Ti z vás, kteří používají nástroj Microsoft Configuration Manager pro správu firemních koncových stanic, si jistě položili otázku, jak tento nástroj využít ke správě zařízení, která si uživatelé odnášejí mimo firemní síť, například pro práci z domova. Pokud se takový firemní notebook dlouhodobě pohybuje bez přístupu k firemním, většinou lokálním službám, je poměrně obtížné zaručit nejen jeho správu, například doručit na něj nějakou konfiguraci, či aplikaci, ale především bezpečnost.
Naštěstí Microsoft si je těchto potřeb dobře vědom, a tak už u verze System Center 2012 R2, představil komponentu s názvem Internet Based Client Management (IBCM), která dokázala správu klientů do jisté míry zabezpečit. Vybudování IBCM však znamenalo nemalé nároky na novou infrastrukturu, která musela být z části vystrčena do internetu, a stávala se tak častým terčem útoků zvenčí.
S rozvojem cloudových služeb přišel Microsoft s Cloud Management Gateway (CMG) službou, kterou integroval do Configuration Manager.
Naštěstí Microsoft si je těchto potřeb dobře vědom, a tak už u verze System Center 2012 R2, představil komponentu s názvem Internet Based Client Management (IBCM), která dokázala správu klientů do jisté míry zabezpečit. Vybudování IBCM však znamenalo nemalé nároky na novou infrastrukturu, která musela být z části vystrčena do internetu, a stávala se tak častým terčem útoků zvenčí.
S rozvojem cloudových služeb přišel Microsoft s Cloud Management Gateway (CMG) službou, kterou integroval do Configuration Manager.
| Funkcionalita | Podpora |
|---|---|
| Software updates | ✅ |
| Endpoint protection | ✅ |
| Hardware and software inventory | ✅ |
| Client status and notifications | ✅ |
| Run scripts | ✅ |
| CMPivot | ✅ |
| Compliance settings | ✅ |
| Automatic client upgrade | ✅ |
| Client install (with Azure AD integration) | ✅ |
| Client install (with token authentication) | ✅ |
| Software distribution (device-targeted) | ✅ |
| Software distribution (user-targeted, required)(with Azure AD integration) | ✅ |
| Software distribution (user-targeted, available) | ✅ |
| BitLocker Management | ✅ |
| Windows 10 in-place upgrade task sequence | ✅ |
| Task sequence without a boot image, deployed with the option to Download all content locally before starting task sequence | ✅ |
| Task sequence without a boot image, deployed with either download option | ✅ |
| Task sequence with a boot image, started from Software Center | ✅ |
| Task sequence with a boot image, started from bootable media | ✅ |
| Any other task sequence scenario | ❌ |
| Client push | ❌ |
| Automatic site assignment | ❌ |
| Software approval requests | ❌ |
| Configuration Manager console | ❌ |
| Remote tools | ❌ |
| Reporting website | ❌ |
| Wake on LAN | ❌ |
| macOS clients | ❌ |
| Peer cache | ❌ |
| On-premises MDM | ❌ |
Velkému problému čelili zákazníci, kteří nakupují své licence prostřednictvím Cloud Solution Provider (CSP). V Azure subscription, která byla pořízena prostřednictvím CSP, nebylo možné CMG provozovat. V těchto případech měli zákazníci pouze dvě možnosti, jak spravovat internetové klienty – IBCM nebo MS Intune.
Naštěstí od verze Configuration Manager 2010 mají i CSP zákazníci možnost instalovat CMG s využitím Virtual machine scale set. Zde však musím upozornit, že v době psaní tohoto článku, se stále jedná o pre-release funkcionalitu, která má svá omezení, například v tuto chvíli je možné ji použít pouze v hierarchiích čítajících pouze jednu primary site. Zákazníci využívající Configuration Manager včetně Central Administration Site (CAS) si zatím ještě musejí počkat, pravděpodobně na dobu oficiálního uvedení této funkcionality.
Co se tedy v nové verzi CMG změnilo?
Pominuli výše zmíněnou možnost použití pro CSP zákazníky (jednoznačně největší přidaná hodnota), je to především změna škálovatelnosti na úrovni Azure. Dřívější verze CMG využívala službu “cloud service (classic)“, zjednodušeně řešeno v Azure se vytočil virtuální server, který nesl roli Management point, případně roli Distribution point a suploval tak on-premise site server, který napřímo komunikoval s koncovým bodem. Pokud bylo nutné spravovat velké množství internetových klientů, bylo nutné v Azure vytvořit více Virtuálních strojů, nad kterými však nebyl žádný load balancer, který by rovnoměrně řešil zatížení jednotlivých přístupů.
Nová CMG je stavěná odlišně. Nevytváří se samostatná VM v Azure, ale vystaví se Virtual machine scale set, spolu s vlastní sítí a load balancerem. Přístup spravovaných klientů ke zdrojům CMG v Azure je následně inteligentně obsloužen, tak aby nedocházelo k prodlevě při komunikaci a přetížení některé z aktivních CMG VM.
Pro přehled přikládám zdroje CMG v Azure, které vypadají takto:
Pokud se odhodláte k instalaci nové verze CMG s Virtual machine scale set již nyní, tedy v době, kdy se jedná stále ještě o pre-release funkcionalitu, musím vás upozornit na několik záludností, které mě samotného při instalaci potkaly.
- Pozor na instalaci CMG s VM scale set, pokud již používáte CMG s cloud service (classic). Koexistence těchto řešení není podporována, proto je potřeba původní CMG odebrat a až následně je možné instalovat CMG s VM scale set.
- Velmi častá chyba bývá absence DNS záznamu v interním DNS. Dokumentace popisuje přípravu záznamu do veřejného DNS, ale záznam v interním DNS považuje za samozřejmost.
- Další problém nastal s některými záznamy ve Windows registrech, konkrétně se jednalo o tyto:
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\MP\ CloudProxyName
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\CloudProxyName UrlMappings
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\UrlMappings
U všech záznamů chyběl název nové CMG a bylo nutné jej ručně modifikovat.
Při instalaci doporučuji kontrolovat SMS_CLOUD_PROXYCONNECTOR.log, který vás na mnohé problémy upozorní.
CMG je stále jeden z nejlepších způsobů, jak zabezpečit správu MECM klientů, kteří se dlouhodobě pohybují v internetu a nepoužívají Always On VPN. Microsoft se tuto funkcionalitu snaží opět posunout o něco dál, ale hlavně již také zohledňuje zákazníky, kteří své licence nakupují prostřednictvím CSP programu.
