A – Introduction
Les entreprises sont de plus en plus soucieuses de gérer leurs clients lorsqu’ils sont sur un réseau internet et surtout celles ayant des employés avec une grande mobilité et ne se connectant que très rarement sur l’intranet.
Analysons ensemble les méthodes possibles.
B – Présentation
En général, dans Configuration Manager, la plupart des ordinateurs et serveurs gérés se trouvent physiquement sur le même réseau interne que les serveurs de système de site qui exécutent des fonctions de gestion. Toutefois, vous pouvez gérer les clients en dehors de votre réseau interne quand ils sont connectés à Internet. Cette possibilité ne nécessite pas que les clients se connectent via VPN pour atteindre les serveurs de système de site.
Configuration Manager fournit deux façons de gérer les clients connectés à Internet :
- Gestion des clients basés sur Internet (IBCM)
- Passerelle de gestion cloud
=> Gestion des clients basés sur Internet (IBCM)
Cette méthode est la plus ancienne et s’appuie sur les serveurs de système de site accessibles sur Internet avec lesquels les clients communiquent à des fins de gestion. Elle nécessite que les clients et serveurs de système de site soient configurés pour une gestion basée sur Internet.
Avantages
- Aucune dépendance du service cloud.
- Aucun coût supplémentaire associé à un abonnement au cloud.
- Contrôle total des serveurs et rôles assurant le service.
Inconvénients
- Un investissement est nécessaire pour l’infrastructure supplémentaire.
- Frais généraux et coût opérationnel de l’infrastructure supplémentaire.
- L’infrastructure doit être exposée sur Internet.
=> Passerelle de gestion cloud
La passerelle de gestion cloud, plus récente, introduite avec la version CB 1610 et fonctionnelle depuis la 1802, permet de gérer les clients Internet. Elle utilise une combinaison d’un service cloud Microsoft Azure et d’un nouveau rôle de système de site qui communique avec ce service. Les clients Internet utilisent le service cloud pour communiquer avec Configuration Manager local.
Avantages
- Aucun investissement n’est nécessaire pour l’infrastructure supplémentaire.
- L’infrastructure locale n’est pas exposée sur Internet.
- Les machines virtuelles du cloud qui exécutent le service sont entièrement gérées par Azure et ne nécessitent aucune maintenance.
- Installation et configuration faciles dans la console Configuration Manager.
Inconvénients
- Coût de l’abonnement au cloud.
- Données de gestion envoyées via le service cloud.
C – Implémentation
=> Passerelle de gestion cloud
Les prérequis nécessaires sont les suivants :
- Avoir un abonnement Azure pour héberger la passerelle de gestion cloud.
- Avoir Un administrateur Azure doit participer à la création initiale de certains composants, en fonction de votre conception. Cette personne n’a pas besoin d’autorisations dans Configuration Manager.
- Ajouter le rôle de point de connexion de service en mode ligne sur un serveur de site(de préférence le serveur exposé à internet)
- Avoir un certificat d’authentification serveur pour la passerelle de gestion cloud.
- Utiliser un déploiement Azure Resource Manager (depuis la 1810)
- L’intégration avec Azure AD est nécessaire pour les déploiements d’Azure Resource Manager
- Utilisation d’IPv4 pour les clients
Configuration de la passerelle de gestion cloud[1]
- Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Services cloud, puis sélectionnez Passerelle de gestion cloud.
- Sélectionnez Créer une Passerelle de gestion cloud dans le ruban.
- À compter de la version 1802, dans la page Général de l’Assistant, sélectionnez Déploiement d’Azure Resource Manager comme méthode de déploiement de la passerelle de gestion cloud.
Sélectionnez Se connecter pour vous authentifier avec un compte Administrateur d’abonnement Azure. L’Assistant remplit automatiquement les champs restants à partir des informations stockées dans les prérequis de l’intégration d’Azure AD. Si vous possédez plusieurs abonnements, sélectionnez l’ID de l’abonnement que vous voulez utiliser.
- Spécifiez l’environnement Azure pour cette passerelle de gestion cloud. Les options disponibles dans la liste déroulante peuvent varier en fonction de la méthode de déploiement.
