Aplica-se a: Configuration Manager (ramo atual)
Este artigo responde às suas perguntas frequentes sobre o gateway de gestão de nuvens (CMG). Para mais informações, consulte a visão geral da CMG.
Preciso de certificados?
Sim, pelo menos um, e possivelmente outros dependendo do seu projeto.
Certificado de autenticação do servidor: O CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se conectam. O serviço requer um certificado de autenticação do servidor para construir o canal seguro. Pode adquirir um certificado para o efeito a um fornecedor público, ou emiti-lo a partir da sua infraestrutura de chave pública (PKI). Para obter mais informações, consulte o certificado de autenticação do servidor CMG.
Certificado de autenticação do cliente: Dependendo do seu ambiente e design CMG, pode utilizar certificados PKI para autenticação do cliente. Este método de autenticação não suporta cenários centrados no utilizador, mas suporta dispositivos com Windows 8.1 ou Windows 10. Para mais informações, consulte a autenticação do cliente configurar para CMG: certificado PKI.
Ao utilizar este método de autenticação do cliente, também precisa exportar a cadeia de raiz fidedigna do certificado de cliente. Em seguida, utilize esta cadeia de certificados quando criar o CMG e no ponto de ligação CMG.
HTTPS-enabled o ponto de gestão: Dependendo da configuração do site e do método de autenticação do cliente que escolher, poderá ter de configurar os seus pontos de gestão habilitados para a Internet para suportar HTTPS. Para obter mais informações, consulte a autenticação do cliente configurar para CMG: Ative o ponto de gestão para HTTPS.
Preciso do Azure ExpressRoute?
N.º O Azure ExpressRoute permite-lhe estender a sua rede no local para a nuvem da Microsoft. ExpressRoute, ou outras ligações de rede virtuais não são necessárias para o CMG. O design da CMG permite que os clientes baseados na Internet comuniquem através do serviço Azure para sistemas de site no local sem configuração adicional de rede. Para mais informações, consulte a visão geral da CMG.
Preciso de manter ou proteger as máquinas virtuais Azure?
N.º O design da CMG utiliza a plataforma Azure como serviço (PaaS). Utilizando a subscrição que fornece, o Gestor de Configuração cria as máquinas virtuais necessárias (VMs), armazenamento e networking. A azure protege e atualiza os VMs. Não precisas de monitorizar estes VMs. Os VMs Azure para CMG não fazem parte do seu ambiente no local, como é o caso da infraestrutura como serviço (IaaS). O CMG é um PaaS que estende o ambiente do Gestor de Configuração para a nuvem. Para obter mais informações, consulte as implementações do PaaS.
Uma vez que a CMG atua como um representante para a comunicação do cliente, não processa, guarda ou armazena quaisquer dados do cliente. O caminho de comunicação através da internet utiliza sempre HTTPS. Para maior segurança, configuure o ponto de gestão para HTTPS. Configurar também a opção do site para os clientes encriptar o inventário e as mensagens de estado. Para obter mais informações, consulte Plano de segurança: Assinatura e encriptação.
Como posso garantir a continuidade do serviço durante as atualizações de serviço?
Ao escalar a CMG para incluir duas ou mais instâncias, beneficia automaticamente de atualização de domínios em Azure. Ver Como atualizar um serviço de cloud.
Já estou a usar o IBCM. Se eu adicionar CMG, como se comportam os clientes?
Se já implementou a gestão de clientes com base na Internet (IBCM), também pode implementar o CMG. Os clientes recebem a política de ambos os serviços. À medida que vagueiam pela internet, selecionam e utilizam aleatoriamente um destes serviços baseados na Internet.
As contas de utilizador têm de estar no mesmo inquilino AZure AD que o inquilino associado à subscrição que acolhe o serviço de nuvem CMG?
Não, pode colocar CMG em qualquer subscrição que possa hospedar serviços em nuvem Azure.
