Nová Cloud Management Gateway pro Configuration Manager

Blog

 
 Tomáš Jančík
  CMG

Ti z vás, kteří používají nástroj Microsoft Configuration Manager pro správu firemních koncových stanic, si jistě položili otázku, jak tento nástroj využít ke správě zařízení, která si uživatelé odnášejí mimo firemní síť, například pro práci z domova. Pokud se takový firemní notebook dlouhodobě pohybuje bez přístupu k firemním, většinou lokálním službám, je poměrně obtížné zaručit nejen jeho správu, například doručit na něj nějakou konfiguraci, či aplikaci, ale především bezpečnost.

Naštěstí Microsoft si je těchto potřeb dobře vědom, a tak už u verze System Center 2012 R2, představil komponentu s názvem Internet Based Client Management (IBCM), která dokázala správu klientů do jisté míry zabezpečit. Vybudování IBCM však znamenalo nemalé nároky na novou infrastrukturu, která musela být z části vystrčena do internetu, a stávala se tak častým terčem útoků zvenčí.

S rozvojem cloudových služeb přišel Microsoft s Cloud Management Gateway (CMG) službou, kterou integroval do Configuration Manager.

img

Zdroj: Microsoft

Cloud Management Gateway je cloudová služba, kterou lze doplnit Configuration Manager, pakliže chcete spravovat mobilní zařízení typu Windows, které opouští bezpečí vaší lokální sítě. Spravované zařízení má na sobě instalovaného Configuration Manager klienta a dokáže tak komunikovat s management pointem, i když je v internetu. CMG je instalován v Microsoft Azure jakožto virtuální site server. Tento server pak dělá jakýsi most mezi lokálním Configuration Manager serverem a klientem. Tímto způsobem je možné koncovou stanici plnohodnotně řídit – instalovat aplikace, řídit aktualizace, či nasazovat bezpečnostní politiky. Bohužel tento způsob správy má i svá omezení a tím největším je zatím komplexní instalace operačních systémů, nebo Systém Center Remote tools. Jednotlivé možnosti CMG si můžete projít v následující tabulce:

Funkcionalita Podpora
Software updates Supported
Endpoint protection Supported
Hardware and software inventory Supported
Client status and notifications Supported
Run scripts Supported
CMPivot Supported
Compliance settings Supported
Automatic client upgrade Supported
Client install (with Azure AD integration) Supported
Client install (with token authentication) Supported
Software distribution (device-targeted) Supported
Software distribution (user-targeted, required)(with Azure AD integration) Supported
Software distribution (user-targeted, available) Supported
BitLocker Management Supported
Windows 10 in-place upgrade task sequence Supported
Task sequence without a boot image, deployed with the option to Download all content locally before starting task sequence Supported
Task sequence without a boot image, deployed with either download option Supported
Task sequence with a boot image, started from Software Center Supported
Task sequence with a boot image, started from bootable media Supported
Any other task sequence scenario Not supported
Client push Not supported
Automatic site assignment Not supported
Software approval requests Not supported
Configuration Manager console Not supported
Remote tools Not supported
Reporting website Not supported
Wake on LAN Not supported
macOS clients Not supported
Peer cache Not supported
On-premises MDM Not supported

Velkému problému čelili zákazníci, kteří nakupují své licence prostřednictvím Cloud Solution Provider (CSP). V Azure subscription, která byla pořízena prostřednictvím CSP, nebylo možné CMG provozovat. V těchto případech měli zákazníci pouze dvě možnosti, jak spravovat internetové klienty - IBCM nebo MS Intune.

Naštěstí od verze Configuration Manager 2010 mají i CSP zákazníci možnost instalovat CMG s využitím Virtual machine scale set. Zde však musím upozornit, že v době psaní tohoto článku, se stále jedná o pre-release funkcionalitu, která má svá omezení, například v tuto chvíli je možné ji použít pouze v hierarchiích čítajících pouze jednu primary site. Zákazníci využívající Configuration Manager včetně Central Administration Site (CAS) si zatím ještě musejí počkat, pravděpodobně na dobu oficiálního uvedení této funkcionality.

Co se tedy v nové verzi CMG změnilo?

Pominuli výše zmíněnou možnost použití pro CSP zákazníky (jednoznačně největší přidaná hodnota), je to především změna škálovatelnosti na úrovni Azure. Dřívější verze CMG využívala službu “cloud service (classic)“, zjednodušeně řešeno v Azure se vytočil virtuální server, který nesl roli Management point, případně roli Distribution point a suploval tak on-premise site server, který napřímo komunikoval s koncovým bodem. Pokud bylo nutné spravovat velké množství internetových klientů, bylo nutné v Azure vytvořit více Virtuálních strojů, nad kterými však nebyl žádný load balancer, který by rovnoměrně řešil zatížení jednotlivých přístupů.

Nová CMG je stavěná odlišně. Nevytváří se samostatná VM v Azure, ale vystaví se Virtual machine scale set, spolu s vlastní sítí a load balancerem. Přístup spravovaných klientů ke zdrojům CMG v Azure je následně inteligentně obsloužen, tak aby nedocházelo k prodlevě při komunikaci a přetížení některé z aktivních CMG VM.

Pro přehled přikládám zdroje CMG v Azure, které vypadají takto:

img

Pokud se odhodláte k instalaci nové verze CMG s Virtual machine scale set již nyní, tedy v době, kdy se jedná stále ještě o pre-release funkcionalitu, musím vás upozornit na několik záludností, které mě samotného při instalaci potkaly.

  • Pozor na instalaci CMG s VM scale set, pokud již používáte CMG s cloud service (classic). Koexistence těchto řešení není podporována, proto je potřeba původní CMG odebrat a až následně je možné instalovat CMG s VM scale set.
  • Velmi častá chyba bývá absence DNS záznamu v interním DNS. Dokumentace popisuje přípravu záznamu do veřejného DNS, ale záznam v interním DNS považuje za samozřejmost.
  • Další problém nastal s některými záznamy ve Windows registrech, konkrétně se jednalo o tyto:
    • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\MP\ CloudProxyName
    • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\CloudProxyName UrlMappings
    • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\UrlMappings

U všech záznamů chyběl název nové CMG a bylo nutné jej ručně modifikovat.

Při instalaci doporučuji kontrolovat SMS_CLOUD_PROXYCONNECTOR.log, který vás na mnohé problémy upozorní.

CMG je stále jeden z nejlepších způsobů, jak zabezpečit správu MECM klientů, kteří se dlouhodobě pohybují v internetu a nepoužívají Always On VPN. Microsoft se tuto funkcionalitu snaží opět posunout o něco dál, ale hlavně již také zohledňuje zákazníky, kteří své licence nakupují prostřednictvím CSP programu.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu
{ } { } { } { }