Cloud Management Gateway für SCCM: Überblick, Funktionsweise, Nutzen

1. Was ist Cloud Management Gateway (CMG)?

Auch Unternehmen, die noch nicht Microsoft Intune einsetzen, können sich nicht mehr der Anforderung entziehen, Endgeräte zu managen, die sich nicht regelmäßig im Unternehmensnetzwerk befinden. Die Lösung hierfür ist das Cloud Management Gateway (CMG) für SCCM/MECM. Es bringt viele Features von SCCM in die Cloud. Besonders in einer Zeit, in der hybride Arbeitsmodelle und Remote-Zugriffe zur Norm geworden sind, bietet das CMG erhebliche Vorteile.

‍

Es ermöglicht die Verwaltung von Geräten außerhalb des Firmennetzwerks, ohne auf eine direkte Verbindung ins interne Netzwerk angewiesen zu sein. Vorausgesetzt, sie sind mit dem Internet verbunden, bleiben Endgeräte auf diese Weise mit minimalem Aufwand compliant, sicher und stets auf dem neuesten Stand. Dies reduziert nicht nur die Abhängigkeit von VPN-Verbindungen, sondern erhöht auch die Sicherheit durch moderne Authentifizierungsmethoden wie Microsoft Entra ID oder tokenbasierte Systeme.

‍

Darüber hinaus sorgt das CMG für eine nahtlose Kommunikation zwischen den IT-Systemen eines Unternehmens und den Geräten, unabhängig von deren Standort. Diese Flexibilität macht es zu einer unverzichtbaren Lösung für IT-Abteilungen, die mit einer global verteilten Belegschaft arbeiten und in ihrer Geräteverwaltung bisweilen auf SCCM setzen.

‍

‍

2. Warum Unternehmen auf das Cloud Management Gateway setzen sollten

Das CMG bietet nicht nur Flexibilität, sondern auch Kosteneinsparungen. Indem es VPN-Verbindungen überflüssig macht, können Unternehmen ihre Betriebskosten erheblich senken.

‍

Gleichzeitig gewährleistet es eine kontinuierliche Verbindung zu Geräten, unabhängig davon, wo sich diese befinden. Ob für Remote-Mitarbeiter, mobile Geräte oder kleine Niederlassungen ohne eigene IT-Infrastruktur – das CMG schafft eine sichere und skalierbare Lösung, die sich nahtlos in bestehende Systeme integrieren lässt.

‍

Besonders in Krisensituationen, wie bei Netzwerk- und VPN-Störungen, bleibt die IT handlungsfähig und sorgt für reibungslose Abläufe. Unternehmen können zudem von erhöhter Produktivität profitieren, da Mitarbeiter schneller und ohne technische Hürden auf benötigte Ressourcen zugreifen können.

‍

‍

3. Wie das Cloud Management Gateway funktioniert

Das CMG agiert als Schnittstelle zwischen Geräten und der IT-Infrastruktur eines Unternehmens, indem es die Kommunikation über die Microsoft Azure Cloud sicherstellt. Es fungiert als Proxy, der Anfragen von Geräten weiterleitet – sei es für Software-Updates, Sicherheitsrichtlinien oder Inventardaten.

‍

Architektur und Datenfluss

Das CMG verarbeitet Client-Anfragen und leitet sie an die entsprechenden On-Premises-Systeme weiter. Die Kommunikation erfolgt dabei über folgende Komponenten:

‍

‍

‍

Ablauf der Kommunikation

1. Client-Anfragen – Ein roamingfähiges Gerät, das mit dem Internet verbunden ist, sendet eine Anfrage an das CMG in Azure.
   ‍
2. Verarbeitung durch das CMG – Das CMG nimmt die Anfrage entgegen und leitet sie an den CMG Connection Point weiter.
   ‍
3. Weiterleitung an die Infrastruktur – Der CMG Connection Point routet die Anfragen an den Management Point oder den Software Update Point, abhängig vom Inhalt der Anfrage.
   ‍
4. Antwort an das Gerät – Nach Bearbeitung der Anfrage sendet das CMG die Antwort zurück an das Gerät.

‍

Dank moderner Protokolle wie HTTPS und einer verschlüsselten Kommunikation bleiben sensible Daten geschützt. Durch die Integration in den Microsoft Endpoint Configuration Manager (MECM) erhalten IT-Administratoren eine zentrale Steuerungsmöglichkeit, die sowohl Effizienz als auch Sicherheit maximiert. Das Zusammenspiel aus Cloud-Diensten und lokaler Infrastruktur bietet darüber hinaus die Möglichkeit, IT-Managementprozesse zu standardisieren und zu vereinfachen, was zu einer weiteren Reduzierung von Verwaltungsaufwand führt.

‍

4. Vorteile des Cloud Management Gateways in der Praxis

Das CMG glänzt besonders in Szenarien, in denen SCCM an seine Grenzen stößt, es aber gute Gründe gibt, warum Microsoft Intune noch nicht das Tool der Wahl ist. Remote-Arbeitsplätze profitieren von der Fähigkeit, Updates und Patches direkt über die Cloud zu erhalten, ohne dass eine VPN-Verbindung erforderlich ist.

‍

Als Vermittler zwischen Clients und der Configuration Manager-Infrastruktur sorgt es dafür, dass Geräte regelmäßig Updates, Sicherheitspatches und Richtlinien erhalten – ganz gleich, wo sie sich befinden.

‍

Die wichtigsten Vorteile auf einen Blick:

‍

Einfache Verwaltung mobiler und Remote-Geräte

Das CMG sorgt dafür, dass Mitarbeitende im Homeoffice, auf Dienstreisen oder an externen Standorten genauso zuverlässig verwaltet und aktualisiert werden können wie Geräte im internen Netzwerk. Updates werden direkt aus der Cloud bereitgestellt, sodass keine komplizierte oder kostspielige VPN-Infrastruktur benötigt wird.

‍

Unterstützung kleiner Niederlassungen ohne eigene IT

Standorte ohne lokale Server oder IT-Personal profitieren von einer sicheren und kostengünstigen Anbindung an zentrale Unternehmensressourcen. Dies spart Kosten und reduziert die Komplexität, insbesondere im Vergleich zu traditionellen WAN- oder VPN-Lösungen.

‍

Zentrale Kontrolle und einheitliche Standards

Unternehmen mit verteilten oder internationalen Standorten können mithilfe des CMGs eine einheitliche Plattform schaffen, um IT-Standards unternehmensweit zu überwachen und konsequent einzuhalten. Dies erhöht die IT-Compliance und reduziert Risiken.

‍

Verbesserte Sicherheit und Resilienz

Da Updates und Sicherheitspatches für Remote-Geräte kontinuierlich und automatisiert verteilt werden – auch bei Drittanbieter-Software – reduziert das CMG die Gefahr von Sicherheitslücken oder Cyberangriffen deutlich. Selbst in Katastrophensituationen oder bei Netzwerkausfällen bleibt die Verwaltung der Geräte gewährleistet. Die Integration des Cloud Management Gateways mit Entra ID ermöglicht die sichere Authentifizierung der Clients.

‍

Geringere Infrastrukturkosten

Durch die Reduzierung oder den Wegfall von VPN- und WAN-Verbindungen entstehen deutlich weniger Kosten. Gleichzeitig lässt sich die Infrastruktur problemlos skalieren, ohne dass zusätzliche Hardware oder Server vor Ort nötig werden.

