Configuration Managerでの CMG の計画

Configuration Manager (現在のブランチ) に適用

インターネット ベースのクライアントの管理を簡略化するには、まずクラウド管理ゲートウェイ (CMG) の計画を作成します。 環境に適合する方法を設計し、実装の準備をします。

CMG シナリオとユース ケースに関する基本的な知識については、「 CMG の概要」を参照してください。

注:

この記事で以前に説明したセクションの一部が移動されました。

計画チェックリスト

CMG 計画プロセス全体は、次の部分に分かれています。

  • コンポーネントと要件: この記事では、CMG システムを構成するコンポーネントをまとめたものです。 また、システム要件の一覧も示します。

  • クライアント認証: 信頼されていない可能性のあるネットワークのクライアントに使用する認証方法を決定します。

  • 階層設計: 環境に CMG を配置する場所を計画します。

  • サポートされている構成: CMG に接続するインターネット ベースのクライアントでサポートできるConfiguration Manager機能について説明します。

  • パフォーマンスとスケール: クライアントの数を最適にサポートするために必要なサービス コンポーネントの数を決定します。

  • コスト: Azure ベースのコンポーネントのコストを理解します。

CMG コンポーネント

CMG のデプロイと操作には、次のコンポーネントが含まれます。

  • Azure の CMG クラウド サービスは、インターネット経由Configuration Managerクライアント要求を認証し、オンプレミスの CMG 接続ポイントに転送します。

  • CMG 接続ポイント サイト システムの役割により、オンプレミス ネットワークから Azure の CMG サービスへの一貫性のある高パフォーマンス接続が可能になります。 また、接続情報やセキュリティ設定などの設定を CMG に発行します。 CMG 接続ポイントは、URL マッピングに従って、CMG からオンプレミスロールにクライアント要求を転送します。 たとえば、管理ポイントとソフトウェアの更新ポイントなどです。

  • サービス接続ポイントサイト システムの役割は、すべての CMG 展開タスクを処理するクラウド サービス マネージャー コンポーネントを実行します。 さらに、Microsoft Entra ID からサービスの正常性とログ情報を監視およびレポートします。 サービス接続ポイントが オンライン モードになっていることを確認します。

  • 管理ポイントソフトウェアの更新ポイントサイト システムは、通常どおりのサービス クライアント要求を役割とします。

  • CMG では、 証明書ベースの HTTPS Web サービスを使用して、クライアントとのネットワーク通信をセキュリティで保護します。

  • インターネット ベースのクライアントは CMG に接続して、オンプレミスのConfiguration Manager コンポーネントにアクセスします。 クライアント ID と認証には、複数のオプションがあります。

    • Microsoft Entra ID
    • PKI 証明書
    • サイト発行トークンのConfiguration Manager

    詳細については、「 CMG クライアント認証の計画」を参照してください。

  • CMG によって Azure ストレージ アカウントが作成されます。このアカウントは、標準操作に使用されます。 既定では、CMG は、インターネット ベースのクライアントに展開コンテンツを提供するためにもコンテンツが有効になっています。 このストレージ アカウントでは、仮想ネットワークの制限などのカスタマイズはサポートされていません。

    注:

    クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 以降では、新しい CDP インスタンスを作成できません。 インターネット ベースのデバイスにコンテンツを提供するには、CMG がコンテンツを配布できるようにします。

Azure Resource Manager

CMG は、Azure Resource Manager デプロイを使用して作成します。 Azure Resource Managerは、すべてのソリューション リソースをリソース グループと呼ばれる 1 つのエンティティとして管理するための最新のプラットフォームです。 Azure Resource Managerを使用して CMG をデプロイすると、サイトは Microsoft Entra ID を使用して、必要なクラウド リソースを認証して作成します。

重要

バージョン 2203 以降では、 クラウド サービス (クラシック) として CMG をデプロイするオプションが削除されます。 すべての CMG デプロイでは 、仮想マシン スケール セットを使用する必要があります。 詳細については、「 削除された機能と非推奨の機能」を参照してください。

仮想マシン スケール セット

注:

この機能は、 プレリリース機能としてバージョン 2010 で初めて導入されました。 バージョン 2107 以降では、プレリリース機能ではなくなりました。

Configuration Managerでは、このオプション機能は既定では有効になりません。 この機能を使用する前に、この機能を有効にする必要があります。 詳細については、「更新プログラムのオプション機能の有効化」を参照してください。

バージョン 2010 以降、クラウド ソリューション プロバイダー (CSP) サブスクリプションをお持ちのお客様は、 仮想マシン スケール セット を使用して CMG を Azure にデプロイできます。 このサポートは、現在、クラシック クラウド サービスを使用して別のサブスクリプションにデプロイされている CMG がない場合のみです。

バージョン 2107 以降では、すべての顧客が仮想マシン スケール セットを使用して CMG をデプロイできます。 既存の CMG をクラシック クラウド サービスと共にデプロイしている場合は、仮想マシン スケール セットを使用するように CMG を 変換 します。

いくつかの例外を除き、CMG の構成、操作、および機能は変わりません。

  • Azure サブスクリプション内 の他の Azure リソース プロバイダー

  • たとえば、米国東部 Azure リージョンでのデプロイに GraniteFalls.EastUS.CloudApp.Azure.Com など、さまざまなデプロイ名。 この名前の変更は、 CMG サーバー認証証明書を作成および管理する方法に影響する可能性があります。

