1806)
Outros cenários de sequência de tarefasAny other task sequence scenario Sem suporte
Push de clienteClient push Sem suporte
Atribuição automática de siteAutomatic site assignment Sem suporte
Solicitações de aprovação de softwareSoftware approval requests Sem suporte
Console do Configuration ManagerConfiguration Manager console Sem suporte
Ferramentas remotasRemote tools Sem suporte
Site de relatóriosReporting website Sem suporte
Wake on LANWake on LAN Sem suporte
Clientes Mac, Linux e UNIXMac, Linux, and UNIX clients Sem suporte
Cache de paresPeer cache Sem suporte
MDM localOn-premises MDM Sem suporte
ChaveKey
Com suporte = há suporte para esse recurso no CMG em todas as versões compatíveis do Configuration Manager= This feature is supported with CMG by all supported versions of Configuration Manager
Compatível (YYMM) = há suporte para esse recurso no CMG a partir da versão YYMM do Configuration ManagerSupported (YYMM) = This feature is supported with CMG starting with version YYMM of Configuration Manager
Sem suporte = esse recurso não é compatível com o CMG= This feature isn't supported with CMG

CustoCost

Importante

As seguintes informações de custo são apenas uma estimativa.The following cost information is for estimating purposes only. O ambiente pode ter outras variáveis que afetam o custo geral do uso do CMG.Your environment may have other variables that affect the overall cost of using CMG.

O CMG usa os seguintes componentes do Azure, que incorrem em encargos para a conta de assinatura do Azure:CMG uses the following Azure components, which incur charges to the Azure subscription account:

Máquina virtualVirtual machine

  • O CMG usa os Serviços de Nuvem do Azure como PaaS (plataforma como serviço).CMG uses Azure Cloud Services as platform as a service (PaaS). Esse serviço usa VMs (máquinas virtuais) que incorrem em custos de computação.This service uses virtual machines (VMs) that incur compute costs.

  • O CMG usa uma VM Standard A2 V2.CMG uses a Standard A2 V2 VM.

  • Selecione quantas instâncias de VM dão suporte ao CMG.You select how many VM instances support the CMG. Uma é o padrão e 16 é o máximo.One is the default, and 16 is the maximum. Esse número é definido durante a criação do CMG e pode ser alterado posteriormente para dimensionar o serviço, conforme necessário.This number is set when creating the CMG, and can be changed afterwards to scale the service as needed.

  • Para obter mais informações sobre a quantidade de VMs para as quais você precisa dar suporte em seus clientes, consulte Desempenho e escala.For more information on how many VMs you need to support your clients, see Performance and scale.

  • Consulte a Calculadora de preços do Azure para ajudar a determinar os possíveis custos.See the Azure pricing calculator to help determine potential costs.

    Observação

    Os custos de máquina virtual variam de acordo com a região.Virtual machine costs vary by region.

Transferência de dados de saídaOutbound data transfer

  • Os encargos baseiam-se nos dados que fluem para fora do Azure (saída ou download).Charges are based on data flowing out of Azure (egress or download). Os dados que fluem para o Azure são gratuitos (entrada ou upload).Any data flows into Azure are free (ingress or upload). Os dados do CMG que fluem para fora do Azure incluem uma política para o cliente, as notificações do cliente e as respostas do cliente encaminhadas pelo CMG ao site.CMG data flows out of Azure include policy to the client, client notifications, and client responses forwarded by the CMG to the site. Essas respostas incluem relatórios de inventário, mensagens de status e status de conformidade.These responses include inventory reports, status messages, and compliance status.

  • Mesmo sem a comunicação dos clientes com um CMG, uma comunicação em segundo plano gera o tráfego de rede entre o CMG e o site local.Even without any clients communicating with a CMG, some background communication causes network traffic between the CMG and the on-premises site.

  • Exiba a Transferência de dados de saída (GB) no console do Configuration Manager.View the Outbound data transfer (GB) in the Configuration Manager console. Para obter mais informações, consulte Monitorar clientes no CMG.For more information, see Monitor clients on CMG.

  • Consulte os Detalhes de preços de largura de banda do Azure para ajudar a determinar os possíveis custos.See the Azure bandwidth pricing details to help determine potential costs. O preço da transferência de dados é calculado por camadas.Pricing for data transfer is tiered. Quanto mais você utilizar, menos você paga por gigabyte.The more you use, the less you pay per gigabyte.

