Часто задаваемые вопросы о CMG

Относится к Configuration Manager (Current Branch)

В этой статье содержатся ответы на часто задаваемые вопросы о шлюзе управления облаком (CMG). Дополнительные сведения см. в разделе Обзор CMG.

Нужны ли мне какие-либо сертификаты?

Да, по крайней мере один, и, возможно, другие в зависимости от вашего дизайна.

  • Сертификат проверки подлинности сервера. CMG создает службу HTTPS, к которой подключаются интернет-клиенты. Для создания безопасного канала службе требуется сертификат проверки подлинности сервера. Вы можете получить сертификат для этой цели у общедоступного поставщика или выдать его в инфраструктуре открытых ключей (PKI). Дополнительные сведения см. в разделе Сертификат проверки подлинности сервера CMG.

  • Сертификат проверки подлинности клиента. В зависимости от среды и структуры CMG для проверки подлинности клиента можно использовать PKI-сертификаты. Этот метод проверки подлинности не поддерживает сценарии, ориентированные на пользователей, но поддерживает устройства под управлением любой поддерживаемой версии Windows. Дополнительные сведения см. в разделе Настройка проверки подлинности клиента для CMG: PKI-сертификат.

    При использовании этого метода проверки подлинности клиента также необходимо экспортировать доверенные корневые цепочки сертификата клиента. Затем вы используете эту цепочку сертификатов при создании шлюза управления облачными клиентами и в точке подключения CMG.

  • Точка управления с поддержкой HTTPS. В зависимости от того, как вы настраиваете сайт и какой метод проверки подлинности клиента вы выбрали, может потребоваться настроить точки управления с поддержкой Интернета для поддержки HTTPS. Дополнительные сведения см. в статье Настройка проверки подлинности клиента для CMG: включение точки управления для HTTPS.

Требуется ли Azure ExpressRoute?

Нет. Azure ExpressRoute позволяет расширить локальную сеть в облако Майкрософт. ExpressRoute или другие подобные подключения к виртуальной сети не требуются для шлюза управления облачными клиентами. Конструкция шлюза управления облачными клиентами позволяет интернет-клиентам обмениваться данными через службу Azure с локальными системами сайта без дополнительной конфигурации сети. Дополнительные сведения см. в разделе Обзор CMG.

Нужно ли поддерживать или защищать виртуальные машины Azure?

Нет. CMG — это решение SaaS( программное обеспечение как услуга), которое расширяет Configuration Manager среду в облако. В структуре CMG используется платформа Azure как услуга (PaaS). Используя предоставляемую подписку, Configuration Manager создает необходимые виртуальные машины, хранилище и сеть. Azure PaaS защищает и обновляет виртуальные машины. Вам не нужно отслеживать эти виртуальные машины. Виртуальные машины Azure для CMG не являются частью локальной среды, как в случае с инфраструктурой как услугой (IaaS). Дополнительные сведения о безопасности базового решения PaaS, на основе чего основана CMG, см. в разделе Защита развертываний PaaS.

Так как шлюз управления облачными клиентами выступает в качестве прокси-сервера для обмена данными с клиентом, он не обрабатывает, не хранит и не хранит данные клиента. Путь связи через Интернет всегда использует ПРОТОКОЛ HTTPS. Для повышения безопасности настройте точку управления для HTTPS. Кроме того, настройте параметр сайта для клиентов для шифрования данных инвентаризации и сообщений о состоянии. Дополнительные сведения см . в статье Планирование безопасности: подписывание и шифрование.

Нужно ли обновлять виртуальную машину, если образ устарел?

Нет. Виртуальные машины CMG развертываются с помощью шаблона, а службы IIS настроены. Это будет нарушено при обновлении виртуальной машины вручную. Группа продуктов исправит проблему с помощью обновления или текущих выпусков ветви.

Как обеспечить непрерывность обслуживания во время обновления службы?

Масштабируя CMG для включения двух или более экземпляров, вы автоматически получаете преимущества обновления доменов в Azure. См . статью Обновление облачной службы.

Я уже использую IBCM. Как будут работать клиенты при добавлении CMG?

Если вы уже развернули управление клиентами через Интернет (IBCM), вы также можете развернуть CMG. Клиенты получают политику для обеих служб. Когда они перемещаются в Интернет, они случайным образом выбирают и используют одну из этих интернет-служб.

Должны ли учетные записи пользователей находиться в том же Microsoft Entra клиенте, что и клиент, связанный с подпиской, в котором размещена облачная служба CMG?

Нет, вы можете развернуть CMG в любой подписке, где могут размещаться облачные службы Azure.

Чтобы уточнить термины, выполните указанные действия.

  • Клиент Microsoft Entra — это каталог учетных записей пользователей и регистраций приложений. Один клиент может иметь несколько подписок.
  • Подписка Azure разделяет выставление счетов, ресурсы и службы. Он связан с одним клиентом.

Этот вопрос часто встречается в следующих сценариях:

  • Если у вас есть отдельные тестовые и рабочие среды Active Directory и Microsoft Entra среды, но одна централизованная подписка размещения Azure.

  • Использование Azure органично возросло в разных командах.

При использовании развертывания Resource Manager подключение клиента Microsoft Entra, связанного с подпиской. Это подключение позволяет Configuration Manager пройти проверку подлинности в Azure для создания, развертывания и управления CMG.

Если вы используете проверку подлинности Microsoft Entra для пользователей и устройств, управляемых через шлюз управления облачными клиентами, подключение Microsoft Entra клиента. Дополнительные сведения о службах Azure для управления облаком см. в статье Настройка служб Azure. При подключении каждого клиента Microsoft Entra одно cmG может обеспечить Microsoft Entra проверку подлинности для нескольких клиентов, независимо от расположения размещения.

Пример 1. Один клиент с несколькими подписками

Удостоверения пользователей, регистрации устройств и регистрации приложений находятся в одном клиенте. Вы можете выбрать подписку, которую использует CMG. Вы можете развернуть несколько служб CMG с одного сайта в отдельных подписках. Сайт имеет связь "один к одному" с клиентом. Вы решаете, какие подписки следует использовать по различным причинам, таким как выставление счетов или логическое разделение.

Пример 2. Несколько клиентов

Другими словами, среда имеет несколько Microsoft Entra ID. Если требуется поддержка удостоверений пользователей и устройств в обоих клиентах, необходимо подключить сайт к каждому клиенту. Для этого процесса требуется учетная запись администратора от каждого клиента для создания регистраций приложений в этом клиенте. После этого на одном сайте можно разместить службы CMG в нескольких клиентах. CmG можно создать в любой доступной подписке в любом клиенте. Устройства, присоединенные или гибридные к Microsoft Entra ID, могут использовать CMG.

Если удостоверения пользователя и устройства находятся в одном клиенте, а подписка CMG находится в другом клиенте, необходимо подключить сайт к обоим клиентам. Технически клиентское приложение не требуется для второго клиента, у которого есть только служба CMG. Клиентское приложение обеспечивает проверку подлинности пользователей и устройств только для клиентов, использующих службу CMG.

Как CMG влияет на мои клиенты, подключенные через VPN?

Перемещаемые клиенты, подключающиеся к вашей среде через VPN, обычно обнаруживаются как подключенные к интрасети. Они пытаются подключиться к локальной инфраструктуре, например к точкам управления и точкам распространения. Некоторые клиенты предпочитают, чтобы эти перемещаемые клиенты управляли облачными службами даже при подключении через VPN.

Вы также можете связать шлюз управления облачными клиентами с группой границ. Это действие заставляет эти клиенты не использовать локальные системы сайта. Дополнительные сведения см. в разделе Настройка групп границ.

Как конфигурация точки управления влияет на внутренние клиенты?

Чтобы защитить конфиденциальный трафик, отправляемый через шлюз управления, необходимо настроить по крайней мере одну точку управления для использования HTTPS или настроить сайт для расширенного HTTP.

Затем при развертывании шлюза управления при использовании PKI-сертификатов для обмена данными по протоколу HTTPS в точке управления с поддержкой CMG выберите параметр Разрешить клиенты только в Интернете в свойствах точки управления. Этот параметр гарантирует, что внутренние клиенты продолжают использовать точки управления HTTP в вашей среде.

Если вы используете расширенный ПРОТОКОЛ HTTP, этот параметр настраивать не нужно. Клиенты продолжают использовать ПРОТОКОЛ HTTP при обмене данными напрямую с точкой управления с поддержкой CMG. Дополнительные сведения см. в разделе Расширенный протокол HTTP.

Каковы различия в проверке подлинности клиента между Microsoft Entra ID и сертификатами?

Для проверки подлинности в службе CMG можно использовать Microsoft Entra ID или сертификат проверки подлинности клиента для устройств. Для проверки подлинности можно также использовать маркеры, выданные сайтом Configuration Manager.

Если вы управляете традиционными клиентами Windows с удостоверением, присоединенным к домену Active Directory, им требуются PKI-сертификаты для защиты канала связи. Эти клиенты могут включать любую поддерживаемую версию Windows. Вы можете использовать все функции, поддерживаемые CMG, но распространение программного обеспечения ограничено только устройствами. Установите клиент Configuration Manager перед перемещением устройства в Интернет или используйте проверку подлинности по маркеру.

Вы также можете управлять Windows 10 или более поздними клиентами с помощью современных удостоверений, присоединенных к гибридному или чисто облачному домену с помощью Microsoft Entra ID. Клиенты используют Microsoft Entra ID для проверки подлинности, а не PKI-сертификаты. Использование Microsoft Entra ID проще настроить, настроить и обслуживать, чем более сложные PKI-системы. Вы можете выполнять все те же действия по управлению, а также распространять программное обеспечение для пользователя. Он также позволяет использовать дополнительные методы для установки клиента на удаленном устройстве.

Корпорация Майкрософт рекомендует присоединять устройства к Microsoft Entra ID. Интернет-устройства могут использовать Microsoft Entra ID для проверки подлинности с помощью Configuration Manager. Он также позволяет использовать сценарии как устройства, так и пользователей независимо от того, подключено ли устройство к Интернету или подключено к внутренней сети.

Дополнительные сведения см. в разделе Настройка проверки подлинности клиента.

Следует ли использовать развертывание масштабируемого набора виртуальных машин?

Да, если ваш сайт имеет версию 2107 или более позднюю. Эта функция больше не является предварительной версией и рекомендуется для всех клиентов. Если у вас есть классическое развертывание CMG, его можно преобразовать в масштабируемый набор виртуальных машин.

Если ваш сайт версии 2010 или 2103, метод развертывания масштабируемого набора виртуальных машин является функцией предварительной версии. Он предназначен только для клиентов с подпиской поставщика облачных решений (CSP).

Важно!

Начиная с версии 2203 возможность развертывания CMG в качестве облачной службы (классической) удаляется. Все развертывания CMG должны использовать масштабируемый набор виртуальных машин. Дополнительные сведения см. в статье Удаленные и нерекомендуемые функции.

Дополнительные сведения о развертывании шлюза управления облачными клиентами в качестве масштабируемого набора виртуальных машин см. в разделе Планирование CMG.

Использует ли cmG с поддержкой содержимого Azure CDN?

Нет. В настоящее время она не поддерживает сеть доставки содержимого Azure (CDN). СЕТЬ CDN — это глобальное решение для быстрой доставки содержимого с высокой пропускной способностью путем кэширования содержимого на стратегически размещенных физических узлах по всему миру. Дополнительные сведения см. в статье Что такое Azure CDN?

Нужно ли что-либо делать с устареванием библиотеки Azure AD API Graph и аутентификация Azure AD (ADAL)?

Нет. Возможно, вы видели следующую запись блога и хотите узнать, как она применяется к Configuration Manager: Обновление приложений для использования библиотеки проверки подлинности Майкрософт и Microsoft API Graph. Эта запись ссылается на любой разработанный код, использующий эти библиотеки проверки подлинности. Configuration Manager уже несколько лет использует Microsoft API Graph и библиотеку проверки подлинности Майкрософт (MSAL). Все остальные компоненты обновляются в Configuration Manager версии 2107 с помощью накопительного пакета обновления. Если вы будете оставаться в курсе Configuration Manager версий, вам больше ничего не нужно делать.

Некоторые люди путают информацию в этой записи блога с регистрацией приложений в Microsoft Entra ID, которые Configuration Manager использовать для различных облачных служб. Эти регистрации приложений — это облачные субъекты-службы, которые не используют эти библиотеки проверки подлинности напрямую. Если глобальный администратор Azure вручную создал Configuration Manager регистрации приложений в Microsoft Entra ID, он может дважды проверка, что эти регистрации имеют разрешения для API Microsoft Graph. Им не требуются разрешения для API Graph Azure AD. Дополнительные сведения см. в статье Регистрация приложений Microsoft Entra вручную.