‍

‍

5. Schritte zur erfolgreichen Einrichtung eines Cloud Management Gateways

1. Azure-Abonnement: Ein CMG wird über Azure betrieben, daher wird ein entsprechendes Abonnement benötigt.
   ‍
   

2. Authentifizierungszertifikat: Für die HTTPS-Kommunikation braucht es ein Zertifikat, entweder von einer öffentlichen Zertifizierungsstelle oder eurer PKI.
   ‍

3. Microsoft Entra ID: Integriert ConfigMgr mit der Entra-Umgebung, um das CMG zu überwachen und zu authentifizieren.
   ‍

4. Clientauthentifizierung: Konfiguration der  Authentifizierungsmethode (z. B. Entra ID, PKI oder Token) für die Kommunikation der Clients.
   ‍

5. CMG-Konfiguration: Einfügen des CMG Connection Point, den Management Point und den SUP zu eurer IT-Infrastruktur.
   ‍

6. Client-Setup: Installation des Configuration Manager-Client auf Remote-Geräten per Bulk-Registrierungstoken oder per ccmsetup.exe.
   
   

‍

6. Sichere Authentifizierungsmethoden im Cloud Management Gateway

Das Cloud Management Gateway (CMG) bietet mehrere Authentifizierungsoptionen, die auf unterschiedliche Szenarien zugeschnitten sind. Die Auswahl der passenden Methode hängt primär von den zu verwaltenden Geräten und Identitäten im Unternehmen ab:
‍

• Microsoft Entra ID (ehemals Azure AD): Entra ID ermöglicht eine moderne, cloudbasierte Authentifizierung und ist optimal für Geräte mit hybrider oder rein cloudbasierter Identität geeignet. Die Einrichtung ist einfacher und wartungsärmer im Vergleich zu komplexeren PKI-Systemen.
  ‍
  

• PKI-Zertifikate: PKI-basierte Authentifizierung ist erforderlich für traditionelle, lokal per Active Directory (AD) verwaltete Geräte. Hierbei dienen PKI-Zertifikate dazu, den Kommunikationskanal zwischen Client und CMG sicher zu verschlüsseln.
  ‍
  

• Tokenbasierte Authentifizierung:  Die tokenbasierte Authentifizierung erweitert die Unterstützung auf Geräte, bei denen weder eine PKI-basierte noch eine Entra-ID-basierte Authentifizierung möglich oder praktikabel ist. Diese Methode ist besonders nützlich für Clients, die selten oder gar nicht mit dem internen Netzwerk verbunden sind und daher keine PKI-Zertifikate erhalten können. Hierbei werden vom Configuration Manager eigene Authentifizierungstokens erstellt und verwaltet

‍

‍

7. Fazit: Warum das Cloud Management Gateway für SCCM Anwender ein Muss ist

Das Cloud Management Gateway (CMG) ist eine wertvolle Erweiterung für Unternehmen, die bereits Microsoft Configuration Manager einsetzen und über eine steigende Anzahl von Remote- oder Hybrid-Geräten verfügen, jedoch noch nicht vollständig auf Microsoft Intune setzen. Es ermöglicht eine effiziente Verwaltung von Geräten außerhalb des internen Netzwerks, insbesondere von Windows-Clients, ohne auf eine komplexe VPN-Infrastruktur angewiesen zu sein.

‍

Das CMG reduziert Betriebskosten, da keine zusätzlichen WAN-Verbindungen oder komplexen VPN-Konfigurationen nötig sind, und verbessert gleichzeitig die Sicherheit, indem Geräte regelmäßig mit Patches und Sicherheitsupdates versorgt werden können. Obwohl das CMG auf Windows-Geräte und ausgewählte Funktionen von Configuration Manager beschränkt bleibt, bietet es gerade in Umgebungen mit klassischen domain-joined Clients deutliche Vorteile.

‍

Unternehmen, die derzeit auf On-Premise-Management setzen und schrittweise eine modernere IT-Infrastruktur anstreben, profitieren von der nahtlosen Integration des CMG. Es schafft so eine Brücke zwischen traditionellem und modernem cloud-native Gerätemanagement und eröffnet Möglichkeiten, bestehende IT-Prozesse flexibler zu gestalten und an veränderte Anforderungen anzupassen.