  • Apenas para fins de estimativa, espere aproximadamente 100-300 MB por cliente/mês para clientes baseados na Internet.For estimating purposes only, expect approximately 100-300 MB per client per month for internet-based clients. A estimativa mais baixa refere-se a uma configuração de cliente padrão.The lower estimate is for a default client configuration. A estimativa mais alta refere-se a uma configuração de cliente mais agressiva.The upper estimate is for a more aggressive client configuration. O uso real pode variar, dependendo de como as configurações do cliente são definidas.Your actual usage may vary depending upon how you configure client settings.

    Observação

    A execução de outras ações, como a implantação de atualizações de software ou aplicativos, aumenta a quantidade de transferência de dados de saída do Azure.Performing other actions, such as deploying software updates or applications, increases the amount of outbound data transfer from Azure.

  • A configuração incorreta da opção CMG para Verificar a revogação do certificado do cliente pode gerar tráfego adicional de clientes para o CMG.Misconfiguration of the CMG option to Verify client certificate revocation can cause additional traffic from clients to the CMG. Esse tráfego adicional pode aumentar os dados de saída do Azure e isso pode aumentar os custos do Azure.This additional traffic can increase the Azure egress data, which can increase your Azure costs. Para obter mais informações, consulte Publicar a lista de certificados revogados.For more information, see Publish the certificate revocation list.

Armazenamento de conteúdoContent storage

  • Os clientes baseados na Internet recebem o conteúdo da atualização de software da Microsoft do Windows Update sem custo adicional.Internet-based clients get Microsoft software update content from Windows Update at no charge. Não distribua pacotes de atualização com o conteúdo do Microsoft Update para um ponto de distribuição na nuvem; caso contrário, você poderá incorrer em custos de armazenamento e de saída de dados.Don't distribute update packages with Microsoft update content to a cloud distribution point, otherwise you may incur storage and data egress costs.

  • Para outros tipos de conteúdo necessários, como atualizações de aplicativos ou de software de terceiros, é necessário distribuí-los para um ponto de distribuição na nuvem.For any other necessary content, such as applications or third-party software updates, you must distribute to a cloud distribution point. Atualmente, o CMG dá suporte apenas ao ponto de distribuição na nuvem para enviar conteúdo aos clientes.Currently, the CMG supports only the cloud distribution point for sending content to clients.

  • Para obter mais informações, confira o custo de utilização de pontos de distribuição na nuvem.For more information, see the cost of using cloud distribution points.

  • Da versão 1806 em diante, um CMG pode também ser um ponto de distribuição de nuvem para fornecer conteúdo aos clientes.Starting in version 1806, a CMG can also be a cloud distribution point to serve content to clients. Essa funcionalidade reduz os certificados necessários e o custo das VMs do Azure.This functionality reduces the required certificates and cost of Azure VMs. Para obter mais informações, consulte Modificar um CMG.For more information, see Modify a CMG.

Outros custosOther costs

  • Cada serviço de nuvem tem um endereço IP dinâmico.Each cloud service has a dynamic IP address. Cada CMG distinto usa um novo endereço IP dinâmico.Each distinct CMG uses a new dynamic IP address. A adição de outras VMs por CMG não aumenta esses endereços.Adding additional VMs per CMG doesn't increase these addresses.

Desempenho e escalaPerformance and scale

Para obter mais informações sobre a escala do CMG, consulte Tamanho e números de escala.For more information on CMG scale, see Size and scale numbers.

As seguintes recomendações podem ajudá-lo a melhorar o desempenho do CMG:The following recommendations can help you improve CMG performance:

  • Se possível, configure o CMG, o ponto de conexão do CMG e o servidor do site do Configuration Manager na mesma região da rede para reduzir a latência.If possible, configure the CMG, CMG connection point, and the Configuration Manager site server in same network region to reduce latency.

  • A conexão entre o cliente do Configuration Manager e o CMG não tem reconhecimento de região.The connection between the Configuration Manager client and the CMG isn't region-aware. A comunicação do cliente não é afetada pela latência/separação geográfica.Client communication is largely unaffected by latency / geographic separation. Não é necessário implantar vários CMG para fins de proximidade geográfica.It's not necessary to deploy multiple CMG for the purposes of geo-proximity. Implante o CMG no site de nível superior na sua hierarquia e adicione instâncias para aumentar a escala.Deploy the CMG at the top-level site in your hierarchy and add instances to increase scale.

  • Para alta disponibilidade do serviço, crie um CMG com, pelo menos, duas instâncias do CMG e dois pontos de conexão do CMG por site.For high availability of the service, create a CMG with at least two CMG instances and two CMG connection points per site.

  • Dimensione o CMG para dar suporte a mais clientes adicionando mais instâncias de VM.Scale the CMG to support more clients by adding more VM instances. O Azure Load Balancer controla as conexões de cliente com o serviço.The Azure load balancer controls client connections to the service.

  • Crie mais pontos de conexão de CMG para distribuir a carga entre eles.Create more CMG connection points to distribute the load among them. O CMG distribui o tráfego para seus pontos de conexão do CMG de conexão de forma round-robin.The CMG distributes the traffic to its connecting CMG connection points in a round-robin fashion.

  • Quando o CMG está sob alta carga com mais do que o número de clientes compatíveis, ele ainda manipula as solicitações, mas pode haver atraso.When the CMG is under high load with more than the supported number of clients, it still handles requests but there may be delay.

Observação

Embora o Configuration Manager não tenha nenhum limite rígido quanto ao número de clientes para um ponto de conexão do CMG, o Windows Server tem um intervalo máximo padrão de portas dinâmicas TCP de 16.384.While Configuration Manager has no hard limit on the number of clients for a CMG connection point, Windows Server has a default maximum TCP dynamic port range of 16,384. Se um site do Configuration Manager gerencia mais de 16.384 clientes com um único ponto de conexão do CMG, é necessário aumentar o limite do Windows Server.If a Configuration Manager site manages more than 16,384 clients with a single CMG connection point, you must increase the Windows Server limit. Todos os clientes mantêm um canal para as notificações do cliente, que mantém uma porta aberta no ponto de conexão do CMG.All clients maintain a channel for client notifications, which holds a port open on the CMG connection point. Para obter mais informações sobre como usar o comando netsh para aumentar esse limite, consulte o artigo 929851 do Suporte da Microsoft.For more information on how to use the netsh command to increase this limit, see Microsoft Support article 929851.

Portas e fluxo de dadosPorts and data flow

Você não precisa abrir nenhuma porta de entrada para a rede local.You don't need to open any inbound ports to your on-premises network. O ponto de conexão de serviço e o ponto de conexão do CMG iniciam toda a comunicação com o Azure e o CMG.The service connection point and CMG connection point initiate all communication with Azure and the CMG. Essas duas funções do sistema de sites precisam criar conexões de saída para a nuvem da Microsoft.These two site system roles need to create outbound connections to the Microsoft cloud. O ponto de conexão de serviço implanta e monitora o serviço no Azure e, portanto, ele precisa estar no modo online.The service connection point deploys and monitors the service in Azure, thus must be online mode. O ponto de conexão do CMG se conecta ao CMG para gerenciar a comunicação entre o CMG e as funções do sistema de sites locais.The CMG connection point connects to the CMG to manage communication between the CMG and on-premises site system roles.

O seguinte diagrama é um fluxo de dados básico e conceitual do CMG:The following diagram is a basic, conceptual data flow for the CMG:

Fluxo de dados do CMG

  1. O ponto de conexão de serviço se conecta ao Azure pela porta HTTPS 443.The service connection point connects to Azure over HTTPS port 443. Ele se autentica usando o Azure AD ou o certificado de gerenciamento do Azure.It authenticates using Azure AD or the Azure management certificate. O ponto de conexão de serviço implanta o CMG no Azure.The service connection point deploys the CMG in Azure. O CMG cria o serviço de nuvem HTTPS usando o certificado de autenticação de servidor.The CMG creates the HTTPS cloud service using the server authentication certificate.

  2. O ponto de conexão do CMG se conecta ao CMG no Azure por TCP-TLS ou HTTPS.The CMG connection point connects to the CMG in Azure over TCP-TLS or HTTPS. Ele mantém a conexão aberta e cria o canal para a comunicação bidirecional futura.It holds the connection open, and builds the channel for future two-way communication.

  3. O cliente se conecta ao CMG pela porta HTTPS 443.The client connects to the CMG over HTTPS port 443. Ele se autentica usando o Azure AD ou o certificado de autenticação de cliente.It authenticates using Azure AD or the client authentication certificate.

  4. O CMG encaminha a comunicação do cliente pela conexão existente para o ponto de conexão do CMG local.The CMG forwards the client communication over the existing connection to the on-premises CMG connection point. Não é necessário abrir nenhuma porta de firewall de entrada.You don't need to open any inbound firewall ports.

  5. O ponto de conexão do CMG encaminha a comunicação do cliente para o ponto de gerenciamento local e o ponto de atualização de software.The CMG connection point forwards the client communication to the on-premises management point and software update point.

Para saber mais ao hospedar conteúdo no Azure, confira Usar um ponto de distribuição baseado em nuvem.For more information when you host content in Azure, see Use a cloud-based distribution point.

Portas obrigatóriasRequired ports

Esta tabela lista as portas de rede e os protocolos obrigatórios.This table lists the required network ports and protocols. O Cliente é o dispositivo que inicia a conexão, exigindo uma porta de saída.The Client is the device initiating the connection, requiring an outbound port. O Servidor é o dispositivo que aceita a conexão, exigindo uma porta de entrada.The Server is the device accepting the connection, requiring an inbound port.

ClienteClient ProtocoloProtocol PortaPort ServidorServer DescriçãoDescription
Ponto de Conexão de ServiçoService connection point HTTPSHTTPS 443443 AzureAzure Implantação de CMGCMG deployment
Ponto de conexão de CMGCMG connection point TCP-TLSTCP-TLS 10140-1015510140-10155 Serviço CMGCMG service Protocolo preferencial para criação do canal do CMG 1Preferred protocol to build CMG channel 1
Ponto de conexão de CMGCMG connection point HTTPSHTTPS 443443 Serviço CMGCMG service Protocolo de fallback para criação do canal do CMG para apenas uma instância de VM2Fallback protocol to build CMG channel to only one VM instance2
Ponto de conexão de CMGCMG connection point HTTPSHTTPS 10124-1013910124-10139 Serviço CMGCMG service Protocolo de fallback para criação do canal do CMG para duas ou mais instâncias de VM3Fallback protocol to build CMG channel to two or more VM instances3
ClienteClient HTTPSHTTPS 443443 CMGCMG Comunicação geral entre clientesGeneral client communication
Ponto de conexão de CMGCMG connection point HTTPS ou HTTPHTTPS or HTTP 443 ou 80443 or 80 Ponto de gerenciamentoManagement point
(versão 1710)(version 1710)
Tráfego local; a porta depende da configuração do ponto de gerenciamentoOn-premises traffic, port depends upon management point configuration
Ponto de conexão de CMGCMG connection point HTTPSHTTPS 443443 Ponto de gerenciamentoManagement point
(versão 1802)(version 1802)
O tráfego local deve ser HTTPSOn-premises traffic must be HTTPS
Ponto de conexão de CMGCMG connection point HTTPS ou HTTPHTTPS or HTTP 443 ou 80443 or 80 Ponto de atualização de softwareSoftware update point Tráfego local; a porta depende da configuração do ponto de atualização de softwareOn-premises traffic, port depends upon software update point configuration

1 O ponto de conexão do CMG primeiro tenta estabelecer uma conexão TCP-TLS de longa vida com cada instância de VM do CMG.1 The CMG connection point first tries to establish a long-lived TCP-TLS connection with each CMG VM instance. Ele se conecta à primeira instância de VM na porta 10140.It connects to the first VM instance on port 10140. A segunda instância de VM usa a porta 10141, até a 16ª na porta 10155.The second VM instance uses port 10141, up to the 16th on port 10155. Uma conexão TCP-TLS tem o melhor desempenho, mas não dá suporte ao proxy da Internet.A TCP-TLS connection performs the best, but it doesn’t support internet proxy. Se o ponto de conexão do CMG não puder se conectar por TCP-TLS, ele recorrerá ao HTTPS2.If the CMG connection point can’t connect via TCP-TLS, then it falls back to HTTPS2.

2 Se o ponto de conexão do CMG não puder se conectar ao CMG por TCP-TLS1, ele se conectará ao balanceador de carga de rede do Azure por HTTPS 443 apenas para uma instância de VM.2 If the CMG connection point can’t connect to the CMG via TCP-TLS1, it connects to the Azure network load balancer over HTTPS 443 only for one VM instance.

3 Se houver duas ou mais instâncias de VM, o ponto de conexão do CMG usará o HTTPS 10124 para a primeira instância de VM, não o HTTPS 443.3 If there are two or more VM instances, the CMG connection point uses HTTPS 10124 to the first VM instance, not HTTPS 443. Ele se conectará à segunda instância de VM em HTTPS 10125, até a 16ª na porta HTTPS 10139.It connects to the second VM instance on HTTPS 10125, up to the 16th on HTTPS port 10139.

Requisitos de acesso à InternetInternet access requirements

Se sua organização restringe a comunicação de rede com a Internet usando um dispositivo de firewall ou proxy, você precisará permitir que o ponto de conexão do CMG e o ponto de conexão de serviço acesse os pontos de extremidade da Internet.If your organization restricts network communication with the internet using a firewall or proxy device, you need to allow CMG connection point and service connection point to access internet endpoints.

Para saber mais, confira Requisitos de acesso à Internet.For more information, see Internet access requirements.

Próximas etapasNext steps