Часто задаваемые вопросы о шлюзе управления облачными клиентами

Применяется для: Configuration Manager (Current Branch)

В этой статье содержатся ответы на часто задаваемые вопросы о шлюзе управления облачными клиентами (CMG). Дополнительные сведения см. в разделе "Обзор шлюза управления облачными клиентами".

Требуются ли сертификаты?

Да, по крайней мере один и, возможно, другие в зависимости от вашего проекта.

  • Сертификат проверки подлинности сервера. Cmg создает службу HTTPS, к которой подключаются интернет-клиенты. Для создания защищенного канала службе требуется сертификат проверки подлинности сервера. Вы можете получить сертификат для этой цели у общедоступного поставщика или выказать его в инфраструктуре открытых ключей (PKI). Дополнительные сведения см. в разделе сертификата проверки подлинности сервера CMG.

  • Сертификат проверки подлинности клиента. В зависимости от среды и структуры шлюза управления облачными клиентами для проверки подлинности клиента можно использовать PKI-сертификаты. Этот метод проверки подлинности не поддерживает сценарии, ориентированные на пользователя, но поддерживает устройства с любой поддерживаемой версией Windows. Дополнительные сведения см. в разделе "Настройка проверки подлинности клиента для сертификата CMG: PKI".

    При использовании этого метода проверки подлинности клиента также необходимо экспортировать доверенную корневую цепочку сертификата клиента. Затем эта цепочка сертификатов используется при создании шлюза управления облачными клиентами и в точке подключения шлюза управления облачными клиентами.

  • Точка управления с поддержкой HTTPS. В зависимости от того, как вы настроите сайт и какой метод проверки подлинности клиента вы выберете, может потребоваться настроить точки управления с поддержкой Интернета для поддержки HTTPS. Дополнительные сведения см. в разделе "Настройка проверки подлинности клиента для CMG: включение точки управления для HTTPS".

Требуется ли Azure ExpressRoute?

Нет. Azure ExpressRoute позволяет расширить локальную сеть в облако Майкрософт. ExpressRoute или другие такие подключения к виртуальной сети не требуются для шлюза управления облачными клиентами. Структура шлюза управления облачными клиентами позволяет интернет-клиентам обмениваться данными через службу Azure с локальными системами сайта без дополнительной конфигурации сети. Дополнительные сведения см. в разделе "Обзор шлюза управления облачными клиентами".

Нужно ли поддерживать или защищать виртуальные машины Azure?

Нет. В проектировании шлюза управления облачными клиентами используется платформа Azure как услуга (PaaS). Используя предоставляемую подписку, Configuration Manager необходимые виртуальные машины, хранилище и сети. Azure обеспечивает безопасность и обновление виртуальных машин. Вам не нужно отслеживать эти виртуальные машины. Виртуальные машины Azure для CMG не являются частью локальной среды, как в случае с инфраструктурой как услугой (IaaS). CMG — это PaaS, который расширяет среду Configuration Manager в облако. Дополнительные сведения см . в статье "Защита развертываний PaaS".

Так как шлюз управления облачными клиентами выступает в качестве прокси-сервера для взаимодействия с клиентом, он не обрабатывает, не хранит и не хранит данные клиента. При обмене данными через Интернет всегда используется ПРОТОКОЛ HTTPS. Для повышения безопасности настройте точку управления для HTTPS. Также настройте параметр сайта для клиентов для шифрования сообщений инвентаризации и состояния. Дополнительные сведения см. в разделе "План безопасности: подписывание и шифрование".

Как обеспечить непрерывность обслуживания во время обновления службы?

Масштабирование шлюза управления облачными клиентами для двух или более экземпляров позволяет автоматически использовать домены обновления в Azure. Узнайте , как обновить облачную службу.

Я уже использую IBCM. Как работают клиенты при добавлении шлюза управления облачными клиентами?

Если вы уже развернули интернет-управление клиентами (IBCM), можно также развернуть CMG. Клиенты получают политику для обеих служб. При перемещении в Интернет они случайным образом выбирают и используют одну из этих интернет-служб.

Должны ли учетные записи пользователей быть в том же клиенте Azure AD, что и клиент, связанный с подпиской, в которой размещена облачная служба CMG?

Нет, шлюз управления облачными клиентами можно развернуть в любой подписке, в которую могут быть размещены облачные службы Azure.

Уточнение терминов:

  • Клиент Azure AD это каталог учетных записей пользователей и регистраций приложений. Один клиент может иметь несколько подписок.
  • Подписка Azure разделяет выставление счетов, ресурсы и службы. Он связан с одним клиентом.

Совет

Дополнительные сведения см. в статье о подписках, лицензиях, учетных записях и клиентах облачных предложений Майкрософт.

Этот вопрос часто возникает в следующих сценариях:

  • Если у вас есть отдельные тестовые и рабочие среды Active Directory и Azure AD, но одна единая централизованная подписка на размещение Azure.

  • Использование Azure органично растет в разных командах.

При использовании развертывания Resource Manager подключение клиента Azure AD, связанного с подпиской. Это подключение позволяет Configuration Manager проверку подлинности в Azure для создания, развертывания и управления шлюзом управления облачными клиентами.

Если вы используете проверку подлинности Azure AD для пользователей и устройств, управляемых через CMG, подключите этот клиент Azure AD. Дополнительные сведения о службах Azure для управления облаком см. в разделе "Настройка служб Azure". При подключении каждого клиента Azure AD один шлюз управления облачными клиентами может обеспечить проверку подлинности Azure AD для нескольких клиентов независимо от расположения размещения.

Пример 1. Один клиент с несколькими подписками

Удостоверения пользователей, регистрация устройств и регистрация приложений находятся в одном клиенте. Вы можете выбрать подписку, используемую cmg. Вы можете развернуть несколько служб CMG с одного сайта в отдельных подписках. Сайт имеет отношение "один к одному" с клиентом. Вы решаете, какие подписки использовать по различным причинам, таким как выставление счетов или логическое разделение.

Пример 2. Несколько клиентов

Другими словами, в вашей среде есть несколько Azure AD. Если необходимо поддерживать удостоверения пользователей и устройств в обоих клиентах, необходимо присоединить сайт к каждому клиенту. Для этого процесса требуется учетная запись администратора от каждого клиента для создания регистраций приложений в этом клиенте. Затем на одном сайте службы CMG могут быть размещены в нескольких клиентах. Шлюз управления облачными клиентами можно создать в любой доступной подписке в любом клиенте. Устройства, присоединенные или гибридные к Azure AD, могут использовать шлюз управления облачными клиентами.

Если удостоверения пользователей и устройств находятся в одном клиенте, а подписка CMG находится в другом клиенте, необходимо присоединить сайт к обоим клиентам. Технически клиентское приложение не требуется для второго клиента, который имеет только службу CMG. Клиентское приложение обеспечивает проверку подлинности пользователей и устройств только для клиентов, использующих службу CMG.

Как шлюз управления облачными клиентами влияет на мои клиенты, подключенные через VPN?

Перемещаемые клиенты, подключаемые к среде через VPN, обычно обнаруживаются как подключенные к интрасети. Они пытаются подключиться к локальной инфраструктуре, такой как точки управления и точки распространения. Некоторые клиенты предпочитают управлять этими перемещаемыми клиентами с помощью облачных служб даже при подключении через VPN.

Шлюз управления облачными клиентами также можно связать с группой границ. Это действие заставляет эти клиенты не использовать локальные системы сайта. Дополнительные сведения см. в разделе "Настройка групп границ".

Как конфигурация точки управления влияет на внутренние клиенты?

Чтобы защитить конфиденциальный трафик, отправляемый через шлюз управления облачными клиентами, необходимо настроить по крайней мере одну точку управления для использования HTTPS или настроить сайт для расширенного ПРОТОКОЛА HTTP.

Затем при развертывании шлюза управления облачными клиентами, если вы используете PKI-сертификаты для обмена данными по протоколу HTTPS в точке управления с поддержкой CMG, выберите параметр "Разрешить клиенты, использующие только Интернет", в свойствах точки управления. Этот параметр гарантирует, что внутренние клиенты продолжат использовать точки управления HTTP в вашей среде.

Если вы используете расширенный ПРОТОКОЛ HTTP, настраивать этот параметр не нужно. Клиенты продолжают использовать ПРОТОКОЛ HTTP при прямом взаимодействии с точкой управления с поддержкой CMG. Дополнительные сведения см. в разделе "Расширенный HTTP".

В чем разница с проверкой подлинности клиента между Azure AD и сертификатами?

Для проверки подлинности устройств в службе CMG можно использовать Azure AD или сертификат проверки подлинности клиента. Вы также можете использовать Configuration Manager токены, выданные сайтом, для проверки подлинности.

Если вы управляете традиционными Windows с помощью присоединенного к домену удостоверения Active Directory, им требуются PKI-сертификаты для защиты канала связи. Эти клиенты могут включать любую поддерживаемую версию Windows. Вы можете использовать все функции, поддерживаемые CMG, но распространение программного обеспечения ограничено только устройствами. Установите клиент Configuration Manager перед перемещением устройства в Интернет или используйте проверку подлинности маркера.

Вы также можете управлять Windows 10 клиентами с помощью современных удостоверений, гибридных или чисто облачных, присоединенных к домену с помощью Azure AD. Клиенты используют Azure AD для проверки подлинности, а не PKI-сертификатов. Azure AD проще настраивать, настраивать и обслуживать, чем более сложные системы PKI. Вы можете выполнять все те же действия по управлению, а также распространение программного обеспечения пользователю. Он также позволяет использовать дополнительные методы для установки клиента на удаленном устройстве.

Корпорация Майкрософт рекомендует присоединять устройства к Azure AD. Интернет-устройства могут использовать Azure AD для проверки подлинности с Configuration Manager. Он также включает сценарии устройства и пользователя независимо от того, находится ли устройство в Интернете или подключено к внутренней сети.

Дополнительные сведения см. в разделе "Настройка проверки подлинности клиента".

Следует ли использовать развертывание масштабируемого набора виртуальных машин?

Да, если ваш сайт имеет версию 2107 или более позднюю. Эта функция больше не является предварительной версией и рекомендуется для всех клиентов. Если у вас есть классическое развертывание CMG, его можно преобразовать в масштабируемый набор виртуальных машин.

Если ваш сайт имеет версию 2010 или 2103, метод развертывания масштабируемого набора виртуальных машин является функцией предварительной версии. Он предназначен только для клиентов с подпиской поставщик облачных решений (CSP).

Важно!

Начиная с версии 2203, параметр развертывания шлюза управления облачными клиентами в качестве облачной службы (классической ) удаляется. Все развертывания CMG должны использовать масштабируемый набор виртуальных машин. Дополнительные сведения см. в разделе "Удаленные и устаревшие функции".

Дополнительные сведения о развертывании шлюза управления облачными клиентами в качестве масштабируемого набора виртуальных машин см. в разделе Plan for CMG.

Использует ли шлюз управления облачными клиентами с поддержкой содержимого Azure CDN?

Нет. В настоящее время она не поддерживает сеть доставки содержимого Azure (CDN). Это CDN глобальное решение для быстрой доставки содержимого с высокой пропускной способностью путем кэширования содержимого на стратегически размещенных физических узлах по всему миру. Дополнительные сведения см. в Azure CDN?.

Нужно ли выполнять какие-либо действия с прекращением поддержки azure AD API Graph и аутентификация Azure AD библиотеки (ADAL)?

Нет. Возможно, вы видели следующую запись блога и хотите узнать, как она применяется к Configuration Manager: обновите приложения для использования библиотеки проверки подлинности Майкрософт и Microsoft API Graph. Эта запись ссылается на любой разработанный код, использующий эти библиотеки проверки подлинности. Configuration Manager уже несколько лет использует Microsoft API Graph и библиотеку проверки подлинности Майкрософт (MSAL). Все остальные компоненты обновляются в Configuration Manager версии 2107 с накопительным пакетом обновления. Если вы оставались в Configuration Manager версиях, вам больше ничего не нужно делать.

Некоторые пользователи путают сведения в этой записи блога с регистрацией приложений в Azure AD, которые Configuration Manager для различных подключенных к облаку служб. Эти регистрации приложений являются облачными субъектами-службами, которые не используют эти библиотеки проверки подлинности напрямую. Если глобальный администратор Azure вручную создал регистрацию Configuration Manager в Azure AD, он может проверить наличие у этих регистраций разрешений для API Microsoft Graph. Им не требуются разрешения для API azure AD Graph API. Дополнительные сведения см. в статье о регистрации приложений Azure AD вручную.