CMG 的常見問題

是，視您的設計而定，至少一個，可能還有其他專案。

• 伺服器驗證憑證：CMG 會建立以因特網為基礎的用戶端所連線的 HTTPS 服務。 服務需要伺服器驗證憑證才能建置安全通道。 您可以從公用提供者取得此用途的憑證，或從您的公鑰基礎結構 (PKI) 發行憑證。 如需詳細資訊，請參閱 CMG 伺服器驗證憑證。

• 用戶端驗證憑證：根據您的環境和 CMG 設計，您可以使用 PKI 憑證進行客戶端驗證。 此驗證方法不支援以使用者為中心的案例，但支援執行任何支援 Windows 版本的裝置。 如需詳細資訊， 請參閱設定CMG的客戶端驗證：PKI 憑證。

  當您使用此客戶端驗證方法時，也需要匯出客戶端憑證的受信任根鏈結。 然後，當您建立 CMG 和 CMG 連接點時，會使用此憑證鏈結。

• 啟用 HTTPS 的管理點：根據您設定月臺的方式，以及您選擇的客戶端驗證方法，您可能需要設定啟用因特網的管理點以支援 HTTPS。 如需詳細資訊， 請參閱設定CMG的客戶端驗證：啟用 HTTPS 的管理點。

否。 Azure ExpressRoute 可讓您將內部部署網路延伸至 Microsoft 雲端。 CMG 不需要 ExpressRoute 或其他這類虛擬網路連線。 CMG 的設計可讓以因特網為基礎的用戶端透過 Azure 服務與內部部署月台系統進行通訊，而不需要額外的網路設定。 如需詳細資訊，請參閱 CMG概觀。

否。 CMG 是一種軟體即服務 (SaaS) 解決方案，可將您的 Configuration Manager 環境延伸至雲端。 CMG 的設計會使用 Azure 平臺即服務 (PaaS) 。 使用您提供的訂用帳戶，Configuration Manager (VM) 、記憶體和網路建立必要的虛擬機。 Azure PaaS 會保護和更新 VM。 您不需要監視這些 VM。 適用於 CMG 的 Azure VM 不是內部部署環境的一部分，如同基礎結構即服務 (IaaS) 的情況。 如需 CMG 建置基礎 PaaS 解決方案的詳細安全性特定資訊，請參閱 保護 PaaS 部署。

由於 CMG 會作為用戶端通訊的 Proxy，因此不會處理、保留或儲存任何客戶端數據。 透過因特網的通訊路徑一律使用 HTTPS。 若要提高安全性，請設定 HTTPS 的管理點。 同時設定月臺選項，讓用戶端加密清查和狀態消息。 如需詳細資訊，請 參閱規劃安全性：簽署和加密。

否。 CMG VM 是使用範本進行部署，且已設定 IIS，如果您手動更新 VM，這將會中斷。 產品群組會透過更新或最新分支版本來修正問題。

藉由調整 CMG 以包含兩個或多個實例，您可以自動受益於 Azure 中的更新網域。 請參閱 如何更新雲端服務。

如果您已將 以因特網為基礎的用戶端管理 部署 (IBCM) ，您也可以部署 CMG。 用戶端會接收這兩項服務的原則。 當它們漫遊到因特網時，他們會隨機選取並使用其中一個以因特網為基礎的服務。

否，您可以將 CMG 部署到任何可裝載 Azure 雲端服務的訂用帳戶。

若要釐清字詞：

• Microsoft Entra 租用戶是用戶帳戶和應用程式註冊的目錄。 一個租使用者可以有多個訂用帳戶。
• Azure 訂 用帳戶會分隔計費、資源和服務。 它與單一租用戶相關聯。

這個問題在下列案例中很常見：

• 當您有不同的測試和生產 Active Directory 和 Microsoft Entra 環境，但單一的集中式 Azure 主控訂用帳戶時。

• 您對 Azure 的使用已在不同小組之間以組織方式成長。

當您使用 Resource Manager 部署時，請將與訂用帳戶相關聯的 Microsoft Entra 租用戶上線。 此連線可讓 Configuration Manager 向 Azure 進行驗證，以建立、部署和管理 CMG。

如果您針對透過 CMG 管理的使用者和裝置使用 Microsoft Entra 驗證，請將該 Microsoft Entra 租用戶上線。 如需適用於雲端管理之 Azure 服務的詳細資訊，請參閱 設定 Azure 服務。 當您將每個 Microsoft Entra 租用戶上線時，不論裝載位置為何，單一 CMG 都可以為多個租使用者提供 Microsoft Entra 驗證。

範例 1：具有多個訂用帳戶的一個租使用者

使用者身分識別、裝置註冊和應用程式註冊全都在相同的租使用者中。 您可以選擇 CMG 使用的訂用帳戶。 您可以將多個 CMG 服務從一個月臺部署到不同的訂用帳戶。 網站與租使用者具有一對一關係。 您會決定要使用哪些訂用帳戶，原因如下：計費或邏輯區隔。

