インターネット アクセス要件
一部の構成マネージャー機能は、完全な機能の利用する上でインターネット接続を必要とします。 組織がファイアウォールまたはプロキシ デバイスを使用してインターネットとのネットワーク通信を制限する場合は、これらのエンドポイントを許可してください。
構成マネージャーは、製品全体で次の Microsoft URL 転送サービスを使用します。
https://aka.mshttps://go.microsoft.com
以下のセクションに明示的に一覧表示されていない場合でも、これらのエンドポイントは常に許可する必要があります。
サービス接続ポイント
詳細については、「 サービス接続ポイントについて」を参照してください。
これらの構成は、サービス接続ポイントをホストするサーバーと、そのサーバーとインターネットの間のファイアウォールに適用されます。 インターネットの場所への送信 HTTPS ポート TCP 443 を介した通信を許可します。
サービス接続ポイントでは、認証の有無に関係なく Web プロキシを使用してこれらの場所を使用できます。 詳細については、「 プロキシ サーバーのサポート」を参照してください。
Configuration Manager サイトがクラウド サービスの必要なエンドポイントへの接続に失敗した場合、重要な状態メッセージ ID 11488 が生成されます。 サービスに接続できない場合、SMS_SERVICE_CONNECTOR コンポーネントの状態は重大に変わります。 Configuration Manager コンソールの [コンポーネントの状態] ノードで詳細な状態を表示します。
バージョン 2010 以降、サービス接続ポイントは 、Desktop Analytics と テナントアタッチの重要なインターネット エンドポイントを検証します。 これらのチェックは、クラウドに接続されたサービスが使用可能であることを確認するのに役立ちます。 また、ネットワーク接続に問題があるのかどうかを迅速に判断できるため、問題のトラブルシューティングにも役立ちます。 詳細については、「 インターネット アクセスの検証」を参照してください。
サービス接続ポイントに必要な特定の URL は、Configuration Manager 機能によって異なります。
- 更新とサービス
- Windows サービス
- Azure サービス
- ビジネス向け Microsoft Store
- クラウド サービス
- Configuration Manager コンソール
- Desktop Analytics
- テナントのアタッチ
- 外部通知
ヒント
サービス接続ポイントは、 go.microsoft.com または manage.microsoft.comに接続するときに Microsoft Intune サービスを使用します。 Intune コネクタで、Baltimore CyberTrust ルート証明書がインストールされていない場合、有効期限が切れている場合、またはサービス接続ポイントで破損している場合に接続の問題が発生する既知の問題があります。 詳細については、「 サービス接続ポイントが更新プログラムをダウンロードしない」を参照してください。
更新とサービス
詳細については、「 更新プログラムとサービス」を参照してください。
ヒント
管理分析情報ルールに対してこれらのエンドポイントを有効にします。Configuration Manager の更新プログラムのためにサイトを Microsoft クラウドに接続します。
*.akamaiedge.net*.akamaitechnologies.com*.manage.microsoft.comgo.microsoft.comdownload.microsoft.comdownload.windowsupdate.comdownload.visualstudio.microsoft.comsccmconnected-a01.cloudapp.netdefinitionupdates.microsoft.comconfigmgrbits.azureedge.net重要
この Azure エンドポイントでは、特定の暗号スイートを持つ TLS 1.2 のみがサポートされます。 環境でこれらの Azure 構成がサポートされていることを確認します。 詳細については、「 Azure Front Door: TLS 構成に関する FAQ」を参照してください。
cmbitsstore.blob.core.windows.netceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netcmbitsstore.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
Windows サービス
詳細については、「 サービスとしての Windows の管理」を参照してください。
download.microsoft.comhttps://go.microsoft.com/fwlink/?LinkID=619849dl.delivery.mp.microsoft.com
Azure サービス
詳細については、「 Configuration Manager で使用する Azure サービスを構成する」を参照してください。
-
management.azure.com(Azure パブリック クラウド) -
management.usgovcloudapi.net(Azure US Government クラウド)
共同管理
共同管理のために Windows デバイスを Microsoft Intune に登録する場合は、それらのデバイスが Intune で必要なエンドポイントにアクセスできることを確認します。 詳細については、「 Microsoft Intune のネットワーク エンドポイント」を参照してください。
ビジネス向け Microsoft Store
Configuration Manager を Microsoft Store for Business と統合する場合は、サービス接続ポイントと対象デバイスがクラウド サービスにアクセスできることを確認してください。 詳細については、「 Microsoft Store for Business プロキシの構成」を参照してください。
配信の最適化
配信の最適化を使用する場合、クライアントはクラウド サービスと通信する必要があります。 *.do.dsp.mp.microsoft.com
Microsoft Connected Cache をサポートする配布ポイントには、これらのエンドポイントも必要です。
詳細については、次の記事を参照してください。
- 配信の最適化に関する FAQ
- Configuration Manager でのコンテンツ管理の基本的な概念
- Configuration Manager の Microsoft Connected Cache
クラウド サービス
クラウド管理ゲートウェイ (CMG) の詳細については、「CMG の計画」を参照してください。
このセクションでは、次の機能について説明します。
クラウド管理ゲートウェイ (CMG)
Microsoft Entra の統合
Microsoft Entra ID ベースの検出
クラウド配布ポイント (CDP)
注:
クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 以降では、新しい CDP インスタンスを作成できません。 インターネット ベースのデバイスにコンテンツを提供するには、CMG がコンテンツを配布できるようにします。
次のセクションでは、エンドポイントをロール別に一覧表示します。 一部のエンドポイントは、 <prefix>によってサービスを参照します。これは CMG のプレフィックス名です。 たとえば、CMG が GraniteFalls.WestUS.CloudApp.Azure.Comされている場合、実際のストレージ エンドポイントは GraniteFalls.blob.core.windows.net。
ヒント
いくつかの用語を明確にするには:
CMG サービス名: CMG サーバー認証証明書の共通名 (CN)。 クライアントと CMG 接続ポイントサイト システムの役割は、このサービス名と通信します。 たとえば、
GraniteFalls.contoso.comおよびGraniteFalls.WestUS.CloudApp.Azure.Comが禁止となります。CMG デプロイ名: サービス名の最初の部分と、クラウド サービスデプロイの Azure の場所。 サービス接続ポイントのクラウド サービス マネージャー コンポーネントは、Azure に CMG をデプロイするときにこの名前を使用します。 デプロイ名は常に Azure ドメイン内にあります。 Azure の場所は、デプロイ方法によって異なります。例:
- 仮想マシン スケール セット:
GraniteFalls.WestUS.CloudApp.Azure.Com - クラシック デプロイ:
GraniteFalls.CloudApp.Net
- 仮想マシン スケール セット:
この記事では、バージョン 2107 以降で推奨されるデプロイ方法として、仮想マシン スケール セットの例を使用します。 クラシック デプロイを使用する場合は、この記事を読み、インターネット アクセスを構成するときに違いに注意してください。
クラウド サービスのサービス接続ポイント
Configuration Manager で CMG サービスを Azure にデプロイするには、サービス接続ポイントに次のアクセス権が必要です。
特定の Azure エンドポイント。構成に応じて環境ごとに異なります。 Configuration Manager は、これらのエンドポイントをサイト データベースに格納します。 SQL Server の AzureEnvironments テーブルに対して、Azure エンドポイントの一覧を照会します。
Azure サービス:
-
management.azure.com(Azure パブリック クラウド) -
management.usgovcloudapi.net(Azure US Government クラウド)
-
Microsoft Entra ユーザー検出の場合: Microsoft Graph エンドポイント
https://graph.microsoft.com/
クラウド サービスの CMG 接続ポイント
CMG 接続ポイントは、次のエンドポイントにアクセスする必要があります。
| 種類 | Azure パブリック クラウド | Azure US Government クラウド |
|---|---|---|
| サービス 名 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| ストレージ エンドポイント 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| ストレージ エンドポイント 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| キー コンテナー | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG 接続ポイント サイト システムでは、Web プロキシの使用がサポートされています。 プロキシに対してこのロールを構成する方法の詳細については、「 プロキシ サーバーのサポート」を参照してください。
CMG 接続ポイントは、CMG サービス エンドポイントにのみ接続する必要があります。 他の Azure エンドポイントへのアクセスは必要ありません。
クラウド サービス用の Configuration Manager クライアント
CMG と通信する必要がある Configuration Manager クライアントは、次のエンドポイントにアクセスする必要があります。
| 種類 | Azure パブリック クラウド | Azure US Government クラウド |
|---|---|---|
| デプロイ 名 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| ストレージ エンドポイント | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra エンドポイント | login.microsoftonline.com |
login.microsoftonline.us |
クラウド サービス用の Configuration Manager コンソール
Configuration Manager コンソールを使用するすべてのデバイスは、次のエンドポイントにアクセスする必要があります。
| 種類 | Azure パブリック クラウド | Azure US Government クラウド |
|---|---|---|
| Microsoft Entra エンドポイント | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
