Configurar o gateway de gestão de nuvem para o Configuration ManagerSet up cloud management gateway for Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

A partir da versão 1610, o processo de configuração do gateway de gestão de nuvem no Configuration Manager inclui os seguintes passos:Beginning in version 1610, the process for setting up cloud management gateway in Configuration Manager includes the following steps:

Passo 1: Configurar os certificados necessáriosStep 1: Configure required certificates

Dica

Antes de pedir um certificado, confirme que o nome de domínio do Azure pretendida (por exemplo, GraniteFalls.CloudApp.Net) é exclusivo.Before requesting a certificate, confirm that the desired Azure domain name (for example, GraniteFalls.CloudApp.Net) is unique. Para fazer este registo para o portal do Microsoft Azure, clique em novo, selecione serviço em nuvem e, em seguida, criação personalizada.To do this log on to the Microsoft Azure portal, click New, select Cloud Service and then Custom Create. No URL campo escreva o nome de domínio pretendida (não clique na marca de verificação para criar o serviço).In the URL field type the desired domain name (do not click the checkmark to create the service). O portal irá refletir se o nome de domínio está disponível ou já se encontra em utilização por outro serviço.The portal will reflect whether the domain name is available or already in use by another service.

Opção 1 (preferencial) - utilizar o certificado de autenticação de servidor de um fornecedor de certificado pública e globalmente fidedignas (por exemplo, VeriSign)Option 1 (preferred) - Use the server authentication certificate from a public and globally trusted certificate provider (like VeriSign)

Quando utiliza este método, os clientes confiarão automaticamente o certificado e não terá de criar um certificado SSL personalizado por si.When you use this method, clients will automatically trust the certificate, and you do not need to create a custom SSL certificate yourself.

  1. Crie um registo de nome canónico (CNAME) no serviço de nome de domínio público da sua organização (DNS) para criar um alias para o serviço de gateway de gestão de nuvem para um nome amigável que será utilizado o certificado público.Create a canonical name record (CNAME) in your organization’s public domain name service (DNS) to create an alias for the cloud management gateway service to a friendly name that will be used in the public certificate. Por exemplo, Contoso nomes os serviço de gateway de gestão de nuvem GraniteFalls que no Azure será GraniteFalls.CloudApp.Net.For example, Contoso names their cloud management gateway service GraniteFalls which in Azure will be GraniteFalls.CloudApp.Net. O administrador DNS público contoso.com espaço de nomes DNS da Contoso, cria um novo registo CNAME para GraniteFalls.Contoso.com para o nome de anfitrião real, GraniteFalls.CloudApp.net.In Contoso’s public DNS contoso.com namespace, the DNS administrator creates a new CNAME record for GraniteFalls.Contoso.com for the real host name , GraniteFalls.CloudApp.net.
  2. Em seguida o pedido de um fornecedor público com o nome comum (CN) do CNAME alias de um certificado de autenticação de servidor.Next request a server authentication certificate from a public provider using the Common Name (CN) of the CNAME alias. Por exemplo, a Contoso utiliza GraniteFalls.Contoso.com para o CN do certificado.For example, Contoso uses GraniteFalls.Contoso.com for the certificate CN.
  3. Crie o serviço de gateway de gestão de nuvem na consola do Configuration Manager utilizando este certificado.Create the cloud management gateway service in the Configuration Manager console using this certificate.
    • No definições página do assistente criar uma nuvem gestão de Gateway ao adicionar o certificado de servidor para este serviço em nuvem (de ficheiro de certificado), o assistente extrair o nome de anfitrião do certificado CN como o nome do serviço e, em seguida, anexe que para cloudapp.net (ou usgovcloudapp.net para a nuvem do Azure US Government) como o FQDN de serviço para criar o serviço no Azure.On the Settings page of the Create Cloud Management Gateway Wizard when you add the server certificate for this cloud service (from Certificate file), the wizard will extract the hostname from the certificate CN as the service name, and then append that to cloudapp.net (or usgovcloudapp.net for the Azure US Government cloud) as the Service FQDN to create the service in Azure. Por exemplo, quando criar o gateway de gestão de nuvem contoso, o nome de anfitrião GraniteFalls é extraído do certificado CN, para que o serviço real do Azure é criado como GraniteFalls.CloudApp.net.For example, when creating the cloud management gateway at Contoso, the hostname GraniteFalls is extracted from the certificate CN, so that the actual service in Azure is created as GraniteFalls.CloudApp.net.