範例 2：多個租使用者

換句話說，您的環境有多個 Microsoft Entra ID。 如果您需要支援這兩個租使用者中的使用者和裝置身分識別，您必須將月臺連結至每個租使用者。 此程式需要每個租用戶的系統管理帳戶，才能在該租使用者中建立應用程式註冊。 然後，一個月臺可以在多個租用戶中裝載CMG服務。 您可以在任一租使用者中的任何可用訂用帳戶中建立 CMG。 已加入或混合加入任一 Microsoft Entra ID的裝置可以使用CMG。

如果使用者和裝置身分識別位於一個租使用者中，但 CMG 的訂用帳戶位於另一個租使用者中，您必須將月臺連結至這兩個租使用者。 技術上來說，只有 CMG 服務的第二個租使用者不需要用戶端應用程式。 用戶端應用程式只會為使用 CMG 服務的用戶端提供使用者和裝置驗證。

透過 VPN 連線到您環境的漫遊用戶端通常會偵測為內部網路面向。 他們會嘗試連線到您的內部部署基礎結構，例如管理點和發佈點。 有些客戶偏好讓這些漫遊用戶端由雲端服務管理，即使透過 VPN 連線也一樣。

您也可以將 CMG 與界限群組產生關聯。 此動作會強制這些用戶端不要使用內部部署月臺系統。 如需詳細資訊， 請參閱設定界限群組。

若要保護透過 CMG 傳送的敏感性流量，您必須設定至少一個管理點以使用 HTTPS 或設定月臺以進行增強式 HTTP。

然後，當您部署 CMG 時，如果您在啟用 CMG 的管理點上使用 PKI 憑證進行 HTTPS 通訊，請選取 [在管理點屬性上 允許僅限因特網的客戶 端] 選項。 此設定可確保內部客戶端繼續在您的環境中使用 HTTP 管理點。

如果您使用增強 HTTP，則不需要設定此設定。 用戶端在直接與啟用 CMG 的管理點通訊時，會繼續使用 HTTP。 如需詳細資訊，請參閱 增強 HTTP。

您可以使用 Microsoft Entra ID 或客戶端驗證憑證，讓裝置向 CMG 服務進行驗證。 您也可以使用 Configuration Manager 月台發行的令牌進行驗證。

如果您使用已加入 Active Directory 網域的身分識別來管理傳統 Windows 用戶端，則需要 PKI 憑證來保護通道。 這些用戶端可以包含任何支援的 Windows 版本。 您可以使用所有 CMG 支援的功能，但軟體發佈僅限於裝置。 在裝置漫遊到因特網之前安裝 Configuration Manager 用戶端，或使用令牌驗證。

您也可以使用新式身分識別來管理 Windows 10 或更新版本的用戶端，包括已加入 Microsoft Entra ID 的混合式或純雲端網域。 用戶端會使用 Microsoft Entra ID 來進行驗證，而不是使用 PKI 憑證。 使用 Microsoft Entra ID 比更複雜的 PKI 系統更容易設定、設定及維護。 您可以對使用者執行所有相同的管理活動以及軟體發佈。 它也可讓您使用其他方法在遠端裝置上安裝用戶端。

Microsoft 建議將裝置加入 Microsoft Entra ID。 以因特網為基礎的裝置可以使用 Microsoft Entra ID 向 Configuration Manager 進行驗證。 它也會同時啟用裝置和使用者案例，不論裝置是在因特網上，還是連線到內部網路。

如需詳細資訊， 請參閱設定客戶端驗證。

是，如果您的網站是 2107 版或更新版本。 它不再是發行前版本功能，建議所有客戶使用。 如果您有現有的傳統 CMG 部署，您可以 將它轉換成虛擬機擴展集。

如果您的網站是 2010 或 2103 版，則虛擬機擴展集部署方法是發行前版本功能。 它僅適用於具有雲端解決方案提供者 (CSP) 訂用帳戶的客戶。

如需將 CMG 部署為虛擬機擴展集的詳細資訊，請參閱 規劃 CMG。

否。 它目前不支援 CDN) (Azure 內容傳遞網路。 CDN 是一個全域解決方案，可透過在全球策略性放置的實體節點上快取內容，快速提供高頻寬內容。 如需詳細資訊，請 參閱什麼是 Azure CDN？。

否。 您可能已經看過下列部落格文章，並想知道它如何套用至 Configuration Manager：更新您的應用程式以使用 Microsoft 驗證連結庫和 Microsoft 圖形 API。 此文章指的是任何使用這些驗證連結庫的開發程序代碼。 Configuration Manager 已在某些地方使用 Microsoft 圖形 API 和 Microsoft 驗證連結庫 (MSAL) 數年。 所有其他元件都會在更新匯總 Configuration Manager 2107 版中更新。 如果您對 Configuration Manager 版本保持最新狀態，則不需要執行任何其他動作。

有些人將此部落格文章中的資訊與 Configuration Manager 用於各種雲端連結服務 Microsoft Entra ID 中的應用程式註冊混淆。 這些應用程式註冊是雲端式服務主體，不會直接使用這些驗證連結庫。 如果 Azure 全域管理員在 Microsoft Entra ID 中手動建立 Configuration Manager 應用程式註冊，他們可以再次檢查這些註冊是否具有 Microsoft Graph API 的許可權。 他們不需要 Azure AD 圖形 API 的許可權。 如需詳細資訊，請參閱手動註冊 Microsoft Entra 應用程式。