Konfigurera CMG för Configuration Manager

Gäller för: Configuration Manager (aktuell gren)

När du har förutsättningar kan du starta processen för att konfigurera en molnhanteringsgateway (CMG). Innan du påbörjar den här processen måste du ha nödvändig information och nödvändiga förutsättningar för att skapa en CMG. Mer information finns i Konfigurera checklista för CMG.

Det här steget i den övergripande processen omfattar följande åtgärder:

  • Använd Configuration Manager-konsolen för att skapa CMG-tjänsten i Azure.
  • Konfigurera den primära platsen för klientcertifikatautentisering.
  • Lägg till platssystemrollen cmg-anslutningspunkt.
  • Konfigurera hanteringsplatsen och programuppdateringsplatsen för CMG-trafik.
  • Konfigurera gränsgrupper.

Konfigurera en CMG

Obs!

Distribution av en CMG med en VM-skalningsuppsättning i Azure introducerades först i version 2010 som en förhandsversionsfunktion. Från och med version 2107 är det inte längre en förhandsversionsfunktion.

Configuration Manager aktiverar inte den här valfria funktionen som standard. Du måste aktivera den här funktionen innan du använder den. Mer information finns i avsnittet Enable optional features from updates.

Gör så här på webbplatsen på den översta nivån. Den platsen är antingen en fristående primär plats eller den centrala administrationsplatsen (CAS).

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer Cloud Management Gateway.

  2. Välj Skapa Cloud Management Gateway i menyfliksområdet.

  3. På sidan Allmänt i guiden anger du först Azure-miljön för denna CMG:

    • AzurePublicCloud: Skapa tjänsten i det globala Azure-molnet.
    • AzureUSGovernmentCloud: Skapa tjänsten i Azure US Government-molnet.
  4. Välj sedan hur du vill distribuera CMG i Azure:

    • Vm-skalningsuppsättning

      • Från och med version 2203 är VM-skalningsuppsättning det enda alternativet.

      • Från och med version 2107 är det här alternativet den rekommenderade distributionsmetoden. Även om du har en befintlig CMG distribuerad med molntjänstmetoden (klassisk) distribuerar du nya CMG-instanser som en VM-skalningsuppsättning.

      • I versionerna 2010 och 2103 måste du aktivera den här förhandsversionen för att se den. I de här versionerna är den endast avsedd för kunder med en CSP-prenumeration (Cloud Solution Provider). Om du redan har distribuerat en CMG med molntjänstmetoden (klassisk) är det här alternativet inte tillgängligt. Mer information finns i Planera för CMG: VM-skalningsuppsättningar.

    • Molntjänst (klassisk)

      Viktigt

      Från och med version 2203 tas alternativet att distribuera en CMG som en molntjänst (klassisk) bort. Alla CMG-distributioner bör använda en VM-skalningsuppsättning. Mer information finns i Borttagna och inaktuella funktioner.

      • I version 2107 och senare använder du bara det här alternativet om du inte kan distribuera med en VM-skalningsuppsättning på grund av någon av begränsningarna.

      • I versionerna 2010 och 2103 bör de flesta kunder använda den här distributionsmetoden.

  5. Från och med version 2309 väljer du Microsoft Entra klientnamnMicrosoft Entra appnamnet fylls i automatiskt. Välj Logga in. Autentisera med ett konto för Azure-prenumerationsägare . Om du äger flera prenumerationer väljer du prenumerations-ID för den prenumeration som du vill använda.

    Obs!

    Från och med version 2309 har vi föråldrat användningen av förstapartsappen för att skapa CMG. Nu använder CMG en serverapp från tredje part för att hämta ägartoken.

  6. I version 2303 och nedan väljer du Logga in. Autentisera med ett konto för Azure-prenumerationsägare . Guiden fyller automatiskt i de återstående fälten från den information som lagras under Microsoft Entra integreringskrav. Om du äger flera prenumerationer väljer du prenumerations-ID för den prenumeration som du vill använda.

    Välj Nästa och vänta medan platsen testar anslutningen till Azure.

  7. På sidan Inställningar i guiden bläddrar du först till . PFX-fil för CMG-serverns autentiseringscertifikat (certifikatfil). Det gemensamma namnet från det här certifikatet används för att fylla i fälten Tjänstnamn och Distributionsnamn .

    Om du använder ett jokerteckencertifikat ersätter du asterisken (*) i fältet Tjänstnamn med det globalt unika distributionsnamnsprefixet för din CMG.

    1. Du kan också ange en Beskrivning för att ytterligare identifiera denna CMG i Configuration Manager-konsolen.

    2. Välj en Azure-region för denna CMG. Listan över tillgängliga regioner kan variera beroende på den valda prenumerationen.

    3. Välj ett resursgruppsalternativ :

      • Om du väljer Använd befintlig väljer du en befintlig resursgrupp i listan. Den här resursgruppen måste redan finnas i samma region som du valde för CMG:en. Om du väljer en befintlig resursgrupp och den finns i en annan region än den tidigare valda regionen, kommer CMG:en inte att distribueras.

      • Om du väljer Skapa ny anger du namnet på den nya resursgruppen.

    4. Som standard är vm-storlekenStandard (A2_V2). Välj ett annat alternativ som din design anger. Till exempel Stor (A4_v2) för ökad klientkapacitet per virtuell dator eller Labb (B2s) i en liten testmiljö.

      Viktigt

      Den virtuella datorn i labbstorlek (B2s) är endast avsedd för labbtestning och små proof-of-concept-miljöer. Till exempel med grenen Configuration Manager technical preview. De virtuella B2s-datorerna är inte avsedda för produktionsanvändning med CMG. De är låga kostnader och lågpresterande.

    5. I fältet VM-instans anger du antalet virtuella datorer för den här tjänsten. Standardvärdet är en, men du kan skala upp till 16 virtuella datorer per CMG.

    6. Om du använder certifikat för klientautentisering väljer du Certifikat för att lägga till betrodda rotcertifikat. Lägg till alla certifikat i förtroendekedjan.

      Obs!

      Ett betrott rotcertifikat krävs inte när du använder Microsoft Entra-ID eller platsutfärdade token för klientautentisering.

    7. Som standard aktiverar guiden alternativet Verifiera återkallning av klientcertifikat. En lista över återkallade certifikat (CRL) måste publiceras offentligt för att verifieringen ska fungera. Mer information finns i Publicera listan över återkallade certifikat.

    8. Som standard aktiverar guiden alternativet framtvinga TLS 1.2. Den här inställningen kräver att den virtuella Azure-datorn använder TLS 1.2-krypteringsprotokollet. Den gäller inte för lokala Configuration Manager platsservrar eller klienter. Från och med version 2107 med samlad uppdatering gäller den här inställningen även för CMG-lagringskontot. Mer information finns i Så här aktiverar du TLS 1.2.

    9. Som standard aktiverar guiden alternativet Tillåt att CMG fungerar som en molndistributionsplats och hanterar innehåll från Azure Storage. Om du planerar att rikta distributioner med innehåll till klienter måste du konfigurera CMG för att hantera innehåll.

  8. Nästa är sidan Aviseringar i guiden. Aktivera tröskelvärdet för att övervaka CMG-trafik med ett tröskelvärde på 14 dagar. Ange sedan tröskelvärdet och i vilken procentandel de olika aviseringsnivåerna ska höjas. Du kan också aktivera ett tröskelvärde för lagringsaviseringar. Välj Nästa när du är klar.

  9. Granska inställningarna och slutför guiden.

Configuration Manager börjar konfigurera tjänsten. Hur lång tid det tar att helt etablera tjänsten i Azure beror på de inställningar som du har angett. Om du vill ta reda på när tjänsten är klar kan du visa kolumnen Status för den nya CMG:n.

Om du vill felsöka CMG-distributioner använder du CloudMgr.log och CMGSetup.log. Mer information finns i Övervaka CMG.

Tips

Du kan också använda PowerShell-cmdleten New-CMCloudManagementGateway för den här processen. Du kan också använda den här cmdleten för att skapa CMG-tjänsten. Mer information finns i New-CMCloudManagementGateway.

Konfigurera den primära platsen för autentisering av klientcertifikat

Om du använder klientautentiseringscertifikat för klienter för att autentisera med CMG följer du den här proceduren för att konfigurera varje primär plats.

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer Platser.

  2. Välj den primära plats som dina Internetbaserade klienter har tilldelats till och välj Egenskaper.

  3. Växla till fliken Kommunikationssäkerhet och välj Använd PKI-klientcertifikat (klientautentisering) när det är tillgängligt.

  4. Om du inte publicerar en CRL inaktiverar du följande alternativ: Klienter kontrollerar listan över återkallade certifikat (CRL) för platssystem.

Lägg till CMG-anslutningspunkten

CMG-anslutningspunkten är den platssystemroll som krävs för kommunikation från din lokala Configuration Manager distribution till den molnbaserade CMG:en. Innan du påbörjar den här processen bör du redan ha utvecklat en plan för rollen och identifierat minst en befintlig platssystemserver. Mer information finns i Planera för CMG.

Om du vill lägga till CMG-anslutningspunkten sammanfattar följande steg anvisningarna för att installera platssystemroller:

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Servrar och platssystemroller.

  2. Välj en befintlig platsserver som du vill lägga till den här rollen till. I menyfliksområdet går du till fliken Start och väljer Lägg till platssystemroller.

  3. På skärmen Val av systemroll väljer du Anslutningspunkt för molnhanteringsgateway och sedan Nästa. Välj namnet på den molnhanteringsgateway som den här servern ansluter till. Guiden visar regionen för den valda CMG:en.

Viktigt

Om du använder certifikat för klientautentisering behöver CMG-anslutningspunkten det här certifikatet. Mer information finns i certifikat för klientautentisering.

Om du vill felsöka CMG-tjänstens hälsotillstånd använder du CMGService.log och SMS_Cloud_ProxyConnector.log. Mer information finns i Loggfiler.

Tips

Du kan också använda PowerShell-cmdleten Add-CMCloudManagementGatewayConnectionPoint för att lägga till ROLLEN CMG-anslutningspunkt till en platssystemserver.

Mer information finns i Add-CMCloudManagementGatewayConnectionPoint.

Konfigurera klientinriktade roller för CMG-trafik

Konfigurera platssystemen för hanteringsplatsen och programuppdateringsplatsen så att de accepterar CMG-trafik. Gör så här på den primära platsen för alla hanteringsplatser och programuppdateringsplatser som betjänar Internetbaserade klienter.

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Servrar och platssystemroller. På fliken Start i menyfliksområdet går du till gruppen Visa och väljer Servrar med roll. Välj sedan Hanteringsplats i listan.

  2. Välj den platssystemserver som du vill konfigurera för CMG-trafik. Välj rollen Hanteringsplats i informationsfönstret och välj sedan Egenskaper i gruppen Platsroll i menyfliksområdet.

  3. I egenskapsbladet Hanteringsplats under Klientanslutningar väljer du Tillåt Configuration Manager molnhanteringsgatewaytrafik.

    Beroende på cmg-design och Configuration Manager version kan du behöva aktivera HTTPS-alternativet. Mer information finns i Aktivera hanteringsplats för HTTPS.

  4. Välj OK för att stänga fönstret egenskaper för hanteringsplatser.

Upprepa de här stegen för andra hanteringsplatser efter behov och för alla programuppdateringsplatser.

Konfigurera gränsgrupper

Du kan associera en CMG med en gränsgrupp. Med den här konfigurationen kan klienter använda CMG för klientkommunikation enligt gränsgruppsrelationer. Den här konfigurationen är fördelaktig för VPN- eller avdelningskontorsklienter där det kan vara bättre att hantera dem via en CMG än via VPN- eller WAN-anslutningen. Om du aktiverar alternativet att föredra molnbaserade källor framför lokala källor föredrar klienterna CMG för både princip och innehåll.

Mer information om gränsgrupper finns i Konfigurera gränsgrupper.

När du skapar eller konfigurerar en gränsgrupp lägger du till en molnhanteringsgateway på fliken Referenser . Den här åtgärden associerar CMG med den här gränsgruppen.

Branchcache

Om du vill aktivera en innehållsaktiverad CMG för att använda Windows BranchCache installerar du BranchCache-funktionen på platsservern.

  • Om platsservern har en lokal platssystemroll för distributionsplatser konfigurerar du alternativet i den rollens egenskaper för att aktivera och konfigurera BranchCache. Mer information finns i Konfigurera en distributionsplats.

  • Om platsservern inte har någon distributionsplatsroll installerar du BranchCache-funktionen i Windows. Mer information finns i Installera BranchCache-funktionen.

Om du redan har distribuerat innehåll till en CMG och sedan bestämmer dig för att aktivera BranchCache installerar du först funktionen. Distribuera sedan om innehållet till CMG:en.

Distribuera och hantera innehåll

Distribuera innehåll till den innehållsaktiverade CMG:en på samma sätt som andra distributionsplatser. Hanteringsplatsen innehåller inte CMG:en i listan över innehållsplatser om den inte har det innehåll som klienterna begär. Mer information finns i Distribuera och hantera innehåll.

Hantera innehåll på en CMG på samma sätt som andra distributionsplatser. Dessa åtgärder omfattar att tilldela den till en distributionsplatsgrupp och hantera innehållspaket. Mer information finns i Installera och konfigurera distributionsplatser.

Nästa steg

Fortsätt konfigurationen av CMG genom att konfigurera klienter för CMG: