Certificados para o gateway de gestão de nuvemCertificates for the cloud management gateway

Aplica-se a: Gestor de Configuração (ramo atual)Applies to: Configuration Manager (current branch)

Dependendo do cenário que utiliza para gerir clientes na internet com o portal de gestão de nuvem (CMG), precisa de um ou mais dos seguintes certificados digitais:Depending upon the scenario you use to manage clients on the internet with the cloud management gateway (CMG), you need one or more of the following digital certificates:

Para obter mais informações sobre os diferentes cenários, consulte o plano para o gateway de gestão de nuvens.For more information about the different scenarios, see plan for cloud management gateway.

Informações geraisGeneral information

Os certificados para o gateway de gestão da nuvem suportam as seguintes configurações:Certificates for the cloud management gateway support the following configurations:

  • Comprimento da chave de 2048-bit ou 4096 bit2048-bit or 4096-bit key length

  • Principais fornecedores de armazenamento para chaves privadas de certificado.Key storage providers for certificate private keys. Para mais informações, consulte a visão geral dos certificados de CNG.For more information, see CNG certificates overview.

  • Quando configurar o Windows com a seguinte política: Criptografia do sistema: Utilize algoritmos compatíveis com FIPS para encriptação, hashing e assinaturaWhen you configure Windows with the following policy: System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing

  • TLS 1.2.TLS 1.2. Para mais informações, consulte Como ativar o TLS 1.2.For more information, see How to enable TLS 1.2.

Certificado de autenticação do servidor CMGCMG server authentication certificate

Este certificado é exigido em todos os cenários.This certificate is required in all scenarios.

Fornece este certificado ao criar o CMG na consola 'Gestor de Configuração'.You supply this certificate when creating the CMG in the Configuration Manager console.

A CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se conectam.The CMG creates an HTTPS service to which internet-based clients connect. O servidor requer um certificado de autenticação do servidor para construir o canal seguro.The server requires a server authentication certificate to build the secure channel. Adquira um certificado para o efeito a um prestador público, ou emita-o a partir da sua infraestrutura de chave pública (PKI).Acquire a certificate for this purpose from a public provider, or issue it from your public key infrastructure (PKI). Para mais informações, consulte o certificado raiz fidedigno da CMG aos clientes.For more information, see CMG trusted root certificate to clients.

Nota

O certificado de autenticação do servidor CMG suporta wildcards.The CMG server authentication certificate supports wildcards. Algumas autoridades de certificados emitem certificados usando um personagem wildcard para o nome de anfitrião.Some certificate authorities issue certificates using a wildcard character for the hostname. Por exemplo, *.contoso.com.For example, *.contoso.com. Algumas organizações usam certificados wildcard para simplificar o seu PKI e reduzir os custos de manutenção.Some organizations use wildcard certificates to simplify their PKI and reduce maintenance costs.

Para obter mais informações sobre como utilizar um certificado wildcard com um CMG, consulte Configurar um CMG.For more information on how to use a wildcard certificate with a CMG, see Set up a CMG.

Este certificado requer um nome globalmente único para identificar o serviço em Azure.This certificate requires a globally unique name to identify the service in Azure. Antes de solicitar um certificado, confirme que o nome de domínio Azure que deseja é único.Before requesting a certificate, confirm that the Azure domain name you want is unique. Por exemplo, GraniteFalls.CloudApp.Net.For example, GraniteFalls.CloudApp.Net.

  1. Inicie sessão no portal do Azure.Sign in to the Azure portal.

  2. Selecione todos os recursose, em seguida, selecione Adicionar.Select All resources, and then select Add.

  3. Procure o serviço Cloud.Search for Cloud service. Selecione Criar.Select Create.

  4. No campo de nome DNS, digite o prefixo que desejar, por exemplo GraniteFalls.In the DNS name field, type the prefix you want, for example GraniteFalls. A interface reflete se o nome de domínio está disponível ou já está a ser utilizado por outro serviço.The interface reflects whether the domain name is available or already in use by another service.

    Importante

    Não crie o serviço no portal, basta utilizar este processo para verificar a disponibilidade do nome.Don't create the service in the portal, just use this process to check the name availability.

