Teil 2 – Wie modernes Client Management helfen kann, die benötigte VPN-Bandbreite Ihres Unternehmens zu entlasten
In Teil eins dieser Serie ging es um Split tunneling und Windows Update for Business.
Dieser Blogpost gibt einen kurzen Überblick über das Cloud Management Gateway (CMG), mit dessen Hilfe die bestehende VPN-Bandbreite weiter entlastet werden kann.
Unternehmen, die Microsoft Endpoint Configuration Manager (Configuration Manager oder MEMCM, früher SCCM) einsetzen, schätzen die vielfältigen Möglichkeiten und Funktionen mit denen Windows Clients verwaltet werden können.
Zu den meistgenutzten Funktionen gehören die Softwareverteilung, das Patch Management und die Inventarisierung. Leider sind dies auch die Funktionen, die die meiste Bandbreite bei der Kommunikation zwischen Configuration Manager und dem zu verwaltenden Gerät verwenden. Besonders bei VPN-Verbindungen können hier schnell Probleme auftreten, weshalb in den letzten Wochen bei einigen Unternehmen die Verteilung der nötigen Sicherheitsupdates pausiert wurde.
Um die Verteilung der dringend benötigten Sicherheitsupdates wieder zu garantieren, ohne die VPN-Verbindungen zu stark zu belasten, ist das Cloud Management Gateway eine interessante Option.
Das Cloud Management Gateway (CMG) ist ein optionales Configuration Manager Feature, welches in Microsoft Azure gehosted wird und Dienste für Geräte bereitstellt, die keine direkte Kommunikation mit den Configuration Manager Komponenten im Rechenzentrum aufbauen können oder sollen.
Im Gegensatz zu anderen Möglichkeiten, wie dem Internet based Client Management, bei dem Teile der Configuration Manager Infrastruktur im Perimeternetzwerk (oft auch DMZ genannt) des Unternehmens veröffentlicht werden müssen, basiert das CMG auf virtuellen Maschinen in Microsoft Azure. Ausschließlich der in Azure bereitgestellte Dienst kommuniziert direkt mit den Configuration Manager Komponenten im Rechenzentrum. Für diese Kommunikation wird keine Öffnung der Firewall von außen nach innen benötigt – ein klarer Sicherheitsvorteil.
Aufbau
Anhand folgender Darstellung lassen sich die Kommunikationswege gut erkennen:
Quelle: Microsoft Docs
- Über eine MEMCM Rolle im Rechenzentrum, den Service Connection Point, wird das CMG in Azure erstellt. Zur Kommunikation wird HTTPS (Port 443) verwendet.
- Der CMG Connection Point, eine weitere MEMCM Rolle im Rechenzentrum, baut eine Verbindung zum CMG auf. Die Verbindung erfolgt immer von “Innen” nach “Außen”. Zur Kommunikation wird HTTPS (Port 443) oder TCP-TLS verwendet.
- Ein Client verbindet sich zum CMG. Zur Kommunikation wird HTTPS (Port 443) verwendet.
- Das CMG nutzt die bestehende Verbindung aus Schritt zwei, um die Anfrage des Clients an den CMG Connection Point weiterzureichen.
- Der CMG Connection Point leitet die Anfrage des Clients an den Management Point und den Software Update Point im Rechenzentrum weiter.
Der hier auch dargestellte Cloud Distribution Point ist nicht zwingend Teil des CMG. Seit Version Configuration Manager Version 1806 kann das CMG auch als Cloud Distribution Point bzw. als Content-Enabled Cloud Management Gateway verwendet werden. Ein Content-Enabled CMG sollte immer erwogen werden, um darüber Softwarepakete an Geräte ohne VPN-Verbindung zu verteilen.
Achtung: Cloud Distribution Points ohne Cloud Management Gateway können künftig nicht mehr erstellt werden.
Als Plattform für das CMG werden virtuelle Maschinen der Größe „Standard A2 V2“ in Microsoft Azure verwendet. Mit einer einzelnen, virtuellen Maschine können bis zu 6000 Clients verwaltet werden. Es können maximal 16 virtuelle Maschinen innerhalb eines CMG verwendet werden, sodass die maximale Clientanzahl pro CMG aktuell bei 36000 liegt. Sollte dies nicht ausreichen, können mehrere CMGs pro Configuration Manager Infrastruktur installiert werden.
Funktionen
Über das Cloud Management Gateway lassen sich folgende Configuration Manager Funktionen nutzen:
- Software Updates
- Endpoint protection
- Hardware and Software inventory
- Client status and notifications
- Run scripts
- Compliance settings
- Client install (with Azure AD integration)
- Software distribution (device-targeted)
- Software distribution (user-targeted, required)(with Azure AD integration)
- Software distribution (user-targeted, available)
- Windows 10 in-place upgrade task sequence
- Task sequences that aren’t using boot images and are deployed with an option: “Download all content locally before starting task sequence“
- Task sequences that aren’t using boot images (ab ConfigMgr 1910)
- CMPivot
Folgende Funktionen sind aktuell nicht verfügbar:
- Any other task sequence scenario
- Client push
- Automatic site assignment
- Software approval requests
- Configuration Manager console
- Remote tools
- Reporting website
- Wake on LAN
- Mac, Linux, and UNIX clients
- Peer cache
- On-premises MDM
Sicherheit
Durch den Aufbau als Azure Platform as a Service müssen sich Unternehmen nicht um das Patchen und Absichern des Cloud Management Gateways kümmern. Dies spart nicht nur Aufwand und Kosten bei der Implementierung, sondern sorgt auch dafür, dass sämtliche Komponenten von Microsoft direkt gewartet werden.
Jegliche Kommunikation zwischen Client und CMG bzw. CMG und Configuration Manager Komponenten im Rechenzentrum erfolgt verschlüsselt. Je nach Konfiguration werden Gerätezertifikate oder Azure Active Directory token zur Absicherung der Verbindungen verwendet.
Durch den Verbindungsaufbau von Innen nach Außen müssen keinerlei eingehenden Ports in der Firewall geöffnet werden. Dies erhöht die Sicherheit im Vergleich zu Configuration Manager Komponenten im Perimeternetzwerk (DMZ) erheblich.
Kosten
Je nach Konfiguration, Anzahl der genutzten virtuellen Maschinen und der genutzten Funktionen, variieren die Kosten für ein Cloud Management Gateway.
Die Kosten setzen sich wie folgt zusammen:
- Kosten für die virtuelle(n) Maschine(n) (Standard A2 V2)
- Kosten für ausgehenden Datenverkehr vom CMG zu den Clients (z.B. Policies)
- Kosten für ausgehenden Datenverkehr vom CMG zu den Komponenten im Rechenzentrum (z.B. Inventurdaten, Statusupdates)
- Kosten für die Speicherung der Inhalte (außer Windows Updates) in Azure (z.B. Software zur Verteilung).
Datenverkehr zum CMG ist kostenlos.
Eine Abschätzung der Kosten hängt stark von der geplanten Nutzung ab. Eine allgemeingültige Aussage lässt sich nicht treffen. Grundsätzlich zeigt sich jedoch oft, dass die Kosten in einem sehr guten Verhältnis zu den gewonnenen Möglichkeiten stehen.
QuickTip:
Kennen Sie schon die neuen PowerToys von Microsoft ? Diese Sammlung an kleinen Helfern wird als OpenSource Projekt entwickelt und beinhaltet Werkzeuge, wie FancyZones zur besseren Platzierung von Programmfenstern auf dem Desktop oder den Image Resizer, mit dem per Rechtsklick eines oder mehrere Bilder direkt in die gewünschte Größe geändert werden können.
Ausblick:
In den kommenden Tagen werden folgende Teile dieser Serie erscheinen:
Teil 3: Configuration Manager Co-Management und Tenant attach
Teil 4: Intune – VPN-free Device Management (folgt)
Teil 5: Intune – Sichere Bereitstellung von Unternehmensdaten auf privaten mobilen Endgeräten (folgt)
Teil 6: Intune & Autopilot – Bereitstellung neuer Geräte direkt ins Homeoffice (folgt)