Ist SCCM in Azure für Ihr Unternehmen geeignet?

Sie haben wahrscheinlich viele Gerüchte über den unvermeidlichen Niedergang von Microsoft System Center Configuration Manager gehört, teilweise aufgrund seiner lokalen Herkunft.

Vor ein paar Jahren hatte dies vielleicht einige Vorteile, aber mit mehreren Cloud-Optionen haben sich die Dinge geändert. Wir können SCCM sowohl auf Azure-basierte Dienste (PaaS) erweitern als auch die gesamte SCCM-Infrastruktur in Azure (IaaS) integrieren. Die Notwendigkeit, Cloud-Dienste wie Microsoft Azure zu verwenden, ist nach dem plötzlichen Anstieg von Remote-Mitarbeitern deutlicher geworden, was die vorhandenen VPN-Infrastrukturen zusätzlich belastet. Einige traditionelle lokale Rollen weichen dem Cloud-Servicemodell für diese Skalierbarkeitsfunktion. Die Erweiterung Ihrer SCCM-Umgebung auf Azure ist eine hervorragende Möglichkeit, um mit einem hybriden Ansatz zu experimentieren.

Wenn Sie vor dem aktuellen SCCM-Zweigaktualisierungsprogramm Ihr SCCM in Azure verschieben wollten, konnten Sie nur über das Verschieben der gesamten Infrastruktur nach Azure sprechen. Als Microsoft den aktuellen SCCM-Zweig einführte, wurde das Produkt aktualisiert, um es mithilfe von Back-End-Azure-Diensten mit der Cloud zu verbinden. Jetzt können die meisten Organisationen einige der lokalen Dienste auswählen und durch Azure-basierte Dienste ersetzen. Unternehmen, die ein Nur-Cloud-Tool verwenden möchten, sollten die Verwendung von Intune in Betracht ziehen, das mit Configuration Manager in dem im November 2019 angekündigten Microsoft Endpoint Management-Produkt enthalten ist.

Die Erweiterung auf die Cloud bedeutet im Wesentlichen, dass Sie über ein Hybridszenario verfügen, bei dem ein Teil Ihrer Infrastruktur lokal mit anderen Komponenten in der Cloud ausgestattet ist, um die Flexibilität und andere Vorteile zu nutzen, wenn Sie eine Workload aus Ihrem Rechenzentrum verschieben. Sie können drei Pfade auswählen, um die Verwendung von SCCM mit Azure zu kombinieren: Verschieben von Update-Workloads von lokal nach Microsoft Update, Verwenden des Cloud Management Gateways (CMG) oder Verschieben der SCCM-Infrastruktur nach Azure.

Option 1: Verschieben Sie Update-Workloads von lokal nach Microsoft Update

Das Verschieben von Softwareupdate-Binärdateien von internen Servern auf Microsoft Update ist eines der häufigsten Szenarien, die viele Administratoren aufgrund der Zunahme der Remote-Arbeit aufgrund von COVID-19 und der zusätzlichen Belastung der VPN-Infrastruktur verwendet haben. Wenn Sie darüber nachdenken, warum sollten Ihre mit dem Internet verbundenen Benutzer in Ihre Infrastruktur gehen, um Updates zu erhalten, wenn ihre Systeme dieselben Daten aus der Cloud erhalten?
Wenn Sie die folgende Methode befolgen, steuern Sie weiterhin, welche Softwareupdates über Ihre SCCM-Infrastruktur bereitgestellt werden sollen. Die Binärdateien stammen jedoch von Microsoft Update. Wenn der Inhalt nicht auf einem Verteilungspunkt in SCCM gefunden wird, wechselt der Client in die Cloud.
Voraussetzung: Split-Tunneling für das VPN.
Aufbau: Um Clients zu zwingen, zu Microsoft Update zu wechseln, müssen Sie:

