SCCM CMG (Cloud Management Gateway) Yapılandırma Rehberi

Günümüzde kurum içi ağların dışında çalışan kullanıcı sayısı hızla artıyor; uzaktan çalışan kişiler, seyahat eden ekipler, şubeler veya ev ağları gibi çeşitli senaryolar organizasyonların cihazları her zaman kurumsal ağ içinde değilken de yönetmek zorunda kalmalarına yol açıyor. Geleneksel yapıdaki ağ modelleri (VPN’ler, DMZ’ler veya uzak bağlantılar) birçok durumda güvenlik, yönetim kolaylığı ve maliyet açısından zorluklar çıkarabiliyor.

Microsoft’un System Center Configuration Manager (SCCM) ya da yeni adıyla Microsoft Endpoint Configuration Manager (MECM) ürünü, bu senaryoları desteklemek için çeşitli çözümler sunuyor. Bunlardan biri olan Cloud Management Gateway (CMG), SCCM/MECM ortamlarında internet üzerinden erişilebilen cihazların, kurum içi altyapıya doğrudan maruz kalmadan güvenli şekilde yönetilmesini sağlayan bir bulut hizmetidir.

CMG, Azure üzerinde bulut rolü olarak konuşlandırılır; cihazlar politikaları alır, yazılım ve güncelleme dağıtımı yapılır, envanter ve uyum durumu gibi bilgiler toplanır. Böylece uzak ağlardaki cihazlarla çalışırken kurum dışı erişim yollarını açık hale getirmek ya da VPN bağımlılığını arttırmak yerine, daha modern, ölçeklenebilir ve güvenli bir çözüm kurulmuş olur.

Bu rehberde, CMG’nin ne olduğu, hangi durumlarda tercih edilmesi gerektiği, teknik gereksinimleri, adım adım yapılandırılması ve dikkat edilmesi gereken hususlar ele alınacak. Ama önce, CMG kullanımının sağlayacağı avantajlara ve sınırlamalara kısaca değinelim.

CMG Kullanım Senaryoları ve Avantajları

  • Senaryolar:
    • Kurum dışından bağlanan cihazların yönetimi
    • VPN olmadan yazılım/güncelleme dağıtımı
    • Güvenlik politikalarının uygulanması
  • Avantajlar:
    • Daha az VPN bağımlılığı
    • Basit yönetim
    • Azure üzerinden ölçeklenebilirlik
    • Güvenlik (kurum içi altyapının doğrudan internete açılmaması

Teknik Gereksinimler

  • SCCM/MECM tarafı:
    • Minimum sürüm (örn. SCCM Current Branch 1710 ve sonrası)
    • Site system role gereksinimleri
  • Azure tarafı:
    • Abonelik ve kaynak grubu
    • CMG rolünün hazırlanması
  • Sertifika gereksinimleri:
    • Public CA sertifikaları (örn. DigiCert, GlobalSign)
    • CMG için wildcard veya spesifik FQDN
    • İstemci sertifikaları (eğer PKI yapılandırması varsa)
  • Network/DNS gereksinimleri:
    • CMG FQDN’inin internete çözülmesi
    • Gerekli portlar (443 HTTPS)

Temel Maliyet

  • Sanal Makine (Azure Cloud Service / VM rolü):
    CMG, Azure üzerinde bir Cloud Service (classic) rolü olarak çalışır. Çalışan instance sayısı ve saat bazında ücretlendirilir.
  • Veri Transferi (Egress Traffic):
    CMG üzerinden istemcilere giden veri (örn. yazılım dağıtımı, update paketleri) Azure çıkış trafiği olarak ücretlendirilir.
  • Depolama:
    CMG logları ve geçici veriler Azure Storage üzerinde tutulur. Kullanım çok düşük olsa da ufak bir maliyet kalemi oluşturur.

Kullanım Senaryosuna Göre Maliyet

  • Küçük ortam (1000 cihaz altı):
    Tek CMG instance (A2 v2 veya benzeri boyut) + aylık birkaç yüz GB trafik > Ortalama 150–250 USD/ay.
  • Orta ölçekli ortam (5000–10000 cihaz):
    2–4 CMG instance + aylık birkaç TB trafik > Ortalama 500–1000 USD/ay.
  • Büyük ölçekli ortam (20000+ cihaz):
    6+ CMG instance + yüksek veri transferi > Aylık maliyet birkaç bin USD olabilir.

Burada en büyük değişken data egress yani çıkış trafiğidir. Yazılım dağıtımlarını optimize etmek (ör. CMG yerine Cloud DP kullanmak, BranchCache veya Peer Cache etkinleştirmek) maliyeti ciddi şekilde düşürür.

Maliyet Optimizasyonu İçin Öneriler

  • CDN / Cloud DP Kullanımı: Büyük yazılım paketlerini (Office, Feature Update) CMG üzerinden değil, Cloud Distribution Point veya Microsoft CDN üzerinden dağıt.
  • İstemci Trafiğini Sınırlama: Gereksiz log upload, sık policy refresh gibi ayarları optimize et.
  • Test Ortamında Dikkat: Test için açılan CMG instance’larını iş bittikten sonra kapatmayı unutma; saatlik ücret işlemeye devam eder.
  • Monitoring: Azure Cost Management ile CMG servisinin harcamasını ayrı takip et.

Diagram

SCCM CMG Ön Gereksinimleri

Cloud Management Gateway (CMG), sürekli güncellenen ve geliştirilen bir bileşen olduğundan, kuruluma başlamadan önce hem SCCM tarafında hem de Azure tarafında belirli gereksinimlerin sağlanması gerekir.

1. SCCM ve Versiyon Gereksinimleri

  • En güncel Current Branch sürümünün kullanılması tavsiye edilir.
  • Özellikle 2107 versiyonunun altındaki sürümlerde birçok özellik eksik veya artık deprecated durumdadır.
  • CMG kurulumu yapacak kişinin SCCM üzerinde Full Administrator veya Infrastructure Administrator yetkisine sahip olması gerekir.

2. Azure Gereksinimleri

  • Azure Tenant içerisinde, Global Administrator yetkisine sahip bir kullanıcı gerekir.
  • Kullanılan Azure aboneliğinde (Subscription) yetki seviyesi Owner olmalıdır.
  • Eğer Azure yönetimi farklı bir birim tarafından yapılıyorsa, bu kullanıcının SCCM üzerinde ek bir yetkiye sahip olması gerekmez.
  • Azure Resource Provider’ların (Microsoft.Compute, Microsoft.Network, Microsoft.Storage) etkinleştirilmiş olması gerekir.

3. On-Premises Gereksinimleri

  • En az bir Windows Server rolü, CMG Connection Point olarak yapılandırılmalıdır. Bu sunucu diğer SCCM rollerini de barındırabilir.
  • Site’ın HTTPS veya Enhanced HTTPS modunda çalışması gerekir.
  • Sertifika gereksinimleri:
    • Public SSL Sertifikası (örneğin DigiCert, GlobalSign, Sectigo gibi sağlayıcılardan)
    • veya kurum içi Enterprise CA üzerinden üretilmiş geçerli bir SSL sertifikası
  • CNAME DNS kayıtları oluşturulabilmesi için hem iç DNS hem de dış DNS üzerinde yetkili erişim gerekir.

4. İstemci Gereksinimleri

  • Windows 10 / 11 istemciler CMG üzerinden policy ve içerik alabilir.
  • İstemcilerin internet erişimi olmalıdır.
  • Kullanılacak root sertifikaya güven sağlanmalıdır (Public SSL veya CA sertifikası).
  • Gerekirse Cloud DP üzerinden içerik indirme için Client Settings içinde ayarlamalar yapılmalıdır.

Azure Yetkilerinin Kontrol Edilmesi

CMG kurulumu için kullanılacak olan hesabın, hem Azure tenant tarafında hem de abonelik seviyesinde gerekli yetkilere sahip olması gerekir. Bu nedenle kuruluma başlamadan önce ilgili kullanıcı hesabının rol atamalarını kontrol ediyoruz.

Yapılması Gerekenler:

Azure Portal’a giriş yapın ve CMG kurulumu için kullanılacak hesabı bulun (örneğin: sccmadmin).

