Prise en main à distance via le Cloud Management Gateway

By | 8 octobre 2020

Microsoft vient de publier la version TP2010 de Configuration Manager mais je souhaitais revenir vers quelques fonctionnalités intéressantes de la TP2009 et particulièrement une fonctionnalité très attendue qui a d’abord été introduite dans a TP1906 puis retirée ensuite. Plus d’un an après, celle-ci fait son retour dans un contexte qui justifie pleinement son utilisation.

Réaliser une prise en main à distance sur une machine via le Cloud Management Gateway est un besoin exprimé maintes fois par les organisations et en particulièrement durant les périodes de télétravail ou de confinement.

Prérequis

  • Le client doit être à jour avec la dernière version
  • Le client doit être en ligne 🙂
  • Si le client est basé sur Internet, utilisez une passerelle de gestion cloud (CMG).

Pour les options d’authentification, les clients internet peuvent s’authentifier en utilisant l’une des méthodes suivantes :

  • Un certificat client PKI valide
  • Azure Active Directory (Azure AD)
  • Authentification basée sur un jeton

Note : si vous utilisez déjà un CMG, vous bénéficiez déjà d’une méthode d’authentification supportée

Démonstration

J’utilise ici des machines virtuelles Windows 10 dont une qui est « Online » et bien connecté via le CMG (Device Online from Internet = TRUE).

Note : Ces machines virtuelles sont « Azure AD Joined » et déployés via Windows Autopilot

Faire un clic droit sur la machine puis lancer le Remote Control :

  1. Valider que la case indiquant la connexion via un CMG ou un point de Management HTTPS est bien cochée
  2. Valider l’url de votre CMG ou de votre point de management HTTPS.
  3. Si votre CRL n’est pas publiée ou accessible, décocher la case « Verify Server Cert… »

Une fois que vous cliquez sur « OK » une fenêtre d’authentification Azure AD s’ouvre et la prise en main démarre :

En fonction de la configuration du client, l’utilisateur reçoit une notification de prise en main à distance :

Voyons maintenant l’expérience administrateur et utilisateur de bout en bout en vidéo :

Troubleshooting

La question qui revient souvent est : Comment analyser et dépanner les échecs de prise en main à distance que ce soit sur le LAN ou depuis Internet ?

Dans un premier temps, lors d’une prise en main à distance un fichier de log est créé dans le dossier %temp% de l’utilisateur :

Dans cet exemple nous pouvons voir les différentes actions lors de l’initialisation de la prise en main à distance :

  1. L’utilisation des identifiants pour accéder à l’API graph pour récupérer les informations du tenant AAD
  2. La récupération des informations de la passerelle de gestion cloud

Dans le cas de l’utilisation d’un identifiant non autorisé pour une prise en main à distance, vous pouvez utiliser le fichier de log ccm_sts sur votre point de management :

Dans cet exemple ou l’utilisateur est autorisé nous voyons :

  1. Une demande de jeton (token) d’authentification
  2. L’acceptation des identifiants et la fourniture du jeton

Dans cet exemple un utilisateur n’ayant pas les droits tente une prise en main le log indique que l’utilisateur n’est pas autorisé.

Conclusion

La prise en main « everywhere » rendu possible par l’utilisation du CMG et les évolutions de MEMCM permet d’adresser des cas d’usages intéressants à cette époque ou le télétravail se démocratise dans nos organisations.