Se também ativar o CMG para conteúdos, confirme que o nome do serviço CMG é também um nome único da conta de armazenamento Azure.If you will also enable the CMG for content, confirm that the CMG service name is also a unique Azure storage account name. Se o nome de serviço de nuvem CMG for único, mas o nome da conta de armazenamento não for, o Gestor de Configuração não presta o serviço em Azure.If the CMG cloud service name is unique, but the storage account name isn't, Configuration Manager fails to provision the service in Azure. Repita o processo acima no portal Azure com as seguintes alterações:Repeat the above process in the Azure portal with the following changes:

  • Pesquisar por conta de ArmazenamentoSearch for Storage account
  • Teste o seu nome no campo de nome da conta de armazenamentoTest your name in the Storage account name field

O prefixo do nome DNS, por exemplo GraniteFalls, deve ter 3 a 24 caracteres de comprimento, e usar apenas caracteres alfanuméricos.The DNS name prefix, for example GraniteFalls, should be 3 to 24 characters long, and only use alphanumeric characters. Não use caracteres especiais, como-um traço .Don't use special characters, like a dash (-).

Certificado de raiz fidedigno da CMG aos clientesCMG trusted root certificate to clients

Os clientes devem confiar no certificado de autenticação do servidor CMG.Clients must trust the CMG server authentication certificate. Há dois métodos para realizar esta confiança:There are two methods to accomplish this trust:

  • Utilize um certificado de um fornecedor de certificados de confiança pública e global.Use a certificate from a public and globally trusted certificate provider. Por exemplo, mas não se limitando a, DigiCert, Thawte ou VeriSign.For example, but not limited to, DigiCert, Thawte, or VeriSign. Os clientes windows incluem autoridades de certificados de raiz fidedignas (AE) destes fornecedores.Windows clients include trusted root certificate authorities (CAs) from these providers. Utilizando um certificado de autenticação de servidor emitido por um destes fornecedores, os seus clientes confiam automaticamente nele.By using a server authentication certificate issued by one of these providers, your clients automatically trust it.

  • Utilize um certificado emitido por uma empresa CA da sua infraestrutura de chaves públicas (PKI).Use a certificate issued by an enterprise CA from your public key infrastructure (PKI). A maioria das implementações do PKI da empresa adicionam os CAs de raiz confiável aos clientes windows.Most enterprise PKI implementations add the trusted root CAs to Windows clients. Por exemplo, utilizar serviços de certificados de diretório ativo com a política do grupo.For example, using Active Directory Certificate Services with group policy. Se emitir o certificado de autenticação do servidor CMG a partir de uma AC em que os seus clientes não confiam automaticamente, adicione o certificado raiz de confiança da AC aos clientes baseados na Internet.If you issue the CMG server authentication certificate from a CA that your clients don't automatically trust, add the CA trusted root certificate to internet-based clients.

Certificado de autenticação do servidor emitido por fornecedor públicoServer authentication certificate issued by public provider

Um fornecedor de certificados de terceiros não pode criar um certificado para CloudApp.net, uma vez que esse domínio é propriedade da Microsoft.A third-party certificate provider can't create a certificate for CloudApp.net, as that domain is owned by Microsoft. Só pode obter um certificado emitido para um domínio que possui.You can only get a certificate issued for a domain you own. A principal razão para adquirir um certificado a um fornecedor de terceiros é que os seus clientes já confiam no certificado raiz desse fornecedor.The main reason for acquiring a certificate from a third-party provider is that your clients already trust that provider's root certificate.

Utilize o seguinte processo para criar um pseudónimo DNS:Use the following process to create a DNS alias:

  1. Crie um registo de nome canónico (CNAME) no DNS público da sua organização.Create a canonical name record (CNAME) in your organization's public DNS. Este registo cria um pseudónimo para a CMG para um nome amigável que utiliza na certidão pública.This record creates an alias for the CMG to a friendly name that you use in the public certificate.

    Por exemplo, Contoso dá nomes às suas Cataratas de GranitoCMG .For example, Contoso names their CMG GraniteFalls. Este nome torna-se GraniteFalls.CloudApp.Net em Azure.This name becomes GraniteFalls.CloudApp.Net in Azure. No dNS público de Contoso contoso.com espaço de nome, o administrador do DNS cria um novo recorde CNAME para GraniteFalls.Contoso.com para o nome verdadeiro do anfitrião, GraniteFalls.CloudApp.net.In Contoso's public DNS contoso.com namespace, the DNS administrator creates a new CNAME record for GraniteFalls.Contoso.com for the real host name, GraniteFalls.CloudApp.net.