Opção 2 - criar um certificado SSL personalizado para o gateway de gestão de nuvem da mesma forma para um ponto de distribuição baseado na nuvemOption 2 - Create a custom SSL certificate for cloud management gateway in the same way as for a cloud-based distribution point

Pode criar um certificado SSL personalizado para o gateway de gestão de nuvem da mesma forma que faria fazê-lo para um ponto de distribuição baseado na nuvem.You can create a custom SSL certificate for cloud management gateway in the same way you would do it for a cloud-based distribution point. Siga as instruções para implementar o certificado de serviço para pontos de distribuição baseado na nuvem mas efetue os seguintes procedimentos de forma diferente:Follow the instructions for Deploying the Service Certificate for Cloud-Based Distribution Points but do the following things differently:

  • Quando pedir o certificado de servidor web personalizado, fornecer um FQDN para o nome comum do certificado que termine em cloudapp.net para utilizar o gateway de gestão de nuvem na nuvem pública do Azure ou usgovcloudapp.net para a nuvem do Azure government.When requesting the custom web server certificate, provide an FQDN for the certificate's common name that ends in cloudapp.net for using cloud management gateway on Azure public cloud or usgovcloudapp.net for the Azure government cloud.

Passo 2: Exportar a raiz do certificado de clienteStep 2: Export the client certificate's root

A forma mais fácil de obter a raiz dos certificados de cliente utilizado na rede, está a abrir um certificado de cliente numa das máquinas associados a um domínio que tenha um e copie-a exportação.The easiest way to get export the root of the client certificates used on the network, is to open a client certificate on one of the domain-joined machines that has one and copy it.

Nota

São necessários certificados de cliente em qualquer computador que pretende gerir com o gateway de gestão de nuvem e no servidor do sistema de sites que aloja o conector de gateway de gestão de nuvem do ponto.Client certificates are required on any computer you want to manage with cloud management gateway and on the site system server hosting the cloud management gateway connector point. Se precisar de adicionar um certificado de cliente a qualquer uma destas máquinas, consulte implementar o cliente certificados para computadores com o Windows.If you need to add a client certificate to any of these machines, see Deploying the Client Certificate for Windows Computers.

  1. Na janela executar, escreva mmc e prima regressar.In the Run window, type mmc and press Return.

  2. No menu ficheiro, escolha Adicionar/Remover Snap-in... .From the File menu choose Add/Remove Snap-in....

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, escolha certificados > adicionar > > conta de computador > seguinte > computador Local > concluir.In the Add or Remove Snap-ins dialog box, choose Certificates > Add > > Computer account > Next > Local computer > Finish.

  4. Aceda a certificados > pessoais > certificados.Go to Certificates > Personal > Certificates.

  5. Faça duplo clique o certificado para autenticação de cliente no computador, escolha o separador de caminho de certificação e faça duplo clique a autoridade de raiz (na parte superior do caminho).Double-click the certificate for client authentication on the computer, choose the Certification Path tab, and double-click the root authority (at the top of the path).

  6. No separador de detalhes, selecione copiar para ficheiro... .On the Details tab, choose Copy to File....

  7. Conclua o Assistente para exportar certificados utilizando o formato de certificado predefinido.Complete the Certificate Export Wizard using the default certificate format. Tome nota do nome do e localização do certificado de raiz que cria.Make note of the name and location of the root certificate you create. Precisará dele para configurar o gateway de gestão em nuvem um passo posterior.You will need it to configure cloud management gateway in a later step.

