Perguntas mais frequentes sobre o CMG

Sim, pelo menos um, e possivelmente outros, consoante a sua estrutura.

• Certificado de autenticação de servidor: o CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se ligam. O serviço requer um certificado de autenticação de servidor para criar o canal seguro. Pode adquirir um certificado para esta finalidade a partir de um fornecedor público ou emiti-lo a partir da sua infraestrutura de chaves públicas (PKI). Para obter mais informações, veja Certificado de autenticação do servidor CMG.

• Certificado de autenticação de cliente: consoante o ambiente e a estrutura cmg, pode utilizar certificados PKI para autenticação de cliente. Este método de autenticação não suporta cenários centrados no utilizador, mas suporta dispositivos com qualquer versão suportada do Windows. Para obter mais informações, veja Configurar a autenticação de cliente para CMG: certificado PKI.

  Quando utiliza este método de autenticação de cliente, também tem de exportar a cadeia de raiz fidedigna do certificado de cliente. Em seguida, utilize esta cadeia de certificados quando criar o CMG e o ponto de ligação CMG.

• Ponto de gestão ativado por HTTPS: consoante a forma como configura o site e o método de autenticação de cliente que escolher, poderá ter de configurar os pontos de gestão preparados para a Internet para suportar HTTPS. Para obter mais informações, veja Configurar a autenticação de cliente para CMG: Ativar o ponto de gestão para HTTPS.

Não. O Azure ExpressRoute permite-lhe expandir a sua rede no local para a microsoft cloud. O ExpressRoute ou outras ligações de rede virtual não são necessárias para o CMG. A conceção do CMG permite que os clientes baseados na Internet comuniquem através do serviço do Azure com sistemas de sites no local sem configuração de rede adicional. Para obter mais informações, veja Descrição geral do CMG.

Não. O CMG é uma solução de software como serviço (SaaS) que expande o seu ambiente de Configuration Manager para a cloud. A estrutura do CMG utiliza a plataforma como um serviço (PaaS) do Azure. Com a subscrição que fornecer, Configuration Manager cria as máquinas virtuais (VMs) necessárias, o armazenamento e a rede. O PaaS do Azure protege e atualiza as VMs. Não precisa de monitorizar estas VMs. As VMs do Azure para CMG não fazem parte do seu ambiente no local, como é o caso da infraestrutura como um serviço (IaaS). Para obter mais informações específicas de segurança sobre a solução PaaS subjacente na qual o CMG foi criado, veja Securing PaaS deployments (Proteger implementações PaaS).

Uma vez que o CMG funciona como um proxy para comunicação de cliente, não processa, mantém ou armazena quaisquer dados de cliente. O caminho de comunicação através da Internet utiliza sempre HTTPS. Para maior segurança, configure o ponto de gestão para HTTPS. Configure também a opção de site para os clientes encriptarem o inventário e status mensagens. Para obter mais informações, veja Planear a segurança: Assinatura e encriptação.

Não. As VMs do CMG são implementadas com o modelo e o IIS está configurado, o que será interrompido se atualizar manualmente as VMs. O grupo de produtos irá corrigir o problema através da atualização ou das versões atuais do ramo.

Ao dimensionar o CMG para incluir duas ou mais instâncias, beneficia automaticamente dos Domínios de Atualização no Azure. Veja Como atualizar um serviço cloud.

Se já tiver implementado a gestão de clientes baseada na Internet (IBCM), também pode implementar o CMG. Os clientes recebem a política para ambos os serviços. À medida que acedem à Internet, selecionam e utilizam aleatoriamente um destes serviços baseados na Internet.

Não, pode implementar o CMG em qualquer subscrição que possa alojar serviços cloud do Azure.

Para clarificar os termos:

• O inquilino Microsoft Entra é o diretório de contas de utilizador e registos de aplicações. Um inquilino pode ter várias subscrições.
• Uma subscrição do Azure separa a faturação, os recursos e os serviços. Está associado a um único inquilino.

Esta questão é comum nos seguintes cenários:

• Quando tem ambientes distintos de teste e produção do Active Directory e Microsoft Entra, mas uma única subscrição centralizada do Azure.

• A sua utilização do Azure tem crescido organicamente em diferentes equipas.

Quando estiver a utilizar uma implementação Resource Manager, integre o inquilino Microsoft Entra associado à subscrição. Esta ligação permite Configuration Manager autenticar no Azure para criar, implementar e gerir o CMG.

Se estiver a utilizar Microsoft Entra autenticação para os utilizadores e dispositivos geridos através do CMG, integre essa Microsoft Entra inquilino. Para obter mais informações sobre os serviços do Azure para gestão da cloud, veja Configurar serviços do Azure. Quando integra cada inquilino Microsoft Entra, um único CMG pode fornecer Microsoft Entra autenticação para vários inquilinos, independentemente da localização de alojamento.

Exemplo 1: um inquilino com várias subscrições

As identidades de utilizador, os registos de dispositivos e os registos de aplicações estão todos no mesmo inquilino. Pode escolher a subscrição que o CMG utiliza. Pode implementar vários serviços CMG de um site em subscrições separadas. O site tem uma relação um-para-um com o inquilino. Decide quais as subscrições a utilizar por vários motivos, como a faturação ou a separação lógica.

Exemplo 2: Vários inquilinos

Por outras palavras, o seu ambiente tem mais de um Microsoft Entra ID. Se precisar de suportar identidades de utilizadores e dispositivos em ambos os inquilinos, terá de anexar o site a cada inquilino. Este processo requer uma conta administrativa de cada inquilino para criar os registos de aplicações nesse inquilino. Em seguida, um site pode alojar serviços CMG em vários inquilinos. Pode criar um CMG em qualquer subscrição disponível em qualquer inquilino. Os dispositivos associados ou associados híbridos a Microsoft Entra ID podem utilizar um CMG.

Se as identidades do utilizador e do dispositivo estiverem num inquilino, mas a subscrição do CMG estiver noutro inquilino, terá de anexar o site a ambos os inquilinos. Tecnicamente, a aplicação cliente não é necessária para o segundo inquilino que tem apenas o serviço CMG. A aplicação cliente fornece apenas autenticação de utilizador e dispositivo para clientes que utilizam o serviço CMG.

Os clientes de roaming que se ligam ao seu ambiente através de uma VPN são geralmente detetados como com acesso à intranet. Tentam ligar-se à sua infraestrutura no local, como pontos de gestão e pontos de distribuição. Alguns clientes preferem que estes clientes de roaming sejam geridos por serviços cloud, mesmo quando ligados através de VPN.

Também pode associar o CMG a um grupo de limites. Esta ação força estes clientes a não utilizar os sistemas de sites no local. Para obter mais informações, veja Configurar grupos de limites.

Para proteger o tráfego confidencial enviado através de um CMG, tem de configurar pelo menos um ponto de gestão para utilizar HTTPS ou configurar o site para HTTP Avançado.

Em seguida, quando implementar um CMG, se utilizar certificados PKI para comunicação HTTPS no ponto de gestão compatível com CMG, selecione a opção permitir clientes apenas da Internet nas propriedades do ponto de gestão. Esta definição garante que os clientes internos continuam a utilizar pontos de gestão HTTP no seu ambiente.

Se utilizar HTTP Avançado, não precisa de configurar esta definição. Os clientes continuam a utilizar HTTP ao comunicar diretamente com o ponto de gestão compatível com CMG. Para obter mais informações, veja HTTP avançado.

Pode utilizar Microsoft Entra ID ou um certificado de autenticação de cliente para que os dispositivos se autentiquem no serviço CMG. Também pode utilizar Configuration Manager tokens emitidos pelo site para autenticação.

Se gerir clientes Windows tradicionais com a identidade associada a um domínio do Active Directory, estes precisam de certificados PKI para proteger o canal de comunicação. Estes clientes podem incluir qualquer versão suportada do Windows. Pode utilizar todas as funcionalidades suportadas por CMG, mas a distribuição de software está limitada apenas aos dispositivos. Instale o cliente Configuration Manager antes de o dispositivo ser utilizado na Internet ou utilize a autenticação de tokens.

Também pode gerir clientes Windows 10 ou posteriores com identidade moderna, associados a um domínio de cloud híbrida ou pura com Microsoft Entra ID. Os clientes utilizam Microsoft Entra ID para autenticar em vez de certificados PKI. Utilizar Microsoft Entra ID é mais simples de configurar, configurar e manter do que sistemas PKI mais complexos. Pode efetuar todas as mesmas atividades de gestão e distribuição de software para o utilizador. Também permite métodos adicionais para instalar o cliente num dispositivo remoto.

A Microsoft recomenda a associação de dispositivos a Microsoft Entra ID. Os dispositivos baseados na Internet podem utilizar Microsoft Entra ID para se autenticarem com Configuration Manager. Também permite cenários de dispositivos e utilizadores, quer o dispositivo esteja na Internet ou ligado à rede interna.

Para obter mais informações, veja Configurar a autenticação de cliente.

Sim, se o seu site for a versão 2107 ou posterior. Já não é uma funcionalidade de pré-lançamento e é recomendada para todos os clientes. Se tiver uma implementação de CMG clássica existente, pode convertê-la num conjunto de dimensionamento de máquinas virtuais.

Se o seu site for a versão 2010 ou 2103, o método de implementação do conjunto de dimensionamento de máquinas virtuais é uma funcionalidade de pré-lançamento. Destina-se apenas a clientes com uma subscrição do Fornecedor de Soluções Cloud (CSP).

Para obter mais informações sobre como implementar um CMG como um conjunto de dimensionamento de máquinas virtuais, veja Planear o CMG.

Não. Atualmente, não suporta a rede de entrega de conteúdos (CDN) do Azure. A CDN é uma solução global para fornecer rapidamente conteúdo de alta largura de banda ao colocar em cache o conteúdo em nós físicos estrategicamente colocados em todo o mundo. Para obter mais informações, veja O que é a CDN do Azure?.

Não. Poderá ter visto a seguinte mensagem de blogue e estar a perguntar-se como se aplica ao Configuration Manager: Atualizar as suas aplicações para utilizar a Biblioteca de Autenticação da Microsoft e o Microsoft API do Graph. Esta mensagem refere-se a qualquer código desenvolvido que utilize estas bibliotecas de autenticação. Configuration Manager utiliza o Microsoft API do Graph e a Biblioteca de Autenticação da Microsoft (MSAL) em alguns locais há vários anos. Todos os outros componentes são atualizados no Configuration Manager versão 2107 com o update rollup. Se permanecer atualizado com Configuration Manager versões, não precisa de fazer mais nada.

Algumas pessoas confundem as informações nesta mensagem de blogue com os registos de aplicações no Microsoft Entra ID que Configuration Manager utiliza para vários serviços ligados à cloud. Estes registos de aplicações são principais de serviço baseados na cloud que não utilizam diretamente estas bibliotecas de autenticação. Se um administrador global do Azure tiver criado manualmente o Configuration Manager registos de aplicações no Microsoft Entra ID, pode fazer duplo marcar que esses registos tenham permissões para a Microsoft Graph API. Não precisam de permissões para a Graph API do Azure AD. Para obter mais informações, veja Registar manualmente Microsoft Entra aplicações.

Para obter mais informações: Migre as suas aplicações do Azure AD Graph para o Microsoft Graph.