- Sélectionnez Suivant. Attendez que le site teste la connexion à Azure.
- Dans la page Paramètres de l’Assistant, sélectionnez d’abord Parcourir, puis choisissez le fichier .PFX correspondant au certificat d’authentification serveur de la passerelle de gestion cloud. Le nom de ce certificat remplit les champs Nom de domaine complet du service et Nom du service.
- Sélectionnez la liste déroulante Région pour choisir la région Azure pour cette passerelle de gestion cloud.
- Dans la version 1802 et si vous utilisez un déploiement Azure Resource Manager, sélectionnez une option Groupe de ressources.
- Si vous choisissez Utiliser le fichier existant, sélectionnez un groupe de ressources existant dans la liste déroulante. Le groupe de ressources sélectionné doit déjà exister dans la région que vous avez sélectionnée à l’étape 7. Si vous sélectionnez un groupe de ressources existant et qu’il se trouve dans une région différente de celle de la région sélectionnée précédemment, le provisionnement de la passerelle de gestion cloud échoue.
- Si vous choisissez Créer, entrez le nom du nouveau groupe de ressources.
Dans le champ Instance de machine virtuelle, entrez le nombre de machines virtuelles pour ce service. La valeur par défaut est 1, mais vous pouvez définir jusqu’à 16 machines virtuelles par passerelle de gestion cloud.
- Sélectionnez Certificats pour ajouter des certificats racines approuvés de client. Ajoutez jusqu’à deux autorités de certification racines de confiance et quatre autorités de certification (subordonnées) intermédiaires.
- Par défaut, l’Assistant active l’option permettant de Vérifier la révocation des certificats clients. Une liste de révocation de certificats doit être publiée publiquement pour que cette vérification fonctionne. Si vous ne publiez pas de liste de révocation de certificats, désélectionnez cette option.
- À compter de la version 1806, l’assistant active l’option suivante par défaut : Autoriser la passerelle de gestion cloud à fonctionner comme point de distribution cloud et à servir du contenu à partir du stockage Azure. À présent, une passerelle de gestion cloud peut également délivrer du contenu aux clients. Cette fonctionnalité réduit le nombre de certificats nécessaires, ainsi que les coûts associés aux machines virtuelles Azure.
- Sélectionnez Suivant.
- Pour surveiller le trafic de la passerelle de gestion cloud avec un seuil de 14 jours, cochez la case pour activer l’alerte de seuil. Ensuite, spécifiez le seuil et le pourcentage auquel déclencher les différents niveaux d’alerte. Choisissez Suivant quand vous avez terminé.
- Vérifiez les paramètres, puis choisissez Suivant. Configuration Manager commence à configurer le service. Une fois l’Assistant fermé, 5 à 15 minutes sont nécessaires pour provisionner complètement le service dans Azure. Vérifiez la colonne État de la nouvelle passerelle de gestion cloud pour déterminer quand le service est prêt.
Flux de données
- Le point de connexion du service se connecte à Azure via le port HTTPS 443. Il s’authentifie avec Azure AD ou avec le certificat de gestion Azure. Le point de connexion du service déploie la passerelle de gestion cloud dans Azure. La passerelle de gestion cloud crée le service cloud HTTPS en utilisant le certificat d’authentification serveur.
- Le point de connexion de la passerelle de gestion cloud se connecte à la passerelle dans Azure via TCP-TLS ou HTTPS. Il laisse la connexion ouverte et crée le canal pour la communication bidirectionnelle à venir.
- Le client se connecte à la passerelle de gestion cloud sur le port HTTPS 443. Il s’authentifie avec Azure AD ou avec le certificat d’authentification client.
- La passerelle de gestion cloud transfère la communication client via la connexion existante au point de connexion de la passerelle de gestion cloud. Vous n’avez pas besoin d’ouvrir des ports de pare-feu entrants.
- Le point de connexion de la passerelle de gestion cloud transfère la communication client au point de gestion local et au point de mise à jour logicielle.
