Pianificare il cmg in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Per semplificare la gestione dei client basati su Internet, sviluppare innanzitutto un piano per il gateway di gestione cloud. Progettare il modo in cui si adatta all'ambiente e prepararsi per l'implementazione.
Per una conoscenza più approfondita degli scenari e dei casi d'uso di CMG, vedere Panoramica di CMG.
Nota
Alcune sezioni precedenti in questo articolo sono state spostate:
- Progettazione della gerarchia: progettazione della gerarchia cmg
- Prestazioni e scalabilità: prestazioni e scalabilità di CMG
Elenco di controllo della pianificazione
Il processo di pianificazione generale del CMG è suddiviso nelle parti seguenti:
Componenti e requisiti: questo articolo riepiloga i componenti che costituiscono il sistema CMG. Elenca anche i requisiti di sistema.
Autenticazione client: determinare il metodo di autenticazione che si userà per i client di reti potenzialmente non attendibili.
Progettazione della gerarchia: pianificare la posizione in cui posizionare il cmg nell'ambiente.
Configurazioni supportate: informazioni sulle funzionalità Configuration Manager che è possibile supportare nei client basati su Internet che si connettono al cmg.
Prestazioni e scalabilità: decidere il numero di componenti del servizio necessari per supportare al meglio il numero di client.
Costo: comprendere il costo dei componenti basati su Azure.
Componenti cmg
La distribuzione e il funzionamento del cmg includono i componenti seguenti:
Il servizio cloud CMG in Azure autentica e inoltra le richieste client Configuration Manager tramite Internet al punto di connessione cmg locale.
Il ruolo del sistema del sito del punto di connessione cmg consente una connessione coerente e ad alte prestazioni dalla rete locale al servizio CMG in Azure. Pubblica anche le impostazioni nel cmg, incluse le informazioni di connessione e le impostazioni di sicurezza. Il punto di connessione cmg inoltra le richieste client dal cmg ai ruoli locali in base ai mapping degli URL. Ad esempio, il punto di gestione e il punto di aggiornamento software.
Il ruolo del sistema del sito del punto di connessione del servizio esegue il componente di Gestione servizi cloud, che gestisce tutte le attività di distribuzione di CMG. Inoltre, monitora e segnala l'integrità del servizio e registra le informazioni dall Microsoft Entra ID. Assicurarsi che il punto di connessione del servizio sia in modalità online.
Le richieste client del servizio dei ruoli del sistema del sito del punto di aggiornamento software e del punto di gestione sono normali.
Il cmg usa un servizio Web HTTPS basato su certificati per proteggere la comunicazione di rete con i client.
I client basati su Internet si connettono al cmg per accedere ai componenti Configuration Manager locali. Sono disponibili più opzioni per l'identità client e l'autenticazione:
- Microsoft Entra ID
- Certificati PKI
- Configuration Manager token rilasciati dal sito
Per altre informazioni, vedere Pianificare l'autenticazione client di CMG.
Il cmg crea un account di archiviazione di Azure, che usa per le operazioni standard. Per impostazione predefinita, cmg è abilitato anche per il contenuto per fornire contenuto di distribuzione ai client basati su Internet. Questo account di archiviazione non supporta le personalizzazioni, ad esempio le restrizioni della rete virtuale.
Nota
Il punto di distribuzione basato sul cloud (CDP) è deprecato. A partire dalla versione 2107, non è possibile creare nuove istanze CDP. Per fornire contenuto ai dispositivi basati su Internet, abilitare cmg per distribuire il contenuto.
Azure Resource Manager
È possibile creare il cmg usando una distribuzione di Azure Resource Manager. Azure Resource Manager è una piattaforma moderna per la gestione di tutte le risorse della soluzione come singola entità, denominata gruppo di risorse. Quando si distribuisce un cmg con Azure Resource Manager, il sito usa Microsoft Entra ID per autenticare e creare le risorse cloud necessarie.
Importante
A partire dalla versione 2203, l'opzione per distribuire un cmg come servizio cloud (versione classica) viene rimossa. Tutte le distribuzioni di CMG devono usare un set di scalabilità di macchine virtuali. Per altre informazioni, vedere Funzionalità rimosse e deprecate.
Set di scalabilità di macchine virtuali
Nota
Questa funzionalità è stata introdotta per la prima volta nella versione 2010 come funzionalità non definitiva. A partire dalla versione 2107, non è più una funzionalità non definitiva.
Configuration Manager non abilita questa funzionalità facoltativa per impostazione predefinita. È necessario abilitare questa funzionalità prima di usarla. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).
A partire dalla versione 2010, i clienti con una sottoscrizione cloud solution provider (CSP) possono distribuire il cmg con un set di scalabilità di macchine virtuali in Azure. Questo supporto è disponibile solo se non dispone attualmente di un cmg distribuito usando i servizi cloud classici in un'altra sottoscrizione.
A partire dalla versione 2107, tutti i clienti possono distribuire un cmg con un set di scalabilità di macchine virtuali. Se è stato distribuito un cmg esistente con il servizio cloud classico, convertire il cmg in modo da usare un set di scalabilità di macchine virtuali.
Con alcune eccezioni, la configurazione, l'operazione e la funzionalità del cmg rimangono invariate.
Altri provider di risorse di Azure nella sottoscrizione di Azure.
Nomi di distribuzione diversi, ad esempio , GraniteFalls.EastUS.CloudApp.Azure.Com per una distribuzione nell'area Stati Uniti orientali di Azure. Questa modifica del nome può influire sulla modalità di creazione e gestione del certificato di autenticazione del server cmg.
Il punto di connessione cmg comunica solo con il set di scalabilità di macchine virtuali in Azure tramite HTTPS. Non richiede porte TCP-TLS.
Limitazioni per un cmg con un set di scalabilità di macchine virtuali
Limitazioni con le versioni 2107 e successive
Nota
A partire dalla versione 2111, le distribuzioni di CMG con un set di scalabilità di macchine virtuali supportano gli ambienti cloud di Azure US Government.
- Gli utenti possono riscontrare un ritardo fino a tre secondi per le azioni in Software Center.
- Non è possibile approvare o negare le richieste di applicazione tramite cmg.
- La versione 2107 non supporta gli ambienti cloud di Azure US Government.
Limitazioni con le versioni 2010 e 2103
- Se sono necessarie più istanze di CMG, tutte devono usare lo stesso metodo di distribuzione.
- Il numero supportato di connessioni client simultanee è 2.000 per ogni istanza di macchina virtuale. Per altre informazioni, vedere Prestazioni e scalabilità di CMG.
- È supportato solo con un sito primario autonomo.
- Non supporta gli ambienti cloud di Azure US Government.
- Gli utenti possono riscontrare un ritardo fino a tre secondi per le azioni in Software Center.
- Configuration Manager attualmente crea il contenitore di archiviazione di Azure in base al nome del gruppo di risorse. Azure ha requisiti di denominazione diversi per i gruppi di risorse e i contenitori di archiviazione. Assicurarsi che il nome del gruppo di risorse per questo servizio contenga solo lettere minuscole, numeri e trattini. Se si dispone di un gruppo di risorse esistente che non funziona, rinominarlo nel portale di Azure o creare un nuovo gruppo di risorse.
- Se si dispone di più punti di gestione HTTPS, non è possibile installare il client Configuration Manager nei dispositivi su Internet. Se è necessario installare client non locali usando un cmg, è possibile avere un solo punto di gestione HTTPS. È anche necessario abilitare cmg per il contenuto.
- Non è possibile approvare o negare le richieste di applicazione tramite cmg.
Requisiti
Consiglio
Per chiarire alcuni termini di Azure:
- Il tenant id Microsoft Entra è la directory degli account utente e delle registrazioni dell'app. Un tenant può avere più sottoscrizioni.
- Una sottoscrizione di Azure separa fatturazione, risorse e servizi. È associato a un singolo tenant.
Per altre informazioni, vedere Sottoscrizioni, licenze, account e tenant per le offerte cloud microsoft.
Sottoscrizione di Azure per ospitare il cmg. Questa sottoscrizione può trovarsi in uno degli ambienti seguenti:
- Cloud globale di Azure
- Cloud di Azure US Government
I clienti con una sottoscrizione di Cloud Service Provider (CSP) devono usare la versione 2010 o successiva con una distribuzione di set di scalabilità di macchine virtuali .
Integrare il sito con Microsoft Entra ID per distribuire il servizio con Azure Resource Manager. Per altre informazioni, vedere Configurare l'ID Microsoft Entra per CMG.
Quando si esegue l'onboarding del sito per Microsoft Entra ID, è possibile abilitare facoltativamente Microsoft Entra'individuazione utente. Non è necessario creare il cmg, ma è necessario se si prevede di usare l'autenticazione Microsoft Entra con identità ibride. Per altre informazioni, vedere Installare i client usando Microsoft Entra ID e vedere Informazioni su Microsoft Entra'individuazione utente.
Un amministratore di Azure deve partecipare alla creazione iniziale di determinati componenti. Questa persona può essere uguale all'amministratore Configuration Manager o separata. Se separati, non richiedono autorizzazioni in Configuration Manager.
Quando si integra il sito con Microsoft Entra ID per la distribuzione del cmg con Azure Resource Manager, è necessario un amministratore globale.
Quando si crea il cmg, sono necessari un account proprietario della sottoscrizione di Azure e un amministratore globale dell'ID Microsoft Entra.
L'account utente deve essere un amministratore completo o un amministratore dell'infrastruttura in Configuration Manager.
Almeno un server Windows locale per ospitare il punto di connessione cmg. È possibile associare questo ruolo ad altri ruoli del sistema del sito Configuration Manager.
Il punto di connessione del servizio deve essere in modalità online.
Configurare il punto di gestione per consentire il traffico dal cmg. Deve anche richiedere HTTPS o configurare il sito per HTTP avanzato.
Certificato di autenticazione server per cmg.
I nomi cmg devono essere compresi tra 3 e 24 caratteri alfanumerici. Il nome deve iniziare con una lettera, terminare con una lettera o una cifra e non contenere trattini consecutivi.
Potrebbero essere necessari altri certificati, a seconda della versione del sistema operativo client e del modello di autenticazione. Per altre informazioni, vedere Configurare l'autenticazione client.
I client devono usare IPv4.
Assicurarsi che le impostazioni client seguenti nel gruppo di servizi cloud siano abilitate per i dispositivi che useranno cmg:
- Abilitare i client per l'uso di un gateway di gestione cloud
- Consentire l'accesso al punto di distribuzione cloud
Nota
Se si abilita l'impostazione client su Scarica contenuto differenziale quando disponibile, il contenuto per gli aggiornamenti di terze parti non verrà scaricato nei client.
Passaggi successivi
Determinare quindi come i client eseguono l'autenticazione con cmg: