CMG hakkında sık sorulan sorular

Evet, tasarımınıza bağlı olarak en az bir tane ve muhtemelen diğerleri.

• Sunucu kimlik doğrulama sertifikası: CMG, internet tabanlı istemcilerin bağlandığı bir HTTPS hizmeti oluşturur. Hizmet, güvenli kanalı oluşturmak için bir sunucu kimlik doğrulama sertifikası gerektirir. Bu amaçla bir ortak sağlayıcıdan sertifika alabilir veya ortak anahtar altyapınızdan (PKI) sertifika vekleyebilirsiniz. Daha fazla bilgi için bkz. CMG sunucusu kimlik doğrulama sertifikası.

• İstemci kimlik doğrulama sertifikası: Ortamınıza ve CMG tasarımınıza bağlı olarak, istemci kimlik doğrulaması için PKI sertifikalarını kullanabilirsiniz. Bu kimlik doğrulama yöntemi kullanıcı merkezli senaryoları desteklemez, ancak desteklenen Windows sürümlerini çalıştıran cihazları destekler. Daha fazla bilgi için bkz . CMG için istemci kimlik doğrulamasını yapılandırma: PKI sertifikası.

  Bu istemci kimlik doğrulama yöntemini kullandığınızda, istemci sertifikasının güvenilen kök zincirini de dışarı aktarmanız gerekir. Ardından, CMG'yi oluştururken ve CMG bağlantı noktasında bu sertifika zincirini kullanırsınız.

• HTTPS özellikli yönetim noktası: Siteyi nasıl yapılandırdığınıza ve hangi istemci kimlik doğrulama yöntemini seçtiğinize bağlı olarak, İnternet özellikli yönetim noktalarınızı HTTPS'yi destekleyecek şekilde yapılandırmanız gerekebilir. Daha fazla bilgi için bkz. CMG için istemci kimlik doğrulamasını yapılandırma: HTTPS için yönetim noktasını etkinleştirme.

Hayır. Azure ExpressRoute , şirket içi ağınızı Microsoft bulutuna genişletmenize olanak tanır. CMG için ExpressRoute veya bu tür diğer sanal ağ bağlantıları gerekli değildir. CMG'nin tasarımı, İnternet tabanlı istemcilerin ek ağ yapılandırması olmadan Azure hizmeti aracılığıyla şirket içi site sistemlerine iletişim kurmasına olanak tanır. Daha fazla bilgi için bkz. CMG'ye genel bakış.

Hayır. CMG, Configuration Manager ortamınızı buluta genişleten bir hizmet olarak yazılım (SaaS) çözümüdür. CMG'nin tasarımı azure hizmet olarak platformunu (PaaS) kullanır. Sağladığınız aboneliği kullanarak Configuration Manager gerekli sanal makineleri (VM' ler), depolamayı ve ağı oluşturur. Azure PaaS, VM'lerin güvenliğini sağlar ve güncelleştirir. Bu VM'leri izlemeniz gerekmez. CMG için Azure VM'leri, hizmet olarak altyapı (IaaS) gibi şirket içi ortamınızın bir parçası değildir. CMG'nin temel aldığı PaaS çözümü hakkında daha fazla güvenlikle ilgili özel bilgi için bkz. PaaS dağıtımlarının güvenliğini sağlama.

CMG, istemci iletişimi için ara sunucu işlevi göreceğinden istemci verilerini işlemez, saklamaz veya depolamaz. İnternet üzerinden iletişim yolu her zaman HTTPS kullanır. Daha fazla güvenlik için HTTPS için yönetim noktasını yapılandırın. Ayrıca istemcilerin envanter ve durum iletilerini şifrelemesi için site seçeneğini yapılandırın. Daha fazla bilgi için bkz . Güvenlik için planlama: İmzalama ve şifreleme.

Hayır. CMG VM'leri şablon kullanılarak dağıtılır ve IIS yapılandırılır, VM'leri el ile güncelleştirirseniz bu sorun bozulur. Ürün grubu, güncelleştirme veya geçerli dal sürümleri aracılığıyla sorunu düzeltir.

CMG'yi iki veya daha fazla örnek içerecek şekilde ölçeklendirerek Azure'da Etki Alanlarını Güncelleştirme'den otomatik olarak yararlanabilirsiniz. Bkz. Bulut hizmetini güncelleştirme.

İnternet tabanlı istemci yönetimini (IBCM) zaten dağıttıysanız, CMG'yi de dağıtabilirsiniz. İstemciler her iki hizmet için de ilke alır. İnternet'e dolaşırken, bu internet tabanlı hizmetlerden birini rastgele seçer ve kullanırlar.

Hayır, CMG'yi Azure bulut hizmetlerini barındırabilen herhangi bir aboneliğe dağıtabilirsiniz.