Nota

Se o certificado de cliente foi emitido por uma autoridade de certificação subordinada, terá de repetir este passo para cada certificado na cadeia.If the client certificate was issued by a subordinate certificate authority you will need to repeat this step for each certificate in the chain.

Passo 3: Carregar o certificado de gestão para o AzureStep 3: Upload the management certificate to Azure

Um certificado de gestão do Azure é necessário para o Configuration Manager para aceder à API do Azure e configurar o gateway de gestão de nuvem.An Azure management certificate is required for Configuration Manager to access the Azure API and configure cloud management gateway. Para obter mais informações e instruções sobre como carregar um certificado de gestão, consulte os artigos seguintes na documentação do Azure:For more information and instructions for how to upload a management certificate, see the following articles in the Azure documentation:

Importante

Certifique-se ao copiar o ID de subscrição associado o certificado de gestão.Make sure to copy the subscription ID associated with the management certificate. Terá de configurar o gateway de gestão de nuvem na consola do Configuration Manager no passo seguinte.You will need it for configuring cloud management gateway in the Configuration Manager console in the next step.

Passo 4: Configurar o gateway de gestão de nuvemStep 4: Set up cloud management gateway

Nota

Na versão 1610, o gateway de gestão de nuvem é uma funcionalidade de pré-lançamento.In version 1610, cloud management gateway is a pre-release feature. Para ativá-la, consulte o artigo utilizar as funcionalidades de pré-lançamento das atualizações da.To enable it, see Use pre-release features from updates.

  1. Na consola do Configuration Manager, vá para administração > serviços em nuvem > Gateway de gestão de nuvem.In the Configuration Manager console, go to Administration > Cloud Services > Cloud Management Gateway.
  2. Escolha criar Gateway de gestão de nuvem.Choose Create Cloud Management Gateway.

  3. No assistente criar nuvem gestão de Gateway, introduza o seu ID de subscrição do Azure (copiada a partir do portal de gestão do Azure) e procure o ficheiro de certificado é utilizado para carregar um certificado de gestão do Azure.In Create Cloud Management Gateway Wizard, enter your Azure subscription ID (copied from the Azure management portal), and browse to the certificate file you used to upload as an Azure management certificate. Escolha seguinte e, em seguida, aguarde alguns momentos para a consola para ligar ao Azure.Choose Next and then wait a few moments for the console to connect to Azure.

  4. Preencha os detalhes adicionais no assistente:Fill out the additional details in the wizard:

    • Especifique o nome para o serviço que serão executadas no Azure.Specify the name for the service which will run in Azure. Nome do serviço tem de ser apenas carateres alfanuméricos e 3 a 24 carateres de comprimento.Service name must be alphanumeric characters only and 3-24 characters in length.

    • Escolha a região do Azure que pretende que o serviço para executar.Choose the Azure region you want the service to run in.

    • Especifique o número de máquinas virtuais que pretende utilizar para o serviço.Specify the number of virtual machines you want to use for the service. A predefinição é 1, mas pode executar até 16 máquinas virtuais para o serviço.The default is 1, but you can run up to 16 virtual machines for the service.

      Nota

      Se utilizar um proxy de internet para o ponto de ligação de gateway de gestão de nuvem, terá de aumentar o número de portas no proxy de pelo número de máquinas virtuais que utiliza, começando porta 10124.If you use an internet proxy for the cloud management gateway connection point, you need to increase the number of ports on the proxy by the number of virtual machines you use, starting at port 10124.

    • Especifique a chave privada (ficheiro. pfx) que exportou do certificado SSL personalizado.Specify the private key (.pfx file) that you exported from the custom SSL certificate.

    • Especifique o certificado de raiz (e quaisquer certificados subordinados) exportado do certificado de cliente.Specify the root certificate (and any subordinate certificates) exported from the client certificate. O assistente aceita até dois certificados de raiz e certificados de subordinados quatro.The wizard accepts up to two root certificates and four subordinate certificates.

