次の方法で共有

インターネット アクセス要件

  • [アーティクル]

一部の構成マネージャー機能は、完全な機能の利用する上でインターネット接続を必要とします。 組織がファイアウォールまたはプロキシ デバイスを使用してインターネットとのネットワーク通信を制限する場合は、これらのエンドポイントを許可してください。

構成マネージャーは、製品全体で次の Microsoft URL 転送サービスを使用します。

  • https://aka.ms
  • https://go.microsoft.com

以下のセクションに明示的に一覧表示されていない場合でも、これらのエンドポイントは常に許可する必要があります。

サービス接続ポイント

詳細については、「 サービス接続ポイントについて」を参照してください。

これらの構成は、サービス接続ポイントをホストするサーバーと、そのサーバーとインターネットの間のファイアウォールに適用されます。 インターネットの場所への送信 HTTPS ポート TCP 443 を介した通信を許可します。

サービス接続ポイントでは、認証の有無に関係なく Web プロキシを使用してこれらの場所を使用できます。 詳細については、「 プロキシ サーバーのサポート」を参照してください。

Configuration Manager サイトがクラウド サービスの必要なエンドポイントへの接続に失敗した場合、重要な状態メッセージ ID 11488 が生成されます。 サービスに接続できない場合、SMS_SERVICE_CONNECTOR コンポーネントの状態は重大に変わります。 Configuration Manager コンソールの [コンポーネントの状態] ノードで詳細な状態を表示します。

バージョン 2010 以降、サービス接続ポイントは テナント接続の重要なインターネット エンドポイントを検証します。 これらのチェックは、クラウドに接続されたサービスが使用可能であることを確認するのに役立ちます。 また、ネットワーク接続に問題があるのかどうかを迅速に判断できるため、問題のトラブルシューティングにも役立ちます。 詳細については、「 インターネット アクセスの検証」を参照してください。

サービス接続ポイントに必要な特定の URL は、Configuration Manager 機能によって異なります。

ヒント

サービス接続ポイントは、 go.microsoft.com または manage.microsoft.comに接続するときに Microsoft Intune サービスを使用します。 Intune コネクタで、Baltimore CyberTrust ルート証明書がインストールされていない場合、有効期限が切れている場合、またはサービス接続ポイントで破損している場合に接続の問題が発生する既知の問題があります。 詳細については、「 サービス接続ポイントが更新プログラムをダウンロードしない」を参照してください。

更新とサービス

詳細については、「 更新プログラムとサービス」を参照してください。

ヒント

管理分析情報ルールに対してこれらのエンドポイントを有効にします。Configuration Manager の更新プログラムのためにサイトを Microsoft クラウドに接続します。

  • *.akamaiedge.net

  • *.akamaitechnologies.com

  • *.manage.microsoft.com

  • go.microsoft.com

  • download.microsoft.com

  • download.windowsupdate.com

  • download.visualstudio.microsoft.com

  • sccmconnected-a01.cloudapp.net

  • definitionupdates.microsoft.com

  • configmgrbits.azureedge.net

    重要

    この Azure エンドポイントでは、特定の暗号スイートを持つ TLS 1.2 のみがサポートされます。 環境でこれらの Azure 構成がサポートされていることを確認します。 詳細については、「 Azure Front Door: TLS 構成に関する FAQ」を参照してください。

  • cmbitsstore.blob.core.windows.net

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • cmbitsstore.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

Windows サービス

詳細については、「 サービスとしての Windows の管理」を参照してください。

  • download.microsoft.com

  • https://go.microsoft.com/fwlink/?LinkID=619849

  • dl.delivery.mp.microsoft.com

Azure サービス

詳細については、「 Configuration Manager で使用する Azure サービスを構成する」を参照してください。

  • management.azure.com (Azure パブリック クラウド)
  • management.usgovcloudapi.net (Azure US Government クラウド)

共同管理

共同管理のために Windows デバイスを Microsoft Intune に登録する場合は、それらのデバイスが Intune で必要なエンドポイントにアクセスできることを確認します。 詳細については、「 Microsoft Intune のネットワーク エンドポイント」を参照してください。