  2. Solicite um certificado de autenticação do servidor a um fornecedor público utilizando o Nome Comum (CN) do pseudónimo CNAME.Request a server authentication certificate from a public provider using the Common Name (CN) of the CNAME alias. Por exemplo, Contoso usa GraniteFalls.Contoso.com para o certificado CN.For example, Contoso uses GraniteFalls.Contoso.com for the certificate CN.

  3. Crie o CMG na consola 'Gestor de Configuração' utilizando este certificado.Create the CMG in the Configuration Manager console using this certificate. Na página definições do Assistente de Gateway de Gestão de Nuvem:On the Settings page of the Create Cloud Management Gateway Wizard:

    • Quando adiciona o certificado de servidor para este serviço na nuvem (a partir do ficheiro Certificado), o assistente extrai o nome de anfitrião do certificado CN como nome de serviço.When you add the server certificate for this cloud service (from Certificate file), the wizard extracts the hostname from the certificate CN as the service name.

    • Em seguida, anexa esse nome de anfitrião para cloudapp.net, ou usgovcloudapp.net para a nuvem do Governo dos EUA Azure, como o Serviço FQDN para criar o serviço em Azure.It then appends that hostname to cloudapp.net, or usgovcloudapp.net for the Azure US Government cloud, as the Service FQDN to create the service in Azure.

    • Por exemplo, quando o Contoso cria o CMG, o Gestor de Configuração extrai o nome de anfitrião GraniteFalls do certificado CN.For example, when Contoso creates the CMG, Configuration Manager extracts the hostname GraniteFalls from the certificate CN. Azure cria o serviço real como GraniteFalls.CloudApp.net.Azure creates the actual service as GraniteFalls.CloudApp.net.

Quando cria a instância CMG no Gestor de Configuração, enquanto o certificado tem GraniteFalls.Contoso.com, o Gestor de Configuração extrai apenas o nome de anfitrião, por exemplo: GraniteFalls.When you create the CMG instance in Configuration Manager, while the certificate has GraniteFalls.Contoso.com, Configuration Manager only extracts the hostname, for example: GraniteFalls. Anexa este nome de anfitrião a CloudApp.net, que o Azure necessita na criação de um serviço na nuvem.It appends this hostname to CloudApp.net, which Azure requires when creating a cloud service. O pseudónimo CNAME no espaço de nome DNS para o seu domínio, Contoso.com, mapeia juntos estes dois FQDNs.The CNAME alias in the DNS namespace for your domain, Contoso.com, maps together these two FQDNs. O Gestor de Configuração dá aos clientes uma política de acesso a este CMG, o mapeamento dNS une-o para que possam aceder de forma segura ao serviço em Azure.Configuration Manager gives clients a policy to access this CMG, the DNS mapping ties it together so that they can securely access the service in Azure.

Certificado de autenticação do servidor emitido da empresa PKIServer authentication certificate issued from enterprise PKI

Crie um certificado SSL personalizado para o CMG o mesmo que para um ponto de distribuição em nuvem.Create a custom SSL certificate for the CMG the same as for a cloud distribution point. Siga as instruções para a implementação do certificado de serviço para pontos de distribuição baseados na nuvem, mas faça as seguintes coisas de forma diferente:Follow the instructions for Deploying the service certificate for cloud-based distribution points but do the following things differently:

  • Ao solicitar o certificado de servidor web personalizado, forneça um FQDN para o nome comum do certificado.When requesting the custom web server certificate, provide an FQDN for the certificate's common name. Este nome pode ser um nome de domínio público que possui ou pode utilizar o domínio cloudapp.net.This name can be a public domain name you own or you may use the cloudapp.net domain. Se utilizar o seu próprio domínio público, consulte o processo acima para criar um pseudónimo DNS no DNS público da sua organização.If using your own public domain, refer to the process above for creating a DNS alias in your organization's public DNS.

  • Ao utilizar o domínio cloudapp.net público para o certificado de servidor web CMG:When using the cloudapp.net public domain for the CMG web server certificate:

    • Na nuvem pública de Azure, use um nome que termina em cloudapp.netOn the Azure public cloud, use a name that ends in cloudapp.net

    • Use um nome que termina em usgovcloudapp.net para a nuvem do Governo dos EUA AzureUse a name that ends in usgovcloudapp.net for the Azure US Government cloud

Certificado de autenticação do clienteClient authentication certificate

Este certificado é necessário para clientes baseados na Internet que executam o Windows 8.1, e os dispositivos Windows 10 não se juntam ao Azure Ative Directory (Azure AD). Também é necessário no ponto de ligação CMG. Não é necessário para clientes do Windows 10 que se juntaram à Azure AD.This certificate is required for internet-based clients running Windows 8.1, and Windows 10 devices not joined to Azure Active Directory (Azure AD). It's also required on the CMG connection point. It isn't required for Windows 10 clients joined to Azure AD.

Os clientes usam este certificado para autenticar com a CMG.The clients use this certificate to authenticate with the CMG. Os dispositivos Windows 10 que são híbridos ou em nuvem não necessitam deste certificado porque utilizam o Azure AD para autenticar.Windows 10 devices that are hybrid or cloud domain-joined don't require this certificate because they use Azure AD to authenticate.

Forei este certificado fora do contexto do Gestor de Configuração.Provision this certificate outside of the context of Configuration Manager. Por exemplo, utilize serviços de certificadode diretório ativo e política de grupo para emitir certificados de autenticação de clientes.For example, use Active Directory Certificate Services and group policy to issue client authentication certificates. Para mais informações, consulte a implementação do certificado de cliente para computadores Windows.For more information, see Deploying the client certificate for Windows computers.

Para encaminhar de forma segura os pedidos dos clientes, o ponto de ligação CMG requer um certificado de autenticação do cliente que corresponda ao certificado de autenticação do servidor no ponto de gestão HTTPS.To securely forward client requests, the CMG connection point requires a client authentication certificate that corresponds to the server authentication certificate on the HTTPS management point. Se os clientes utilizarem a autenticação Azure AD, ou configurar o ponto de gestão para O HTTP Melhorado, este certificado não é necessário.If clients use Azure AD authentication, or you configure the management point for Enhanced HTTP, this certificate isn't required. Para mais informações, consulte O ponto de gestão enable para HTTPS.For more information, see Enable management point for HTTPS.

Nota

A Microsoft recomenda a adesão de dispositivos à Azure AD.Microsoft recommends joining devices to Azure AD. Os dispositivos baseados na Internet podem usar a AD Azure para autenticar com o Gestor de Configuração.Internet-based devices can use Azure AD to authenticate with Configuration Manager. Também permite tanto os cenários do dispositivo como do utilizador, quer o dispositivo esteja na internet ou ligado à rede interna.It also enables both device and user scenarios whether the device is on the internet or connected to the internal network. Para mais informações, consulte Instalar e registar o cliente utilizando a identidade Azure AD.For more information, see Install and register the client using Azure AD identity.

Começando na versão 2002,Starting in version 2002, O Gestor de Configuração alarga o seu suporte a dispositivos baseados na Internet que muitas vezes não se ligam à rede interna, não conseguem aderir ao Azure Ative Directory (Azure AD), e não têm um método para instalar um certificado emitido pelo PKI.Configuration Manager extends its support for internet-based devices that don't often connect to the internal network, aren't able to join Azure Active Directory (Azure AD), and don't have a method to install a PKI-issued certificate. Para mais informações, consulte a autenticação baseada em Token para CMG.For more information, see Token-based authentication for CMG.

Certificado de raiz fidedigno do cliente à CMGClient trusted root certificate to CMG

Este certificado é exigido quando utilizar certificados de autenticação do cliente. Quando todos os clientes usam a AD Azure para autenticação, este certificado não é necessário.This certificate is required when using client authentication certificates. When all clients use Azure AD for authentication, this certificate isn't required.

Fornece este certificado ao criar o CMG na consola 'Gestor de Configuração'.You supply this certificate when creating the CMG in the Configuration Manager console.

A CMG deve confiar nos certificados de autenticação do cliente.The CMG must trust the client authentication certificates. Para realizar esta confiança, forneça a cadeia de certificados de raiz fidedigno.To accomplish this trust, provide the trusted root certificate chain. Certifique-se de adicionar todos os certificados na cadeia de confiança.Make sure to add all certificates in the trust chain. Por exemplo, se o certificado de autenticação do cliente for emitido por um CA intermédio, adicione os certificados ca intermédios e de raiz.For example, if the client authentication certificate is issued by an intermediate CA, add both the intermediate and root CA certificates.

