インターネット上でタスク シーケンスを展開する
Configuration Manager (現在のブランチ) に適用
Configuration Manager では、インターネット経由でリモート クライアントにタスク シーケンスを展開するためのさまざまな方法がサポートされています。 Windows アップグレードを展開したり、起動可能なメディアを使用したり、ソフトウェア センターから起動することができます。 この記事では、これらのシナリオの特定の構成について説明します。 まず、[ Deploy a task sequence]\(タスク シーケンスのデプロイ\) を使用して、基本的なデプロイを作成します。 次に、この記事の構成を使用して、インターネット ベースのクライアント用にカスタマイズします。
警告
リスクの高いタスク シーケンスデプロイの動作を管理できます。 リスクの高いデプロイは、自動的にインストールされ、望ましくない結果を引き起こす可能性があるデプロイです。 たとえば、OS を展開する 目的が [必須] のタスク シーケンスは、リスクの高い展開と見なされます。 詳細については、「 リスクの高いデプロイを管理するための設定」を参照してください。
インターネット上でのタスク シーケンスの実行を許可する
ソフトウェアの展開ウィザードの [ ユーザー エクスペリエンス ] ページで、 インターネット上のクライアントに対して実行するタスク シーケンスを許可するように展開を構成できます。 この設定は、すべてのインターネット ベースのクライアント シナリオに必要です。 次のセクションでは、この設定を有効にするときの主なシナリオについて説明します。
注:
[別のプログラムを最初に実行する] のタスク シーケンスの詳細設定は、クラウド管理ゲートウェイ (CMG) を介して通信するクライアントで実行されるタスク シーケンスには適用されません。 このオプションでは、CMG を介してアクセスできないパッケージの UNC ネットワーク パスを使用します。
Windows インプレース アップグレード
この設定は、クラウド管理ゲートウェイ (CMG) を介してインターネット ベースのクライアントに Windows インプレース アップグレード タスク シーケンスを展開する場合に使用します。 サポートされているすべてのバージョンの Configuration Manager では、このシナリオがサポートされています。 詳細については、「 CMG を使用した Windows インプレース アップグレードの展開」を参照してください。
ソフトウェア センターから Windows イメージング タスク シーケンスをインストールする
バージョン 2006 以降では、CMG を介して通信するデバイスにブート イメージを含むタスク シーケンスを展開できます。 ユーザーは、ソフトウェア センターからタスク シーケンスを開始する必要があります。
注:
Microsoft Entra 参加済みクライアントが OS 展開タスク シーケンスを実行すると、新しい OS 内のクライアントは Microsoft Entra ID に自動的に参加しません。 Microsoft Entra に参加していない場合でも、クライアントは引き続き管理されます。
Microsoft Entra が参加している、またはトークン ベースの認証を使用するインターネット ベースのクライアントで OS 展開タスク シーケンスを実行する場合は、Windows と ConfigMgr のセットアップ手順で CCMHOSTNAME プロパティを指定する必要があります。
起動可能なメディアを使用して Windows イメージング タスク シーケンスをインストールする
バージョン 2010 以降では、起動可能なメディアを使用して、CMG 経由で接続するインターネット ベースのデバイスを再イメージ化できます。 このシナリオは、リモート ワーカーのサポートを向上するのに役立ちます。 ユーザーがソフトウェア センターにアクセスできるように Windows が起動しない場合は、USB ドライブを送信して Windows を再インストールできるようになりました。 詳細については、「 起動可能なメディアを使用して CMG 経由で OS をデプロイする」を参照してください。
バージョン 2002 以前では、ブート メディアを必要とする操作は、この設定ではサポートされていません。 標準 OS で操作を実行する汎用ソフトウェアのインストールまたはスクリプト ベースのタスク シーケンスに対してのみ、タスク シーケンスをインターネット上で実行できるようにします。
注:
バージョン 2002 以前のすべてのインターネット ベースのタスク シーケンス シナリオの場合は、ソフトウェア センターからタスク シーケンスを開始します。 Windows PE、PXE、またはタスク シーケンス メディアはサポートされていません。
CMG を使用して Windows インプレース アップグレードを展開する
Windows インプレース アップグレード タスク シーケンスでは、 クラウド管理ゲートウェイ (CMG) を介して管理されるインターネット ベースのクライアントへの展開がサポートされています。 この機能を使用すると、リモート ユーザーはイントラネットに接続することなく、Windows に簡単にアップグレードできます。