  1. Finden Sie heraus, welche IP-Bereiche Ihre VPN-Clients abdecken.
  2. Erstellen Sie in SCCM eine Grenzgruppe für die IP-Bereiche. Die IP-Bereiche können nicht Teil anderer Grenzgruppen sein.
  3. Erstellen Sie einen Verteilungspunkt, der alles außer Software-Updates enthält.
  4. Ordnen Sie den Verteilungspunkt der Grenzgruppe zu.
  5. Wechseln Sie zu den Bereitstellungseinstellungen jeder Softwareupdatebereitstellung und zu den Regeln für die automatische Bereitstellung. Gehe zum Einstellungen herunterladen Klicken Sie auf die Registerkarte und aktivieren Sie das Kontrollkästchen neben der Meldung: “”Wenn auf einem Verteilungspunkt in aktuellen, Nachbar- oder Site-Grenzgruppen keine Software-Updates verfügbar sind, laden Sie Inhalte von Microsoft Updates herunter. “
SCCM-Download-Einstellungen
Wenn Sie Microsoft Update anstelle des VPN zum Aktualisieren von Clients verwenden, müssen Sie die Downloadeinstellungen in SCCM anpassen.

Kosten: Die einzige zusätzliche Gebühr kann die Einrichtung eines neuen Verteilungspunkts sein. Für die Verwendung von Microsoft Update fallen keine zusätzlichen Gebühren an.
Unterstützung: Das Verschieben von Softwareupdate-Workloads nach Microsoft Update wird vollständig unterstützt und dokumentiert in dieser Blog von Microsoft.
Nachteile: Mit der Einstellung sind einige Risiken verbunden, wie z.

  • Eine falsche oder fehlende Konfiguration des Split-Tunnelns im VPN führt zu unbeabsichtigtem Verhalten.
  • Überlappende Grenzen können ebenfalls zu unerwartetem Verhalten führen.
  • Wenn sich die Clients vor Ort befinden und der Inhalt für die Softwareupdates nicht auf internen Verteilungspunkten gefunden wird, werden sie zu Microsoft Update weitergeleitet. Sie können dies verhindern, indem Sie mehrere Bereitstellungen durchführen. Dies erhöht jedoch die Komplexität des Setups.

Option 2: Cloud-Management-Gateway

Das CMG ist ein Cloud-Dienst, der die Verwaltung Ihrer mit dem Internet verbundenen Clients vereinfacht, indem sie Azure-Dienste kontaktieren, anstatt das VPN zu verwenden. Das CMG ist ein PaaS und erfordert keine Verwaltung von VMs in Azure.
Sie können CMG sowohl als verwaltbares Client-Management-System als auch als Content Delivery Service aus der Cloud verwenden. Der Dienst verwendet eine Standard-A2 v2-VM. Die vollständige Konfiguration des CMG erfolgt über die SCCM-Konsole.
Ab SCCM 1810 hat Microsoft den Cloud-Verteilungspunkt, der jetzt im CMG-Angebot enthalten ist, abgelehnt.
Voraussetzungen:

  • Ein aktives Azure-Abonnement
  • Dienstverbindungspunkt im Online-Modus (kann mit anderen SCCM-Rollen kombiniert werden)
  • Zertifikate für die Serverauthentifizierung
  • CMG-Verwaltungspunkte im HTTPS-Modus
  • Clients im IPv4-Modus
  • Integration mit Azure AD
  • Ein global eindeutiger Name

Aufbau: Der allgemeine Plan zur Einrichtung von CGM lautet wie folgt:

  1. Überprüfen Sie die Voraussetzungen
  2. Fügen Sie CGM in der SCCM-Konsole hinzu
  3. Konfigurieren Sie den primären Standort für die Clientzertifikatauthentifizierung
  4. Fügen Sie einen CMG-Verbindungspunkt hinzu
  5. Konfigurieren Sie den Verwaltungspunkt für HTTPS oder erweitertes HTTPS
  6. Erstellen Sie eine Grenzgruppe für externe Clients
  7. Ordnen Sie die CMG der neuen Grenzgruppe zu

Weitere Informationen zum Einrichten der CMG finden Sie in der Dokumentation auf der Microsoft-Website unter diesem Link.
Kosten: CMG fügt zusätzliche Gebühren hinzu, einschließlich:

  • VMs, die von der Anzahl der bereitgestellten CMGs abhängen;
  • Speicher, bei dem die Kosten davon abhängen, wie viel Inhalt Sie verteilen; und
  • Ausgang, wie viel ausgehender Verkehr verwendet wird.

