Come distribuire i contenuti con il Cloud Management Gateway

Nel precedente articolo legato alla funzionalità Cloud Management Gateway (CMG), abbiamo parlato dei vantaggi che questa soluzione può portare alle aziende in merito alla gestione dei device connessi direttamente su Internet; in questa seconda parte dedicata alla funzionalità, verranno fornite le indicazioni necessarie per configurare i sistemi client, installare il client Configuration Manager su sistemi non connessi alla propria rete e come distribuire il contenuto su quest’ultimi.

Per comprendere fino in fondo come la funzionalità CMG permetta la gestione dei sistemi internet-based, è necessaria una breve panoramica sul flusso :

Figura 1 – Flusso Cloud Management Gateway
  1. Il ruolo Service Connection Point si connette ad Azure in HTTPS sulla porta 443 autenticandosi attraverso Azure AD oppure attraverso un Azure management certificate. A questo punto, il ruolo procede con la creazione del Cloud Management Gateway su Azure; il CMG esporrà un servizio cloud in HTTPS utilizzando un certificato di tipo Server Authentication.
  2. Il ruolo CMG Connection Point attiva una connessione con il CMG via TCP-TLS oppure via HTTPS. Tale connessione verrà mantenuta attiva ed il canale verrà instaurato per una comunicazione bidirezionale.
  3. Il client connesso ad Internet si collegherà al CMG in HTTPS sulla porta 443; per quanto riguarda la metodologia di autenticazione, a partire dalla versione 2002, sono disponibili le seguenti modalità:
    • Azure Active Directory;
    • Client Certificate;
    • Token-based;
  4. Il CMG inoltrerà la comunicazione proveniente dal client verso la connessione instaurata con il CMG Connection Point presente on-premise. Non risulta necessario aprire alcuna porta in inbound lato firewall.
  5. A sua volta, il CMG Connection Point inoltrerà la comunicazione ricevuta verso il rispettivo Management Point e/o Software Update Point.

Configurazione Client

Il primo passo per una gestione completa dei sistemi esterni all’azienda consiste nell’istruire il client Configuration Manager ad utilizzare il CMG per la comunicazione con l’infrastruttura ed accedere a tale servizio come repository per i contenuti.

Riportiamo qui sotto gli step principali per questo tipo di configurazione:

  • Accedere alla console di Configuration Manager con un account con diritti amministrativi.
  • Accedere alla sezione Administration e selezionare il nodo Client Settings.
  • Selezionare la policy di default denominata Default Client Settings e, dal ribbon in alto, selezionare l’opzione Properties.
  • Dalla sezione di sinistra, selezionare l’opzione Cloud Services.
  • Verificare che le opzioni Enable clients to use a cloud management gateway e Allow access to cloud distribution point siano configurate a Yes; in caso contrario procedere con le opportune modifiche.
Figura 2 – Attivazione servizi Cloud-based via Client Settings
  • Confermare le eventuali modifiche premendo sul pulsante OK.

Una volta che il client avrà recepito queste configurazioni sarà in grado di comunicare con l’infrastruttura Configuration Manager senza che questo necessiti di una connessione diretta con l’ambiente on-premise.

Nel caso in cui il sistema non sia in grado di contattare un Domain Controller oppure un Management Point on-premise, questo imposterà la sua location come Currently Internet ed utilizzerà il servizio CMG per comunicare con il proprio site.

Installazione client CM su sistemi Internet-based

A partire dalla versione 2002 di Configuration Manager, è stato reso disponibile un nuovo metodo di autenticazione denominato Token-based che consente ai sistemi di potersi registrare attraverso uno specifico token.

Nelle precedenti release, i client per potersi autenticare necessitavano di un certificato di tipo Client Authentication; ovviamente gestire il provisioning di questo requisito risultava complesso soprattutto su quelle realtà dove non era presente un’infrastruttura PKI on-premise oppure dove i sistemi risultavano essere costantemente connessi ad internet.

E’ possibile richiedere il token di autenticazione attraverso le 2 seguenti modalità:

  • Connessione alla rete locale;
  • Bulk registration;

Sfruttando la connessione alla rete locale, il client CM si registra al rispettivo Management Point che a sua volta fornirà un token univoco (associandolo ad un certificato self-signed presente sul client) necessario per le successive comunicazioni; a questo punto, nel momento in cui il client stabilirà una connessione via Internet, quest’ultimo utilizzerà il token fornito dal Management Point per comunicare con il CMG.

La seconda modalità di emissione del token di autenticazione risulta essere la registrazione bulk; attraverso l’utilizzo di un token “generico”, è possibile installare il client Configuration Manager su sistemi che non sono in grado di collegarsi con la rete interna.

E’ importante sottolineare come questo token sia differente rispetto a quello indicato nella modalità precedente; questo token verrà utilizzato esclusivamente per instaurare la prima comunicazione con l’infrastruttura Configuration Manager. Durante questo processo iniziale, il Management Point fornirà un altro token che sarà univoco per ogni client e che verrà utilizzato per tutte le successive comunicazioni.

Riportiamo qui sotto gli step necessari per procedere con l’emissione del token per la bulk registration e successiva installazione del client CM su un sistema off-premise:

  • Accedere al Primary Site della propria infrastruttura.
  • Aprire un command prompt in contesto amministrativo.
  • Accedere al path bin\x64 presente all’interno della directory di installazione di Configuration Manager.
  • Eseguire il seguente comando: BulkRegistrationTokenTool.exe /new /lifetime 10080

Attraverso il parametro /lifetime è possibile impostare il periodo di validità del token; il valore di default risulta essere 4320 (3 giorni) mentre il valore massimo che è possibile impostare risulta essere 10080 (7 giorni).

  • Copiare il token che verrà generato come output del comando sopra indicato.
  • Per installare il client CM su un sistema connesso ad Internet, è inoltre necessario l’FQDN del CMG che dovrà essere inserito nella command line di installazione; per ottenere l’indirizzo, seguire i passaggi riportati qui sotto:
    • Da un dispositivo sul quale risulta già installato l’agente Configuration Manager, aprire il Pannello di Controllo;
    • Dalla sezione System and Security, aprire l’applet Configuration Manager;
    • Accedere al tab Network e premere sul pulsante Configure Settings;
    • Copiare il contenuto presente all’interno del campo Internet-based management point (FQDN);
  • A questo punto per installare il client CM è possibile collegarsi al device connesso ad Internet ed eseguire il seguente comando:
ccmsetup.exe /mp:<URL CMG> CCMHOSTNAME=<FQDN CMG> SMSSiteCode=<site code> /regtoken:<bulk token>

Per ottenere l’URL del CMG, è solamente necessario aggiungere il suffisso https:// all’FQDN del CMG copiato in precedenza. Riportiamo qui sotto un esempio della command line da eseguire:

ccmsetup.exe /mp:https://CMG1AZ.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 CCMHOSTNAME=CMG1AZ.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC /regtoken:eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik9Tbzh2Tmd5VldRUjlDYVh5T2lacHFlMDlXNCJ9.eyJTQ0NNVG9rZW5DYXRlZ29yeSI6IlN7Q01QcmVBdXRoVG9rZW4iLCJBdXRob3JpdHkiOiJTQ0NNIiwiTGljZW5zZSI6IlNDQ00iLCJUeXBlIjoiQnVsa1JlZ2lzdHJhdGlvbiIsIlRlbmFudElkIjoiQ0RDQzVFOTEtMEFERi00QTI0LTgyRDAtMTk2NjY3RjFDMDgxIiwiVW5pcXVlSWQiOiJkYjU5MWUzMy1wNmZkLTRjNWItODJmMy1iZjY3M2U1YmQwYTIiLCJpc3MiOiJ1cm46c2NjbTpvYXV0aDI6Y2RjYzVlOTEtMGFkZi00YTI0LTgyZDAtMTk2NjY3ZjFjMDgxIiwiYXVkIjoidXJuOnNjY206c2VydmljZSIsImV4cCI6MTU4MDQxNbUwNSwibmJmIjoxNTgwMTU2MzA1fQ.ZUJkxCX6lxHUZhMH_WhYXFm_tbXenEdpgnbIqI1h8hYIJw7xDk3wv625SCfNfsqxhAwRwJByfkXdVGgIpAcFshzArXUVPPvmiUGaxlbB83etUTQjrLIk-gvQQZiE5NSgJ63LCp5KtqFCZe8vlZxnOloErFIrebjFikxqAgwOO4i5ukJdl3KQ07YPRhwpuXmwxRf1vsiawXBvTMhy40SOeZ3mAyCRypQpQNa7NM3adCBwUtYKwHqiX3r1jQU0y57LvU_brBfLUL6JUpk3ri-LSpwPFarRXzZPJUu4-mQFIgrMmKCYbFk3AaEvvrJienfWSvFYLpIYA7lg-6EVYRcCA

Distribuire software via CMG

Per permettere di distribuire i propri package/application a sistemi esterni all’azienda attraverso Cloud Management Gateway, è solamente necessario aggiungere il proprio CMG come Distribution Point per i contenuti che si vogliono rendere disponibili; a tal proposito, riportiamo qui sotto gli step principali:

  • Accedere alla console di Configuration Manager con un account con diritti amministrativi.
  • Accedere alla sezione Software Library, espandere la folder Application Management e selezionare il nodo Applications o Package sulla base della tipologia desiderata.
  • Selezionare l’application o il package interessato e dal ribbon presente in alto selezionare l’opzione Distribute content.
  • All’interno della sezione Content Destination, premere sul pulsante Add e selezionare l’opzione Distribution Point.
Figura 3 – Distribute content wizard
  • A questo punto, selezionare il CMG e confermare attraverso il pulsante OK.
Figura 4 – Add Distribution Point
  • Completare il wizard ed attendere che il contenuto venga replicato sul Cloud Management Gateway.

Una volta che il contenuto sarà stato replicato sul Cloud Management Gateway, i client saranno in grado di reperire i binari di installazione direttamente da Internet e saranno in grado di installare le applicazioni anche senza una connessione diretta con l’infrastruttura Configuration Manager.

Riferimenti

Si riportano alcuni utili riferimenti alla documentazione ufficiale Microsoft:

Conclusioni

In questo articolo sono state fornite le informazioni necessarie per poter completare il processo di gestione attraverso Configuration Manager dei sistemi off-premise. Come riportato in precedenza, Microsoft nell’ultimo periodo sta focalizzando i propri sforzi su una gestione sempre più semplificata dei dispositivi remoti: ne è sicuramente la prova la continua introduzione di funzionalità legate all’integrazione tra l’ambiente cloud e quello on-premise.