ソフトウェア更新プログラム
WSUS と自動更新が Microsoft Update クラウド サービスと通信できるように、アクティブなソフトウェアの更新ポイントが次のエンドポイントにアクセスできるようにします。
http://windowsupdate.microsoft.comhttp://*.windowsupdate.microsoft.comhttps://*.windowsupdate.microsoft.comhttp://*.update.microsoft.comhttps://*.update.microsoft.comhttp://*.windowsupdate.comhttp://download.windowsupdate.comhttp://download.microsoft.comhttp://*.download.windowsupdate.comhttp://ntservicepack.microsoft.com
ソフトウェア更新プログラムの詳細については、「ソフトウェア更新プログラム の計画」を参照してください。
イントラネット ファイアウォール
次の場合は、2 つのサイト システム間のファイアウォールにエンドポイントを追加することが必要になる場合があります。
- 子サイトにソフトウェアの更新ポイントがある場合
- サイトにリモート アクティブなインターネット ベースのソフトウェアの更新ポイントがある場合
子サイトのソフトウェア更新ポイント
http://<FQDN for software update point on child site>https://<FQDN for software update point on child site>http://<FQDN for software update point on parent site>https://<FQDN for software update point on parent site>
Microsoft 365 アプリの管理
注:
2020 年 4 月 21 日から、Office 365 ProPlus の名前が Microsoft 365 Apps for enterprise に変更されました。 詳細については、「 Office 365 ProPlus の名前の変更」を参照してください。 コンソールの更新中でも、Configuration Manager コンソールとサポート ドキュメントに古い名前への参照が表示される場合があります。
Configuration Manager を使用して Microsoft 365 Apps for enterprise を展開および更新する場合は、次のエンドポイントを許可します。
officecdn.microsoft.comMicrosoft 365 Apps for Enterprise クライアント更新プログラムのソフトウェア更新ポイントを同期するにはconfig.office.comMicrosoft 365 Apps for Enterprise デプロイ用のカスタム構成を作成するにはhttps://clients.config.office.netmicrosoft 365 Apps for enterprise の更新プログラムの展開をサポートするためのhttps://go.microsoft.com/fwlink/?linkid=2190568contentstorage.osi.office.netOffice アドインの準備状況の評価をサポートする
Microsoft Apps 365 準備ファイルをダウンロードするには、最上位のサイト サーバーが次のエンドポイントにアクセスする必要があります。
- 2021 年 3 月 2 日以降:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB- 2021 年 3 月 2 日より前の場所:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- 2021 年 3 月 2 日より前の場所:
注:
このファイルの場所は、2021 年 3 月 2 日変更されています。 詳細については、「 Microsoft 365 Apps 準備ファイルの場所の変更をダウンロードする」を参照してください。
Configuration Manager コンソール
Configuration Manager コンソールを使用するコンピューターでは、特定の機能に対して次のインターネット エンドポイントにアクセスする必要があります。
注:
Microsoft からのプッシュ通知をコンソールに表示するには、サービス接続ポイントが configmgrbits.azureedge.netにアクセスする必要があります。
また、更新とサービスのためにこのエンドポイントにアクセスする必要があるため、既に許可されている可能性があります。
コンソール内のフィードバック
コンソールを実行するコンピューターで、次のインターネット エンドポイントにアクセスして診断データを Microsoft に送信できるようにします。
petrol.office.microsoft.comceuswatcab01.blob.core.windows.netceuswatcab02.blob.core.windows.neteaus2watcab01.blob.core.windows.neteaus2watcab02.blob.core.windows.netweus2watcab01.blob.core.windows.netweus2watcab02.blob.core.windows.netumwatsonc.events.data.microsoft.com*-umwatsonc.events.data.microsoft.com
この機能の詳細については、「 製品のフィードバック」を参照してください。
コミュニティ ワークスペース
ドキュメント ノード
このコンソール ノードの詳細については、「 Configuration Manager コンソールの使用」を参照してください。
https://aka.mshttps://raw.githubusercontent.com
コミュニティ ハブ
この機能の詳細については、「 コミュニティ ハブ」を参照してください。
https://github.comhttps://communityhub.microsoft.com
Desktop Analytics
詳細については、「 データ共有を有効にする」を参照してください。
サーバー接続エンドポイント
サービス接続ポイントは、次のエンドポイントと通信する必要があります。
| エンドポイント | 職務 |
|---|---|
https://aka.ms |
サービスの検索に使用されます |
https://graph.windows.net |
階層を Desktop Analytics にアタッチするときに CommercialId などの設定を自動的に取得するために使用されます (Configuration Manager Server ロールの場合)。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。 |
https://*.manage.microsoft.com |
デバイス コレクションのメンバーシップ、展開計画、デバイスの準備状態を Desktop Analytics と同期するために使用されます (Configuration Manager サーバーの役割のみ)。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。 |
https://dc.services.visualstudio.com |
クラウドに接続されたサービスの正常性に関する分析情報を得るために、オンプレミスのサービス コネクタからの診断データの場合。 |
ユーザー エクスペリエンスと診断コンポーネント エンドポイント
クライアント デバイスは、次のエンドポイントと通信する必要があります。
| エンドポイント | 職務 |
|---|---|
https://v10c.events.data.microsoft.com |
接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 2018-09 以降の累積的な更新プログラムがインストールされている Windows 10 バージョン 1809 以降、またはバージョン 1803 を実行しているデバイスで使用されます。 |
https://v10.events.data.microsoft.com |
接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 2018-09 累積的な更新プログラム がインストールされていない Windows 10 バージョン 1803 を実行しているデバイスで使用されます。 |
https://v10.vortex-win.data.microsoft.com |
接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 Windows 10 バージョン 1709 以前を実行しているデバイスで使用されます。 |
https://vortex-win.data.microsoft.com |
接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 Windows 7 および Windows 8.1 を実行しているデバイスで使用されます |
クライアント接続エンドポイント
クライアント デバイスは、次のエンドポイントと通信する必要があります。
| インデックス | エンドポイント | 職務 |
|---|---|---|
| 1 | https://settings-win.data.microsoft.com |
互換性更新プログラムが Microsoft にデータを送信できるようにします。 |
| 2 | http://adl.windows.com |
互換性更新プログラムが Microsoft から最新の互換性データを受け取ることができます。 |
| 3 | https://watson.telemetry.microsoft.com |
Windows エラー報告 (WER)。 Windows 10 バージョン 1803 以前の展開の正常性を監視するために必要です。 |
| 4 | https://umwatsonc.events.data.microsoft.com |
Windows エラー報告 (WER)。 Windows 10 バージョン 1809 以降のデバイス正常性レポートに必要です。 |
| 5 | https://ceuswatcab01.blob.core.windows.net |
Windows エラー報告 (WER)。 Windows 10 バージョン 1809 以降の展開の正常性を監視するために必要です。 |
| 6 | https://ceuswatcab02.blob.core.windows.net |
Windows エラー報告 (WER)。 Windows 10 バージョン 1809 以降の展開の正常性を監視するために必要です。 |
| 7 | https://eaus2watcab01.blob.core.windows.net |
Windows エラー報告 (WER)。 Windows 10 バージョン 1809 以降の展開の正常性を監視するために必要です。 |
| 8 | https://eaus2watcab02.blob.core.windows.net |
Windows エラー報告 (WER)。 Windows 10 バージョン 1809 以降の展開の正常性を監視するために必要です。 |
| 9 | https://weus2watcab01.blob.core.windows.net |
Windows エラー報告 (WER)。 Windows 10 バージョン 1809 以降の展開の正常性を監視するために必要です。 |
| 10 | https://weus2watcab02.blob.core.windows.net |
Windows エラー報告 (WER)。 Windows 10 バージョン 1809 以降の展開の正常性を監視するために必要です。 |
| 11 | https://kmwatsonc.events.data.microsoft.com |
オンライン クラッシュ分析 (OCA)。 Windows 10 バージョン 1809 以降のデバイス正常性レポートに必要です。 |
| 12 | https://oca.telemetry.microsoft.com |
オンライン クラッシュ分析 (OCA)。 Windows 10 バージョン 1803 以前の展開の正常性を監視するために必要です。 |
| 13 | https://login.live.com |
Desktop Analytics のより信頼性の高いデバイス ID を提供するために必要です。 エンド ユーザーの Microsoft アカウント アクセスを無効にするには、このエンドポイントをブロックする代わりにポリシー設定を使用します。 詳細については、「 エンタープライズの Microsoft アカウント」を参照してください。 |
| 14 | https://v20.events.data.microsoft.com |
接続されたユーザー エクスペリエンスと診断コンポーネント エンドポイント。 |
テナントのアタッチ
詳細については、「テナントのアタッチの有効化」を参照してください。
https://aka.ms/configmgrgatewayhttps://*.manage.microsoft.comAzure パブリック クラウドのお客様向けhttps://*.manage.microsoft.usバージョン 2107 以降の米国政府機関クラウドのお客様向けhttps://dc.services.visualstudio.com
サービス接続ポイントは、 https://*.manage.microsoft.comでホストされている通知サービスへの長時間の送信接続を行います。 サービス接続ポイントに使用されるプロキシが、発信接続のタイムアウトを早くしすぎないことを確認します。 このインターネット エンドポイントへの発信接続は 3 分に設定することをお勧めします。
環境に特定の証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の検証場所のみを許可するプロキシ 規則がある場合は、次の CRL と OCSP URL も許可します。
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.comhttp://www.microsoft.com/pkiops
エンドポイントの分析
詳細については、「 エンドポイント分析プロキシの構成」を参照してください。
Configuration Manager マネージド デバイスに必要なエンドポイント
Configuration Manager マネージド デバイスからは、Configuration Manager ロールのコネクタ経由で Intune にデータが送信され、Microsoft パブリック クラウドに直接アクセスする必要はありません。
| エンドポイント | 職務 |
|---|---|
https://graph.windows.net |
Configuration Manager サーバー ロールの Endpoint analytics に階層をアタッチするときに設定を自動的に取得するために使用されます。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。 |
https://*.manage.microsoft.com |
デバイスコレクションとデバイスを、Configuration Manager サーバーロールでのみ Endpoint analytics と同期するために使用されます。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。 |
Intune マネージド デバイスに必要なエンドポイント
エンドポイント分析にデバイスを登録する場合、デバイスから Microsoft パブリック クラウドに必要な機能データが送信される必要があります。 Endpoint Analytics は、Windows クライアントと Windows Server 接続ユーザー エクスペリエンスとテレメトリ コンポーネント (DiagTrack) を使用して、Intune で管理されるデバイスからデータを収集します。 デバイス上の接続ユーザー エクスペリエンスとテレメトリ サービスが実行されていることを確認してください。
| エンドポイント | 職務 |
|---|---|
https://*.events.data.microsoft.com |
必要な機能データを Intune データ収集エンドポイントに送信するために Intune マネージド デバイスによって使用されます。 |
資産インテリジェンス
資産インテリジェンスを使用する場合は、サービスの同期を次のエンドポイントに許可します。
https://sc.microsoft.comhttps://ssu2.manage.microsoft.com
Microsoft Edge の展開
Configuration Manager コンソールを実行しているデバイスは、Microsoft Edge を展開するために次のエンドポイントにアクセスする必要があります。
| 場所 | 使用 |
|---|---|
https://aka.ms/cmedgeapi |
Microsoft Edge のリリースに関する情報 |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Microsoft Edge のリリースに関する情報 |
http://dl.delivery.mp.microsoft.com |
Microsoft Edge リリースのコンテンツ |
外部通知
詳細については、「 外部通知」を参照してください。
サービス接続ポイントは、通知サービス (Azure Logic Apps など) と通信する必要があります。 ロジック アプリのアクセス エンドポイントの形式は通常、 https://*.<RegionName>.logic.azure.com:443です。 例: https://prod1.westus2.logic.azure.com:443
ロジック アプリのアクセス エンドポイントと関連する IP アドレスを取得するには、次のプロセスを使用します。
- Azure portal の [Logic Apps] で、通知のロジック アプリを選択します。 詳細については、「 Azure portal でロジック アプリを管理する」を参照してください。
- アプリのメニューの [設定] セクションで、[プロパティ] を選択 します。
- Access エンドポイントと Access エンドポイントIP アドレスの値を表示またはコピーします。
Microsoft パブリック IP アドレス
Microsoft IP アドレス範囲の詳細については、「 Microsoft パブリック IP 空間」を参照してください。 これらのアドレスは定期的に更新されます。 サービスごとの細分性はなく、これらの範囲の IP アドレスを使用できます。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示