Configuration Managerで管理サービスを設定する方法

Configuration Manager (現在のブランチ) に適用

この記事の手順を使用して、SMS プロバイダーで管理サービスを設定します。 開始する前に、管理サービスの 前提条件に関するページを参照してください

セキュリティで保護された HTTPS 通信を有効にする

ネットワーク経由で転送中のデータを保護するために、セキュリティで保護された HTTPS 接続を使用するように管理サービスを構成します。

バージョン 2010 以降では、 管理サービスの SMS プロバイダーで IIS を有効にする必要がなくなりました。 サイトは SMS プロバイダーの自己署名証明書を作成し、IIS を必要とせずに自動的にバインドします。 以前に IIS が SMS プロバイダーにインストールされていた場合は、削除できます。 次に、SMS_REST_PROVIDER コンポーネントを再起動します。 ファイアウォールで HTTPS ポート 443 を開く必要があります。

管理サービスでは、サイトの自己署名証明書が自動的に使用されます。 この動作は、管理サービスを簡単に使用するために摩擦を減らすのに役立ちます。 サイトは常にこの証明書を生成します。 管理サービスは、他のサイト システムで Enhanced HTTP を使用していない場合でも、サイトの証明書を常に使用しているため、拡張 HTTP サイト設定は無視されます。 PKI ベースのサーバー認証証明書は引き続き手動でバインドできます。 SMS プロバイダー サーバーのポート 443 に PKI 証明書を既にバインドしている場合、管理サービスはその既存の証明書を使用します。

サーバー認証証明書を使用する

注:

既定では、管理サービスはサイトの自己署名証明書を自動的に使用します。 PKI ベースのサーバー認証証明書は引き続き手動でバインドできます。 PKI ベースの証明書をバインドする前に、SMS プロバイダーのポート 443 からサイトの自己署名証明書を手動でバインド解除します。

サーバー認証証明書を使用する主な方法は 2 つあります。

  • 組織の公開キー インフラストラクチャ (PKI) から

    • 環境に PKI が既にある場合は、それを使用して SMS プロバイダーのサーバー認証証明書を発行できます。 この証明書は、管理ポイントまたは配布ポイントに使用する証明書に似ています。 詳細については、「 PKI 証明書の要件」を参照してください。

    • ほとんどのエンタープライズ PKI 実装では、信頼されたルート CA が Windows クライアントに追加されます。 たとえば、グループ ポリシーで Active Directory 証明書サービスを使用する場合などです。 クライアントが自動的に信頼しない CA から証明書を発行する場合は、CA 信頼されたルート証明書をクライアントに追加します。 この信頼のスコープは、管理サービスにアクセスする必要があるクライアントのみに限定できます。

  • パブリックでグローバルに信頼された証明書プロバイダーの証明書を使用します。 Windows クライアントには、これらのプロバイダーからの信頼されたルート証明機関 (CA) が含まれています。 これらのプロバイダーのいずれかによって発行されたサーバー認証証明書を使用すると、クライアントによって自動的に信頼されます。

SMS プロバイダーのサーバー認証証明書を取得したら、SMS プロバイダーロールをホストするサーバー上の IIS のポート 443 に手動でバインドする必要があります。

まず、証明書をサーバーに追加します。 ローカル コンピューターの 個人用 ストアに証明書をインポートします。 次に、次のいずれかのオプションを使用して証明書をバインドします。

証明書を IIS にバインドする

SMS プロバイダーロールを持つサーバーに IIS 管理コンソールがある場合は、既定の Web サイトで [バインドの編集] アクションを使用します。 ポート 443 を追加し、コンピューターの証明書ストアから証明書を指定します。

注:

