編集

次の方法で共有


CMG についてよく寄せられる質問

Configuration Manager (現在のブランチ) に適用

この記事では、クラウド管理ゲートウェイ (CMG) に関してよく寄せられる質問に回答します。 詳細については、「 CMG の概要」を参照してください。

証明書は必要ですか?

はい。少なくとも 1 つ、場合によっては設計に応じて他のユーザー。

  • サーバー認証証明書: CMG は、インターネット ベースのクライアントが接続する HTTPS サービスを作成します。 サービスには、セキュリティで保護されたチャネルを構築するためのサーバー認証証明書が必要です。 この目的のために、公開プロバイダーから証明書を取得することも、公開キー インフラストラクチャ (PKI) から発行することもできます。 詳細については、「 CMG サーバー認証証明書」を参照してください。

  • クライアント認証証明書: 環境と CMG の設計に応じて、クライアント認証に PKI 証明書を使用できます。 この認証方法では、ユーザー中心のシナリオはサポートされていませんが、サポートされているバージョンの Windows を実行するデバイスがサポートされています。 詳細については、「 CMG: PKI 証明書のクライアント認証を構成する」を参照してください。

    このクライアント認証方法を使用する場合は、クライアント証明書の信頼されたルート チェーンもエクスポートする必要があります。 次に、CMG と CMG 接続ポイントを作成するときに、この証明書チェーンを使用します。

  • HTTPS 対応の管理ポイント: サイトの構成方法と選択したクライアント認証方法によっては、HTTPS をサポートするようにインターネット対応管理ポイントを構成する必要がある場合があります。 詳細については、「 CMG のクライアント認証の構成: HTTPS の管理ポイントを有効にする」を参照してください。

Azure ExpressRoute は必要ですか?

その必要はありません。 Azure ExpressRoute を使用すると、オンプレミス ネットワークを Microsoft クラウドに拡張できます。 ExpressRoute、またはその他の仮想ネットワーク接続は、CMG には必要ありません。 CMG の設計により、インターネット ベースのクライアントは、追加のネットワーク構成なしで Azure サービスを介してオンプレミスのサイト システムと通信できます。 詳細については、「 CMG の概要」を参照してください。

Azure 仮想マシンを保守またはセキュリティで保護する必要がありますか?

その必要はありません。 CMG は、Configuration Manager環境をクラウドに拡張するサービスとしてのソフトウェア (SaaS) ソリューションです。 CMG の設計では、サービスとしての Azure プラットフォーム (PaaS) が使用されます。 指定したサブスクリプションを使用して、必要な仮想マシン (VM)、ストレージ、ネットワークを作成Configuration Manager。 Azure PaaS は VM をセキュリティで保護し、更新します。 これらの VM を監視する必要はありません。 CMG 用の Azure VM は、サービスとしてのインフラストラクチャ (IaaS) の場合と同様に、オンプレミス環境の一部ではありません。 CMG が構築されている基になる PaaS ソリューションのセキュリティ固有の情報については、「 PaaS デプロイのセキュリティ保護」を参照してください。

CMG はクライアント通信のプロキシとして機能するため、クライアント データの処理、保持、格納は行われません。 インターネット経由の通信パスでは、常に HTTPS が使用されます。 セキュリティを強化するには、HTTPS の管理ポイントを構成します。 また、クライアントがインベントリとステータス メッセージを暗号化するためのサイト オプションも構成します。 詳細については、「 セキュリティの計画: 署名と暗号化」を参照してください。

イメージが非推奨になった場合、仮想マシンを更新する必要がありますか?

その必要はありません。 CMG VM はテンプレートを使用してデプロイされ、IIS は構成されます。これは、VM のを手動で更新すると破損します。 製品グループは、更新プログラムまたは現在のブランチ リリースを通じて問題を解決します。

サービスの更新中にサービス継続性を確保するにはどうすればよいですか?

CMG をスケーリングして 2 つ以上のインスタンスを含めることで、Azure の Update Domains の恩恵を自動的に受けることができます。 「クラウド サービスを更新する方法」を参照してください。

私はすでにIBCMを使用しています。 CMG を追加すると、クライアントはどのように動作しますか?

インターネット ベースのクライアント管理 (IBCM) を既にデプロイしている場合は、CMG をデプロイすることもできます。 クライアントは両方のサービスのポリシーを受け取ります。 インターネットにローミングする場合、これらのインターネット ベースのサービスのいずれかをランダムに選択して使用します。

ユーザー アカウントは、CMG クラウド サービスをホストするサブスクリプションに関連付けられているテナントと同じMicrosoft Entra テナントに存在する必要がありますか?

