CMG のチェックリストを設定する

Configuration Manager (現在のブランチ) に適用

クラウド管理ゲートウェイ (CMG) をデプロイする前に、この記事を使用してセットアップ プロセスを理解してください。 また、すべての前提条件を開始する準備ができていることを確認します。

まず、環境に CMG を実装するための設計と計画を作成します。 詳細については、「 クラウド管理ゲートウェイの計画」を参照してください。 記事のそのセクションを使用して、CMG 設計を決定します。

CMG の全体的なセットアップ プロセスは、次の 5 つの主要な部分に分かれています。

1. CMG サーバー認証証明書を取得する: CMG は、パブリック インターネット経由のセキュリティで保護されたクライアント通信に HTTPS を使用します。 公開プロバイダーから証明書を取得することも、公開キー インフラストラクチャ (PKI) から証明書を発行することもできます。

2. Microsoft Entra IDの構成: Configuration Manager Microsoft Entra IDでのアプリの登録が必要です。 Configuration Manager作成することも、Azure管理者が登録を事前に作成することもできます。

3. クライアント認証を構成する: クライアントはインターネット経由で通信するため、Configuration Managerにはこのチャネルのセキュリティが強化されている必要があります。 サイト サーバーからMicrosoft Entra ID、PKI 証明書、またはトークン ベースの認証を使用できます。

4. CMG のセットアップ: この手順には、サイトの構成と CMG 接続ポイントサイト システムの役割の追加も含まれます。

5. CMG を使用するようにクライアントを構成します。

このセクションの他の記事では、プロセスの各部分について説明します。

用語

CMG の設定のコンテキストでは、次の用語が使用されます。 わかりやすくするために、ここで定義されています。

• Microsoft Entra ID テナント: ユーザー アカウントとアプリの登録のディレクトリ。 1 つのテナントに複数のサブスクリプションを設定できます。

• Azure サブスクリプション: サブスクリプションは、課金、リソース、サービスを分離します。 これは 1 つのテナントに関連付けられています。

  ヒント

  詳細については、「 Microsoft のクラウド オファリングのサブスクリプション、ライセンス、アカウント、テナント」を参照してください。

• Azure リソース グループ: Azure ソリューションの関連リソースを保持するコンテナー。 リソース グループには、グループとして管理するリソースが含まれています。 organizationにとって最も意味のあるものに基づいて、リソース グループに属するリソースを決定します。 詳細については、「 リソース グループ」を参照してください。

• CMG サービス名: CMG サーバー認証証明書の共通名 (CN)。 クライアントと CMG 接続ポイントサイト システムの役割は、このサービス名と通信します。 たとえば、GraniteFalls.Contoso.Com および GraniteFalls.WestUS.CloudApp.Azure.Com が禁止となります。

• CMG デプロイ名: サービス名の最初の部分と、クラウド サービスデプロイのAzure場所。 サービス接続ポイントのクラウド サービス マネージャー コンポーネントは、Azureに CMG をデプロイするときにこの名前を使用します。 デプロイ名は常にAzure ドメインにあります。 Azure場所は、デプロイ方法によって異なります。例:

  • 仮想マシン スケール セット: GraniteFalls.WestUS.CloudApp.Azure.Com
  • クラシック デプロイ: GraniteFalls.CloudApp.Net

チェックリスト

次のチェックリストを使用して、CMG を作成するために必要な情報と前提条件があることを確認します。

• 使用するAzure環境。 たとえば、Azure パブリック クラウドやAzure US Government Cloud などです。

• この CMG デプロイのAzureリージョン。

• スケールと冗長性に必要な VM インスタンスの数。

• Microsoft Entra IDにアプリを登録するAzureアプリケーション開発者、クラウド アプリケーション管理者、アプリケーション管理者、またはグローバル管理者ロール。

• Azureで CMG を作成するときのAzure サブスクリプション所有者ロール。

• CMG 接続ポイントの役割を追加する予定の既存のサイト システム サーバーが少なくとも 1 つ。

• インターネット アクセスの要件を確認して、必要な各サービスに到達できることを確認します。

• このオプション機能を有効にします。

プロセスの次の手順で、他の前提条件コンポーネントを設定します。

PowerShell を使用して自動化する

必要に応じて、PowerShell を使用して CMG セットアップの側面を自動化できます。 以前のバージョンで使用できるコマンドレットがいくつかありましたが、バージョン 2010 には、新しいコマンドレットと既存のコマンドレットの大幅な機能強化が含まれています。

たとえば、Azure管理者は、最初に 2 つの必要なアプリをMicrosoft Entra IDに作成します。 次に、次のコマンドレットを使用して CMG をデプロイするスクリプトを記述します。

1. Import-CMAADServerApplication: Configuration ManagerでMicrosoft Entra サーバー アプリ定義を作成します。
2. Import-CMAADClientApplication: Configuration ManagerでMicrosoft Entra クライアント アプリ定義を作成します。
3. Get-CMAADApplication を使用してアプリ オブジェクトを取得し、New-CMCloudManagementAzureService に渡して、Configuration ManagerでAzure サービス接続を作成します。
4. New-CMCloudManagementGateway: Azureで CMG サービスを作成します。
5. Add-CMCloudManagementGatewayConnectionPoint: CMG 接続ポイント サイト システムを作成します。

これらのコマンドレットを使用して、CMG サービスの作成、構成、管理とMicrosoft Entra要件を自動化できます。

Configuration Managerのアプリ定義をMicrosoft Entraします。

• Get-CMAADApplication
• Import-CMAADClientApplication
• Import-CMAADServerApplication

Configuration Managerの Cloud Management Azure サービス:

• New-CMCloudManagementAzureService
• Set-CMCloudManagementAzureService
• Get-CMAzureService
• Remove-CMAzureService

Configuration Managerのクラウド管理ゲートウェイ サービス:

• Get-CMCloudManagementGateway
• New-CMCloudManagementGateway
• Remove-CMCloudManagementGateway
• Set-CMCloudManagementGateway
• Start-CMCloudManagementGateway
• Stop-CMCloudManagementGateway

CMG 接続ポイント サイト システムの役割:

• Add-CMCloudManagementGatewayConnectionPoint
• Get-CMCloudManagementGatewayConnectionPoint
• Remove-CMCloudManagementGatewayConnectionPoint
• Set-CMCloudManagementGatewayConnectionPoint

次の手順

サーバー認証証明書を取得して CMG のセットアップを開始します。

CMG サーバー認証証明書