Планирование CMG в Configuration Manager

  • Статья

Относится к Configuration Manager (Current Branch)

Чтобы упростить управление интернет-клиентами, сначала разработайте план для шлюза управления облачными клиентами (CMG). Проектируйте, как она соответствует вашей среде, и подготовьтесь к реализации.

Дополнительные базовые знания о сценариях CMG и вариантах использования см. в статье Обзор CMG.

Примечание.

Некоторые разделы, которые были ранее в этой статье, перемещены:

Контрольный список планирования

Общий процесс планирования CMG состоит из следующих частей:

  • Компоненты и требования. В этой статье перечислены компоненты, составляющие систему CMG. В нем также перечислены требования к системе.

  • Проверка подлинности клиента. Определите, какой метод проверки подлинности будет использоваться для клиентов из потенциально ненадежных сетей.

  • Структура иерархии. Планируйте расположение шлюза управления облачными клиентами в вашей среде.

  • Поддерживаемые конфигурации. Узнайте, какие Configuration Manager функции можно поддерживать в интернет-клиентах, которые подключаются к CMG.

  • Производительность и масштабирование. Определите, сколько компонентов службы потребуется для оптимальной поддержки вашего числа клиентов.

  • Затраты. Сведения о стоимости компонентов на основе Azure.

Компоненты CMG

Развертывание и работа шлюза управления облачными клиентами включает в себя следующие компоненты:

  • Облачная служба CMG в Azure выполняет проверку подлинности и пересылает Configuration Manager клиентские запросы через Интернет в локальную точку подключения CMG.

  • Роль системы сайта точки подключения CMG обеспечивает согласованное и высокопроизводительное подключение из локальной сети к службе CMG в Azure. Он также публикует параметры в CMG, включая сведения о подключении и параметры безопасности. Точка подключения CMG пересылает клиентские запросы из CMG в локальные роли в соответствии с сопоставлениями URL-адресов. Например, точка управления и точка обновления программного обеспечения.

  • Роль системы сайта точки подключения службы запускает компонент диспетчера облачных служб, который обрабатывает все задачи развертывания CMG. Кроме того, он отслеживает и сообщает о работоспособности службы и сведения о журнале по идентификатору Microsoft Entra. Убедитесь, что точка подключения службы находится в режиме "в сети".

  • Точка управления и точка обновления программного обеспечения ролей системы сайта выполняет запросы клиента в обычном режиме.

  • CMG использует веб-службу HTTPS на основе сертификата для защиты сетевого взаимодействия с клиентами.

  • Интернет-клиенты подключаются к шлюзу управления облачными клиентами для доступа к локальным Configuration Manager компонентам. Существует несколько вариантов идентификации и проверки подлинности клиента:

    • Microsoft Entra ID
    • PKI-сертификаты
    • Configuration Manager маркеры, выданные сайтом

    Дополнительные сведения см. в разделе Планирование проверки подлинности клиента CMG.

  • CMG создает учетную запись хранения Azure, которая используется для стандартных операций. По умолчанию шлюз управления облачными клиентами также включает содержимое для развертывания. Эта учетная запись хранения не поддерживает настройки, например ограничения виртуальной сети.

    Примечание.

    Облачная точка распространения (CDP) не рекомендуется использовать. Начиная с версии 2107, вы не можете создавать новые экземпляры CDP. Чтобы предоставить содержимое интернет-устройствам, включите CMG для распространения содержимого.

Azure Resource Manager

Вы создаете шлюз управления облачными клиентами с помощью развертывания azure Resource Manager. Azure Resource Manager — это современная платформа для управления всеми ресурсами решения в виде единой сущности, называемой группой ресурсов. При развертывании шлюза управления облачными клиентами с помощью Azure Resource Manager сайт использует идентификатор Microsoft Entra для проверки подлинности и создания необходимых облачных ресурсов.

Важно!

Начиная с версии 2203 возможность развертывания CMG в качестве облачной службы (классической) удаляется. Все развертывания CMG должны использовать масштабируемый набор виртуальных машин. Дополнительные сведения см. в статье Удаленные и нерекомендуемые функции.

Масштабируемые наборы виртуальных машин

Примечание.

Эта функция была впервые представлена в версии 2010 в качестве предварительной версии. Начиная с версии 2107, эта функция больше не является предварительной версией.

Configuration Manager не включает эту необязательную функцию по умолчанию. Перед ее использованием необходимо включить эту функцию. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.

Начиная с версии 2010 клиенты с подпиской на поставщик облачных решений (CSP) могут развернуть CMG с масштабируемым набором виртуальных машин в Azure. Эта поддержка доступна только в том случае, если в настоящее время у них нет шлюза управления облачными клиентами, развернутого с помощью классических облачных служб в другой подписке.

Начиная с версии 2107 все клиенты могут развернуть CMG с масштабируемым набором виртуальных машин. Если у вас есть группа управления облачными клиентами, развернутая с классической облачной службой, преобразуйте шлюз управления облачными клиентами в масштабируемый набор виртуальных машин.

За некоторыми исключениями конфигурация, операция и функциональность CMG остаются прежними.

  • Другие поставщики ресурсов Azure в подписке Azure.

  • Различные имена развертывания, например GraniteFalls.EastUS.CloudApp.Azure.Com для развертывания в регионе Azure "Восточная часть США ". Это изменение имени может повлиять на создание сертификата проверки подлинности сервера CMG и управление им.

  • Точка подключения CMG взаимодействует только с масштабируемым набором виртуальных машин в Azure по протоколу HTTPS. Порты TCP-TLS не требуются.

Ограничения для шлюза управления облачными клиентами с масштабируемым набором виртуальных машин

Ограничения версий 2107 и более поздних

Примечание.

Начиная с версии 2111, развертывания CMG с масштабируемым набором виртуальных машин поддерживают облачные среды Azure для государственных организаций США.

  • Пользователи могут столкнуться с задержкой до трех секунд для действий в Центре программного обеспечения.
  • Вы не можете утвердить или отклонить запросы приложений через ШЛЮЗ управления облачными клиентами.
  • Версия 2107 не поддерживает облачные среды Azure для государственных организаций США.

Ограничения версий 2010 и 2103

  • Если требуется несколько экземпляров CMG, все они должны использовать один и тот же метод развертывания.
  • Поддерживаемо количество одновременных клиентских подключений — 2000 на экземпляр виртуальной машины. Дополнительные сведения см. в разделе Производительность и масштабирование CMG.
  • Он поддерживается только с автономным первичным сайтом.
  • Он не поддерживает облачные среды Azure для государственных организаций США.
  • Пользователи могут столкнуться с задержкой до трех секунд для действий в Центре программного обеспечения.
  • Configuration Manager в настоящее время создает контейнер службы хранилища Azure на основе имени группы ресурсов. Azure имеет разные требования к именованию для групп ресурсов и контейнеров хранилища. Убедитесь, что имя группы ресурсов для этой службы содержит только строчные буквы, цифры и дефисы. Если у вас есть группа ресурсов, которая не работает, переименуйте ее в портал Azure или создайте новую группу ресурсов.
  • Если у вас несколько точек управления HTTPS, вы не сможете установить клиент Configuration Manager на устройствах через Интернет. Если вам нужно установить локальные клиенты с помощью шлюза управления облачными клиентами, можно использовать только одну точку управления HTTPS. Кроме того, необходимо включить CMG для содержимого.
  • Вы не можете утвердить или отклонить запросы приложений через ШЛЮЗ управления облачными клиентами.

Требования

Совет

Чтобы уточнить некоторые термины Azure, выполните приведенные ниже действия.

  • Клиент идентификатора Microsoft Entra — это каталог учетных записей пользователей и регистраций приложений. Один клиент может иметь несколько подписок.
  • Подписка Azure разделяет выставление счетов, ресурсы и службы. Он связан с одним клиентом.

Дополнительные сведения см. в статье Подписки, лицензии, учетные записи и клиенты для облачных предложений Майкрософт.

  • Подписка Azure для размещения шлюза управления облачными клиентами. Эта подписка может находиться в одной из следующих сред:

    • Глобальное облако Azure
    • Облако Azure для государственных организаций США

    Клиенты с подпиской на поставщик облачных служб (CSP) должны использовать версию 2010 или более позднюю с развертыванием масштабируемого набора виртуальных машин .

  • Интегрируйте сайт с идентификатором Microsoft Entra для развертывания службы с Resource Manager Azure. Дополнительные сведения см. в разделе Настройка идентификатора Microsoft Entra для CMG.

    При подключении сайта к идентификатору Microsoft Entra при необходимости можно включить Microsoft Entra обнаружение пользователей. Он не требуется для создания CMG, но требуется, если вы планируете использовать проверку подлинности Microsoft Entra с гибридными удостоверениями. Дополнительные сведения см. в статье Установка клиентов с помощью идентификатора Microsoft Entra и сведения об обнаружении пользователей Microsoft Entra.

  • Администратор Azure должен участвовать в первоначальном создании определенных компонентов. Этот пользователь может быть таким же, как Configuration Manager администратором, или отдельным. Если они разделены, они не требуют разрешений в Configuration Manager.

    • При интеграции сайта с идентификатором Microsoft Entra для развертывания CMG с помощью Azure Resource Manager требуется глобальный администратор.

    • При создании шлюза управления облачными клиентами требуется учетная запись, которая является владельцем подписки Azure и глобальным администратором Microsoft Entra идентификатора.

  • Ваша учетная запись пользователя должна быть полным администратором или администратором инфраструктуры в Configuration Manager.

  • По крайней мере один локальный сервер Windows для размещения точки подключения CMG. Эту роль можно использовать с другими Configuration Manager ролями системы сайта.

  • Точка подключения службы должна находиться в интерактивном режиме.

  • Настройте точку управления , чтобы разрешить трафик из шлюза управления облачными клиентами. Ему также необходимо требовать HTTPS или настроить сайт для расширенного HTTP.

  • Сертификат проверки подлинности сервера для CMG.

  • Имена CMG должны содержать от 3 до 24 буквенно-цифровых символов. Имя должно начинаться с буквы, заканчиваться буквой или цифрой и не содержать последовательные дефисы.

  • В зависимости от версии клиентской ОС и модели проверки подлинности могут потребоваться другие сертификаты. Дополнительные сведения см. в разделе Настройка проверки подлинности клиента.

  • Клиенты должны использовать IPv4.

  • Убедитесь, что для устройств, которые будут использовать CMG, включены следующие параметры клиента в группе облачных служб :

    • Разрешить клиентам использовать шлюз управления облаком
    • Разрешить доступ к облачной точке распространения

    Примечание.

    Если для параметра клиента включить значение Скачать разностное содержимое, если оно доступно, содержимое для сторонних обновлений не будет скачиваться на клиенты.

Дальнейшие действия

Затем определите, как клиенты будут проходить проверку подлинности с помощью шлюза управления облачными клиентами:

Планирование проверки подлинности клиента CMG