Настройка контрольного списка для CMG

  • Статья

Относится к Configuration Manager (Current Branch)

Перед развертыванием шлюза управления облаком (CMG) ознакомьтесь с этой статьей, чтобы понять процесс установки. Кроме того, убедитесь, что все необходимые компоненты готовы для начала работы.

Во-первых, разработайте проект и план реализации CMG в вашей среде. Дополнительные сведения см. в статье Планирование шлюза управления облаком. Используйте этот раздел статей, чтобы определить структуру CMG.

Общий процесс настройки CMG состоит из следующих пяти main частей:

  1. Получение сертификата проверки подлинности сервера CMG. Шлюз управления облачными клиентами использует ПРОТОКОЛ HTTPS для безопасного обмена данными между клиентами через общедоступный Интернет. Вы можете получить сертификат от общедоступного поставщика или выдать его из инфраструктуры открытых ключей (PKI).

  2. Настройка идентификатора Microsoft Entra: Configuration Manager требуется регистрация приложений в Microsoft Entra идентификаторе. Вы можете разрешить Configuration Manager создавать их, или администратор Azure может предварительно создать регистрации.

  3. Настройка проверки подлинности клиента. Так как клиенты обмениваются данными через Интернет, Configuration Manager требует большей безопасности для этого канала. Можно использовать идентификатор Microsoft Entra, PKI-сертификаты или проверку подлинности на основе маркеров с сервера сайта.

  4. Настройка шлюза управления облачными клиентами. Этот шаг также включает в себя настройку сайта и добавление роли системы сайта точки подключения шлюза управления облачными клиентами.

  5. Настройте клиенты для использования шлюза управления облачными клиентами.

Другие статьи этого раздела пошаговые инструкции по каждой части процесса.

Терминология

Следующие термины используются в контексте настройки CMG. Они определены здесь для ясности.

  • клиент идентификатора Microsoft Entra: каталог учетных записей пользователей и регистраций приложений. Один клиент может иметь несколько подписок.

  • Подписка Azure. Подписка разделяет выставление счетов, ресурсы и службы. Он связан с одним клиентом.

    Совет

    Дополнительные сведения см. в статье Подписки, лицензии, учетные записи и клиенты для облачных предложений Майкрософт.

  • Группа ресурсов Azure. Контейнер, содержащий связанные ресурсы для решения Azure. Группа ресурсов включает те ресурсы, которыми вы хотите управлять как группа. Вы решаете, какие ресурсы относятся к группе ресурсов, исходя из того, что наиболее целесообразно для вашей организации. Дополнительные сведения см. в разделе Группы ресурсов.

  • Имя службы CMG: общее имя (CN) сертификата проверки подлинности сервера CMG. Клиенты и роль системы сайта точки подключения ШЛЮЗа управления облачными клиентами связываются с этим именем службы. Например, GraniteFalls.Contoso.Com или GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Имя развертывания CMG: первая часть имени службы, а также расположение Azure для развертывания облачной службы. Компонент диспетчера облачных служб точки подключения службы использует это имя при развертывании CMG в Azure. Имя развертывания всегда находится в домене Azure. Расположение Azure зависит от метода развертывания, например:

    • Масштабируемый набор виртуальных машин: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Классическое развертывание: GraniteFalls.CloudApp.Net

Контрольный список

Используйте следующий контрольный список, чтобы убедиться, что у вас есть необходимые сведения и необходимые условия для создания шлюза управления облачными клиентами:

  • Используемая среда Azure. Например, общедоступное облако Azure или облако Azure для государственных организаций США.

  • Регион Azure для этого развертывания CMG.

  • Количество экземпляров виртуальных машин, необходимых для масштабирования и избыточности.

  • Разработчик приложений Azure, администратор облачных приложений, администратор приложений или роль глобального администратора для регистрации приложений в Microsoft Entra идентификаторе.

  • Роль владельца подписки Azure при создании CMG в Azure.

  • По крайней мере один существующий сервер системы сайта, на котором планируется добавить роль точки подключения шлюза управления облачными клиентами .

  • Проверьте требования к доступу к Интернету , чтобы убедиться, что доступны все необходимые службы.

  • Включите эту необязательную функцию.

На следующих этапах процесса вы настроите другие необходимые компоненты.

Автоматизация с помощью PowerShell

При необходимости можно автоматизировать аспекты настройки CMG с помощью PowerShell. Хотя некоторые командлеты были доступны в более ранних версиях, версия 2010 включает новые командлеты и значительные улучшения существующих командлетов.

Например, администратор Azure сначала создает два необходимых приложения в Microsoft Entra id. Затем вы создаете скрипт, который использует следующие командлеты для развертывания CMG:

  1. Import-CMAADServerApplication: создайте определение приложения сервера Microsoft Entra в Configuration Manager.
  2. Import-CMAADClientApplication: создайте определение клиентского приложения Microsoft Entra в Configuration Manager.
  3. Используйте Командлет Get-CMAADApplication, чтобы получить объекты приложения, а затем передайте в New-CMCloudManagementAzureService, чтобы создать подключение к службе Azure в Configuration Manager.
  4. New-CMCloudManagementGateway: создайте службу CMG в Azure.
  5. Add-CMCloudManagementGatewayConnectionPoint: создайте систему сайта точки подключения CMG.

Эти командлеты можно использовать для автоматизации создания, настройки и управления службой CMG и Microsoft Entra требований.

Microsoft Entra определения приложений в Configuration Manager:

Служба Azure для управления облаком в Configuration Manager:

Служба шлюза управления облаком в Configuration Manager:

Роль системы сайта точки подключения шлюза управления облачными клиентами:

Дальнейшие действия

Начните работу с настройкой CMG, получив сертификат проверки подлинности сервера:

Сертификат проверки подлинности сервера CMG