Para clarificar os termos:
- O inquilino é o diretório das contas de utilizador e registos de aplicações. Um inquilino pode ter várias assinaturas.
- Uma subscrição separa faturação, recursos e serviços. Está associado a um único inquilino.
Esta questão é comum nos seguintes cenários:
Quando você tem ambientes de teste e produção distintos Ative Directory e AD Azure, mas uma única subscrição centralizada de hospedagem Azure.
O seu uso do Azure cresceu organicamente em diferentes equipas
Quando estiver a utilizar uma implementação de Gestor de Recursos, a bordo do inquilino AD AZure associado à subscrição. Esta ligação permite ao Gestor de Configuração autenticar a Azure para criar, implementar e gerir o CMG.
Se estiver a utilizar a autenticação AZure AD para os utilizadores e dispositivos geridos através da CMG, a bordo é o inquilino da Azure AD. Para obter mais informações sobre os serviços Azure para gestão de nuvem, consulte os serviços Configure Azure. Quando você a bordo de cada inquilino AZURE AD, um único CMG pode fornecer autenticação AZURE AD para vários inquilinos, independentemente da localização do alojamento.
Exemplo 1: Um inquilino com várias subscrições
As identidades dos utilizadores, registos de dispositivos e registos de aplicações estão todos no mesmo arrendatário. Pode escolher qual a subscrição que o CMG utiliza. Pode implementar vários serviços CMG de um site em subscrições separadas. O site tem uma relação de um para um com o inquilino. Você decide quais subscrições a usar por várias razões, tais como faturação ou separação lógica.
Exemplo 2: Vários inquilinos
Por outras palavras, o seu ambiente tem mais de um AZure AD. Se precisar de suportar identidades de utilizador e dispositivo em ambos os inquilinos, tem de anexar o site a cada inquilino. Este processo requer uma conta administrativa de cada inquilino para criar os registos de aplicações nesse inquilino. Um site pode então acolher serviços CMG em vários inquilinos. Você pode criar um CMG em qualquer subscrição disponível em qualquer inquilino. Os dispositivos que se unem ou híbridos unidos a Azure AD podem utilizar um CMG.
Se as identidades do utilizador e do dispositivo estiverem num inquilino, mas a subscrição da CMG está noutro inquilino, tem de anexar o site a ambos os inquilinos. Tecnicamente, a aplicação do cliente não é necessária para o segundo inquilino que só tem o serviço CMG. A aplicação do cliente apenas fornece autenticação de utilizador e dispositivo para clientes que utilizam o serviço CMG.
Como é que a CMG afeta os meus clientes ligados através da VPN?
Os clientes de roaming que se ligam ao seu ambiente através de uma VPN são geralmente detetados como virados para a rede. Tentam ligar-se à sua infraestrutura no local, como pontos de gestão e pontos de distribuição. Alguns clientes preferem ter estes clientes de roaming geridos por serviços na nuvem mesmo quando conectados via VPN.
Também pode associar o CMG a um grupo de fronteira. Esta ação obriga estes clientes a não utilizarem os sistemas do local no local. Para obter mais informações, consulte os grupos de fronteira Configure.
Se eu permitir um CMG, os meus clientes só ligarão ao ponto de gestão ativado pela CMG quando estão ligados à intranet?
Para garantir o tráfego sensível enviado através de um CMG, ou configurar um ponto de gestão HTTPS ou utilizar HTTP Melhorado.
Se optar por implementar um CMG e utilizar certificados PKI para comunicação HTTPS no ponto de gestão ativado pela CMG, selecione a opção de permitir clientes apenas na Internet nas propriedades do ponto de gestão. Esta definição garante que os clientes internos continuem a utilizar pontos de gestão HTTP no seu ambiente.
Se utilizar HTTP Melhorado, não precisa de configurar esta definição. Os clientes continuam a utilizar HTTP ao comunicar diretamente com o ponto de gestão ativado pela CMG. Para mais informações, consulte HTTP Melhorado.