いいえ。CMG は、Azure クラウド サービスをホストできる任意のサブスクリプションにデプロイできます。

用語を明確にするには:

  • Microsoft Entra テナントは、ユーザー アカウントとアプリ登録のディレクトリです。 1 つのテナントに複数のサブスクリプションを設定できます。
  • Azure サブスクリプション は、課金、リソース、サービスを分離します。 これは 1 つのテナントに関連付けられています。

この質問は、次のシナリオで一般的です。

  • 個別のテスト環境と運用環境の Active Directory 環境とMicrosoft Entra環境があり、1 つの一元化された Azure ホスティング サブスクリプションがある場合。

  • Azure の使用は、さまざまなチーム間で有機的に成長しています。

Resource Managerデプロイを使用している場合は、サブスクリプションに関連付けられているMicrosoft Entra テナントをオンボードします。 この接続を使用すると、Configuration Managerが CMG を作成、デプロイ、管理するために Azure に対して認証を行うことができます。

CMG で管理されているユーザーとデバイスに対してMicrosoft Entra認証を使用している場合は、そのMicrosoft Entraテナントをオンボードします。 クラウド管理用の Azure サービスの詳細については、「 Azure サービスの構成」を参照してください。 各Microsoft Entraテナントをオンボードする場合、単一の CMG は、ホスティングの場所に関係なく、複数のテナントに対してMicrosoft Entra認証を提供できます。

例 1: 複数のサブスクリプションを持つ 1 つのテナント

ユーザー ID、デバイス登録、アプリの登録はすべて同じテナント内にあります。 CMG で使用するサブスクリプションを選択できます。 1 つのサイトから個別のサブスクリプションに複数の CMG サービスをデプロイできます。 サイトには、テナントとの 1 対 1 の関係があります。 課金や論理分離など、さまざまな理由で使用するサブスクリプションを決定します。

例 2: 複数のテナント

つまり、環境には複数のMicrosoft Entra IDがあります。 両方のテナントでユーザー ID とデバイス ID をサポートする必要がある場合は、各テナントにサイトをアタッチする必要があります。 このプロセスでは、各テナントの管理アカウントが、そのテナントにアプリの登録を作成する必要があります。 その後、1 つのサイトで複数のテナントで CMG サービスをホストできます。 どちらのテナントでも、使用可能な任意のサブスクリプションに CMG を作成できます。 いずれかのMicrosoft Entra IDに参加しているデバイスまたはハイブリッドに参加しているデバイスは、CMG を使用できます。

ユーザー ID とデバイス ID が 1 つのテナントにあり、CMG のサブスクリプションが別のテナントにある場合は、サイトを両方のテナントにアタッチする必要があります。 技術的には、CMG サービスのみを持つ 2 番目のテナントには、クライアント アプリは必要ありません。 クライアント アプリは、CMG サービスを使用するクライアントに対してのみユーザーとデバイスの認証を提供します。

VPN 経由で接続されているクライアントに CMG はどのように影響しますか?

VPN を介して環境に接続するローミング クライアントは、一般的にイントラネットに接続として検出されます。 管理ポイントや配布ポイントなどのオンプレミス インフラストラクチャへの接続が試行されます。 一部のお客様は、VPN 経由で接続されている場合でも、クラウド サービスによってこれらのローミング クライアントを管理することを好みます。

CMG を境界グループに関連付けることもできます。 このアクションにより、これらのクライアントはオンプレミスのサイト システムを使用しないように強制されます。 詳細については、「 境界グループの構成」を参照してください。

管理ポイントの構成が内部クライアントにどのような影響を与えますか?

CMG 経由で送信される機密性の高いトラフィックをセキュリティで保護するには、HTTPS を使用するように少なくとも 1 つの管理ポイントを構成するか、拡張 HTTP 用にサイトを構成する必要があります。

次に、CMG を展開するときに、CMG 対応管理ポイントで HTTPS 通信に PKI 証明書を使用する場合は、[管理ポイントのプロパティで インターネット専用クライアントを許可する] オプションを選択します。 この設定により、内部クライアントが環境内で HTTP 管理ポイントを引き続き使用できるようになります。

拡張 HTTP を使用する場合は、この設定を構成する必要はありません。 クライアントは、CMG 対応管理ポイントに直接通信するときに HTTP を引き続き使用します。 詳細については、「 拡張 HTTP」を参照してください。

Microsoft Entra IDと証明書の間のクライアント認証の違いは何ですか?

デバイスのMicrosoft Entra IDまたはクライアント認証証明書を使用して、CMG サービスに対する認証を行うことができます。 認証にはConfiguration Managerサイト発行トークンを使用することもできます。

Active Directory ドメイン参加 ID を使用して従来の Windows クライアントを管理する場合、通信チャネルをセキュリティで保護するには PKI 証明書が必要です。 これらのクライアントには、サポートされている任意のバージョンの Windows を含めることができます。 CMG でサポートされているすべての機能を使用できますが、ソフトウェアの配布はデバイスのみに制限されます。 デバイスがインターネットにローミングする前に、Configuration Manager クライアントをインストールするか、トークン認証を使用します。

また、ハイブリッドまたは純粋なクラウド ドメインがMicrosoft Entra IDに参加している最新の ID を使用して、Windows 10以降のクライアントを管理することもできます。 クライアントは、PKI 証明書ではなくMicrosoft Entra IDを使用して認証します。 Microsoft Entra IDの使用は、より複雑な PKI システムよりも簡単にセットアップ、構成、保守できます。 すべての同じ管理アクティビティと、ユーザーへのソフトウェア配布を行うことができます。 また、リモート デバイスにクライアントをインストールするための追加の方法も可能になります。

Microsoft では、デバイスをMicrosoft Entra IDに参加することをお勧めします。 インターネット ベースのデバイスは、Microsoft Entra IDを使用してConfiguration Managerで認証できます。 また、デバイスがインターネット上にあるか、内部ネットワークに接続されているかに関係なく、デバイスとユーザーの両方のシナリオが可能になります。

詳細については、「 クライアント認証の構成」を参照してください。

仮想マシン スケール セットのデプロイを使用する必要がありますか?

はい(サイトがバージョン 2107 以降の場合)。 プレリリース機能ではなくなり、すべての顧客に推奨されます。 既存のクラシック CMG デプロイがある場合は、 仮想マシン スケール セットに変換できます。

サイトがバージョン 2010 または 2103 の場合、仮想マシン スケール セットのデプロイ方法はプレリリース機能です。 これは、クラウド ソリューション プロバイダー (CSP) サブスクリプションを持つお客様のみを対象としています。

重要

バージョン 2203 以降では、 クラウド サービス (クラシック) として CMG をデプロイするオプションが削除されます。 すべての CMG デプロイでは 、仮想マシン スケール セットを使用する必要があります。 詳細については、「 削除された機能と非推奨の機能」を参照してください。

仮想マシン スケール セットとしての CMG のデプロイの詳細については、「 CMG の計画」を参照してください。

コンテンツが有効な CMG では Azure CDN が使用されますか?

その必要はありません。 現在、Azure コンテンツ配信ネットワーク (CDN) はサポートされていません。 CDN は、世界中の戦略的に配置された物理ノードでコンテンツをキャッシュすることで、高帯域幅コンテンツを迅速に配信するためのグローバル ソリューションです。 詳細については、「 Azure CDN とは」を参照してください。

Azure AD Graph API と Azure AD Authentication ライブラリ (ADAL) の廃止に関して何かする必要がありますか?

その必要はありません。 次のブログ投稿を見て、それがConfiguration Managerにどのように適用されるか疑問に思っているかもしれません:Microsoft 認証ライブラリと Microsoft Graph APIを使用するようにアプリケーションを更新します。 この投稿では、これらの認証ライブラリを使用する開発されたコードを参照しています。 Configuration Managerは、いくつかの場所で Microsoft Graph API と Microsoft Authentication Library (MSAL) を数年間使用してきました。 その他のすべてのコンポーネントは、更新プログラムのロールアップConfiguration Managerバージョン 2107 で更新されます。 Configuration Managerバージョンで最新の状態を維持する場合は、他に何もする必要はありません。

一部の人々は、このブログ投稿の情報を、さまざまなクラウド接続サービスに使用Configuration Manager Microsoft Entra IDのアプリケーション登録と混同しています。 これらのアプリ登録は、これらの認証ライブラリを直接使用しないクラウドベースのサービス プリンシパルです。 Azure グローバル管理者がMicrosoft Entra IDでConfiguration Manager アプリの登録を手動で作成した場合、それらの登録に Microsoft Graph API のアクセス許可があることをダブルチェックできます。 Azure AD Graph API のアクセス許可は必要ありません。 詳細については、「Microsoft Entra アプリを手動で登録する」を参照してください。