Koşulları netleştirmek için:

• Microsoft Entra kiracısı, kullanıcı hesaplarının ve uygulama kayıtlarının dizinidir. Bir kiracının birden çok aboneliği olabilir.
• Azure aboneliği faturalamayı, kaynakları ve hizmetleri birbirinden ayırır. Tek bir kiracıyla ilişkilendirildi.

Bu soru aşağıdaki senaryolarda yaygındır:

• Ayrı test ve üretim Active Directory'niz ve Microsoft Entra ortamlarınız olduğunda ancak tek bir merkezi Azure barındırma aboneliğiniz olduğunda.

• Azure kullanımınız farklı ekipler arasında organik olarak büyüdü.

Resource Manager dağıtımı kullanırken abonelikle ilişkili Microsoft Entra kiracısını ekleyin. Bu bağlantı, Configuration Manager CMG'yi oluşturmak, dağıtmak ve yönetmek için Azure'da kimlik doğrulaması yapmasına olanak tanır.

CMG üzerinden yönetilen kullanıcılar ve cihazlar için Microsoft Entra kimlik doğrulaması kullanıyorsanız, kiracıyı Microsoft Entra. Bulut yönetimi için Azure hizmetleri hakkında daha fazla bilgi için bkz. Azure hizmetlerini yapılandırma. Her Microsoft Entra kiracıyı eklediğinizde, barındırma konumundan bağımsız olarak tek bir CMG birden çok kiracı için Microsoft Entra kimlik doğrulaması sağlayabilir.

Örnek 1: Birden çok aboneliği olan bir kiracı

Kullanıcı kimliklerinin, cihaz kayıtlarının ve uygulama kayıtlarının tümü aynı kiracıdadır. CMG'nin hangi aboneliği kullandığını seçebilirsiniz. Bir siteden ayrı aboneliklere birden çok CMG hizmeti dağıtabilirsiniz. Sitenin kiracıyla bire bir ilişkisi vardır. Faturalama veya mantıksal ayırma gibi çeşitli nedenlerle hangi aboneliklerin kullanılacağına siz karar verirsiniz.

Örnek 2: Birden çok kiracı

Başka bir deyişle, ortamınızda birden fazla Microsoft Entra ID vardır. Her iki kiracıda da kullanıcı ve cihaz kimliklerini desteklemeniz gerekiyorsa, siteyi her kiracıya eklemeniz gerekir. Bu işlem, söz konusu kiracıda uygulama kayıtlarını oluşturmak için her kiracıdan bir yönetim hesabı gerektirir. Bundan sonra bir site, CMG hizmetlerini birden çok kiracıda barındırabilir. Her iki kiracıdaki kullanılabilir aboneliklerde cmg oluşturabilirsiniz. Microsoft Entra ID birleştirilmiş veya karma olarak katılmış cihazlar bir CMG kullanabilir.

Kullanıcı ve cihaz kimlikleri bir kiracıdaysa ancak CMG'nin aboneliği başka bir kiracıdaysa, siteyi her iki kiracıya da eklemeniz gerekir. Teknik olarak, istemci uygulaması yalnızca CMG hizmetine sahip ikinci kiracı için gerekli değildir. İstemci uygulaması yalnızca CMG hizmetini kullanan istemciler için kullanıcı ve cihaz kimlik doğrulaması sağlar.

Bir VPN aracılığıyla ortamınıza bağlanan dolaşım istemcileri genellikle intranete yönelik olarak algıılır. Yönetim noktaları ve dağıtım noktaları gibi şirket içi altyapınıza bağlanmaya çalışır. Bazı müşteriler bu dolaşım istemcilerinin VPN üzerinden bağlansa bile bulut hizmetleri tarafından yönetilmesini tercih eder.

CMG'yi bir sınır grubuyla da ilişkilendirebilirsiniz. Bu eylem, bu istemcileri şirket içi site sistemlerini kullanmamaya zorlar. Daha fazla bilgi için bkz. Sınır gruplarını yapılandırma.

Bir CMG üzerinden gönderilen hassas trafiğin güvenliğini sağlamak için, HTTPS kullanmak üzere en az bir yönetim noktası yapılandırmanız veya siteyi Gelişmiş HTTP için yapılandırmanız gerekir.

Ardından bir CMG dağıttığınızda, CMG özellikli yönetim noktasında HTTPS iletişimi için PKI sertifikaları kullanıyorsanız, Yönetim noktası özelliklerinde Yalnızca İnternet istemcilerine izin ver seçeneğini belirleyin. Bu ayar, iç istemcilerin ortamınızdaki HTTP yönetim noktalarını kullanmaya devam etmelerini sağlar.

Gelişmiş HTTP kullanıyorsanız bu ayarı yapılandırmanız gerekmez. İstemciler, DOĞRUDAN CMG özellikli yönetim noktasına iletişim kurarken HTTP kullanmaya devam ediyor. Daha fazla bilgi için bkz . Gelişmiş HTTP.

CMG hizmetinde kimlik doğrulaması yapmak için cihazlar için Microsoft Entra ID veya istemci kimlik doğrulama sertifikası kullanabilirsiniz. Kimlik doğrulaması için site tarafından verilen Configuration Manager belirteçleri de kullanabilirsiniz.

Active Directory etki alanına katılmış kimlikle geleneksel Windows istemcilerini yönetiyorsanız, iletişim kanalının güvenliğini sağlamak için PKI sertifikaları gerekir. Bu istemciler windows'un desteklenen herhangi bir sürümünü içerebilir. CMG destekli tüm özellikleri kullanabilirsiniz, ancak yazılım dağıtımı yalnızca cihazlarla sınırlıdır. Cihaz İnternet'e dolaşıma girmeden önce Configuration Manager istemcisini yükleyin veya belirteç kimlik doğrulamasını kullanın.

Microsoft Entra ID ile karma veya saf bulut etki alanına katılmış modern kimliğe sahip Windows 10 veya sonraki istemcileri de yönetebilirsiniz. İstemciler, PKI sertifikaları yerine kimlik doğrulaması yapmak için Microsoft Entra ID kullanır. Microsoft Entra ID kullanmak, daha karmaşık PKI sistemlerini ayarlamak, yapılandırmak ve korumaktan daha kolaydır. Aynı yönetim etkinliklerinin yanı sıra kullanıcıya yazılım dağıtımı da yapabilirsiniz. Ayrıca istemciyi uzak bir cihaza yüklemek için ek yöntemler sağlar.

Microsoft, cihazların Microsoft Entra ID katılmasını önerir. İnternet tabanlı cihazlar Configuration Manager ile kimlik doğrulaması yapmak için Microsoft Entra ID kullanabilir. Ayrıca, cihazın İnternet'te veya iç ağa bağlı olması farketmeksizin hem cihaz hem de kullanıcı senaryolarını etkinleştirir.

Daha fazla bilgi için bkz. İstemci kimlik doğrulamasını yapılandırma.

Evet, siteniz sürüm 2107 veya üzeriyse. Bu artık bir ön sürüm özelliği değildir ve tüm müşteriler için önerilir. Mevcut bir klasik CMG dağıtımınız varsa, bunu sanal makine ölçek kümesine dönüştürebilirsiniz.

Siteniz sürüm 2010 veya 2103 ise, sanal makine ölçek kümesi dağıtım yöntemi yayın öncesi bir özelliktir. Yalnızca Bulut Çözümü Sağlayıcısı (CSP) aboneliği olan müşterilere yöneliktir.

Bir CMG'yi sanal makine ölçek kümesi olarak dağıtma hakkında daha fazla bilgi için bkz. CMG planlama.

Hayır. Şu anda Azure içerik teslim ağını (CDN) desteklememektedir. CDN, içeriği dünyanın farklı yerlerinde stratejik olarak yerleştirilmiş fiziksel düğümlerde önbelleğe alarak yüksek bant genişliğine sahip içerikleri hızlı bir şekilde sunmak için genel bir çözümdür. Daha fazla bilgi için bkz. Azure CDN nedir?.

Hayır. Aşağıdaki blog gönderisini görmüş ve bunun Configuration Manager için nasıl geçerli olduğunu merak ediyor olabilirsiniz: Uygulamalarınızı Microsoft Kimlik Doğrulama Kitaplığı ve Microsoft Graph API kullanacak şekilde güncelleştirin. Bu gönderi, bu kimlik doğrulama kitaplıklarını kullanan tüm geliştirilmiş kodlara başvuruda bulunur. Configuration Manager birkaç yıldır bazı yerlerde Microsoft Graph API ve Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanıyor. Diğer tüm bileşenler güncelleştirme paketiyle Configuration Manager sürüm 2107'de güncelleştirilir. Configuration Manager sürümlerle güncel kalırsanız yapmanız gereken başka bir şey yoktur.

Bazı kişiler bu blog gönderisindeki bilgileri, Configuration Manager çeşitli buluta bağlı hizmetler için kullandığı Microsoft Entra ID uygulama kayıtlarıyla karıştırır. Bu uygulama kayıtları, bu kimlik doğrulama kitaplıklarını doğrudan kullanmayan bulut tabanlı hizmet sorumlularıdır. Azure genel yöneticisi Microsoft Entra ID'da Configuration Manager uygulama kayıtlarını el ile oluşturduysa, bu kayıtların Microsoft Graph API'sine yönelik izinlere sahip olup olmadığını bir kez daha denetleyebilir. Azure AD Graph API'sinde izinlere ihtiyaçları yoktur. Daha fazla bilgi için bkz. Microsoft Entra uygulamalarını el ile kaydetme.