Nota

Quando cria um CMG, já não é necessário fornecer um certificado de raiz fidedigno na página Definições.When you create a CMG, you're no longer required to provide a trusted root certificate on the Settings page. Este certificado não é necessário quando se utiliza o Azure Ative Directory (Azure AD) para autenticação do cliente, mas costumava ser exigido no assistente.This certificate isn't required when using Azure Active Directory (Azure AD) for client authentication, but used to be required in the wizard. Se estiver a utilizar certificados de autenticação de clientes PKI, então ainda deve adicionar um certificado de raiz fidedigno à CMG.If you're using PKI client authentication certificates, then you still must add a trusted root certificate to the CMG.

Na versão 1902 e anterior, só pode adicionar dois CAs de raiz de confiança e quatro CAs intermédios (subordinados).In version 1902 and earlier, you can only add two trusted root CAs and four intermediate (subordinate) CAs.

Exportar a raiz fidedigna do certificado de clienteExport the client certificate's trusted root

Depois de emitir um certificado de autenticação de cliente para um computador, utilize este processo nesse computador para exportar a raiz de confiança.After issuing a client authentication certificate to a computer, use this process on that computer to export the trusted root.

  1. Abra o menu Iniciar.Open the Start menu. Escreva "corra" para abrir a janela Run.Type "run" to open the Run window. Abra mmc.Open mmc.

  2. No menu 'Ficheiro', escolha Adicionar/Remover o Snap-in....From the File menu, choose Add/Remove Snap-in....

  3. Na caixa de diálogo Add or Remove Snap-ins, selecione Certificadose, em seguida, selecione Adicionar.In the Add or Remove Snap-ins dialog box, select Certificates, then select Add.

    1. Na caixa de diálogo snap-in certificates, selecione a conta de computadore, em seguida, selecione Next.In the Certificates snap-in dialog box, select Computer account, then select Next.

    2. Na caixa de diálogo Select Computer, selecione computador locale, em seguida, selecione Terminar.In the Select Computer dialog box, select Local computer, then select Finish.

    3. Na caixa de diálogo Add or Remove, selecione OK.In the Add or Remove Snap-ins dialog box, select OK.

  4. Expandir Certificados, expandir Personal, e selecionar Certificados.Expand Certificates, expand Personal, and select Certificates.

  5. Selecione um certificado cujo propósito é autenticação do cliente.Select a certificate whose Intended Purpose is Client Authentication.

    1. A partir do menu Action, selecione Open.From the Action menu, select Open.

    2. Vá ao separador Caminho de Certificação.Go to the Certification Path tab.

    3. Selecione o próximo certificado na cadeia e selecione 'Ver Certificado'.Select the next certificate up the chain, and select View Certificate.

  6. Nesta nova caixa de diálogo de certificado, vá ao separador Detalhes. Selecione Copiar para Arquivar....On this new Certificate dialog box, go to the Details tab. Select Copy to File....

  7. Complete o Assistente de Exportação de Certificado utilizando o formato de certificado predefinido, DER codificado binário X.509 (. CER).Complete the Certificate Export Wizard using the default certificate format, DER encoded binary X.509 (.CER). Tome nota do nome e localização do certificado exportado.Make note of the name and location of the exported certificate.

  8. Exportar todos os certificados na via de certificação do certificado de autenticação original do cliente.Export all of the certificates in the certification path of the original client authentication certificate. Tome nota dos certificados exportados que são Ca.C. intermédios e quais são cas de raiz de confiança.Make note of which exported certificates are intermediate CAs, and which ones are trusted root CAs.

Ativar o ponto de gestão para HTTPSEnable management point for HTTPS

Forei este certificado fora do contexto do Gestor de Configuração.Provision this certificate outside of the context of Configuration Manager. Por exemplo, utilize serviços de certificados de diretório ativo e política de grupo para emitir um certificado de servidor web.For example, use Active Directory Certificate Services and group policy to issue a web server certificate. Para mais informações, consulte os requisitos do certificado PKI e implemente o certificado de servidor web para sistemas de site que executam o IIS.For more information, see PKI certificate requirements and Deploy the web server certificate for site systems that run IIS.

Ao utilizar a opção do site para utilizar certificados gerados pelo Gestor de Configuração para sistemas de site HTTP, o ponto de gestão pode ser HTTP.When using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Para mais informações, consulte O HTTP Melhorado.For more information, see Enhanced HTTP.

Dica

Se não estiver a utilizar o Enhanced HTTP, e o seu ambiente tiver vários pontos de gestão, não tem de os ativar a todos para a CMG.If you aren't using Enhanced HTTP, and your environment has multiple management points, you don't have to HTTPS-enable them all for CMG. Configure os pontos de gestão ativados pela CMG apenascomo Internet .Configure the CMG-enabled management points as Internet only. Então os seus clientes no local não tentam usá-los.Then your on-premises clients don't try to use them.

Certificado HTTP melhorado para pontos de gestãoEnhanced HTTP certificate for management points

Quando ativa o Enhanced HTTP, o servidor do site gera um certificado auto-assinado chamado Certificado SMS Role SSL, emitido pelo certificado de emissão SMS raiz.When you enable Enhanced HTTP, the site server generates a self-signed certificate named SMS Role SSL Certificate, issued by the root SMS Issuing certificate. O ponto de gestão adiciona este certificado ao Web site iIS Predefinido ligado à porta 443.The management point adds this certificate to the IIS Default Web site bound to port 443.

Resumo do modo de conexão do cliente do ponto de gestãoManagement point client connection mode summary

Estas tabelas resumem se o ponto de gestão requer HTTP ou HTTPS, dependendo do tipo de versão cliente e site.These tables summarize whether the management point requires HTTP or HTTPS, depending upon the type of client and site version.

Para clientes baseados na Internet que comunicam com o portal de gestão de nuvemFor internet-based clients communicating with the cloud management gateway

Configure um ponto de gestão no local para permitir ligações da CMG com o seguinte modo de ligação ao cliente:Configure an on-premises management point to allow connections from the CMG with the following client connection mode:

Tipo de clienteType of client Ponto de gestãoManagement point
Grupo de TrabalhoWorkgroup Nota E-HTTP1,HTTPSE-HTTPNote 1, HTTPS
AD-joined domínioAD domain-joined Nota E-HTTP1,HTTPSE-HTTPNote 1, HTTPS
Azure AD-joinedAzure AD-joined E-HTTP, HTTPSE-HTTP, HTTPS
Híbrido-a-joinHybrid-joined E-HTTP, HTTPSE-HTTP, HTTPS

Nota

Nota 1: Esta configuração requer que o cliente tenha um certificado de autenticação do cliente,e apenas suporta cenários centrados no dispositivo.Note 1: This configuration requires the client has a client authentication certificate, and only supports device-centric scenarios.

Para clientes no local que comunicam com o ponto de gestão no localFor on-premises clients communicating with the on-premises management point

Configure um ponto de gestão no local com o seguinte modo de ligação ao cliente:Configure an on-premises management point with the following client connection mode:

Tipo de clienteType of client Ponto de gestãoManagement point
Grupo de TrabalhoWorkgroup HTTP, HTTPSHTTP, HTTPS
AD-joined domínioAD domain-joined HTTP, HTTPSHTTP, HTTPS
Azure AD-joinedAzure AD-joined HTTPSHTTPS
Híbrido-a-joinHybrid-joined HTTP, HTTPSHTTP, HTTPS

Nota

Os clientes associados ao domínio aD suportam cenários centrados no dispositivo e no utilizador que comunicam com um ponto de gestão HTTP ou HTTPS.AD domain-joined clients support both device- and user-centric scenarios communicating with an HTTP or HTTPS management point.

Os clientes unidos pela AD azure e híbridos podem comunicar via HTTP para cenários centrados no dispositivo, mas precisam de E-HTTP ou HTTPS para permitir cenários centrados no utilizador.Azure AD-joined and hybrid-joined clients can communicate via HTTP for device-centric scenarios, but need E-HTTP or HTTPS to enable user-centric scenarios. Caso contrário, comportam-se da mesma forma que os clientes do grupo de trabalho.Otherwise they behave the same as workgroup clients.