Kullanıcının Subscription > Access Control (IAM) > Role Assignments bölümüne gidin.

Ek olarak, aynı hesabın Global Administrator rolünde olması gerekir. Bu rol, CMG kurulumunun Azure AD tarafındaki kimlik doğrulama ve entegrasyon işlemleri için gereklidir.

CMG için Sertifika Şablonunun Hazırlanması

CMG kurulumu için kullanılacak olan sertifikalar, güvenli iletişimin sağlanması ve istemcilerin doğrulanması açısından kritik öneme sahiptir. Eğer Public SSL sertifikası kullanılmıyorsa, kurum içi Active Directory Certificate Services (AD CS) üzerinde özel bir şablon oluşturmak gerekir.

Certificate Templates Console (certtmpl.msc) aracını açın.

Var olan Web Server şablonuna sağ tıklayın ve Duplicate Template seçeneğini seçin.

  • Bu adım, varsayılan ayarları koruyarak CMG’ye özel yeni bir şablon oluşturmayı sağlar.

Yeni şablonun adını anlamlı olacak şekilde belirleyin. Örneğin:

  • MECM – CMG Certificate

Validity Period değerini kurum politikanıza uygun şekilde ayarlayın. Örneğin:

  • 2 yıl geçerlilik süresi
  • 6 hafta yenileme süresi

CMG için oluşturulan sertifika şablonunun, SCCM altyapısındaki sunucular tarafından kullanılabilmesi için gerekli izinlerin tanımlanması gerekir. Bu aşamada özellikle SCCM Site Servers grubuna veya sccm site sunucuya doğru yetkilerin verilmesi önemlidir.

  • Örneğin: SCCM1S, MECM IIS Servers

Bu hesaplara aşağıdaki izinleri verin:

  • Read
  • Enroll

Sertifika CMG tarafında kullanılacağından, özellikle özel anahtarın dışa aktarılabilir olması önemlidir. Bu ayar sayesinde sertifika daha sonra PFX formatında dışarı alınarak Azure üzerinde kullanılabilir.

Hazırlanan sertifika şablonunun istemci veya sunucular tarafından kullanılabilmesi için, Enterprise CA üzerinde yayınlanması gerekir.

Certification Authority konsolunu açın.

Sol menüden Certificate Templates klasörüne sağ tıklayın.

New > Certificate Template to Issue seçeneğini seçin.

Daha önce oluşturduğunuz MECM – CMG Certificate şablonunu listeden seçin.

OK ile onaylayın.

Sunucu Üzerinden Sertifika Talep Etme

CMG için kullanılacak sertifikanın, ilgili SCCM sunucusu üzerinden talep edilmesi gerekir. Bunun için Certificates MMC Console kullanılır.

MG rolünü üstlenecek olan sunucuya giriş yapın.

Run > mmc komutunu çalıştırın.

File > Add/Remove Snap-in > Certificates > Computer Account seçeneğini ekleyin.

Personal > Certificates klasörüne sağ tıklayın.

All Tasks > Request New Certificate seçeneğini seçin.

CMG’nin çalışabilmesi için kullanılan sertifikada mutlaka doğru FQDN tanımlanmalıdır. Bu işlem, sertifika talebi (enrollment) sırasında yapılır.

Sertifika talebi sırasında Certificate Properties ekranına gelin.

Subject Name alanında ekleme yapmanıza gerek yoktur, genellikle bu kısım boş bırakılır.

Alternative Name kısmına geçin. Buradan:

  • Type: DNS seçeneğini işaretleyin.
  • Value kısmına CMG için kullanılacak FQDN değerini girin. (Örneğin: cmg.contoso.com veya cmg.grafana.com.tr)
  • Add butonuna tıklayın.

Girdiğiniz DNS adı sağ tarafta listeye eklenecektir.

Sertifikanın kolay tanınabilmesi için Friendly Name alanı kullanılır. Bu alan, sertifikanın CMG konfigürasyon ekranında diğer sertifikalardan ayırt edilmesini sağlar.

Sertifikanın Dışa Aktarılması

CMG servisinde kullanılacak SSL sertifikasının, private key ile birlikte dışa aktarılması gerekir. Bu işlem sonucunda .PFX formatında bir dosya elde edilir.