Quais as diferenças com a autenticação do cliente entre a Azure AD e os certificados?
Pode utilizar a Azure AD ou um certificado de autenticação do cliente para que os dispositivos autentem para autenticar o serviço CMG. Também pode utilizar fichas emitidas pelo Site do Gestor de Configuração para autenticação.
Se gere clientes tradicionais Windows com identidade de domínio ative, eles precisam de certificados PKI para garantir o canal de comunicação. Estes clientes podem incluir Windows 8.1 e Windows 10. Pode utilizar todas as funcionalidades suportadas pela CMG, mas a distribuição de software está limitada apenas a dispositivos. Instale o cliente Gestor de Configuração antes que o dispositivo circule para a internet ou utilize a autenticação simbólica.
Você também pode gerir Windows 10 clientes com identidade moderna, híbrido ou puro domínio nuvem ligado ao Azure AD. Os clientes usam a Azure AD para autenticar em vez de certificados PKI. A utilização do Azure AD é mais simples de configurar, configurar e manter do que sistemas PKI mais complexos. Pode fazer todas as mesmas atividades de gestão mais distribuição de software para o utilizador. Também permite métodos adicionais para instalar o cliente num dispositivo remoto.
A Microsoft recomenda a junção de dispositivos ao Azure AD. Os dispositivos baseados na Internet podem usar o AZure AD para autenticar com o Gestor de Configuração. Também permite cenários tanto do dispositivo como do utilizador, quer o dispositivo esteja na internet ou ligado à rede interna.
Para mais informações, consulte a autenticação do cliente configurar.
Devo usar uma colocação de conjunto de escala de máquina virtual?
Sim, se o seu site for a versão 2107 ou mais tarde. Já não é uma funcionalidade de pré-lançamento e recomendada para todos os clientes. Se tiver uma implantação clássica de CMG existente, pode convertê-la num conjunto de escala de máquina virtual.
Se o seu site for a versão 2010 ou 2103, o método de implementação da escala de máquina virtual é uma função de pré-lançamento. Destina-se apenas a clientes com uma subscrição Fornecedor de Soluções em Nuvem (CSP).
Para obter mais informações sobre a implementação de um CMG como um conjunto de escala de máquina virtual, consulte Plano para CMG.
Um CMG ativado por conteúdo utiliza CDN do Azure?
N.º Atualmente, não suporta a rede de entrega de conteúdos Azure (CDN). O CDN é uma solução global para fornecer rapidamente conteúdo de alta largura de banda, caching o conteúdo em nós físicos estrategicamente posicionados em todo o mundo. Para mais informações, veja o que é CDN do Azure?
Preciso de fazer alguma coisa com a depreciação da AZure AD Graph API e a Azure AD Authentication Library (ADAL)?
N.º Pode ter visto a seguinte publicação de blog e está a perguntar-se como se aplica ao Gestor de Configuração: Atualize as suas aplicações para utilizar a Microsoft Authentication Library e a Microsoft Graph API. Este post refere-se a qualquer código desenvolvido que utilize estas bibliotecas de autenticação. O Gestor de Configuração tem vindo a utilizar a API da Microsoft Graph e a Microsoft Authentication Library (MSAL) em alguns locais há vários anos. Alguns outros componentes serão atualizados num lançamento posterior. Se se mantiver atual com as versões do Gestor de Configuração, não há mais nada que precise de fazer.
Algumas pessoas confundem a informação neste post de blog com os registos de aplicações no Azure AD que o Gestor de Configuração utiliza para vários serviços anexados à nuvem. Estes registos de aplicações são princípios de serviço baseados na nuvem que não utilizam diretamente estas bibliotecas de autenticação. Se um administrador global da Azure criou manualmente os registos de aplicações do Gestor de Configuração em Azure AD, podem verificar duas vezes se esses registos têm permissões para a API microsoft Graph. Não precisam de permissões para a AZure AD Graph API. Para obter mais informações, consulte manualmente registar as aplicações AZure AD.