SMS プロバイダー ロールには IIS は必要ありません。 この手順では、IIS コンソールを使用して証明書をバインドします。 これらの証明書バインドは、特定のサービスではなく、マシン用です。

netsh を使用して証明書をバインドする

netsh コマンド ラインを使用して証明書をバインドします。

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

<thumbprint> 、インストールされている証明書の拇印で <GUID> 、ランダムな GUID です。

ヒント

Windows PowerShell コマンドレットNew-Guidを使用して、ランダムな GUID を生成します。

例:

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

インターネット アクセスを有効にする

オンプレミスでのみ管理サービスを使用することも、クラウド管理ゲートウェイ (CMG) を介したアクセスに対して有効にすることもできます。 テナントのアタッチやメールによるアプリの承認など、一部のシナリオではインターネットから管理サービスにアクセスする必要があります。

CMG トラフィックを許可するように SMS プロバイダーを構成する前に、まず CMG を設定します。 詳細については、「 CMG の概要」を参照してください。

次に、次のプロセスを使用して、CMG を介して管理サービスを有効にします。

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サーバーとサイト システムの役割] ノードを選択します。

  2. SMS プロバイダー ロールを持つサーバーを選択します。

    ヒント

    リボンの [ ホーム ] タブで、[ 役割を持つサーバー ] を選択し、[ SMS プロバイダー] を選択します。 このアクションでは、その役割を持つサイト システムが表示されます。

  3. 詳細ウィンドウで SMS プロバイダー ロールを選択し、[サイト ロール] タブのリボンで [プロパティ] を選択します。

  4. [管理サービスのクラウド管理ゲートウェイ トラフィックConfiguration Manager許可する] オプションを選択します。

インターネットから管理サービスにアクセスするには、SMS プロバイダー FQDN を CMG エンドポイントに置き換えます。 例:

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

ヒント

このエンドポイントの値を取得するには、次の手順を使用します。

  • CMG を作成します。 詳細については、「 CMG の設定」を参照してください。

  • アクティブなクライアントで、管理者としてWindows PowerShellコマンド プロンプトを開きます。

  • 次のコマンドを実行します。

    (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
    

コンソールの使用を有効にする

注:

バージョン 2111 以降では、[Configuration Manager コンソールで管理サービスを使用できるようにする] オプションが削除されます。 管理サービスは常にオンになっているので、必要に応じてコンソールで使用されます。

管理サービスを使用するには、Configuration Manager コンソールの一部のノードを有効にします。 この変更により、コンソールは WMI 経由ではなく HTTPS 経由で SMS プロバイダーと通信できます。

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サイト] ノードを選択します。 リボンで、[ 階層設定] を選択します。

  2. [全般] ページで、[Configuration Manager コンソールで管理サービスを使用できるようにする] オプションを選択します。

この変更は、[管理] ワークスペースの [セキュリティ] ノードの下にある次のノードにのみ影響します。

  • 管理ユーザー
  • セキュリティ ロール
  • セキュリティ スコープ
  • コンソール接続

これらのノードのいずれかを選択すると、次のエラー メッセージが表示されます。

Configuration Manager管理サービスに接続できない

エラーの下の情報を確認します。 次に、管理サービスが有効、構成、および機能していることを確認します。 確認するログ ファイルを含む詳細については、「 検証 」セクションを参照してください。

確認

サイトは、管理サービスをインストールすると、アクティビティをConfiguration Managerインストール ディレクトリの RESTPROVIDERSetup.log ファイルに記録します。 既定では、このパスは です C:\Program Files\Microsoft Configuration Manager\logs

サイトは、 SMS_REST_PROVIDER.log ファイル内の管理サービスの正常性状態を追跡します。 サービスの開始と証明書に関する情報を確認できます。

次のように、Web ブラウザーで簡単なクエリを実行して管理サービスをテストします。

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

管理サービスは、そのアクティビティを、Configuration Manager インストール ディレクトリの SMS プロバイダー サーバー上の adminservice.log ファイルに記録します。

上記のメタデータ クエリの場合、ログ ファイルには次の行が表示されます。

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

次の手順