Nová Cloud Management Gateway pro Configuration Manager

Blog

 
 Tomáš Jančík
 CMG

Ti z vás, kteří používají nástroj Microsoft Configuration Manager pro správu firemních koncových stanic, si jistě položili otázku, jak tento nástroj využít ke správě zařízení, která si uživatelé odnášejí mimo firemní síť, například pro práci z domova. Pokud se takový firemní notebook dlouhodobě pohybuje bez přístupu k firemním, většinou lokálním službám, je poměrně obtížné zaručit nejen jeho správu, například doručit na něj nějakou konfiguraci, či aplikaci, ale především bezpečnost.

Naštěstí Microsoft si je těchto potřeb dobře vědom, a tak už u verze System Center 2012 R2, představil komponentu s názvem Internet Based Client Management (IBCM), která dokázala správu klientů do jisté míry zabezpečit. Vybudování IBCM však znamenalo nemalé nároky na novou infrastrukturu, která musela být z části vystrčena do internetu, a stávala se tak častým terčem útoků zvenčí.

S rozvojem cloudových služeb přišel Microsoft s Cloud Management Gateway (CMG) službou, kterou integroval do Configuration Manager.

img

Zdroj: Microsoft

Cloud Management Gateway je cloudová služba, kterou lze doplnit Configuration Manager, pakliže chcete spravovat mobilní zařízení typu Windows, které opouští bezpečí vaší lokální sítě. Spravované zařízení má na sobě instalovaného Configuration Manager klienta a dokáže tak komunikovat s management pointem, i když je v internetu. CMG je instalován v Microsoft Azure jakožto virtuální site server. Tento server pak dělá jakýsi most mezi lokálním Configuration Manager serverem a klientem. Tímto způsobem je možné koncovou stanici plnohodnotně řídit – instalovat aplikace, řídit aktualizace, či nasazovat bezpečnostní politiky. Bohužel tento způsob správy má i svá omezení a tím největším je zatím komplexní instalace operačních systémů, nebo Systém Center Remote tools. Jednotlivé možnosti CMG si můžete projít v následující tabulce:

FunkcionalitaPodpora
Software updatesSupported
Endpoint protectionSupported
Hardware and software inventorySupported
Client status and notificationsSupported
Run scriptsSupported
CMPivotSupported
Compliance settingsSupported
Automatic client upgradeSupported
Client install (with Azure AD integration)Supported
Client install (with token authentication)Supported
Software distribution (device-targeted)Supported
Software distribution (user-targeted, required)(with Azure AD integration)Supported
Software distribution (user-targeted, available)Supported
BitLocker ManagementSupported
Windows 10 in-place upgrade task sequenceSupported
Task sequence without a boot image, deployed with the option to Download all content locally before starting task sequenceSupported
Task sequence without a boot image, deployed with either download optionSupported
Task sequence with a boot image, started from Software CenterSupported
Task sequence with a boot image, started from bootable mediaSupported
Any other task sequence scenarioNot supported
Client pushNot supported
Automatic site assignmentNot supported
Software approval requestsNot supported
Configuration Manager consoleNot supported
Remote toolsNot supported
Reporting websiteNot supported
Wake on LANNot supported
macOS clientsNot supported
Peer cacheNot supported
On-premises MDMNot supported

Velkému problému čelili zákazníci, kteří nakupují své licence prostřednictvím Cloud Solution Provider (CSP). V Azure subscription, která byla pořízena prostřednictvím CSP, nebylo možné CMG provozovat. V těchto případech měli zákazníci pouze dvě možnosti, jak spravovat internetové klienty - IBCM nebo MS Intune.

Naštěstí od verze Configuration Manager 2010 mají i CSP zákazníci možnost instalovat CMG s využitím Virtual machine scale set. Zde však musím upozornit, že v době psaní tohoto článku, se stále jedná o pre-release funkcionalitu, která má svá omezení, například v tuto chvíli je možné ji použít pouze v hierarchiích čítajících pouze jednu primary site. Zákazníci využívající Configuration Manager včetně Central Administration Site (CAS) si zatím ještě musejí počkat, pravděpodobně na dobu oficiálního uvedení této funkcionality.

Co se tedy v nové verzi CMG změnilo?

Pominuli výše zmíněnou možnost použití pro CSP zákazníky (jednoznačně největší přidaná hodnota), je to především změna škálovatelnosti na úrovni Azure. Dřívější verze CMG využívala službu “cloud service (classic)“, zjednodušeně řešeno v Azure se vytočil virtuální server, který nesl roli Management point, případně roli Distribution point a suploval tak on-premise site server, který napřímo komunikoval s koncovým bodem. Pokud bylo nutné spravovat velké množství internetových klientů, bylo nutné v Azure vytvořit více Virtuálních strojů, nad kterými však nebyl žádný load balancer, který by rovnoměrně řešil zatížení jednotlivých přístupů.

Nová CMG je stavěná odlišně. Nevytváří se samostatná VM v Azure, ale vystaví se Virtual machine scale set, spolu s vlastní sítí a load balancerem. Přístup spravovaných klientů ke zdrojům CMG v Azure je následně inteligentně obsloužen, tak aby nedocházelo k prodlevě při komunikaci a přetížení některé z aktivních CMG VM.

Pro přehled přikládám zdroje CMG v Azure, které vypadají takto:

img

Pokud se odhodláte k instalaci nové verze CMG s Virtual machine scale set již nyní, tedy v době, kdy se jedná stále ještě o pre-release funkcionalitu, musím vás upozornit na několik záludností, které mě samotného při instalaci potkaly.

  • Pozor na instalaci CMG s VM scale set, pokud již používáte CMG s cloud service (classic). Koexistence těchto řešení není podporována, proto je potřeba původní CMG odebrat a až následně je možné instalovat CMG s VM scale set.
  • Velmi častá chyba bývá absence DNS záznamu v interním DNS. Dokumentace popisuje přípravu záznamu do veřejného DNS, ale záznam v interním DNS považuje za samozřejmost.
  • Další problém nastal s některými záznamy ve Windows registrech, konkrétně se jednalo o tyto:
    • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\MP\ CloudProxyName
    • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\CloudProxyName UrlMappings
    • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\UrlMappings

U všech záznamů chyběl název nové CMG a bylo nutné jej ručně modifikovat.

Při instalaci doporučuji kontrolovat SMS_CLOUD_PROXYCONNECTOR.log, který vás na mnohé problémy upozorní.

CMG je stále jeden z nejlepších způsobů, jak zabezpečit správu MECM klientů, kteří se dlouhodobě pohybují v internetu a nepoužívají Always On VPN. Microsoft se tuto funkcionalitu snaží opět posunout o něco dál, ale hlavně již také zohledňuje zákazníky, kteří své licence nakupují prostřednictvím CSP programu.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu