Configuration Manager でアプリケーションを承認する
Configuration Manager (現在のブランチ) に適用
Configuration Manager で アプリケーションを展開する 場合は、インストール前に承認を要求できます。 ユーザーがソフトウェア センターでアプリケーションを要求した後、Configuration Manager コンソールで要求を確認します。 要求を承認または拒否できます。
注:
バージョン 2111 以降では、ほとんどの承認動作を アプリケーション グループで使用することもできます。
承認設定
アプリケーションの承認動作は、推奨される オプションのアプリ承認エクスペリエンスを有効にするかどうかによって異なります。 アプリケーションの 展開の [展開設定] ページに、次のいずれかの承認設定が表示されます。
管理者は、デバイスでこのアプリケーションの要求を承認する必要があります
注:
Configuration Manager では、この機能は既定では有効になりません。 使用する前に、オプションの機能 [ デバイスごとのユーザーのアプリケーション要求を承認する] を有効にします。 詳細については、「更新プログラムのオプション機能の有効化」を参照してください。
この機能を有効にしない場合は、 以前のエクスペリエンスが表示されます。
管理者は、要求されたデバイスにアプリケーションをインストールする前に、アプリケーションに対するユーザー要求を承認します。 管理者が要求を承認した場合、ユーザーはそのデバイスにのみアプリケーションをインストールできます。 ユーザーは、別のデバイスにアプリケーションをインストールするために別の要求を送信する必要があります。 このオプションは、展開の目的が [必須] の場合、またはアプリケーションをデバイス コレクションに展開する場合は淡色表示されます。
注:
Configuration Manager の新機能を利用するには、まずクライアントを最新バージョンに更新します。 サイトとコンソールを更新すると、Configuration Manager コンソールに新しい機能が表示されますが、完全なシナリオは、クライアントバージョンも最新になるまで機能しません。
Configuration Manager コンソールの [ソフトウェア ライブラリ] ワークスペースの [アプリケーション管理] でアプリケーション要求を表示します。 各要求の一覧に [デバイス ] 列があります。 要求に対してアクションを実行すると、[アプリケーション要求] ダイアログには、ユーザーが要求を送信したデバイス名も含まれます。
要求が 30 日以内に承認されない場合は、削除されます。 クライアントを再インストールすると、保留中の承認要求が取り消される可能性があります。
デバイス コレクションへの展開で承認が必要な場合、アプリはソフトウェア センターに表示されません。 ユーザー コレクションへの展開で承認が必要な場合は、ソフトウェア センターにアプリが表示されます。 クライアント設定の [ ソフトウェア センターで承認されていないアプリケーションを非表示にする] を使用して、ユーザーから非表示にすることができます。 詳細については、「 ソフトウェア センターのクライアント設定」を参照してください。
アプリケーションのインストールを承認したら、Configuration Manager コンソールで要求を 拒否 できます。 ユーザーがまだアプリケーションをインストールしていない場合、この操作により、ソフトウェア センターからアプリケーションの新しいコピーがインストールされなくなります。 アプリケーションが以前に承認されてインストールされていた場合、アプリケーションの要求を 拒否 すると、クライアントはユーザーのデバイスからアプリケーションをアンインストールします。
コンソールでアプリ要求を承認してから拒否した場合は、もう一度承認できます。 アプリは、承認後にクライアントに再インストールされます。
Approval-CMApprovalRequest PowerShell コマンドレットを使用して、承認プロセスを自動化します。 このコマンドレットには、 InstallActionBehavior パラメーターが 含まれています。 このパラメーターを使用して、アプリケーションをすぐにインストールするか、営業時間外にインストールするかを指定します。
承認が必要なデプロイを確認できます。 [アプリケーション] ノードでアプリ を 選択します。 詳細ウィンドウで、[ デプロイ ] タブに切り替えます。既定では、[ 承認が必要] という列が表示されます。
事前に承認されたアプリケーションのインストールを再試行する
ユーザーまたはデバイスに対して以前に承認したアプリのインストールを再試行できます。 承認オプションは、使用可能なデプロイに対してのみ使用できます。 ユーザーがアプリをアンインストールした場合、または初期インストール プロセスが失敗した場合、Configuration Manager はその状態を再評価して再インストールしません。 この機能を使用すると、サポート技術者は、ヘルプを呼び出すユーザーのアプリのインストールをすばやく再試行できます。
Configuration Manager コンソールを、Application オブジェクトに対する 承認 アクセス許可を持つユーザーとして開きます。 たとえば、 アプリケーション管理者 または アプリケーション作成者 の組み込みロールには、このアクセス許可があります。
承認が必要なアプリをデプロイし、承認します。
ヒント
または、 デバイスのアプリケーションをインストールします。 デバイス上にアプリの承認済み要求が作成されます。
アプリケーションが正常にインストールされない場合、またはユーザーがアプリをアンインストールした場合は、次のプロセスを使用して再試行します。
Configuration Manager コンソールで、[ ソフトウェア ライブラリ ] ワークスペースに移動し、[ アプリケーション管理] を展開し、[ アプリケーション要求 ] ノードを選択します。
以前に承認されたアプリを選択します。 リボンの [承認要求] グループで、[ インストールの再試行] を選択します。
その他のアプリ承認リソース
ユーザーがこのアプリケーションを要求した場合に管理者の承認を要求する
注:
このエクスペリエンスは、推奨される オプションのアプリ承認エクスペリエンスを有効にしない場合に適用されます。
管理者は、ユーザーがアプリケーションをインストールする前に、アプリケーションに対するユーザー要求を承認します。 このオプションは、展開の目的が [必須] の場合、またはアプリケーションをデバイス コレクションに展開する場合は淡色表示されます。
アプリケーションの承認要求は、[アプリケーション要求] ノードの [ソフトウェア ライブラリ] ワークスペースの [アプリケーション管理] に表示されます。 要求が 30 日以内に承認されない場合は、削除されます。 クライアントを再インストールすると、保留中の承認要求が取り消される可能性があります。
アプリケーションのインストールを承認したら、Configuration Manager コンソールで要求を 拒否 できます。 この操作では、クライアントはどのデバイスからもアプリケーションをアンインストールしません。 ソフトウェア センターからアプリケーションの新しいコピーをインストールできないようにします。
メール通知
アプリケーション承認要求の電子メール通知を構成できます。 ユーザーがアプリケーションを要求すると、メールが届きます。 Configuration Manager コンソールを必要とせずに、メール内のリンクをクリックして要求を承認または拒否します。
アプリケーションの新しいデプロイの作成時に要求を承認または拒否できるユーザーのメール アドレスを定義できます。 後でメール アドレスの一覧を変更する必要がある場合は、[ 監視 ] ワークスペースに移動し、[ アラート] を展開して、[ サブスクリプション ] ノードを選択します。 アプリケーションのデプロイに関連する電子メール サブスクリプションを使用して、いずれかのアプリケーションの [承認] から [プロパティ] を選択します。
複数のアラートがある場合は、どのアラートがどのデプロイに適用されているかを判断できます。 アラートのプロパティを開き、[全般] タブで [選択したアラート ] の一覧を表示します。デプロイは、このサブスクリプションのアラートとして有効になります。
ユーザーは、ソフトウェア センターから要求にコメントを追加できます。 このコメントは、Configuration Manager コンソールのアプリケーション要求に表示されます。 そのコメントはメールにも表示されます。 このコメントをメールに含めることは、承認者が要求を承認または拒否するより良い決定を下すのに役立ちます。
前提条件
電子メール通知を送信し、内部ネットワークでアクションを実行するには
これらの前提条件により、受信者は要求の通知を含む電子メールを受信します。 内部ネットワーク上にある場合は、メールからの要求を承認または拒否することもできます。
オプションの機能 [デバイスごとのユーザーのアプリケーション要求を承認する] を有効にします。
-
注:
アプリケーションをデプロイする管理ユーザーには、アラートとサブスクリプションを作成するためのアクセス許可が必要です。 このユーザーにこれらのアクセス許可がない場合は、 ソフトウェアの展開ウィザードの最後にエラーが表示されます。"この操作を実行するためのセキュリティ権限がありません"。
注:
階層内に複数の子プライマリ サイトがある場合は、この機能を有効にするプライマリ サイトごとにこれらの前提条件を構成します。 電子メール通知のリンクは、プライマリ サイトの管理サービス用です。
インターネットからアクションを実行するには
これらの追加のオプションの前提条件により、受信者はインターネットにアクセスできる任意の場所から要求を承認または拒否できます。
クラウド管理ゲートウェイを介して SMS プロバイダー管理サービスを有効にします。 Configuration Manager コンソールで、[ 管理 ] ワークスペースに移動し、[ サイトの構成] を展開し、[ サーバーとサイト システムの役割 ] ノードを選択します。 SMS プロバイダー ロールを持つサーバーを選択します。 詳細ウィンドウで SMS プロバイダー ロールを選択し、[サイト ロール] タブのリボンで [プロパティ ] を選択します。[ 管理サービスの Configuration Manager クラウド管理ゲートウェイ トラフィックを許可する] オプションを選択します。
サポートされているバージョンの .NET Framework をインストールします。 バージョン 2107 以降、SMS プロバイダーには .NET バージョン 4.6.2 が必要であり、バージョン 4.8 が推奨されます。 バージョン 2103 以前では、このロールには .NET 4.5 以降が必要です。 詳細については、「 サイトとサイト システムの前提条件」を参照してください。
クラウド管理ゲートウェイを設定します。
注:
このシナリオでは、Configuration Manager バージョン 2207 以降がインストールされるまで、仮想マシン スケール セットを使用した CMG デプロイはサポートされません。
Cloud Management 用の Azure サービスにサイトをオンボードします。
Microsoft Entra ユーザー検出を有効にします。
Microsoft Entra ID で設定を手動で構成します。
グローバル管理者アクセス許可を持つユーザーとして Azure portal に移動します。 Microsoft Entra ID に移動し、[アプリの登録] を選択します。
Configuration Manager Cloud Management 統合用に作成されたクライアント アプリケーションを選択します。
[ 管理 ] メニューの [ 認証] を選択します。
まだ存在しない場合は、新しい シングルページ アプリケーションの 種類を追加します。
[ リダイレクト URI] セクションで、次のパスを貼り付けます。
https://<CMG FQDN>/CCM_Proxy_ServerAuth/ImplicitAuth
<CMG FQDN>
を、クラウド管理ゲートウェイ (CMG) サービスの完全修飾ドメイン名 (FQDN) に置き換えます。 たとえば、GraniteFalls.Contoso.com。Configuration Manager バージョン 2111 以降の場合、[ 暗黙的な許可とハイブリッド フロー ] セクションで、次のオプションを選択します。
- アクセス トークン (暗黙的フローに使用)
- ID トークン (暗黙的フローとハイブリッド フローに使用)
その後、[保存] を選択します。
注:
既存のクライアント登録アプリケーションでリダイレクト URI を更新する必要がある場合は、SPA として作成し、古いリダイレクト URI を削除する必要があります。
電子メールの承認を構成する
Configuration Manager コンソールで、ユーザー コレクション で使用可能なアプリケーションをデプロイ します。 [ 展開設定] ページで、承認のために有効にします。 次に、通知を受信する 1 つ以上のメール アドレスを入力します。 メール アドレスはセミコロン (
;
) で区切ります。注:
メールを受け取った Microsoft Entra 組織内のすべてのユーザーが、要求を承認できます。 他のユーザーにアクションを実行させる場合を除き、メールを他のユーザーに転送しないでください。
ユーザーとして、ソフトウェア センターでアプリケーションを要求します。
5 分以内に電子メール通知が届きます。 電子メールの内容は、次の例のようになります。
注:
承認または拒否するリンクは、1 回限りの使用を目的とします。 たとえば、通知を受信するようにグループ エイリアスを構成します。 Meg は要求を承認します。 これで、Bruce は要求を拒否できません。
トラブルシューティングのために、サイト サーバー上の NotiCtrl.log ファイルを確認します。
保守
Configuration Manager は、アプリケーション承認要求に関する情報をサイト データベースに格納します。 キャンセルまたは拒否された要求の場合、サイトは 30 日後に要求履歴を削除します。 期限 切れのアプリケーション要求データサイトのメンテナンス タスクを使用して、この削除動作を構成できます。 承認または保留中のアプリケーション要求は、サイトによって削除されることはありません。