Planeje o CMG no Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Para simplificar o gerenciamento de clientes baseados na Internet, primeiro desenvolva um plano para o CMG (gateway de gerenciamento de nuvem). Projete como ele se encaixa em seu ambiente e prepare-se para sua implementação.

Para saber mais sobre cenários de CMG e casos de uso, consulte Visão geral do CMG.

Observação

Algumas seções que estavam anteriormente neste artigo foram movidas:

Lista de verificação de planejamento

O processo geral de planejamento do CMG é dividido nas seguintes partes:

  • Componentes e requisitos: este artigo resume os componentes que compõem o sistema CMG. Ele também lista os requisitos do sistema.

  • Autenticação do cliente: determine qual método de autenticação você usará para clientes de redes potencialmente não confiáveis.

  • Design de hierarquia: planeje onde colocar o CMG em seu ambiente.

  • Configurações com suporte: entenda quais Configuration Manager recursos que você pode dar suporte em clientes baseados na Internet que se conectam ao CMG.

  • Desempenho e escala: decida quantos componentes de serviço você precisará para dar melhor suporte ao número de clientes.

  • Custo: entenda o custo dos componentes baseados no Azure.

Componentes CMG

A implantação e a operação do CMG incluem os seguintes componentes:

  • O serviço de nuvem CMG no Azure autentica e encaminha Configuration Manager solicitações de cliente pela Internet para o ponto de conexão cmg local.

  • A função do sistema de site de ponto de conexão CMG permite uma conexão consistente e de alto desempenho da rede local para o serviço CMG no Azure. Ele também publica configurações no CMG, incluindo informações de conexão e configurações de segurança. O ponto de conexão CMG encaminha solicitações de cliente do CMG para funções locais de acordo com mapeamentos de URL. Por exemplo, o ponto de gerenciamento e o ponto de atualização de software.

  • A função do sistema do site de ponto de conexão de serviço executa o componente do gerenciador de serviços de nuvem, que lida com todas as tarefas de implantação do CMG. Além disso, ele monitora e relata informações de integridade do serviço e registro em log de Microsoft Entra ID. Verifique se o ponto de conexão de serviço está no modo online.

  • O ponto de gerenciamento e as funções do sistema do sistema de site de atualização de software são solicitações de cliente de serviço por normal.

  • O CMG usa um serviço Web HTTPS baseado em certificado para ajudar a proteger a comunicação de rede com clientes.

  • Clientes baseados na Internet se conectam ao CMG para acessar componentes Configuration Manager locais. Há várias opções para identidade e autenticação do cliente:

    • Microsoft Entra ID
    • Certificados PKI
    • Configuration Manager tokens emitidos pelo site

    Para obter mais informações, consulte Planejar a autenticação do cliente CMG.

  • O CMG cria uma conta de armazenamento do Azure, que usa para suas operações padrão. Por padrão, o CMG também está habilitado para conteúdo para fornecer conteúdo de implantação para clientes baseados na Internet. Essa conta de armazenamento não dá suporte a personalizações, como restrições de rede virtual.

    Observação

    O CDP (ponto de distribuição baseado em nuvem) é preterido. A partir da versão 2107, você não pode criar novas instâncias de CDP. Para fornecer conteúdo para dispositivos baseados na Internet, habilite o CMG para distribuir conteúdo.

Azure Resource Manager

Você cria o CMG usando uma implantação do Azure Resource Manager. O Azure Resource Manager é uma plataforma moderna para gerenciar todos os recursos de solução como uma única entidade, chamada de grupo de recursos. Quando você implanta um CMG com o Azure Resource Manager, o site usa Microsoft Entra ID para autenticar e criar os recursos de nuvem necessários.

Importante

A partir da versão 2203, a opção de implantar um CMG como um serviço de nuvem (clássico) é removida. Todas as implantações de CMG devem usar um conjunto de dimensionamento de máquinas virtuais. Para obter mais informações, consulte Recursos removidos e preteridos.

Conjuntos de dimensionamento de máquinas virtuais

Observação

Esse recurso foi introduzido pela primeira vez na versão 2010 como um recurso de pré-lançamento. A partir da versão 2107, ele não é mais um recurso de pré-lançamento.

Configuration Manager não habilita esse recurso opcional por padrão. Você deve habilitar esse recurso antes de usá-lo. Para obter mais informações, consulte Habilitar recursos opcionais das atualizações.

A partir da versão 2010, os clientes com uma assinatura do CSP (Provedor de Soluções na Nuvem) podem implantar o CMG com um conjunto de dimensionamento de máquinas virtuais no Azure. Esse suporte será somente se eles não tiverem atualmente um CMG implantado usando serviços de nuvem clássicos para outra assinatura.

A partir da versão 2107, todos os clientes podem implantar um CMG com um conjunto de dimensionamento de máquinas virtuais. Se você tiver um CMG existente implantado com o serviço de nuvem clássico, converta o CMG para usar um conjunto de dimensionamento de máquinas virtuais.

Com algumas exceções, a configuração, a operação e a funcionalidade do CMG permanecem as mesmas.

  • Outros provedores de recursos do Azure em sua assinatura do Azure.

  • Nomes de implantação diferentes, por exemplo, GraniteFalls.EastUS.CloudApp.Azure.Com para uma implantação na região leste do Azure dos EUA. Essa alteração de nome pode afetar a forma como você cria e gerencia o certificado de autenticação do servidor CMG.

