Kontakt

Blog

Home/Admin Hilfe/SCCM Cloud Management Gateway: Verwaltung von Cloud-Only Devices mit OnPremise-Systemen

SCCM Cloud Management Gateway: Verwaltung von Cloud-Only Devices mit OnPremise-Systemen

Durch einen Azure AD Join verbinden Sie Windows 10 Maschinen direkt mit der Cloud. Damit können Anwender ohne Notwendigkeit der Netzwerk-Konnektivität zum lokalen AD arbeiten. Durch das Co-Management mit Microsoft Intune und System Center Configuration Manager über ein Cloud Management Gateway verwalten Sie sowohl klassische als auch cloud-basierte Clients einheitlich mit umfangreichen Funktionen.

Der Funktionsumfang von Intune wächst stetig, sodass es schon lange wesentlich mehr als ein stumpfes Mobile Device Management ist. Viele Tools, die zur Software-Verteilung oder Clientkonfiguration eingesetzt werden, können durch Intune bereits obsolet gemacht werden. Durch die erweiterten Configuration Service Providers und der Möglichkeit PowerShell-Skripte über Intune auf Clients auszuführen lassen sich Clients mittlerweile ohne Notwendigkeit einer lokalen Active Directory Anbindung umfangreich verwalten. Gerade für mobile Mitarbeiter, Außenstandorte und kleine Zweigstellen reduziert dies die Komplexität der zu betreibenden Infrastruktur enorm. Zudem vermindert sich das Sicherheitsrisiko: In freier Wildbahn lebende Computer, die nicht im internen Netz eingebunden sind, können über dies auch keine Crypto-Trojaner streuen. Wenn interne Dienste auch für diese Clients verfügbar sein müssen, bietet sich der Einsatz eines Azure AD App Proxys an.

Für Firmen, die System Center Konfiguration Manager im Einsatz haben, waren Cloud Only Clients allerdings eher ein Wermutstropfen. Durch den Hybrid-Verbund zwischen Intune und SCCM gab es Optionen zur Verwaltung der Cloud-Clients, konnten. Allerdings konnten diese nicht mit den umfangreichen Möglichkeiten einer direkten SCCM-Integration mithalten. Durch das Co-Management wird zum einen die SCCM-Funktionalität um weitere Intune & AzureAD Features erweitert. Zum anderen werden durch das Cloud Management Gateway SCCM-Funktionen für Geräte bereitgestellt, die durch Azure AD und Intune verwaltet werden.

 

Intune & SCCM Co-Management

Das Co-Management zwischen Intune und SCCM erlaubt es, einzelne Workloads auf Intune auszulagern und damit die weltweite Hochverfügbarkeit der Dienste zu gewährleisten, die für einen sicheren Betrieb und Zugriff auf Clouddienste notwendig sind. Da bei Einsatz von Office 365 und co. viele primäre Unternehmensdienste so oder so in der Cloudplattform zu finden sind, macht es Sinn, korrelierende Dienste (z.B. die Prüfung von Kompatibilitätsrichtlinien) “nah beieinander” zu betreiben. Sie werden nicht erst von einem Rechenzentrum ins Nächste geschickt, wodurch unnötige Abhängigkeiten zur OnPrem-Anbindung entstehen würden.

 

image

(Quelle: https://www.systemcenterdudes.com/how-to-enable-sccm-1710-co-management/)

Features die im Co-Management ausgelagert werden können:

  • Kompatibilitätsrichtlinien
  • Conditional Access
  • Windows Update for Business-Richtlinien
  • Ressourcenzugriffsrichtlinien
    • VPN-, WLAN, E-Mail- und Zertifikateinstellungen
  • Endpoint Protection

 

SCCM as a Service: Cloud Management Gateway

Das Cloud Management Gateway (CMG) kann ab System Center Configuration Manager in Version 1802 bereitgestellt werden. Hierbei wird eine angepasste SCCM-Instanz als Azure Resource Manager-Bereitstellung konfiguriert, die als Service-Point nach außen hin dient. Voraussetzung hierzu ist entsprechend eine aktive Azure Subscription zum Betrieb der der Serverressourcen.

Geräte, die via AzureAD Join oder automatisiert über Windows Autopilot eingebunden werden, erhalten durch Intune ein Softwarepaket, das die Registrierung des Clients am CMG vornimmt. Hierzu wird das Installationspaket einfach mit den entsprechenden Parametern über die Intune Softwareverteilung installiert. In der Dokumentation findet sich eine Liste, welche Configuration Manager-Features durch das CMG unterstützt werden.

 

image

(links: lokal verwalteter Client; rechts: Cloud-Client)

 

Fazit & Aussicht

Hinter dem Ziel einen Clientverwaltung zu betreiben, bei der Clients ohne Abhängigkeit zur lokalen Infrastruktur benutzt werden können, verbirgt sich ein ganzheitliches Cloud-Konzept. Anstatt zwischen der OnPrem-Welt und der Microsoft Cloud zu unterscheiden, können Sie die Systeme sinnvoll kombiniert zu einer ganzheitlichen Lösung kombinieren. Somit schaffen Sie für den Anwender seine ganz eigene Cloud. Diese Transformation fordert ein gewisses Umdenken – ermöglicht jedoch auf lange Sicht eine enorme Einsparung von Komplexität und Infrastruktur-Kosten.

Nehmen Sie bei Fragen, Anregungen oder Ideen zum Einsatz dieser Funktionen gern Kontakt zu uns auf!

Sharing is caring! – Jetzt teilen: