Etendre son infrastructure MEM Configuration Manager dans Azure – Partie 2 – Configuration d’une Passerelle de Gestion Cloud (Cloud Management Gateway)

Dans le précédent article , nous avions pu déployer la Passerelle de Gestion Cloud. Nous avions pu valider que la passerelle était opérationnelle depuis la console MEM Configuration Manager MAIS elle n’est pour autant pas encore exploitable par les clients de notre infrastructure de gestion.

Etapes de configuration

Afin que la CMG soit exploitable et délivre le service aux clients, il faudra effectuer les étapes de configuration suivantes :
– autoriser les serveurs on-premise à communiquer avec la CMG ;
– créer/activer les paramètres du fichier de configuration Client (Client Settings)

La Cloud Management Gateway doit être “déclarée” auprès des serveurs on-premise afin de les autoriser à communiquer avec le cloud service et lui envoyer des informations par le biais du CMG Service Connection Point. La configuration est très simple et se résume à une case à cocher.
Les serveurs qui doivent être configurés sont :
– Tous les Management Point(s)
– Tous les Software Update Point(s)

Autorisation du trafic pour un Management Point

Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Serveurs et rôles de système de site. Sous l’onglet Accueil du ruban, dans le groupe Affichage, sélectionnez Serveurs avec rôle. Sélectionnez ensuite Point de gestion dans la liste.

Sélectionnez le serveur de système de site que vous souhaitez configurer pour le trafic de la passerelle de gestion cloud. Sélectionnez le rôle Point de gestion dans le volet des détails puis, dans le groupe des rôles du site sur le ruban, sélectionnez Propriétés.

Dans la feuille des propriétés du point de gestion, sous Connexions client, sélectionnez Autoriser le trafic de la passerelle de gestion cloud Configuration Manager.

Autorisation trafic entre un Management Point et la Cloud Management Gateway

Répétez ces étapes pour les points de gestion supplémentaires si nécessaire.

Autorisation du trafic pour un Software Update Point

Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Configuration du site, puis sélectionnez le nœud Serveurs et rôles de système de site. Sous l’onglet Accueil du ruban, dans le groupe Affichage, sélectionnez Serveurs avec rôle. Sélectionnez ensuite Point de mise à jour dans la liste.

Sélectionnez le serveur de système de site que vous souhaitez configurer pour le trafic de la passerelle de gestion cloud. Sélectionnez le rôle Point de mise à jour dans le volet des détails puis, dans le groupe des rôles du site sur le ruban, sélectionnez Propriétés.

Dans la feuille des propriétés du point de gestion, sous Connexions client, sélectionnez Autoriser le trafic de la passerelle de gestion cloud Configuration Manager.

Autorisation trafic entre un Software Update Point et la Cloud Management Gateway

Répétez ces étapes pour les points de mise à jour supplémentaires si nécessaire.

Activer les paramètres du fichier de configuration Client (Client Settings)

Par défaut, tous les clients Internet itinérants utilisent n’importe quelle passerelle de gestion cloud disponible. Cela peut faciliter la mise en place de la Cloud Management Gateway mais il n’est pas alors possible de contrôler les clients qui seront autorisés à communiquer avec la Cloud Management Gateway et d’en maitriser les coûts et l’exploitation.
Nous vous conseillons donc de créer une configuration du client personnalisé à l’aide de 2 fichiers de configuration du client : 1 pour les ordinateurs, 1 pour les utilisateurs et de désactiver le paramètre dans le fichier de configuration par défaut.

Par défaut, les clients reçoivent le paramétrage suivant :

Paramétrage par défaut des clients

Notez que le paramétrage de l’accès au Cloud Distribution Point est unique pour les utilisateurs et les ordinateurs… Nous n’aurons pas la possibilité de régler ce paramétrage en 1 seule fois de notre côté 🙁 .
Encore une des subtilités de la configuration de Microsoft EndPoint Manager… mais nous sommes là pour vous les mettre en lumière me direz-vous !

Nous allons donc créer 1 fichier de configuration personnalisé pour les ordinateurs avec le paramétrage suivant pour permettre aux ordinateurs d’accéder au Cloud Distribution Point et à la Cloud Management Gateway :

Autorisation d’accès au Cloud DP et à la CMG pour les ordinateurs

Note : La paramètre “Automatically register…” n’est pas obligatoire pour le fonctionnement de la Cloud Management Gateway. Vous pouvez le laisser à “No” si vous le désirez.

Puis, nous allons réer 1 fichier de configuration personnalisé pour les utilisateurs avec le paramétrage suivant pour permettre aux utilisateurs d’accéder au Cloud Distribution Point :

Autorisation d’accès au Cloud DP pour les utilisateurs

Il ne vous reste plus qu’à déployer ces 2 fichiers de configuration sur les collections d’ordinateurs et d’utilisateurs qui seront autorisés à exploiter les composants Cloud que nous venons de déployer et de configurer 🙂

Conclusion

En tant que tel, si vous avez suivi les instructions des 2 articles, vos clients sont maintenant en capacité à être mis à jours et recevoir des logiciels dont le contenu aura été distribué sur le Cloud Distribution Point (eh oui, faut quand même distribuer le contenu, n’oubliez pas) lorsqu’ils sont sur Internet au moyen de la Passerelle de Gestion Cloud.

Mais qu’est-ce-qui détermine que le client est en mode Internet ?

C’est très simple : le client est en mode Internet “Si le client NE peut PAS contacter un contrôleur de domaine ou un point de gestion local”. DONC, la passerelle de gestion cloud ne sera pas contactée et exploitée si une connexion VPN est active et permet au client de contacter un Management Point on-premise…

MAIS, il est possible de forcer l’exploitation de la CMG même avec un VPN actif… nous verrons cela dans le 3ème article consacré à la mise en place d’une Passerelle de Gestion Cloud (teasing 😉 ) ainsi que les trucs et astuces de troubleshooting.

Bonne configuration et à bientôt !

A propos de l'auteur

David RIBEROT

Référent Technique Modern Workplace et Microsoft Certified Trainer, il a pour volonté de de transmettre ses connaissances à ses collègues et clients. Il anime régulièrement des sessions de présentation de solutions et participe à des événements organisés par Microsoft ou ses partenaires technologiques. Ses domaines de prédilection sont le poste de travail, les environnements de virtualisation et le cloud Azure.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *