Roberto TafuriMicrosoft Endpoint Configuration Manager – Implementazione di Cloud Management Gateway e Cloud Distribution Point
Le funzionalità di Cloud Management Gateway (CMG) e Cloud Distribution Point (CDP) disponibili in Microsoft Endpoint Configuration Manager offrono la possibilità di gestire i client in Internet in modo semplice.
Il CMG come servizio cloud (PaaS) in Microsoft Azure consente di “coprire” dispositivi che si trovano al di fuori della rete aziendale o in sedi remote senza esporre la propria infrastruttura in Internet.
Di seguito una lista delle funzionalità principali:
- Distribuzione software;
- Aggiornamenti software;
- Protezione degli endpoint;
- Inventario hardware e software;
- Stato del client e notifiche;
- Esecuzione di script;
- CMPivot;
- Impostazioni di conformità;
- Installazione client di Config Mgr con Azure AD https://docs.microsoft.com/en-us/mem/configmgr/core/clients/deploy/deploy-clients-cmg-azure;
- Installazione client di Config Mgr con la modalità token-based authentication (Disponibile con la versione di MECM 2002) https://docs.microsoft.com/en-us/mem/configmgr/core/clients/deploy/deploy-clients-cmg-token;
- Task Sequence https://docs.microsoft.com/en-us/mem/configmgr/osd/deploy-use/deploy-a-task-sequence#deploy-windows-10-in-place-upgrade-via-cmg.
L’integrazione di questi servizi non prevede l’apertura di alcuna porta in ingresso per la rete locale. I ruoli di Service connection point e CMG connection point avviano tutte le comunicazioni con Azure e il Cloud management gateway.
Per ulteriori dettagli, vi invito a visitare la documentazione ufficiale https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/cmg/plan-cloud-management-gateway#required-ports
Figura 1 – Flusso di rete tra rete On-Premises ed Azure
In questo articolo vedremo come implementare le funzionalità di Cloud Management Gateway e Cloud Distribution Point in Microsoft Endpoint Configuration Manager con i seguenti requisiti:
- Versione Configuration Manager 1902 o successiva per l’inizializzazione del CMG con Azure Resource Manager;
- Comunicazione in MECM tra clients con identità presente solo in Active Directory e il Cloud Management Gateway in HTTPS (necessaria una PKI interna). Per la configurazione di una PKI 2-tier all’interno della propria infrastruttura, vi invito a leggere l’articolo https://www.ictpower.it/sistemi-operativi/deploy-pki-in-windows-server-2016-parte-1-architettura-di-una-pki-two-tier.htm ;
- Una sottoscrizione Azure attiva ed un’utenza con permessi di Global administrator.
Prima di iniziare,accertatevi che la funzionalità Cloud Management Gateway sia attiva.
Console di Configuration Manager -> Administration -> Overview -> Updates and Servicing -> Features -> Cloud Management Gateway -> Turn on.
Figura 2 – Verifica funzionalità Cloud Management Gateway in console Config Mgr
Configurazione Azure Services
Il primo step da smarcare riguarda la configurazione degli Azure Services. Le 2 apps (Server e Client) forniscono dettagli sulla sottoscrizione, sulla configurazione e sono necessarie per l’integrazione con Azure AD.
Il wizard disponibile in console offre la possibilità, in modo semplice ed intuitivo, di configurare gli Azure Services.
Console di Configuration Manager -> Administration -> Overview -> Cloud Services -> Azure Services -> Configure Azure Services.
Figura 3 -Configurazione degli Azure Services in Config Mgr
Indicate un nome e selezionate la voce Cloud Management.
Figura 4 – Selezione di Cloud Management in wizard Azure Services
Selezionate l’Azure environment AzurePublicCloud e procedete con la creazione della Web app cliccando su Browse.
Figura 5 – Wizard Azure Services per la creazione delle apps
Nella schermata successiva, cliccate Create.
Figura 6 – Creazione Server App in wizard Azure Services
Indicate un nome all’applicazione (Es. MECM – Server App), selezionate la validità della secret key (1 o 2 anni) e cliccate su Sign In per accedere con l’account Global Admin di Azure.
Lasciate come di default le opzioni Home page URL e APP ID URI a meno di particolari esigenze.
Figura 7 – Configurazione Server App in wizard Azure Services
Selezionate la server app creata in precedenza e cliccate OK.
Figura 8 – Selezione della server app creata in precedenza nel wizard Azure Services
Procedete ora con la configurazione della Native Client App cliccando su Browse…
Figura 9 – Creazione della Native Client App in wizard Azure Services
Nella schermata successiva, cliccate Create.
Figura 10 – Creazione della Native Client App
Indicate un nome alla Client App (ES. MECM – Client App) e loggatevi con la vostra utenza Global Admin di Azure.
Figura 11 – Configurazione della Client App
Selezionate la Client App creata in precedenza e cliccate OK.
Figura 12 – Selezione della Client App in wizard Azure Services
Le opzioni Enable Azure AD User Discovery e Enable Azure AD Group Discovery non incidono sul funzionamento del Cloud Management Gateway. La scelta è a vostra discrezione ed in base alla vostra infrastruttura.
Figura 13 – Discovery Settings in wizard Azure Services
Nella pagina Summary verificate i parametri e cliccate su Next.
Figura 14 – Summary in wizard Azure Services
Terminata la configurazione, cliccando su Azure Services in Configuration Manager troverete il nuovo servizio Azure pertinente al Cloud Management.
Figura 15 – Verifica Azure Services in console Configuration Manager
Verifica disponibilità del dominio di terzo livello *.cloudapp.net
Prima di procedere con la creazione del template e l’enrollment del certificato, vi consiglio di verificare la disponibilità del dominio di terzo livello per il Cloud Management Gateway.
Loggatevi nel portale di Azure, cercate Cloud services (classic) e successivamente cliccate su Add.
Figura 16 – Cloud Services su Azure per verifica dominio di terzo livello *.cloudapp.net
Nel mio caso e come da seguente immagine, ho verificato la disponibilità dell’Azure domain name ictpowcmg.cloudapp.net.
Non procedete con la creazione del Cloud Service perché verrà aggiunto automaticamente in Azure in fase di inizializzazione del CMG.
Figura 17 – Validazione del dominio di terzo livello per il Cloud Management Gateway.
Configurazione del Certificate Template per Cloud Management Gateway
Accedete al server con a bordo il ruolo di Certification Authority e negli Windows Administrative Tools selezionate la voce Certification Authority.
Per la creazione del nuovo template: click destro su Certificate Teamplates -> Manage.
Figura 18 – Gestione dei certificate template su CA
Selezionate il template preesistente Web Server e con click destro scegliete la voce Duplicate Template.
Figura 19 – Duplicazione del template Web Server sulla CA
Nel tab General, indicate un nome al template (Es. MECM CMG Cert) e la validità del certificato. Nel mio caso ho inserito come validità 2 anni.
Figura 20 – Inserimento nome e validità del certificato CMG
Nel tab Request Handling spuntate l’opzione Allow private key to be exported.
Figura 21 – Allow private key to be exported per il certificato CMG
Nel tab Security, aggiungete il computer account del primary site server di Configuration Manager ed assegnate i permessi di Read ed Enroll.
Figura 22 – Permessi di enrollment del certificato CMG per il server Config Mgr
Per rendere disponibili il nuovo template per il certificato destinato al CMG, cliccate su Certificate Templates -> New -> Certificate Template to Issue.
Figura 23 – Issue del certificate templates CMG
Selezionate il nome del template creato in precedenza e cliccate OK.
Figura 24 – Certificate template disponibile per l’enrollment
Enrollment del certificato per il Cloud Management Gateway
Recatevi sul primary site server di Configuration Manager e procedete con l’enrollment del certificato per il Cloud Management Gateway: MMC -> Add or Remove Snap-in -> Certificates -> Computer Account.
In Personal -> Certificates -> All Tasks -> Request New Certificate.
Figura 25 – Enrollment del certificato CMG 1
Selezionate il template creato in precedenza e cliccate More information is required to enroll for this certificate. Click here to configure settings.
Figura 26 – Enrollment del certificato CMG 2
Nel tab Subject, compliate i seguenti campi:
Common name: (Es. ictpowcmg.cloudapp.net);
DNS: DNS Name *.cloudapp.net (Es. ictpowcmg.cloudapp.net).
Figura 27 – Enroll del certificato CMG 3
Terminata la configurazione, cliccate su Enroll.
Figura 28 – Enroll del certificato CMG 4
Export del certificato per il Cloud Management Gateway
Una volta generato il certificato, procedete con l’export: click destro sul certificato e selezionate l’opzione Export.
Figura 29 – Export del certificato CMG 1
Selezionate la voce Yes, export the private key e cliccate Next.
Figura 30 – Export del certificato CMG 2
Figura 31 – Export del certificato CMG 3
Indicate una password e nella schermata successiva la cartella di destinazione dove verrà posizionato il .pfx.
Figura 32 – Export del certificato CMG 4
Figura 33 – Export del certificato CMG 5
Creazione del Cloud Management Gateway in Microsoft Endpoint Configuration Manager
Ora entriamo nel vivo con la creazione del CMG. Recatevi in Console di Configuration Manager -> Administration -> Overview -> Cloud Services -> Cloud Management Gateway -> Create Cloud Management Gateway.
Figura 34 – Creazione del Cloud Management Gateway in Config Mgr
Loggatevi con l’utenza Global Admin di Azure ed automaticamente verranno popolati i campi Subscription ID, Azure AD app name e Azure AD tenant name.
Figura 35 – Configurazione del CMG in Config Mgr
Cliccate su Browse… e selezionate il certificato esportato in precedenza. In base al DNS inserito in fase di enrollment verranno popolati i campi Service name e Deployment name.
Dopodiché indicate la Region e il Resource Group nel quale verrà eseguito il deployment del Cloud Management Gateway.
Figura 36 – Configurazione parametri Cloud Management Gateway
Selezionate la voce Certificates… e caricate i certificati Root ed eventuale SubCA.
Essendo nel mio caso una PKI 2 tier ho caricato i certificati che compongono la catena (Root e Sub CA).
Figura 37 – Caricamento dei certificati in fase di inizializzazione CMG
Infine, spuntate le opzioni Verify Client Certificate Revocation e Allow CMG to function as a cloud distribution point and serve content from Azure storage per aggiungere la funzionalità di Cloud Distribution Point al medesimo servizio del CMG.
Figura 38 – Configurazione parametri Cloud Management Gateway
Configurate l’Alerting in base alle vostre esidenze e cliccate Next.
Figura 39 – Configurazione Alerting Cloud Management Gateway
Una volta terminato il wizard, partirà il provisioning del servizio.
Figura 40 – Provisioning del Cloud Management Gateway
Configurazione del ruolo Cloud Management Gateway Connection Point
Il CMG Connection Point è indispensabile per la comunicazione dell’infrastruttura on-prem di MECM con il Cloud Management Gateway.
Per aggiungere il ruolo recatevi in Administration -> Overview -> Site Configuration -> Servers and Site System Roles -> Selezionate un server con ruolo di Management Point (consigliato) -> Add Site System Roles.
Figura 41 – Configurazione del CMG Connection Point in MECM
Nel wizard spuntate l’opzione Cloud management gateway connection point e cliccate Next.
Figura 42 – Selezione del ruolo CMG connection point
Selezionate il nome del CMG interessato e cliccando Next il gioco è fatto.
Figura 43 – Configurazione del ruolo CMG Connection Point
Abilitazione del traffico dei clients con il Cloud Management Gateway.
In Administration -> Overview -> Site Configuration -> Servers and Site System Roles selezionate il server con a bordo il ruolo di Management Point ed entrate nelle proprietà.
Figura 44 – Configurazione del MP per abilitare traffico verso CMG
Spuntate l’opzione Allow Configuration Manager cloud management gateway traffic e selezionate la voce Allow intranet and Internet connections.
Figura 45 – Abilitazione del traffico verso il CMG
Configurazione dei Client Settings
Questo passaggio è fondamentale per la comunicazione dei clients con il CMG e gli altri servizi in cloud.
Administration -> Overview -> Client Settings -> Create Custom Client Device Settings.
Figura 46 – Creazione dei Client Settings per la comunicazione client con i Cloud Services
Indicate un nome al Client Device Settings e spuntate la voce Cloud Services.
Figura 47 Configurazione del Client Device Settings per i Cloud Services
Selezionate la voce Yes per le opzioni Allow access to cloud distribution point e Enable clients to use a cloud management gateway.
Figura 48 – Configurazione del Client Device Settings per i Cloud Services
BONUS: Nel caso in cui vogliate abilitare o meno la comunicazione dei clients con Config Mgr attraverso connessioni Internet in tethering è possibile configurare l’opzione Metered Internet Connections.
Figura 49 – Configurazione dei Client Device Settings per metered internet connections.
Una volta completata la configurazione non dimenticate di distribuirla sui clients interessati.
Conclusioni
Con il diffondersi dell’home working, per la gestione dei dispositivi in termini di protezione e produttività è richiesto uno sforzo non indifferente per gli IT Admin.
L’adozione di queste funzionalità in Microsoft Endpoint Configuration Manager richiede numerose operazioni da eseguire ma allo stesso tempo offre altrettanti vantaggi.
Per ulteriori dettagli, vi rimando al seguente articolo ufficiale: https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/cmg/plan-cloud-management-gateway