Flux de données pour la passerelle de gestion cloud

S’applique à : Configuration Manager (branche actuelle)

Utilisez cet article pour comprendre comment les données circulent entre les composants de la passerelle de gestion cloud (CMG). Il nécessite des ports réseau et des points de terminaison Internet spécifiques pour fonctionner. Vous n’avez pas besoin d’ouvrir de ports entrants sur votre réseau local. Le point de connexion de service et les rôles de système de site de point de connexion de passerelle de gestion cloud démarrent toutes les communications avec Azure et la passerelle de gestion cloud. Ces deux rôles doivent créer des connexions sortantes vers le cloud Microsoft. Le point de connexion de service déploie et surveille le service dans Azure. Il doit donc être en ligne. Le point de connexion de la passerelle de gestion cloud se connecte à la passerelle de gestion cloud pour gérer la communication entre la passerelle de gestion cloud et les rôles de système de site locaux.

Diagramme de flux de données

Le diagramme suivant est un flux de données conceptuel de base pour la passerelle de gestion cloud :

Diagramme de flux de données pour la passerelle de gestion cloud (CMG).

  1. Le point de connexion de service se connecte à Azure via le port HTTPS 443. Il s’authentifie à l’aide de l’ID Microsoft Entra. Le point de connexion de service déploie la passerelle de gestion cloud dans Azure. La passerelle de gestion cloud crée le service HTTPS à l’aide du certificat d’authentification du serveur.

  2. Le point de connexion de la passerelle de gestion cloud se connecte à la passerelle de gestion cloud dans Azure. Il maintient la connexion ouverte et crée le canal pour une communication bidirectionnelle future.

    • Lorsque vous déployez la passerelle de gestion cloud en tant que groupe de machines virtuelles identiques, ce flux est sur HTTPS.

    • Si vous déployez la passerelle de gestion cloud en tant que service cloud classique, elle essaie d’abord TCP-TLS. Si cette connexion échoue, elle passe au protocole HTTPS.

    Pour plus d’informations, consultez Remarque 2 : Ports HTTPS du point de connexion de passerelle de gestion cloud pour une machine virtuelle.

  3. Le client se connecte à la passerelle de gestion cloud via le port HTTPS 443. Il s’authentifie à l’aide de l’ID de Microsoft Entra, du certificat d’authentification client ou d’un jeton émis sur le site.

    Remarque

    Si vous autorisez la passerelle de gestion cloud à fournir du contenu, le client se connecte directement au stockage Blob Azure via le port HTTPS 443. Pour plus d’informations, consultez Flux de données de contenu.

  4. La passerelle de gestion cloud transfère la communication cliente via la connexion existante au point de connexion de passerelle de gestion cloud local. Vous n’avez pas besoin d’ouvrir de ports de pare-feu entrants.

  5. Le point de connexion de la passerelle de gestion cloud transfère la communication du client au point de gestion local et au point de mise à jour logicielle.

Pour plus d’informations lors de l’intégration avec Microsoft Entra ID, consultez Configurer les services Azure : flux de données de gestion cloud.

Flux de données de contenu

Lorsqu’un client utilise une passerelle de gestion cloud comme emplacement de contenu :

  1. Le point de gestion donne au client un jeton d’accès ainsi que la liste des sources de contenu. Ce jeton est valide pendant 24 heures et donne au client un accès à la source de contenu cloud.

  2. Le point de gestion répond à la demande d’emplacement du client avec le nom de service de la passerelle de gestion cloud. Cette propriété est identique au nom commun du certificat d’authentification du serveur.

    Si vous utilisez votre nom de domaine, par exemple , WallaceFalls.contoso.comle client tente d’abord de résoudre ce nom de domaine complet. Les clients utilisent l’alias CNAME dans le DNS accessible sur Internet de votre domaine pour résoudre le nom de déploiement Azure.

  3. Le client résout ensuite le nom du déploiement en une adresse IP valide. Cette réponse est gérée par le DNS d’Azure.

  4. Le client se connecte à la passerelle de gestion cloud. Azure équilibre la charge de la connexion à l’une des instances de machine virtuelle. Le client s’authentifie à l’aide du jeton d’accès.

  5. La passerelle de gestion cloud authentifie le jeton d’accès du client, puis donne au client l’emplacement exact du contenu dans le stockage Azure.

  6. Si le client approuve le certificat d’authentification serveur de la passerelle de gestion cloud, il se connecte au stockage Azure pour télécharger le contenu.

Ports requis

Ce tableau répertorie les ports réseau et les protocoles requis. Le client est l’appareil qui démarre la connexion, nécessitant un port sortant. Le serveur est l’appareil qui accepte la connexion, nécessitant un port d’entrée.

Client Protocole Port Serveur Description
Point de connexion de service HTTPS 443 Azure Déploiement de la passerelle de gestion cloud
Point de connexion de passerelle de gestion cloud (groupe de machines virtuelles identiques) HTTPS 443 Service de passerelle de gestion cloud Protocole permettant de générer un canal de passerelle de gestion cloud sur une seule machine virtuelle instance Remarque 2
Point de connexion de passerelle de gestion cloud (groupe de machines virtuelles identiques) HTTPS 10124-10139 Service de passerelle de gestion cloud Protocole pour générer un canal de passerelle de gestion cloud vers deux instances de machine virtuelle ou plus Remarque 3
Point de connexion de passerelle de gestion cloud (service cloud classique) TCP-TLS 10140-10155 Service de passerelle de gestion cloud Protocole préféré pour générer le canal de passerelle de gestion cloud Note 1
Point de connexion de passerelle de gestion cloud (service cloud classique) HTTPS 443 Service de passerelle de gestion cloud Protocole de secours pour créer un canal de passerelle de gestion cloud sur une seule machine virtuelle instance Remarque 2
Point de connexion de passerelle de gestion cloud (service cloud classique) HTTPS 10124-10139 Service de passerelle de gestion cloud Protocole de secours pour créer un canal de passerelle de gestion cloud vers au moins deux instances de machine virtuelle Remarque 3
Client HTTPS 443 CMG Communication générale du client
Client HTTPS 443 Stockage d’objets blob Télécharger du contenu basé sur le cloud
Point de connexion de passerelle de gestion cloud HTTPS ou HTTP 443 ou 80 Point de gestion Trafic local, le port dépend de la configuration du point de gestion
Point de connexion de passerelle de gestion cloud HTTPS ou HTTP 443 ou 80 / 8530 ou 8531 Point de mise à jour logicielle Trafic local, le port dépend de la configuration du point de mise à jour logicielle

Remarques sur les ports

Remarque 1 : Ports TCP-TLS du point de connexion de passerelle de gestion cloud

Ces ports s’appliquent uniquement lorsque vous déployez la passerelle de gestion cloud en tant que service cloud (classique), qui était la seule méthode disponible dans les versions 2006 et antérieures.

Le point de connexion de la passerelle de gestion cloud tente d’abord d’établir une connexion TCP-TLS de longue durée avec chaque machine virtuelle de passerelle de gestion cloud instance. Il se connecte à la première machine virtuelle instance sur le port 10140. La deuxième machine virtuelle instance utilise le port 10141, jusqu’au 16 sur le port 10155. Une connexion TCP-TLS offre les meilleures performances, mais elle ne prend pas en charge le proxy Internet. Si le point de connexion de la passerelle de gestion cloud ne peut pas se connecter via TCP-TLS, il revient à HTTPSNote 2.

Remarque 2 : Ports HTTPS du point de connexion de passerelle de gestion cloud pour une machine virtuelle

Si vous déployez la passerelle de gestion cloud dans un groupe de machines virtuelles identiques, le point de connexion de la passerelle de gestion cloud communique uniquement avec le service dans Azure via HTTPS. Il ne nécessite pas de ports TCP-TLS pour générer le canal de communication de la passerelle de gestion cloud.

Pour une passerelle de gestion cloud déployée en tant que service cloud classique, elle utilise ce port uniquement en cas d’échec de la connexion TCP-TLS. Si le point de connexion de passerelle de gestion cloud ne peut pas se connecter à la passerelle de gestion cloud via TCP-TLSNote 1, il se connecte à l’équilibreur de charge réseau Azure via HTTPS 443. Ce comportement ne concerne qu’une seule machine virtuelle instance.

Remarque 3 : Ports HTTPS du point de connexion de passerelle de gestion cloud pour deux machines virtuelles ou plus

S’il existe au moins deux instances de machine virtuelle, le point de connexion de la passerelle de gestion cloud utilise HTTPS 10124 pour la première machine virtuelle instance, et non HTTPS 443. Il se connecte à la deuxième machine virtuelle instance sur HTTPS 10125, jusqu’au 16 sur le port HTTPS 10139.

Conditions requises d'accès à l'internet

Si votre organization restreint la communication réseau avec Internet à l’aide d’un pare-feu ou d’un appareil proxy, vous devez autoriser le point de connexion de la passerelle de gestion cloud et le point de connexion de service à accéder aux points de terminaison Internet.

Pour plus d’informations, consultez Configuration requise pour l’accès à Internet.

