Häufig gestellte Fragen zum CMG

Gilt für: Configuration Manager (Current Branch)

In diesem Artikel werden Ihre häufig gestellten Fragen zum Cloud Management Gateway (CMG) beantwortet. Weitere Informationen finden Sie unter Übersicht über CMG.

Benötige ich Zertifikate?

Ja, mindestens eins und möglicherweise andere, je nach Design.

  • Serverauthentifizierungszertifikat: Das CMG erstellt einen HTTPS-Dienst, mit dem internetbasierte Clients eine Verbindung herstellen. Der Dienst erfordert ein Serverauthentifizierungszertifikat, um den sicheren Kanal zu erstellen. Sie können ein Zertifikat zu diesem Zweck von einem öffentlichen Anbieter erwerben oder es aus Ihrer Public Key-Infrastruktur (PKI) ausstellen. Weitere Informationen finden Sie unter CMG-Serverauthentifizierungszertifikat.

  • Clientauthentifizierungszertifikat: Abhängig von Ihrer Umgebung und dem CMG-Entwurf können Sie PKI-Zertifikate für die Clientauthentifizierung verwenden. Diese Authentifizierungsmethode unterstützt keine benutzerorientierten Szenarien, sondern Geräte, auf denen eine beliebige unterstützte Version von Windows ausgeführt wird. Weitere Informationen finden Sie unter Konfigurieren der Clientauthentifizierung für CMG: PKI-Zertifikat.

    Wenn Sie diese Clientauthentifizierungsmethode verwenden, müssen Sie auch die vertrauenswürdige Stammkette des Clientzertifikats exportieren. Diese Zertifikatkette verwenden Sie dann beim Erstellen des CMG und des CMG-Verbindungspunkts.

  • HTTPS-fähiger Verwaltungspunkt: Je nachdem, wie Sie den Standort konfigurieren und welche Clientauthentifizierungsmethode Sie auswählen, müssen Sie möglicherweise Ihre internetfähigen Verwaltungspunkte für die Unterstützung von HTTPS konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Clientauthentifizierung für CMG: Aktivieren des Verwaltungspunkts für HTTPS.

Benötige ich Azure ExpressRoute?

Nein. Mit Azure ExpressRoute können Sie Ihr lokales Netzwerk in die Microsoft-Cloud erweitern. ExpressRoute oder andere virtuelle Netzwerkverbindungen dieser Art sind für das CMG nicht erforderlich. Das CMG-Design ermöglicht internetbasierten Clients die Kommunikation über den Azure-Dienst mit lokalen Standortsystemen ohne zusätzliche Netzwerkkonfiguration. Weitere Informationen finden Sie unter Übersicht über CMG.

Muss ich die virtuellen Azure-Computer verwalten oder schützen?

Nein. Das CMG ist eine SaaS-Lösung (Software-as-a-Service), die Ihre Configuration Manager Umgebung in die Cloud erweitert. Beim Entwurf des CMG wird Azure Platform-as-a-Service (PaaS) verwendet. Mithilfe des von Ihnen bereitgestellten Abonnements erstellt Configuration Manager die erforderlichen virtuellen Computer (VMs), Speicher und Netzwerke. Azure PaaS schützt und aktualisiert die VMs. Sie müssen diese VMs nicht überwachen. Die Azure-VMs für CMG sind nicht Teil Ihrer lokalen Umgebung, wie es bei Infrastructure-as-a-Service (IaaS) der Fall ist. Weitere sicherheitsspezifische Informationen zur zugrunde liegenden PaaS-Lösung, auf der das CMG basiert, finden Sie unter Schützen von PaaS-Bereitstellungen.

Da das CMG als Proxy für die Clientkommunikation fungiert, werden keine Clientdaten verarbeitet, gespeichert oder gespeichert. Der Kommunikationspfad über das Internet verwendet immer HTTPS. Konfigurieren Sie den Verwaltungspunkt für HTTPS, um die Sicherheit zu erhöhen. Konfigurieren Sie außerdem die Standortoption für Clients zum Verschlüsseln von Bestands- und status Nachrichten. Weitere Informationen finden Sie unter Planen der Sicherheit: Signieren und Verschlüsseln.

Muss ich den virtuellen Computer aktualisieren, wenn das Image veraltet ist?

Nein. Die CMG-VMs werden mithilfe einer Vorlage bereitgestellt, und IIS sind konfiguriert. Dies wird beschädigt, wenn Sie die der VM manuell aktualisieren. Die Produktgruppe behebt das Problem durch update oder current branch releases.

Wie kann ich die Dienstkontinuität während Dienstupdates sicherstellen?

Durch die Skalierung von CMG auf zwei oder mehr Instanzen profitieren Sie automatisch von Updatedomänen in Azure. Weitere Informationen finden Sie unter Aktualisieren eines Clouddiensts.

Ich verwende bereits IBCM. Wie verhalten sich Clients, wenn ich CMG hinzu füge?

Wenn Sie bereits die internetbasierte Clientverwaltung (IBCM ) bereitgestellt haben, können Sie auch das CMG bereitstellen. Clients erhalten eine Richtlinie für beide Dienste. Während sie in das Internet wandern, wählen sie nach dem Zufallsprinzip einen dieser internetbasierten Dienste aus und verwenden sie.

Müssen sich die Benutzerkonten im gleichen Microsoft Entra Mandanten befinden wie der Mandant, der dem Abonnement zugeordnet ist, das den CMG-Clouddienst hostet?

Nein, Sie können CMG in jedem Abonnement bereitstellen, das Azure-Clouddienste hosten kann.

So klären Sie Begriffe:

  • Das Microsoft Entra Mandanten ist das Verzeichnis der Benutzerkonten und App-Registrierungen. Ein Mandant kann über mehrere Abonnements verfügen.
  • Ein Azure-Abonnement trennt Abrechnung, Ressourcen und Dienste. Sie ist einem einzelnen Mandanten zugeordnet.

Diese Frage kommt in den folgenden Szenarien häufig vor:

  • Wenn Sie über unterschiedliche Test- und Produktionsumgebungen für Active Directory und Microsoft Entra, aber über ein einzelnes, zentralisiertes Azure-Hostingabonnement verfügen.

  • Ihre Nutzung von Azure ist in verschiedenen Teams organisch gewachsen.

Wenn Sie eine Resource Manager-Bereitstellung verwenden, integrieren Sie den Microsoft Entra Mandanten, der dem Abonnement zugeordnet ist. Diese Verbindung ermöglicht es Configuration Manager, sich bei Azure zu authentifizieren, um das CMG zu erstellen, bereitzustellen und zu verwalten.

Wenn Sie Microsoft Entra-Authentifizierung für die Benutzer und Geräte verwenden, die über das CMG verwaltet werden, integrieren Sie diesen Microsoft Entra Mandanten. Weitere Informationen zu Azure-Diensten für die Cloudverwaltung finden Sie unter Konfigurieren von Azure-Diensten. Wenn Sie jedes Microsoft Entra Mandanten integrieren, kann ein einzelnes CMG Microsoft Entra Authentifizierung für mehrere Mandanten bereitstellen, unabhängig vom Hostingstandort.

Beispiel 1: Ein Mandant mit mehreren Abonnements

Die Benutzeridentitäten, Geräteregistrierungen und App-Registrierungen befinden sich alle im selben Mandanten. Sie können auswählen, welches Abonnement das CMG verwendet. Sie können mehrere CMG-Dienste von einem Standort in separaten Abonnements bereitstellen. Die Website verfügt über eine 1:1-Beziehung mit dem Mandanten. Sie entscheiden aus verschiedenen Gründen, z. B. aus Abrechnung oder logischer Trennung, welche Abonnements verwendet werden sollen.

Beispiel 2: Mehrere Mandanten

Anders ausgedrückt: Ihre Umgebung verfügt über mehrere Microsoft Entra ID. Wenn Sie Benutzer- und Geräteidentitäten in beiden Mandanten unterstützen müssen, müssen Sie die Website an jeden Mandanten anfügen. Für diesen Prozess ist ein Administratorkonto von jedem Mandanten erforderlich, um die App-Registrierungen in diesem Mandanten zu erstellen. Ein Standort kann dann CMG-Dienste in mehreren Mandanten hosten. Sie können ein CMG in jedem verfügbaren Abonnement in einem der Mandanten erstellen. Geräte, die mit einem Microsoft Entra ID oder hybrid eingebunden sind, können ein CMG verwenden.

Wenn sich die Benutzer- und Geräteidentitäten in einem Mandanten befinden, das CMG-Abonnement sich jedoch in einem anderen Mandanten befindet, müssen Sie die Website an beide Mandanten anfügen. Technisch gesehen ist die Client-App nicht für den zweiten Mandanten erforderlich, der nur über den CMG-Dienst verfügt. Die Client-App bietet nur Benutzer- und Geräteauthentifizierung für Clients, die den CMG-Dienst verwenden.

Wie wirkt sich CMG auf meine clients aus, die über VPN verbunden sind?

Roamingclients, die über ein VPN eine Verbindung mit Ihrer Umgebung herstellen, werden häufig als intranetseitig erkannt. Sie versuchen, eine Verbindung mit Ihrer lokalen Infrastruktur wie Verwaltungspunkten und Verteilungspunkten herzustellen. Einige Kunden bevorzugen die Verwaltung dieser Roamingclients durch Clouddienste, auch wenn sie über VPN verbunden sind.

Sie können das CMG auch einer Begrenzungsgruppe zuordnen. Diese Aktion zwingt diese Clients, die lokalen Standortsysteme nicht zu verwenden. Weitere Informationen finden Sie unter Konfigurieren von Begrenzungsgruppen.

Wie wirkt sich die Konfiguration des Verwaltungspunkts auf interne Clients aus?

Um sensiblen Datenverkehr zu schützen, der über ein CMG gesendet wird, müssen Sie mindestens einen Verwaltungspunkt für die Verwendung von HTTPS oder den Standort für erweitertes HTTP konfigurieren.

Wenn Sie dann ein CMG bereitstellen und PKI-Zertifikate für die HTTPS-Kommunikation auf dem CMG-fähigen Verwaltungspunkt verwenden, wählen Sie die Option Nur Internetclients zulassen in den Verwaltungspunkteigenschaften aus. Diese Einstellung stellt sicher, dass interne Clients weiterhin HTTP-Verwaltungspunkte in Ihrer Umgebung verwenden.

Wenn Sie erweitertes HTTP verwenden, müssen Sie diese Einstellung nicht konfigurieren. Clients verwenden weiterhin HTTP, wenn sie direkt mit dem CMG-fähigen Verwaltungspunkt kommunizieren. Weitere Informationen finden Sie unter Erweitertes HTTP.

Was sind die Unterschiede bei der Clientauthentifizierung zwischen Microsoft Entra ID und Zertifikaten?

Sie können Microsoft Entra ID oder ein Clientauthentifizierungszertifikat für Geräte verwenden, um sich beim CMG-Dienst zu authentifizieren. Sie können auch Configuration Manager vom Standort ausgestellten Token für die Authentifizierung verwenden.

Wenn Sie herkömmliche Windows-Clients mit einer in die Active Directory-Domäne eingebundenen Identität verwalten, benötigen diese PKI-Zertifikate, um den Kommunikationskanal zu schützen. Diese Clients können jede unterstützte Version von Windows enthalten. Sie können alle CMG-unterstützten Features verwenden, aber die Softwareverteilung ist nur auf Geräte beschränkt. Installieren Sie den Configuration Manager-Client, bevor das Gerät über das Internet verschoben wird, oder verwenden Sie die Tokenauthentifizierung.

Sie können auch Windows 10 oder neuere Clients mit moderner Identität verwalten, entweder hybrid oder rein clouddomänenverbunden mit Microsoft Entra ID. Clients verwenden Microsoft Entra ID anstelle von PKI-Zertifikaten zur Authentifizierung. Die Verwendung von Microsoft Entra ID ist einfacher einzurichten, zu konfigurieren und zu warten als komplexere PKI-Systeme. Sie können die gleichen Verwaltungsaktivitäten sowie die Softwareverteilung an den Benutzer ausführen. Außerdem werden zusätzliche Methoden zum Installieren des Clients auf einem Remotegerät aktiviert.