Lenda dos termosLegend of terms

  • Grupo de trabalho: O dispositivo não está associado a um domínio ou AD Azure, mas tem um certificado de autenticação de clienteWorkgroup: The device isn't joined to a domain or Azure AD, but has a client authentication certificate
  • AD-joined domínio: Você junta o dispositivo a um domínio de Diretório Ativo no localAD domain-joined: You join the device to an on-premises Active Directory domain
  • Azure AD-joined: Também conhecido como cloud domínio-joined, você junta-se ao dispositivo a um inquilino azure Ative DiretórioAzure AD-joined: Also known as cloud domain-joined, you join the device to an Azure Active Directory tenant
  • Híbrido-joined: Você se junta ao dispositivo tanto para um domínio de Diretório Ativo como um inquilino Azure ADHybrid-joined: You join the device to both an Active Directory domain and an Azure AD tenant
  • HTTP: Sobre as propriedades do ponto de gestão, você define as ligações do cliente para HTTPHTTP: On the management point properties, you set the client connections to HTTP
  • HTTPS: Sobre as propriedades do ponto de gestão, você define as ligações do cliente para HTTPSHTTPS: On the management point properties, you set the client connections to HTTPS
  • E-HTTP: Nas propriedades do site, separador de comunicação de computador cliente, definiu as definições do sistema do site para HTTPS ou HTTP, e permite a opção de utilizar certificados gerados pelo Gestor de Configuração para sistemas de site HTTP.E-HTTP: On the site properties, Client Computer Communication tab, you set the site system settings to HTTPS or HTTP, and you enable the option to Use Configuration Manager-generated certificates for HTTP site systems. Configurar o ponto de gestão para HTTP, o ponto de gestão HTTP está pronto para a comunicação HTTP e HTTPS (cenários simbólicos).You configure the management point for HTTP, the HTTP management point is ready for both HTTP and HTTPS communication (token auth scenarios).

    Nota

    A partir da versão 1906, este separador chama-se Segurança da Comunicação.Starting in version 1906, this tab is called Communication Security.

Certificado de gestão AzureAzure management certificate

Este certificado é necessário para implementações clássicas de serviço. Não é necessário para implementações do Gestor de Recursos Azure.This certificate is required for classic service deployments. It's not required for Azure Resource Manager deployments.

Importante

A partir da versão 1810, as implementações clássicas de serviço sintetizadas em Azure são depreciadas no Gestor de Configuração.Starting in version 1810, classic service deployments in Azure are deprecated in Configuration Manager. Comece a utilizar implementações do Gestor de Recursos Azure para o gateway de gestão de nuvem.Start using Azure Resource Manager deployments for the cloud management gateway. Para mais informações, consulte Plano para CMG.For more information, see Plan for CMG.

Começando na versão 1902 do Gestor de Configuração, o Gestor de Recursos do Azure é o único mecanismo de implementação para novos casos do gateway de gestão de nuvem.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. Este certificado não é exigido na versão 1902 do Gestor de Configuração.This certificate isn't required in Configuration Manager version 1902 or later.

Fornece este certificado no portal Azure e ao criar o CMG na consola 'Gestor de Configuração'.You supply this certificate in the Azure portal, and when creating the CMG in the Configuration Manager console.

Para criar o CMG em Azure, o ponto de ligação do Gestor de Configuração precisa de autenticar primeiro a sua subscrição Azure.To create the CMG in Azure, the Configuration Manager service connection point needs to first authenticate to your Azure subscription. Ao utilizar uma implantação clássica de serviço, utiliza o certificado de gestão Azure para esta autenticação.When using a classic service deployment, it uses the Azure management certificate for this authentication. Um administrador azure envia este certificado para a sua subscrição.An Azure administrator uploads this certificate to your subscription. Quando criar o CMG na consola 'Gestor de Configuração', forneça este certificado.When you create the CMG in the Configuration Manager console, provide this certificate.

Para obter mais informações e instruções sobre como fazer o upload de um certificado de gestão, consulte os seguintes artigos na documentação do Azure:For more information and instructions for how to upload a management certificate, see the following articles in the Azure documentation:

Importante

Certifique-se de copiar o ID de subscrição associado ao certificado de gestão.Make sure to copy the subscription ID associated with the management certificate. Usa-o para criar o CMG na consola 'Gestor de Configuração'.You use it for creating the CMG in the Configuration Manager console.

Passos seguintesNext steps