=> Gestion des clients basés sur Internet (IBCM)
Il faut décider si les ordinateurs clients qui seront gérés sur Internet seront configurés pour la gestion sur l’intranet et sur Internet, ou pour la gestion des clients sur Internet uniquement. Vous pouvez uniquement configurer l’option de gestion du client pendant l’installation d’un ordinateur client. Si vous changez d’avis ultérieurement, vous devez réinstaller le client.
Les clients qui sont configurés pour la gestion des clients sur Internet uniquement ne communiquent qu’avec les systèmes de site qui sont configurés pour les connexions client à partir d’Internet. Cette configuration serait appropriée pour les ordinateurs qui ne se connectent jamais à l’Intranet de votre société
D’autres ordinateurs clients peuvent être configurés pour une gestion des clients sur Internet et sur l’intranet. Ils peuvent basculer automatiquement entre la gestion des clients basés sur Internet et la gestion des clients intranet quand ils détectent un changement de réseau. Si ces clients peuvent trouver et se connecter à un point de gestion qui est configuré pour les connexions client sur l’intranet, ces clients sont gérés en tant que clients intranet qui possèdent la fonctionnalité de gestion Configuration Manager complète. Si ces clients ne peuvent pas trouver un point de gestion qui est configuré pour les connexions client sur l’intranet ou s’y connecter, ils tentent de se connecter à un point de gestion basé sur Internet, et en cas de succès, ces clients sont ensuite gérés par les systèmes de site basés sur Internet dans le site qui leur est attribué.
L’avantage de pouvoir basculer automatiquement entre la gestion des clients basée sur Internet et la gestion des clients intranet est que les ordinateurs clients peuvent utiliser automatiquement toutes les fonctionnalités de Configuration Manager chaque fois qu’ils sont connectés à l’intranet et continuer d’être gérés pour les fonctions de gestion essentielles quand ils sont sur Internet. En outre, un téléchargement commencé sur Internet peut reprendre sans interruption sur le réseau intranet, et inversement.
Les prérequis nécessaires sont les suivants :[2]
- Les clients qui seront gérés sur Internet doivent être dotés d’une connexion Internet.
- Les systèmes de site qui prennent en charge la gestion des clients basée sur Internet doivent être connectés à Internet et se trouver dans un domaine Active Directory. (Même s’il n’est pas nécessaire de disposer d’une relation de confiance entre la forêt d’un client et celle d’un serveur de système de site, quand la forêt qui contient un système de site accessible sur Internet approuve la forêt qui contient les comptes d’utilisateur, cette configuration prend en charge les stratégies utilisateur pour les appareils sur Internet quand vous activez le paramètre client Autoriser les demandes de stratégie utilisateur depuis des clients Internet de la Stratégie client.)
- Posséder une infrastructure à clé publique (PKI) de prise en charge capable de déployer et de gérer les certificats exigés par les clients gérés sur Internet et les serveurs de système de site basés sur Internet. (Cette PKI permettra une communication sécurisée en HTTPS).
- Le nom de domaine complet (FQDN) Internet des systèmes de site prenant en charge la gestion du client basée sur Internet doit être enregistré sous la forme d’entrées hôtes sur les serveurs DNS publics.
- Les pare-feu ou serveurs proxy qui interviennent doivent autoriser les communications client associées aux systèmes de site basés sur Internet.
Les rôles de système de site pouvant gérer les clients internet sont :
- Le point de distribution, configuré pour la communication en HTTPS
- Le point proxy d’inscription en HTTPS
- Le point d’état de secours en HTTP
- Le point de gestion en HTTPS
- Le point de mise à jour logicielle en HTTPS ou 8531
D – Conclusion
Après l’analyse des deux méthodes d’adressage des clients internet, il serait plus judicieux de se tourner plutôt vers la solution moderne de passerelle de gestion Cloud car plus facile à mettre en place et en constante évolution liée aux nouvelles « release » de Current Branche.
- https://docs.microsoft.com/fr-fr/sccm/core/clients/manage/cmg/setup-cloud-management-gateway ↑
- https://docs.microsoft.com/fr-fr/sccm/core/clients/manage/plan-internet-based-client-management ↑