Microsoft empfiehlt, Geräte mit Microsoft Entra ID zu verknüpfen. Internetbasierte Geräte können Microsoft Entra ID verwenden, um sich bei Configuration Manager zu authentifizieren. Es ermöglicht auch Geräte- und Benutzerszenarien, unabhängig davon, ob das Gerät im Internet oder mit dem internen Netzwerk verbunden ist.

Weitere Informationen finden Sie unter Konfigurieren der Clientauthentifizierung.

Sollte ich eine VM-Skalierungsgruppe-Bereitstellung verwenden?

Ja, wenn Ihre Website Version 2107 oder höher ist. Es handelt sich nicht mehr um eine Vorabversionsfunktion und wird für alle Kunden empfohlen. Wenn Sie über eine vorhandene klassische CMG-Bereitstellung verfügen, können Sie sie in eine VM-Skalierungsgruppe konvertieren.

Wenn Ihr Standort Version 2010 oder 2103 ist, ist die Bereitstellungsmethode für VM-Skalierungsgruppen ein Vorabfeature. Es ist nur für Kunden mit einem CSP-Abonnement (Cloud Solution Provider) vorgesehen.

Wichtig

Ab Version 2203 wird die Option zum Bereitstellen eines CMG als Clouddienst (klassisch) entfernt. Alle CMG-Bereitstellungen sollten eine VM-Skalierungsgruppe verwenden. Weitere Informationen finden Sie unter Entfernte und veraltete Features.

Weitere Informationen zum Bereitstellen eines CMG als VM-Skalierungsgruppe finden Sie unter Planen von CMG.

Verwendet ein inhaltsfähiges CMG Azure CDN?

Nein. Das Azure Content Delivery Network (CDN) wird derzeit nicht unterstützt. Das CDN ist eine globale Lösung für die schnelle Bereitstellung von Inhalten mit hoher Bandbreite durch Zwischenspeichern der Inhalte auf strategisch platzierten physischen Knoten auf der ganzen Welt. Weitere Informationen finden Sie unter Was ist Azure CDN?.

Muss ich etwas mit der Einstellung der Azure AD Graph-API and Azure AD-Authentifizierung Library (ADAL) tun?

Nein. Möglicherweise haben Sie den folgenden Blogbeitrag gesehen und fragen sich, wie er für Configuration Manager gilt: Aktualisieren Sie Ihre Anwendungen für die Verwendung der Microsoft-Authentifizierungsbibliothek und microsoft Graph-API. Dieser Beitrag bezieht sich auf jeden entwickelten Code, der diese Authentifizierungsbibliotheken verwendet. Configuration Manager verwendet seit einigen Jahren die Microsoft Graph-API und Microsoft Authentication Library (MSAL). Alle anderen Komponenten werden in Configuration Manager Version 2107 mit dem Updaterollup aktualisiert. Wenn Sie mit Configuration Manager Versionen auf dem neuesten Stand bleiben, müssen Sie nichts anderes tun.

Einige Personen verwechseln die Informationen in diesem Blogbeitrag mit den Anwendungsregistrierungen in Microsoft Entra ID, die Configuration Manager für verschiedene cloud-angefügte Dienste verwendet. Diese App-Registrierungen sind cloudbasierte Dienstprinzipale, die diese Authentifizierungsbibliotheken nicht direkt verwenden. Wenn ein globaler Azure-Administrator die Configuration Manager App-Registrierungen in Microsoft Entra ID manuell erstellt hat, kann er überprüfen, ob diese Registrierungen über Berechtigungen für die Microsoft Graph-API verfügen. Sie benötigen keine Berechtigungen für die Azure AD Graph-API . Weitere Informationen finden Sie unter Manuelles Registrieren von Microsoft Entra Apps.