ビジネス向け Microsoft Store

Configuration Manager を Microsoft Store for Business と統合する場合は、サービス接続ポイントと対象デバイスがクラウド サービスにアクセスできることを確認してください。 詳細については、「 Microsoft Store for Business プロキシの構成」を参照してください。

配信の最適化

配信の最適化を使用する場合、クライアントはクラウド サービスと通信する必要があります。 *.do.dsp.mp.microsoft.com

Microsoft Connected Cache をサポートする配布ポイントには、これらのエンドポイントも必要です。

詳細については、次の記事を参照してください。

クラウド サービス

クラウド管理ゲートウェイ (CMG) の詳細については、「CMG の計画」を参照してください。

このセクションでは、次の機能について説明します。

  • クラウド管理ゲートウェイ (CMG)

  • Microsoft Entra の統合

  • Microsoft Entra ID ベースの検出

  • クラウド配布ポイント (CDP)

    注:

    クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 以降では、新しい CDP インスタンスを作成できません。 インターネット ベースのデバイスにコンテンツを提供するには、CMG がコンテンツを配布できるようにします。

次のセクションでは、エンドポイントをロール別に一覧表示します。 一部のエンドポイントは、 <prefix>によってサービスを参照します。これは CMG のプレフィックス名です。 たとえば、CMG が GraniteFalls.WestUS.CloudApp.Azure.Comされている場合、実際のストレージ エンドポイントは GraniteFalls.blob.core.windows.net

ヒント

いくつかの用語を明確にするには:

  • CMG サービス名: CMG サーバー認証証明書の共通名 (CN)。 クライアントと CMG 接続ポイントサイト システムの役割は、このサービス名と通信します。 たとえば、GraniteFalls.contoso.com および GraniteFalls.WestUS.CloudApp.Azure.Com が禁止となります。

  • CMG デプロイ名: サービス名の最初の部分と、クラウド サービスデプロイの Azure の場所。 サービス接続ポイントのクラウド サービス マネージャー コンポーネントは、Azure に CMG をデプロイするときにこの名前を使用します。 デプロイ名は常に Azure ドメイン内にあります。 Azure の場所は、デプロイ方法によって異なります。例:

    • 仮想マシン スケール セット: GraniteFalls.WestUS.CloudApp.Azure.Com
    • クラシック デプロイ: GraniteFalls.CloudApp.Net

この記事では、バージョン 2107 以降で推奨されるデプロイ方法として、仮想マシン スケール セットの例を使用します。 クラシック デプロイを使用する場合は、この記事を読み、インターネット アクセスを構成するときに違いに注意してください。

クラウド サービスのサービス接続ポイント

Configuration Manager で CMG サービスを Azure にデプロイするには、サービス接続ポイントに次のアクセス権が必要です。

  • 特定の Azure エンドポイント。構成に応じて環境ごとに異なります。 Configuration Manager は、これらのエンドポイントをサイト データベースに格納します。 SQL Server の AzureEnvironments テーブルに対して、Azure エンドポイントの一覧を照会します。

  • Azure サービス:

    • management.azure.com (Azure パブリック クラウド)
    • management.usgovcloudapi.net (Azure US Government クラウド)

  • Microsoft Entra ユーザー検出の場合: Microsoft Graph エンドポイント https://graph.microsoft.com/

クラウド サービスの CMG 接続ポイント

CMG 接続ポイントは、次のエンドポイントにアクセスする必要があります。

Azure パブリック クラウド Azure US Government クラウド
サービス <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
ストレージ エンドポイント 1 <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
ストレージ エンドポイント 2 <prefix>.table.core.windows.net <prefix>.table.core.usgovcloudapi.net
キー コンテナー <prefix>.vault.azure.net <prefix>.vault.usgovcloudapi.net

CMG 接続ポイント サイト システムでは、Web プロキシの使用がサポートされています。 プロキシに対してこのロールを構成する方法の詳細については、「 プロキシ サーバーのサポート」を参照してください。

CMG 接続ポイントは、CMG サービス エンドポイントにのみ接続する必要があります。 他の Azure エンドポイントへのアクセスは必要ありません。

クラウド サービス用の Configuration Manager クライアント

CMG と通信する必要がある Configuration Manager クライアントは、次のエンドポイントにアクセスする必要があります。

Azure パブリック クラウド Azure US Government クラウド
デプロイ <prefix>.<region>.cloudapp.azure.com <prefix>.usgovcloudapp.net
ストレージ エンドポイント <prefix>.blob.core.windows.net <prefix>.blob.core.usgovcloudapi.net
Microsoft Entra エンドポイント login.microsoftonline.com login.microsoftonline.us

クラウド サービス用の Configuration Manager コンソール

Configuration Manager コンソールを使用するすべてのデバイスは、次のエンドポイントにアクセスする必要があります。

Azure パブリック クラウド Azure US Government クラウド
Microsoft Entra エンドポイント login.microsoftonline.com
aadcdn.msauth.net
aadcdn.msftauth.net		 login.microsoftonline.us

ソフトウェア更新プログラム

WSUS と自動更新が Microsoft Update クラウド サービスと通信できるように、アクティブなソフトウェアの更新ポイントが次のエンドポイントにアクセスできるようにします。

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://ntservicepack.microsoft.com

ソフトウェア更新プログラムの詳細については、「ソフトウェア更新プログラム の計画」を参照してください。

イントラネット ファイアウォール

次の場合は、2 つのサイト システム間のファイアウォールにエンドポイントを追加することが必要になる場合があります。

  • 子サイトにソフトウェアの更新ポイントがある場合
  • サイトにリモート アクティブなインターネット ベースのソフトウェアの更新ポイントがある場合

子サイトのソフトウェア更新ポイント

  • http://<FQDN for software update point on child site>

  • https://<FQDN for software update point on child site>

  • http://<FQDN for software update point on parent site>

  • https://<FQDN for software update point on parent site>

Microsoft 365 アプリの管理

注:

2020 年 4 月 21 日から、Office 365 ProPlus の名前が Microsoft 365 Apps for enterprise に変更されました。 詳細については、「 Office 365 ProPlus の名前の変更」を参照してください。 コンソールの更新中でも、Configuration Manager コンソールとサポート ドキュメントに古い名前への参照が表示される場合があります。

Configuration Manager を使用して Microsoft 365 Apps for enterprise を展開および更新する場合は、次のエンドポイントを許可します。

  • officecdn.microsoft.com Microsoft 365 Apps for Enterprise クライアント更新プログラムのソフトウェア更新ポイントを同期するには

  • config.office.com Microsoft 365 Apps for Enterprise デプロイ用のカスタム構成を作成するには

  • https://clients.config.office.netmicrosoft 365 Apps for enterprise の更新プログラムの展開をサポートするためのhttps://go.microsoft.com/fwlink/?linkid=2190568

  • contentstorage.osi.office.net Office アドインの準備状況の評価をサポートする

Microsoft Apps 365 準備ファイルをダウンロードするには、最上位のサイト サーバーが次のエンドポイントにアクセスする必要があります。

  • 2021 年 3 月 2 日以降: https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
    • 2021 年 3 月 2 日より前の場所: https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab

注:

このファイルの場所は、2021 年 3 月 2変更されています。 詳細については、「 Microsoft 365 Apps 準備ファイルの場所の変更をダウンロードする」を参照してください。

Configuration Manager コンソール

Configuration Manager コンソールを使用するコンピューターでは、特定の機能に対して次のインターネット エンドポイントにアクセスする必要があります。

注:

Microsoft からのプッシュ通知をコンソールに表示するには、サービス接続ポイントが configmgrbits.azureedge.netにアクセスする必要があります。 また、更新とサービスのためにこのエンドポイントにアクセスする必要があるため、既に許可されている可能性があります。

コンソール内のフィードバック

コンソールを実行するコンピューターで、次のインターネット エンドポイントにアクセスして診断データを Microsoft に送信できるようにします。

  • petrol.office.microsoft.com

  • ceuswatcab01.blob.core.windows.net

  • ceuswatcab02.blob.core.windows.net

  • eaus2watcab01.blob.core.windows.net

  • eaus2watcab02.blob.core.windows.net

  • weus2watcab01.blob.core.windows.net

  • weus2watcab02.blob.core.windows.net

  • umwatsonc.events.data.microsoft.com

  • *-umwatsonc.events.data.microsoft.com

この機能の詳細については、「 製品のフィードバック」を参照してください。

コミュニティ ワークスペース

ドキュメント ノード

このコンソール ノードの詳細については、「 Configuration Manager コンソールの使用」を参照してください。

  • https://aka.ms

  • https://raw.githubusercontent.com

コミュニティ ハブ

この機能の詳細については、「 コミュニティ ハブ」を参照してください。

  • https://github.com

  • https://communityhub.microsoft.com

テナントのアタッチ

詳細については、「テナントのアタッチの有効化」を参照してください。

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com Azure パブリック クラウドのお客様向け

  • https://*.manage.microsoft.us バージョン 2107 以降の米国政府機関クラウドのお客様向け

  • https://dc.services.visualstudio.com

サービス接続ポイントは、 https://*.manage.microsoft.comでホストされている通知サービスへの長時間の送信接続を行います。 サービス接続ポイントに使用されるプロキシが、発信接続のタイムアウトを早くしすぎないことを確認します。 このインターネット エンドポイントへの発信接続は 3 分に設定することをお勧めします。

環境に特定の証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の検証場所のみを許可するプロキシ 規則がある場合は、次の CRL と OCSP URL も許可します。

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

エンドポイントの分析

詳細については、「 エンドポイント分析プロキシの構成」を参照してください。

Configuration Manager マネージド デバイスに必要なエンドポイント

Configuration Manager マネージド デバイスからは、Configuration Manager ロールのコネクタ経由で Intune にデータが送信され、Microsoft パブリック クラウドに直接アクセスする必要はありません。

エンドポイント 職務
https://graph.windows.net Configuration Manager サーバー ロールの Endpoint analytics に階層をアタッチするときに設定を自動的に取得するために使用されます。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。
https://*.manage.microsoft.com デバイスコレクションとデバイスを、Configuration Manager サーバーロールでのみ Endpoint analytics と同期するために使用されます。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。

Intune マネージド デバイスに必要なエンドポイント

エンドポイント分析にデバイスを登録する場合、デバイスから Microsoft パブリック クラウドに必要な機能データが送信される必要があります。 Endpoint Analytics は、Windows クライアントと Windows Server 接続ユーザー エクスペリエンスとテレメトリ コンポーネント (DiagTrack) を使用して、Intune で管理されるデバイスからデータを収集します。 デバイス上の接続ユーザー エクスペリエンスとテレメトリ サービスが実行されていることを確認してください。

エンドポイント 職務
https://*.events.data.microsoft.com 必要な機能データを Intune データ収集エンドポイントに送信するために Intune マネージド デバイスによって使用されます。

資産インテリジェンス

資産インテリジェンスを使用する場合は、サービスの同期を次のエンドポイントに許可します。

  • https://sc.microsoft.com
  • https://ssu2.manage.microsoft.com

Microsoft Edge の展開

Configuration Manager コンソールを実行しているデバイスは、Microsoft Edge を展開するために次のエンドポイントにアクセスする必要があります。

場所 使用
https://aka.ms/cmedgeapi Microsoft Edge のリリースに関する情報
https://edgeupdates.microsoft.com/api/products?view=enterprise Microsoft Edge のリリースに関する情報
http://dl.delivery.mp.microsoft.com Microsoft Edge リリースのコンテンツ

外部通知

詳細については、「 外部通知」を参照してください。

サービス接続ポイントは、通知サービス (Azure Logic Apps など) と通信する必要があります。 ロジック アプリのアクセス エンドポイントの形式は通常、 https://*.<RegionName>.logic.azure.com:443です。 例: https://prod1.westus2.logic.azure.com:443

ロジック アプリのアクセス エンドポイントと関連する IP アドレスを取得するには、次のプロセスを使用します。

  1. Azure portal の [Logic Apps] で、通知のロジック アプリを選択します。 詳細については、「 Azure portal でロジック アプリを管理する」を参照してください。
  2. アプリのメニューの [設定] セクションで、[プロパティ] を選択 します
  3. Access エンドポイントと Access エンドポイントIP アドレスの値を表示またはコピーします。

Microsoft パブリック IP アドレス

Microsoft IP アドレス範囲の詳細については、「 Microsoft パブリック IP 空間」を参照してください。 これらのアドレスは定期的に更新されます。 サービスごとの細分性はなく、これらの範囲の IP アドレスを使用できます。

次の手順