  • CMG 接続ポイントは、HTTPS 経由で Azure の仮想マシン スケール セットとのみ通信します。 TCP-TLS ポートは必要ありません。

仮想マシン スケール セットを使用する CMG の制限事項

バージョン 2107 以降の制限事項

注:

バージョン 2111 以降、仮想マシン スケール セットを使用した CMG デプロイでは、Azure US Government クラウド環境がサポートされています。

  • ユーザーは、ソフトウェア センターでのアクションに対して最大 3 秒の遅延が発生する可能性があります。
  • CMG を使用してアプリケーション要求を承認または拒否することはできません。
  • バージョン 2107 では、Azure US Government クラウド環境はサポートされていません。

バージョン 2010 および 2103 の制限事項

  • 複数の CMG インスタンスが必要な場合は、すべて同じデプロイ方法を使用する必要があります。
  • 同時クライアント接続のサポートされる数は、VM インスタンスあたり 2,000 です。 詳細については、「 CMG のパフォーマンスとスケーリング」を参照してください。
  • スタンドアロン プライマリ サイトでのみサポートされます。
  • Azure US Government クラウド環境はサポートされていません。
  • ユーザーは、ソフトウェア センターでのアクションに対して最大 3 秒の遅延が発生する可能性があります。
  • Configuration Manager現在、リソース グループの名前に基づいて Azure ストレージ コンテナーが作成されます。 Azure には、リソース グループとストレージ コンテナーに対して異なる名前付け要件があります。 このサービスのリソース グループの名前に小文字、数字、ハイフンのみが含まれていることを確認します。 動作しない既存のリソース グループがある場合は、Azure portalで名前を変更するか、新しいリソース グループを作成します。
  • 複数の HTTPS 管理ポイントがある場合、インターネット経由のデバイスにConfiguration Manager クライアントをインストールすることはできません。 CMG を使用してオンプレミスのクライアントをインストールする必要がある場合は、HTTPS 管理ポイントを 1 つだけ使用できます。 また、コンテンツに対して CMG を有効にする必要もあります。
  • CMG を使用してアプリケーション要求を承認または拒否することはできません。

要件

ヒント

いくつかの Azure 用語を明確にするには:

  • Microsoft Entra ID テナントは、ユーザー アカウントとアプリ登録のディレクトリです。 1 つのテナントに複数のサブスクリプションを設定できます。
  • Azure サブスクリプション は、課金、リソース、サービスを分離します。 これは 1 つのテナントに関連付けられています。

詳細については、「 Microsoft のクラウド オファリングのサブスクリプション、ライセンス、アカウント、テナント」を参照してください。

  • CMG をホストする Azure サブスクリプション 。 このサブスクリプションは、次のいずれかの環境に存在できます。

    • グローバル Azure クラウド
    • Azure US Government クラウド

    クラウド サービス プロバイダー (CSP) サブスクリプションをお持ちのお客様は、 仮想マシン スケール セット のデプロイでバージョン 2010 以降を使用する必要があります。

  • サイトを Microsoft Entra ID と統合して、サービスを Azure Resource Managerにデプロイします。 詳細については、「CMG のMicrosoft Entra ID を構成する」を参照してください。

    MICROSOFT ENTRA ID にサイトをオンボードする場合は、必要に応じてユーザー検出Microsoft Entra有効にすることができます。 CMG を作成する必要はありませんが、ハイブリッド ID でMicrosoft Entra認証を使用する予定の場合は必須です。 詳細については、「Microsoft Entra ID を使用してクライアントをインストールする」および「ユーザー検出Microsoft Entraについて」を参照してください。

  • Azure 管理者は、特定のコンポーネントの初期作成に参加する必要があります。 このペルソナは、Configuration Manager管理者と同じでも、別のペルソナでもかまいません。 別の場合、Configuration Managerのアクセス許可は必要ありません。

    • Azure Resource Managerを使用して CMG をデプロイするためのMicrosoft Entra ID とサイトを統合する場合は、グローバル管理者が必要です。

    • CMG を作成するときは、Azure サブスクリプション所有者とMicrosoft Entra ID グローバル管理者であるアカウントが必要です。

  • ユーザー アカウントは、Configuration Managerの完全な管理者またはインフラストラクチャ管理者である必要があります。

  • CMG 接続ポイントをホストする少なくとも 1 つのオンプレミス Windows サーバー。 このロールは、他のConfiguration Managerサイト システムの役割と併置できます。

  • サービス接続ポイントオンライン モードである必要があります。

  • CMG からのトラフィックを許可するように 管理ポイント を構成します。 また、HTTPS を必要とするか、 拡張 HTTP 用にサイトを構成する必要があります。

  • CMG の サーバー認証証明書

  • CMG 名は 3 から 24 文字の英数字である必要があります。 名前は、文字で始まり、文字または数字で終わり、連続するハイフンを含めないようにする必要があります。

  • クライアント OS のバージョンと認証モデルによっては、他の証明書が必要になる場合があります。 詳細については、「 クライアント認証の構成」を参照してください。

  • クライアントは IPv4 を使用する必要があります。

  • CMG を使用するデバイスに対して、クラウド サービス グループの次のクライアント設定が有効になっていることを確認します。

    • クライアントがクラウド管理ゲートウェイを使用できるようにする
    • クラウド配布ポイントへのアクセスを許可する

    注:

    クライアント設定を [ 利用可能な場合は差分コンテンツをダウンロードする] を有効にした場合、サード パーティの更新プログラムのコンテンツはクライアントにダウンロードされません。

次の手順

次に、クライアントが CMG で認証する方法を決定します。