在 Configuration Manager 中规划 CMG

  • 项目

适用于: Configuration Manager(current branch)

若要简化基于 Internet 的客户端的管理,请首先制定云管理网关 (CMG) 的计划。 设计它如何适应你的环境,并为实现做好准备。

有关 CMG 方案和用例的更多基础知识,请参阅 CMG 概述

注意

本文先前的一些部分已移动:

计划清单

整个 CMG 规划过程分为以下几个部分:

  • 组件和要求:本文总结了构成 CMG 系统的组件。 它还列出了系统要求。

  • 客户端身份验证:确定将用于来自可能不受信任的网络的客户端的身份验证方法。

  • 层次结构设计:规划在环境中放置 CMG 的位置。

  • 支持的配置:了解在连接到 CMG 的基于 Internet 的客户端上可以支持哪些Configuration Manager功能。

  • 性能和规模:确定需要多少个服务组件才能最好地支持客户端数量。

  • 成本:了解基于 Azure 的组件的成本。

CMG 组件

CMG 的部署和操作包括以下组件:

  • Azure 中的 CMG 云服务通过 Internet 对Configuration Manager客户端请求进行身份验证,并将其转发到本地 CMG 连接点。

  • CMG 连接点站点系统角色可实现从本地网络到 Azure 中的 CMG 服务的一致且高性能的连接。 它还将设置发布到 CMG,包括连接信息和安全设置。 CMG 连接点根据 URL 映射将客户端请求从 CMG 转发到本地角色。 例如,管理点和软件更新点。

  • 服务连接点站点系统角色运行云服务管理器组件,该组件处理所有 CMG 部署任务。 此外,它还从Microsoft Entra ID 监视和报告服务运行状况和日志记录信息。 确保服务连接点处于 联机模式

  • 管理点软件更新点站点系统角色按正常方式服务客户端请求。

  • CMG 使用 基于证书的 HTTPS Web 服务来帮助保护与客户端的网络通信。

  • 基于 Internet 的客户端连接到 CMG 以访问本地Configuration Manager组件。 客户端标识和身份验证有多种选项:

    • Microsoft Entra ID
    • PKI 证书
    • Configuration Manager站点颁发的令牌

    有关详细信息,请参阅 规划 CMG 客户端身份验证

  • CMG 创建 一个 Azure 存储帐户,用于其标准操作。 默认情况下,CMG 还启用了内容,以便向基于 Internet 的客户端提供部署内容。 此存储帐户不支持自定义项,例如虚拟网络限制。

    注意

    基于云的分发点 (CDP) 已弃用。 从版本 2107 开始,无法创建新的 CDP 实例。 若要向基于 Internet 的设备提供内容,请启用 CMG 以分发内容。

Azure 资源管理器

使用 Azure 资源管理器 部署创建 CMG。 Azure 资源管理器 是一种新式平台,用于将所有解决方案资源作为一个实体(称为资源组)进行管理。 使用 Azure 资源管理器 部署 CMG 时,站点将使用Microsoft Entra ID 进行身份验证并创建必要的云资源。

重要

从版本 2203 开始,删除将 CMG 部署为 云服务 (经典) 的选项。 所有 CMG 部署都应使用 虚拟机规模集 有关详细信息,请参阅 已删除和已弃用的功能

虚拟机规模集

注意

此功能最初在版本 2010 中作为 预发行功能引入。 从版本 2107 开始,它不再是预发行功能。

默认情况下,Configuration Manager不启用此可选功能。 在使用此功能之前,必须启用此功能。 有关详细信息,请参阅启用更新中的可选功能

从版本 2010 开始,拥有云解决方案提供商 (CSP) 订阅的客户可以在 Azure 中使用 虚拟机规模集 部署 CMG。 仅当他们当前没有使用经典云服务将 CMG 部署到另一个订阅时,才会提供此支持。

从版本 2107 开始,所有客户都可以使用虚拟机规模集部署 CMG。 如果已使用经典云服务部署现有 CMG,请将 CMG 转换为 使用虚拟机规模集。

除了少数例外,CMG 的配置、操作和功能保持不变。

  • Azure 订阅中的其他 Azure 资源提供程序

  • 不同的部署名称,例如,GraniteFalls.EastUS.CloudApp.Azure.Com 美国东部 Azure 区域中的部署。 此名称更改可能会影响创建和管理 CMG 服务器身份验证证书的方式。

  • CMG 连接点仅通过 HTTPS 与 Azure 中的虚拟机规模集通信。 它不需要 TCP-TLS 端口。

具有虚拟机规模集的 CMG 的限制

版本 2107 及更高版本的限制

注意

从版本 2111 开始,具有虚拟机规模集的 CMG 部署支持 Azure 美国政府云环境。

  • 用户可能会在软件中心内执行操作时遇到长达 3 秒的延迟。
  • 无法通过 CMG 批准/拒绝应用程序请求。
  • 版本 2107 不支持 Azure 美国政府云环境。

版本 2010 和 2103 的限制

  • 如果需要多个 CMG 实例,它们必须使用相同的部署方法。
  • 每个 VM 实例支持的并发客户端连接数为 2,000。 有关详细信息,请参阅 CMG 性能和规模
  • 它仅受独立主站点支持。
  • 它不支持 Azure 美国政府云环境。
  • 用户可能会在软件中心内执行操作时遇到长达 3 秒的延迟。
  • Configuration Manager当前基于资源组的名称创建 Azure 存储容器。 Azure 对资源组和存储容器有不同的命名要求。 确保此服务的资源组名称仅包含小写字母、数字和连字符。 如果现有资源组不起作用,请在Azure 门户中将其重命名,或创建新的资源组。
  • 如果有多个 HTTPS 管理点,则无法通过 Internet 在设备上安装 Configuration Manager 客户端。 如果需要 使用 CMG 安装本地客户端,则只能有一个 HTTPS 管理点。 还需要为内容启用 CMG。
  • 无法通过 CMG 批准/拒绝应用程序请求。

要求

提示

若要阐明一些 Azure 术语,请:

  • Microsoft Entra ID 租户是用户帐户和应用注册的目录。 一个租户可以有多个订阅。
  • Azure 订阅 将计费、资源和服务分开。 它与单个租户相关联。

有关详细信息,请参阅 Microsoft 云产品/服务的订阅、许可证、帐户和租户

  • 用于托管 CMG 的 Azure 订阅 。 此订阅可以位于以下环境之一:

    • 全局 Azure 云
    • Azure 美国政府云

    拥有云服务提供商 (CSP) 订阅的客户需要将版本 2010 或更高版本用于 虚拟机规模集 部署。

  • 将站点与Microsoft Entra ID 集成,以使用 Azure 资源管理器部署服务。 有关详细信息,请参阅为 CMG 配置Microsoft Entra ID

    将站点载入到Microsoft Entra ID 时,可以选择启用Microsoft Entra用户发现。 创建 CMG 不是必需的,但如果计划对混合标识使用Microsoft Entra身份验证,则需要它。 有关详细信息,请参阅使用Microsoft Entra ID 安装客户端关于Microsoft Entra用户发现

  • Azure 管理员需要参与某些组件的初始创建。 此角色可以与Configuration Manager管理员相同,也可以是单独的。 如果分开,则不需要Configuration Manager中的权限。

    • 将站点与 Microsoft Entra ID 集成以使用 Azure 资源管理器部署 CMG 时,需要全局管理员

    • 创建 CMG 时,需要一个 Azure 订阅所有者帐户和Microsoft Entra ID 全局管理员

  • 用户帐户必须是 Configuration Manager 中的完全管理员基础结构管理员

  • 至少一个本地 Windows 服务器用于托管 CMG 连接点。 可以将此角色与其他Configuration Manager站点系统角色并置。

  • 服务连接点必须处于联机模式

  • 配置 管理点 以允许来自 CMG 的流量。 它还需要 HTTPS,或为 增强型 HTTP 配置站点。

  • CMG 的服务器身份验证证书

  • CMG 名称需要介于 3-24 个字母数字字符之间。 名称必须以字母开头,以字母或数字结尾,并且不能包含连续的连字符。

  • 可能需要其他证书,具体取决于客户端 OS 版本和身份验证模型。 有关详细信息,请参阅 配置客户端身份验证

  • 客户端必须使用 IPv4

  • 确保为将使用 CMG 的设备启用了云服务组中的以下客户端设置

    • 允许客户端使用云管理网关
    • 允许访问云分发点

    注意

    如果启用“ 下载增量内容(如果可用)”的客户端设置,则第三方更新的内容不会下载到客户端。

后续步骤

接下来,确定客户端将如何使用 CMG 进行身份验证:

规划 CMG 客户端身份验证