MMC Certificates Console üzerinden Personal > Certificates klasörüne gidin.

CMG için oluşturduğunuz sertifikayı seçin (ör: grafana.com.tr).

Sağ tıklayın, All Tasks > Export seçeneğini seçin.

Sertifika dışa aktarılırken sihirbazda (Certificate Export Wizard) aşağıdaki adımlar takip edebilirsiniz.

  1. Private Key Dahil Etme
    • “Yes, export the private key” seçeneğini işaretleyin.
    • Bu seçenek CMG için zorunludur çünkü sertifika Azure’a yüklenirken private key gerekecektir.
  2. Format Seçimi
    • “Personal Information Exchange – PKCS #12 (.PFX)” formatını seçin.
    • “Include all certificates in the certification path if possible” seçeneğini işaretleyin.
    • “Export all extended properties” seçeneğini de aktif edin.
  3. Şifre Belirleme
    • Güvenlik için export edilen PFX dosyasına bir şifre tanımlayın.
    • Bu şifre, dosya Azure’a yüklenirken gerekecektir.
  4. Dosya İsmi ve Konumu
    • Sertifikayı anlamlı bir isimle kaydedin. Örneğin: mecm-ssl-cert.pfx.
    • Güvenli bir dizinde saklayın.

Root CA Sertifikasının Export Edilmesi

CMG kurulumu sırasında sadece SSL sertifikası değil, aynı zamanda ortamınızda kullanılan Root CA sertifikası da gereklidir. Bu sertifika istemcilerin güven zincirini oluşturması için Azure’a yüklenir.

İlk olarak mmc konsolunda enroll ettiğimiz sertifika özelliklerine giriyor ve root sertifikayı export ediyoruz. Bunun için ilgili sertifika üzerindeyken “Certification Path> View Certificate > Copy to File” ile root sertifikayı export ediyoruz.

Format olarak DER encoded binary X.509 (.CER) seçeneğini seçin.

Dosyayı anlamlı bir isimle kaydedin. Örneğin: root.cer.

SCCM Tarafında CMG Özelliğinin Etkinleştirilmesi

Azure üzerinde CMG kullanabilmek için SCCM konsolu üzerinden ilgili özelliğin aktif edilmesi gerekir.

Configuration Manager Konsolu’nu açın.

Administration > Updates and Servicing > Features bölümüne gidin.

Burada “Cloud management gateway with Azure VM scale set” özelliğini bulun.

Özelliğin Status = On olduğundan emin olun.

Azure üzerinde CMG servisinin kurulabilmesi için gerekli Resource Providers’ların etkinleştirilmiş olması gerekir.

Azure Portal’a giriş yapın.

Subscriptions menüsünden ilgili aboneliği seçin.

Sol menüden Resource Providers bölümüne gidin.

Aşağıdaki sağlayıcıların Registered durumda olduğundan emin olun:

  • Microsoft.Storage
  • Microsoft.Network
  • Microsoft.Compute
  • Microsoft.KeyVault

SCCM Üzerinde Azure Services Yapılandırması

CMG kurulumu için ilk olarak Configuration Manager üzerinde Azure ile entegrasyonu başlatmanız gerekir. Bu işlem, CMG’nin Azure kaynakları ile iletişim kurmasını sağlar.

Configuration Manager konsolunda Administration > Cloud Services > Azure Services bölümüne gidin.

Sağ tıklayın ve Configure Azure Services seçeneğini seçin.

Açılan sihirbazda (Azure Services Wizard) yeni bir servis tanımlayın.

Name alanına anlamlı bir isim girin. Örneğin:

MECM CMG

Cloud Management seçeneği işaretlenmelidir.

Bu seçenek, CMG ile istemcilerin internet üzerinden Configuration Manager ile güvenli şekilde iletişim kurabilmesini sağlar.

Azure Environment seçilir (AzurePublicCloud).

Server App ve Client App oluşturularak Microsoft Entra ID (Azure AD) ile bağlantı sağlanır. Server App ve Client App için gerekli bilgiler girilir ve tenant’a kayıt edilir.

Azure Environment: Çoğu senaryoda AzurePublicCloud seçilir. (Özel bulut ya da farklı regülasyon bölgeleri için farklı environment seçenekleri olabilir.)

Web App: Daha önce oluşturulmuş olan MECM Server APP seçilir. Bu uygulama, Configuration Manager sunucularının Azure kaynaklarına bağlanabilmesi için kullanılır.

Native Client App: Daha önce tanımlanan MECM Client APP seçilir. Bu uygulama, istemci cihazların Azure üzerinden kimlik doğrulaması yapabilmesini sağlar.

Cloud Management Gateway (CMG) Kurulumu

Configuration Manager konsolu üzerinden Administration > Cloud Services > Cloud Management Gateway bölümüne geçiyoruz. Buradan yeni bir CMG oluşturmak için “Create Cloud Management Gateway” seçeneğini kullanıyoruz. Karşımıza çıkan sihirbaz, tüm ayarları adım adım yapmamızı sağlıyor.

İlk ekranda Azure ortamını seçmemiz gerekiyor. Ortam olarak genellikle AzurePublicCloud kullanılıyor. Daha önce oluşturduğumuz MECM Server APP burada seçilerek CMG’nin Azure kaynaklarıyla iletişim kurması sağlanıyor. Aynı ekranda Microsoft Entra ID tenant adı ve Subscription ID bilgileri doğrulanıyor. Admin hesabıyla oturum açıldıktan sonra “Signed in successfully!” ibaresi görülüyor ve bu da yetkilendirmenin doğru yapıldığını gösteriyor.

Bir sonraki ekranda CMG servisine ait detaylar giriliyor. Burada en kritik nokta, daha önce hazırlanan .pfx formatındaki SSL sertifikasının seçilmesi. Sertifika CMG’nin internet üzerinden güvenli bir şekilde yayın yapabilmesi için gerekli. Ardından servis adı belirleniyor. Bu ad, dış dünyadan erişilecek CMG adresini temsil ediyor (örneğin cmggrafana.grafana.com.tr). Deployment name alanı otomatik olarak doldurulurken, kullanılacak region seçimi manuel olarak yapılıyor. Servisin hangi Azure bölgesinde konumlanacağı burada belirleniyor.

Kaynak grubunun seçilmesi veya yeni bir kaynak grubunun oluşturulması bu aşamada gerçekleştiriliyor. Daha sonra kullanılacak sanal makine boyutu belirleniyor. Genellikle Large (A4_V2) seçimi öneriliyor, ancak ortamın büyüklüğüne göre farklı boyutlar da tercih edilebilir. Eğer yüksek yük bekleniyorsa VM instance sayısı artırılabiliyor. Ayrıca bakım penceresi de burada tanımlanıyor.

Güvenlik tarafında ise TLS 1.2 kullanımı zorunlu hale getirilebiliyor. Eğer CMG’nin aynı zamanda Cloud Distribution Point rolünü de üstlenmesini istiyorsak ilgili kutucuk işaretleniyor. Bu seçenek aktif edildiğinde CMG sadece yönetim trafiği için değil, içerik dağıtımı için de kullanılabilir hale geliyor.

Tüm ayarların tamamlanmasının ardından sihirbaz kurulumu başlatıyor ve Configuration Manager, Azure üzerinde gerekli kaynakları oluşturmaya başlıyor. Bu işlem birkaç dakika sürebiliyor. Sürecin sonunda CMG ekranında servisin Status: Ready durumuna geçtiğini gördüğümüzde kurulumun başarıyla tamamlandığını anlamış oluyoruz.

CMG yapılandırmasının bir sonraki adımı, on-premises ortamda Cloud Management Gateway Connection Point rolünü eklemekle başlar. Bu rol, site sistemi ile Azure üzerinde konumlanan CMG arasında köprü işlevi görür ve istemcilerin internet üzerinden güvenli bir şekilde bağlanmasına olanak tanır.

Rol ekleme sihirbazında System Role Selection ekranında Cloud Management Gateway Connection Point seçilerek devam edilir.

Ardından bağlantı yapılacak olan Cloud Management Gateway adı ve Region bilgisi tanımlanır. Bu noktada Azure üzerinde daha önce oluşturulan CMG servisiyle eşleşecek bilgiler girilir.