    • Especifique o mesmo nome de serviço FQDN que utilizou quando criou o novo modelo de certificado.Specify the same service name FQDN that you used when you created the new certificate template. Tem de especificar um dos seguintes sufixos para o nome do serviço FQDN com base na nuvem do Azure que está a utilizar:You must specify the one of the following suffixes for the FQDN service name based on the Azure cloud you are using:

      Nuvem do AzureAzure cloud Prefixo FQDNFQDN prefix
      Nuvem pública de (comercial)Public (commercial) cloud . cloudapp.net.cloudapp.net
      Nuvem do Governo dos EUAGovernment cloud . usgovcloudapp.net.usgovcloudapp.net
    • Desmarque a caixa junto a verificar a revogação de certificados de cliente (exceto se estiver a publicamente publicar as suas informações de CRL).Clear the box next to Verify Client Certificate Revocation (unless you're publicly publishing your CRL information).

    • Escolha seguinte quando tiver terminado.Choose Next when you're done.

  5. Se pretender monitorizar o tráfego de gateway de gestão de nuvem com um limiar de 14 dias, selecione a caixa de verificação para ativar o alerta do limiar.If you want to monitor cloud management gateway traffic with a 14-day threshold, choose the check box to turn on the threshold alert. Em seguida, especifique o limiar e a percentagem no qual pretende elevar os níveis de alerta diferentes.Then, specify the threshold, and the percentage at which to raise the different alert levels. Escolha seguinte quando tiver terminado.Choose Next when you're done.

  6. Reveja as definições e escolha seguinte.Review the settings, and choose Next. Gestor de configuração é iniciado como configurar o serviço.Configuration Manager starts setting up the service. Depois de fechar o assistente irá demorar entre 5 a 15 minutos para aprovisionar o serviço completamente no Azure.After you close the wizard it will take between 5 to 15 minutes to provision the service completely in Azure. Verifique o estado coluna para o recentemente a configuração em nuvem gateway de gestão para determinar quando o serviço está pronto.Check the Status column for the newly setup cloud management gateway to determine when the service is ready.

Passo 5: Configurar o site primário certificação para autenticação de clienteStep 5: Configure primary site for client certification authentication

  1. Na consola do Configuration Manager, vá para administração > configuração do Site > Sites.In the Configuration Manager console, go to Administration > Site Configuration > Sites.

  2. Selecione o site primário para os clientes que pretende gerir através do gateway de gestão de nuvem e escolha propriedades.Select the primary site for the clients you want to manage through cloud management gateway, and choose Properties.

  3. No separador de comunicações de computadores cliente da folha de propriedades de site primário, verifique certificado de cliente PKI de utilização (autenticação de cliente) se estiver disponível.On the Client Computer Communications tab of the primary site property sheet, check Use PKI client certificate (client authentication) when available.

  4. Certifique-se limpar clientes verificam a lista de revogação de certificados (CRL) para sistemas de sites.Make sure to clear Clients check the certificate revocation list (CRL) for site systems. Esta opção apenas seriam necessária se publicamente foram publicar o CRL.This option would only be required if you were publicly publishing your CRL.

Passo 6: Adicionar o ponto de conector de gateway de gestão de nuvemStep 6: Add the cloud management gateway connector point

O ponto de conector de gateway de gestão de nuvem é uma nova função de sistema de sites para comunicação com o gateway de gestão de nuvem.The cloud management gateway connector point is a new site system role for communicating with cloud management gateway. Para adicionar o ponto de conector de gateway de gestão de nuvem, siga as instruções em adicionar funções do sistema de site para o System Center Configuration Manager.To add the cloud management gateway connector point, follow the instructions in Add site system roles for System Center Configuration Manager.

Passo 7: Configurar funções para o tráfego de gateway de gestão de nuvemStep 7: Configure roles for cloud management gateway traffic

O passo final na configuração do gateway de gestão de nuvem é configurar as funções de sistema de sites para aceitar o tráfego de gateway de gestão de nuvem.The final step in setting up cloud management gateway is to configure the site system roles to accept cloud management gateway traffic. Apenas as software e de ponto de atualização ponto funções de gestão são suportadas para o gateway de gestão de nuvem.Only the management point and software update point roles are supported for cloud management gateway. Tem de configurar cada função em separado.You must configure each role separately.

  1. Na consola do Configuration Manager, vá para administração > configuração do Site > servidores e funções de sistema de sites.In the Configuration Manager console, go to Administration > Site Configuration > Servers and Site System Roles.

  2. Escolha o servidor de sistema de sites para a função que pretende configurar para o tráfego de gateway de gestão de nuvem.Choose the site system server for the role you want to configure for cloud management gateway traffic.

  3. Escolha a função e, em seguida, escolha propriedades.Choose the role, and then choose Properties.

  4. Na folha de propriedades da função, em ligações de cliente, selecione a caixa junto tráfego de gateway de gestão de nuvem de permitir que o Configuration Managere, em seguida, escolha OK.In the role Properties sheet, under Client Connections, check the box next to Allow Configuration Manager cloud management gateway traffic, and then choose OK. Repita estes passos para as restantes funções.Repeat these steps for the remaining roles. Ativar o HTTPS opção também é recomendável como melhor prática de segurança, mas não é necessária.Enabling the HTTPS option is also recommended as a security best practice, but is not required.

Passo 8: Configurar clientes para o gateway de gestão de nuvemStep 8: Configure clients for cloud management gateway

Após a gestão de nuvem se encontram completamente configuradas funções do sistema de gateway e o site e em execução, os clientes obtêm a localização do serviço de gateway de gestão de nuvem automaticamente no próximo pedido de localização.After the cloud management gateway and site system roles are completely configured and running, clients will get the location of the cloud management gateway service automatically on the next location request. Os clientes tem de estar na rede empresarial para receber a localização do serviço de gateway de gestão de nuvem.Clients must be on the corporate network to receive the location of the cloud management gateway service. O ciclo de consulta de pedidos de localização é a cada 24 horas.The polling cycle for location requests is every 24 hours. Se não pretender aguardar que o pedido de localização normalmente agendada, pode forçar o pedido reiniciando o serviço de anfitrião de agente do SMS (ccmexec.exe) no computador.If you don't want to wait for the normally scheduled location request, you can force the request by restarting the SMS Agent Host service (ccmexec.exe) on the computer.

Com a localização do serviço de gateway de gestão de nuvem configurado no cliente, pode automaticamente determinar se se encontra numa intranet ou à Internet.With the location of the cloud management gateway service configured on the client, it can automatically determine whether it’s on the intranet or the Internet. Se o cliente pode contactar o controlador de domínio ou o ponto de gestão no local, irá utilizá-lo para comunicar com o Configuration Manager, caso contrário, iremos considerar está na Internet e utilize a localização do gateway de gestão de nuvem de serviço para comunicar.If the client can contact the domain controller or the on-premises management point, it will use it for communicating with Configuration Manager, Otherwise, it will consider it’s on the Internet and use the location of the cloud management gateway service to communicate.

Nota

Pode forçar o cliente utiliza sempre o gateway de gestão de nuvem independentemente de ser na intranet ou à Internet.You can force the client to always use cloud management gateway regardless of whether it’s on the intranet or Internet. Para tal, defina a seguinte chave de registo no computador cliente: \To do that, you set the following registry key on the client computer:\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CCM\Security, ClientAlwaysOnInternet = 1

Para verificar se os clientes podem contactar o Configuration Manager, pode executar o seguinte comando do PowerShell no computador cliente:To verify that clients can contact Configuration Manager, you can run the following PowerShell command on the client computer:

gwmi -namespace root\ccm\locationservices -class SMS_ActiveMPCandidate

Este comando apresenta os pontos de gestão, que o cliente pode contactar incluindo o serviço de gateway de gestão de nuvem.This command displays the management points the client can contact including the cloud management gateway service.

Passos seguintesNext steps

Monitorizar clientes para gateway de gestão de nuvemMonitor clients for cloud management gateway