Johan Arwidmark, der technische Mitarbeiter bei 2Pint Software, hat eine großartige Erfahrung Blogeintrag über die Art der Kosten, die Sie bei der Verwendung von CMG erwarten können. Wenn Sie diese Berechnung lieber durchführen möchten, verwenden Sie den Azure-Preisrechner Hier und die Seite mit den Preisdetails für die Azure-Bandbreite diese Rechnerseite.
Seit der Veröffentlichung von SCCM 1902 können Sie die Kosten über die SCCM-Konsole begrenzen.
Um Schwellenwerte zu konfigurieren, müssen Sie ausgehende Verkehrswarnungen einrichten. Durch das Stoppen der CMG werden nicht alle Kosten beseitigt. Das Entfernen der CMG ist der einzige Weg, um zusätzliche Gebühren zu vermeiden.
Unterstützung: Die CMG ist einer der Schwerpunkte im Kundenmanagement bei Microsoft. Erwarten Sie daher, dass die Funktion in Zukunft verbessert wird.
Nachteile: Zwei unterschiedliche Nachteile der CMG-Verwendung sind zusätzliche Kosten und zusätzliche Komplexität mit HTTPS.

Option 3: Verschieben Sie die SCCM-Infrastruktur nach Azure

Das Verschieben der SCCM-Infrastruktur ist so, wie es sich anhört: Verschieben der Server nach Azure, anstatt sie lokal zu hosten.
Voraussetzungen: Azure VPN Gateway und Azure ExpressRoute.
Aufbau: Beim Einrichten von SCCM in Azure folgen Sie in der Cloud dem gleichen Setup wie in einer lokalen Umgebung.
Kosten: Die Kosten variieren stark je nach Lizenzvereinbarung.
Da ExpressRoute die Option ist, die für diese Art von Vereinbarung am sinnvollsten ist, können Sie auf der ExpressRoute-Preisseite von Microsoft ermitteln, welcher Plan für Ihr Unternehmen am besten geeignet ist, wenn Sie alle Server nach Azure verschieben möchten.
Sobald Sie festgelegt haben, welche Server zu Azure verschoben werden sollen, können Sie mithilfe des Azure-Preisrechners die Kosten ermitteln.
Unterstützung: Microsoft unterstützt mehrere SCCM in Azure-Konfigurationen vollständig, z. B. Configuration Manager auf einer Azure-VM oder die Verwendung einer Azure-VM zum Ausführen verschiedener Configuration Manager-Standortsystemrollen mit anderen Rollen im Rechenzentrum.
Nachteile: Wenn Sie alle SCCM-Server auf Microsoft Azure verschieben möchten, benötigen Sie einen unbegrenzten Datentarif und eine zuverlässige Verbindung zwischen dem lokalen Rechenzentrum und Microsoft Azure.
Außerdem gibt es in Azure ExpressRoute nur einen unbegrenzten Datentarif, der für einige Unternehmen teuer sein kann. Der niedrigste Preis für diese Art von Plan beträgt 300 USD pro Monat für eine 50-Mbit / s-Standardschaltungsverbindung. Für einen 1-Gbit / s-Plan betragen die monatlichen Kosten 5.700 USD für die Standardschaltung und zusätzlich 1.200 USD für den lokalen Schaltungspreis.

Was wird in jedem Szenario unterstützt?

In der folgenden Tabelle werden die Bereiche verglichen, die in jeder der drei Configuration Manager-Konfigurationen unterstützt werden.

Feature Microsoft Update Cloud Management Gateway SCCM in Azure
Betriebssystembereitstellung Nein Ja* Ja
Software-Updates Ja Ja Ja
Anwendungsbereitstellung Nein Ja Ja
Compliance-Management Nein Ja Ja
Client-Management Nein Ja Ja
Treiberverwaltung Ja** Ja** Ja

* In der technischen Vorschau-Version von Configuration Manager im Mai 2005 angekündigt. Die Funktion wird höchstwahrscheinlich in der nächsten Version von Configuration Manager als Vorproduktionsfunktion hinzugefügt.
** Neue Treiberupdates können über Microsoft Update bereitgestellt werden.

Wie kann ich überwachen, woher meine Inhalte stammen?

Es gibt verschiedene Möglichkeiten, dies zu tun. Zwei Methoden bestehen jedoch darin, die unten gezeigten Dashboards für Cloud-Management und Client-Datenquellen in SCCM oder die Protokolldateien auf dem Client zu überprüfen.

SCCM-Dashboard
Das Dashboard für Client-Datenquellen in SCCM verfolgt die Quelle der Client-Software-Updates.

Similar Posts

Leave a Reply