  • O ponto de conexão CMG só se comunica com o conjunto de dimensionamento de máquinas virtuais no Azure por HTTPS. Não requer portas TCP-TLS.

Limitações para um CMG com um conjunto de dimensionamento de máquinas virtuais

Limitações com versões 2107 e posterior

Observação

A partir da versão 2111, implantações de CMG com um conjunto de dimensionamento de máquinas virtuais dão suporte a ambientes de nuvem do Governo dos EUA do Azure.

  • Os usuários podem sofrer um atraso de até três segundos para ações no Centro de Software.
  • Você não pode aprovar/negar solicitações de aplicativo por meio do CMG.
  • A versão 2107 não dá suporte a ambientes de nuvem do Governo dos EUA do Azure.

Limitações com versões 2010 e 2103

  • Se você precisar de mais de uma instância cmg, todos eles terão que usar o mesmo método de implantação.
  • O número com suporte de conexões simultâneas de cliente é de 2.000 por instância de VM. Para obter mais informações, confira Desempenho e escala de CMG.
  • Ele só tem suporte com um site primário autônomo.
  • Ele não dá suporte a ambientes de nuvem do Governo dos EUA do Azure.
  • Os usuários podem sofrer um atraso de até três segundos para ações no Centro de Software.
  • Configuration Manager atualmente cria o contêiner de armazenamento do Azure com base no nome do grupo de recursos. O Azure tem requisitos de nomenclatura diferentes para grupos de recursos e contêineres de armazenamento. Verifique se o nome do grupo de recursos para esse serviço só tem letras minúsculas, números e hifens. Se você tiver um grupo de recursos existente que não funcione, renomeie-o no portal do Azure ou crie um novo grupo de recursos.
  • Se você tiver mais de um ponto de gerenciamento HTTPS, não poderá instalar o cliente Configuration Manager em dispositivos pela Internet. Se você precisar instalar clientes locais usando um CMG, só poderá ter um ponto de gerenciamento HTTPS. Você também precisa habilitar o CMG para conteúdo.
  • Você não pode aprovar/negar solicitações de aplicativo por meio do CMG.

Requisitos

Dica

Para esclarecer alguma terminologia do Azure:

  • O locatário Microsoft Entra ID é o diretório de contas de usuário e registros de aplicativo. Um locatário pode ter várias assinaturas.
  • Uma assinatura do Azure separa cobrança, recursos e serviços. Está associado a um único locatário.

Para obter mais informações, confira Assinaturas, licenças, contas e locatários para ofertas de nuvem da Microsoft.

  • Uma assinatura do Azure para hospedar o CMG. Essa assinatura pode estar em um dos seguintes ambientes:

    • Nuvem global do Azure
    • Nuvem do Governo dos EUA do Azure

    Os clientes com uma assinatura do CSP (Provedor de Serviços de Nuvem) precisam usar a versão 2010 ou posterior com uma implantação de conjunto de dimensionamento de máquinas virtuais .

  • Integre o site ao Microsoft Entra ID para implantar o serviço com o Azure Resource Manager. Para obter mais informações, consulte Configurar Microsoft Entra ID para CMG.

    Ao integrar o site para Microsoft Entra ID, opcionalmente você pode habilitar Microsoft Entra descoberta do usuário. Não é necessário criar o CMG, mas necessário se você planeja usar Microsoft Entra autenticação com identidades híbridas. Para obter mais informações, consulte Instalar clientes usando Microsoft Entra ID e consulte Sobre Microsoft Entra descoberta do usuário.

  • Um administrador do Azure precisa participar da criação inicial de determinados componentes. Essa persona pode ser a mesma que o administrador do Configuration Manager ou separada. Se separados, eles não precisarão de permissões no Configuration Manager.

    • Ao integrar o site ao Microsoft Entra ID para implantar o CMG usando o Azure Resource Manager, você precisa de um Administrador Global.

    • Ao criar o CMG, você precisa de uma conta que seja um Proprietário de Assinatura do Azure e um administrador global de ID Microsoft Entra.

  • Sua conta de usuário precisa ser um administrador completo ou administrador de infraestrutura no Configuration Manager.

  • Pelo menos um servidor Windows local para hospedar o ponto de conexão CMG. Você pode colocar essa função com outras funções do sistema de sites Configuration Manager.

  • O ponto de conexão de serviço deve estar no modo online.

  • Configure o ponto de gerenciamento para permitir o tráfego do CMG. Ele também precisa exigir HTTPS ou configurar o site para HTTP aprimorado.

  • Um certificado de autenticação de servidor para o CMG.

  • Os nomes CMG precisam estar entre 3 e 24 caracteres alfanuméricos. O nome deve começar com uma letra, terminar com uma letra ou dígito e não conter hifens consecutivos.

  • Outros certificados podem ser necessários , dependendo da versão do sistema operacional cliente e do modelo de autenticação. Para obter mais informações, consulte Configurar autenticação do cliente.

  • Os clientes devem usar o IPv4.

  • Verifique se as seguintes configurações de cliente no grupo de serviços de nuvem estão habilitadas para dispositivos que usarão o CMG:

    • Permitir que os clientes usem um gateway de gerenciamento de nuvem
    • Permitir acesso ao ponto de distribuição de nuvem

    Observação

    Se você habilitar a configuração do cliente para Baixar conteúdo delta quando disponível, o conteúdo de atualizações de terceiros não será baixado para clientes.

Próximas etapas

Em seguida, determine como os clientes se autenticarão com o CMG:

Planejar a autenticação do cliente CMG