Management Point yapılandırması
Management Point’in internetten erişilebilir olması gerektiğinden, bağlantı türü olarak HTTPS veya Enhanced HTTP seçilir. Kurulum sırasında Allow Configuration Manager cloud management gateway traffic kutucuğu işaretlenerek CMG trafiğine izin verilir. Ayrıca hem intranet hem internet istemcilerinin bağlanabilmesi için gerekli izinler tanımlanır. Bu sayede istemciler şirket ağı dışındayken de politikaları ve içerikleri alabilir.

Yazılım Güncelleme Noktası (SUP) entegrasyonu
CMG üzerinden güncelleme dağıtımı yapabilmek için Software Update Point (SUP) rolünün de CMG trafiğini kabul etmesi gerekir. Bunun için SUP ayarlarında Allow Configuration Manager cloud management gateway traffic seçeneği işaretlenir. Bu yapılandırma sayesinde internet üzerinden bağlanan istemciler, yazılım güncellemelerini de güvenli bir şekilde alabilir.

CMG’nin Azure tarafındaki kurulumu ve site system rolleri tamamlandıktan sonra istemcilerin bu altyapıyı nasıl kullanacağına dair politikaların tanımlanması gerekiyor. Bunun için Configuration Manager konsolunda yeni bir Custom Client Device Settings oluşturuldu.

Oluşturulan bu ayar setine Cloud Services sekmesi üzerinden müdahale edildi. Burada üç temel seçenek aktif hale getirildi:

  • Allow access to cloud distribution point → İstemcilerin içerik dağıtımı için CMG üzerinden erişim sağlayabilmesi adına etkinleştirildi.
  • Automatically register new Windows 10 or later domain joined devices with Microsoft Entra ID → Domain’e katılan cihazların otomatik olarak Entra ID ile kaydolması sağlandı.
  • Enable clients to use a cloud management gateway → En kritik ayar; istemcilerin CMG üzerinden yönetim noktalarına bağlanabilmesi için etkinleştirildi.

Bu ayarlar ilgili koleksiyonlara atandıktan sonra Configuration Manager istemcilerinin özelliklerinde, İnternet tabanlı yönetim noktası (FQDN) bilgisinin doğru şekilde geldiği ve CMG adresini işaret ettiği görüldü. Ayrıca, istemcinin hem intranet hem de internet senaryosunda doğru yönetim noktasına bağlanabildiği test edildi.

CMG altyapısını hazırladıktan sonra test amacıyla bir uygulamanın dağıtımını gerçekleştirdim. Bunun için Configuration Manager konsolunda Create Application Wizard ekranını kullanarak yeni bir uygulama oluşturdum.

Uygulama sihirbazı tamamlandıktan sonra sıra dağıtım noktalarının seçimine geldi. Burada kritik nokta, hem on-premises dağıtım noktası hem de oluşturduğum CMG dağıtım noktası seçeneklerinin listelenmesiydi. Ben CMG üzerinde test yapmak istediğim için CMGGRAFANA.GRAFANA.COM.TR isimli Cloud Distribution Point’i işaretledim. Böylece içerik hem lokal dağıtım noktalarında hem de bulut tarafında kullanılabilir hale geldi.

Dağıtımı tamamladıktan sonra istemci tarafında Software Center üzerinden 7-Zip uygulamasının listelendiğini gördüm. Yüklemeyi başlattığımda, içerik CMG üzerinden indirildi ve kurulum başarıyla tamamlandı.

Cloud Management Gateway yapılandırması ve ardından gerçekleştirilen test dağıtımları, Configuration Manager altyapısının bulut üzerinden de aynı esneklikle çalışabildiğini ortaya koydu. Hem istemci politikalarının uygulanması hem de uygulama dağıtımı senaryoları başarıyla test edildi ve CMG’nin, uzak ya da kurum ağına doğrudan bağlı olmayan cihazların yönetiminde güvenilir bir çözüm sunduğu doğrulandı. Bu kurulumla birlikte, hibrit yönetim senaryolarında ölçeklenebilir, güvenli ve yönetilebilir bir altyapı elde edilmiş oldu.