Cette section couvre les fonctionnalités suivantes :

  • Passerelle de gestion du cloud (CMG)

  • intégration Microsoft Entra

  • Microsoft Entra découverte basée sur l’ID

  • Point de distribution cloud (CDP)

    Remarque

    Le point de distribution cloud (CDP) est déconseillé. À compter de la version 2107, vous ne pouvez pas créer de nouvelles instances CDP. Pour fournir du contenu à des appareils Basés sur Internet, autorisez la passerelle de gestion cloud à distribuer du contenu.

Les sections suivantes répertorient les points de terminaison par rôle. Certains points de terminaison font référence à un service par <prefix>, qui est le nom de préfixe de la passerelle de gestion cloud. Par exemple, si votre passerelle de gestion cloud est GraniteFalls.WestUS.CloudApp.Azure.Com, le point de terminaison de stockage réel est GraniteFalls.blob.core.windows.net.

Conseil

Pour clarifier une terminologie :

  • Nom du service de passerelle de gestion cloud : nom commun (CN) du certificat d’authentification du serveur de passerelle de gestion cloud. Les clients et le rôle de système de site de point de connexion de passerelle de gestion cloud communiquent avec ce nom de service. Par exemple : GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nom du déploiement de la passerelle de gestion cloud : première partie du nom du service, plus l’emplacement Azure pour le déploiement du service cloud. Le composant Cloud Service Manager du point de connexion de service utilise ce nom lorsqu’il déploie la passerelle de gestion cloud dans Azure. Le nom du déploiement se trouve toujours dans un domaine Azure. L’emplacement Azure dépend de la méthode de déploiement, par exemple :

    • Groupe de machines virtuelles identiques : GraniteFalls.WestUS.CloudApp.Azure.Com
    • Déploiement classique : GraniteFalls.CloudApp.Net

Cet article utilise des exemples avec un groupe de machines virtuelles identiques comme méthode de déploiement recommandée dans les versions 2107 et ultérieures. Si vous utilisez un déploiement classique, notez la différence lorsque vous lisez cet article et configurez l’accès à Internet.

Point de connexion de service pour les services cloud

Pour Configuration Manager de déployer le service de passerelle de gestion cloud dans Azure, le point de connexion de service doit avoir accès à :

  • Des points de terminaison Azure spécifiques, qui sont différents selon l’environnement en fonction de la configuration. Configuration Manager stocke ces points de terminaison dans la base de données du site. Interrogez la table AzureEnvironments dans SQL Server pour obtenir la liste des points de terminaison Azure.

  • Services Azure :

    • management.azure.com (Cloud public Azure)
    • management.usgovcloudapi.net (Cloud Azure US Government)
  • Pour Microsoft Entra découverte d’utilisateurs : Point de terminaison Microsoft Graphhttps://graph.microsoft.com/

Point de connexion de passerelle de gestion cloud pour les services cloud

Le point de connexion de la passerelle de gestion cloud doit accéder aux points de terminaison suivants :

Type Cloud public Azure Cloud Azure US Government
Nom du service <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Point de terminaison de stockage 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Point de terminaison de stockage 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
Coffre de clés <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

Le système de site de point de connexion de la passerelle de gestion cloud prend en charge l’utilisation d’un proxy web. Pour plus d’informations sur la configuration de ce rôle pour un proxy, consultez Prise en charge du serveur proxy.

Le point de connexion de la passerelle de gestion cloud doit uniquement se connecter aux points de terminaison de service de la passerelle de gestion cloud. Il n’a pas besoin d’accéder à d’autres points de terminaison Azure.

client Configuration Manager pour les services cloud

Tout client Configuration Manager qui doit communiquer avec une passerelle de gestion cloud doit avoir accès aux points de terminaison suivants :

Type Cloud public Azure Cloud Azure US Government
Nom du déploiement <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
Point de terminaison de stockage <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
point de terminaison Microsoft Entra login.microsoftonline.com login.microsoftonline.us

console Configuration Manager pour les services cloud

Tout appareil doté de la console Configuration Manager a besoin d’accéder aux points de terminaison suivants :

Type Cloud public Azure Cloud Azure US Government
Microsoft Entra points de terminaison login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net
login.microsoftonline.us

En-têtes et verbes HTTP

Tout appareil réseau qui gère la communication entre le client, la passerelle de gestion cloud et les systèmes de site locaux doit autoriser les en-têtes et verbes HTTP suivants. Si ces éléments sont bloqués, cela affectera la communication du client via la passerelle de gestion cloud.

En-têtes HTTP

  • Gamme:
  • CCMClientID :
  • CCMClientIDSignature :
  • CCMClientTimestamp :
  • CCMClientTimestampsSignature :

Verbes HTTP

  • HEAD
  • CCM_POST
  • BITS_POST
  • GET
  • PROPFIND