インプレース アップグレード タスク シーケンスによって参照されるすべてのコンテンツが、コンテンツ対応 CMG に配布されていることを確認します。 CMG 設定を有効にする: CMG がクラウド配布ポイントとして機能し、Azure ストレージからコンテンツを提供できるようにします。 それ以外の場合、デバイスはタスク シーケンスを実行できません。
アップグレード タスク シーケンスをデプロイするときは、次の設定を使用します。
展開の [ユーザー エクスペリエンス] タブで、インターネット上のクライアントに対してタスク シーケンスの実行を許可します。
展開の [配布ポイント] タブで、次のいずれかのオプションを選択します。
実行中のタスク シーケンスで必要に応じて、コンテンツをローカルにダウンロードします。 タスク シーケンス エンジンは、コンテンツ対応 CMG からオンデマンドでパッケージをダウンロードできます。 このオプションを使用すると、インターネット ベースのデバイスへの Windows インプレース アップグレードの展開をさらに柔軟に行うことができます。
タスク シーケンスを開始する前に、すべてのコンテンツをローカルにダウンロードします。 このオプションを使用すると、Configuration Manager クライアントは、タスク シーケンスを開始する前にクラウド ソースからコンテンツをダウンロードします。
(省略可能)デプロイの [全般] タブで、 このタスク シーケンスのコンテンツを事前にダウンロードします。 詳細については、「 事前キャッシュ コンテンツを構成する」を参照してください。
注:
ソフトウェア センターからタスク シーケンスを開始します。 このシナリオでは、Windows PE、PXE、またはタスク シーケンス メディアはサポートされていません。
クラウドベースのコンテンツに対する起動可能なメディアのサポート
バージョン 2010 以降、 起動可能なメディア はクラウドベースのコンテンツをダウンロードできます。 たとえば、リモート オフィスのユーザーに USB キーを送信して、デバイスを再イメージ化します。 または、ローカル PXE サーバーがあるが、デバイスがクラウド サービスにできるだけ優先順位を付ける必要があるオフィス。 大規模な OS 展開コンテンツをダウンロードするために WAN にさらに課税する代わりに、ブート メディアと PXE 展開でクラウドベースのソースからコンテンツを取得できるようになりました。 たとえば、コンテンツの共有を有効にするクラウド管理ゲートウェイ (CMG)。
注:
デバイスは引き続き管理ポイントへのイントラネット接続を必要とします。
タスク シーケンスを実行すると、クラウドベースのソースからコンテンツがダウンロードされます。 クライアント のsmsts.log を確認します。
起動可能なメディアの前提条件
Cloud Services グループで次のクライアント設定を有効にします。クラウド配布ポイントへのアクセスを許可します。 クライアント設定がターゲット クライアントに展開されていることを確認します。 詳細については、「 クライアント設定について - クラウド サービス」を参照してください。
クライアントが存在する境界グループの場合:
コンテンツが有効な CMG を関連付けます。 詳細については、「 境界グループの構成」を参照してください。
次のオプションを有効にします。 オンプレミスのソースよりもクラウドベースのソースを優先します。 詳細については、「 ピアダウンロードの境界グループ オプション」を参照してください。
タスク シーケンスによって参照されるコンテンツを、コンテンツ対応 CMG に配布します。
起動可能なメディアを使用して CMG 経由で OS をデプロイする
バージョン 2010 以降では、ブート メディアを使用して、CMG 経由で接続するインターネット ベースのデバイスを再イメージ化できます。 このシナリオは、リモート ワーカーのサポートを向上するのに役立ちます。 ユーザーがソフトウェア センターにアクセスできるように Windows が起動しない場合は、USB ドライブを送信して Windows を再インストールできるようになりました。
CMG を使用したブート メディアの前提条件
タスク シーケンスで参照されるすべてのコンテンツについて、コンテンツが有効な CMG に配布します。 詳細については、「コンテンツの 配布」を参照してください。
クラウド サービス グループで次のクライアント設定を有効にします。
クラウド配布ポイントへのアクセスを許可する
クライアントがクラウド管理ゲートウェイを使用できるようにする
ワークグループに参加するように [ネットワーク設定の適用] タスク シーケンス ステップを構成します。 タスク シーケンス中、デバイスはオンプレミスの Active Directory ドメインに参加できません。 ドメインに参加するためのドメイン コントローラーへの接続がありません。
タスク シーケンスをコレクションに展開する場合は、次の設定を構成します。
ユーザー エクスペリエンス ページ: インターネット上のクライアントに対するタスク シーケンスの実行を許可する
[展開設定] ページ: メディアを含むオプションを使用できるようにします。
配布ポイント ページ、展開オプション: 実行中のタスク シーケンスで必要に応じてコンテンツをローカルにダウンロードします。 詳細については、「 展開オプション」を参照してください。
タスク シーケンスの実行中に、デバイスに一定のインターネット接続があることを確認します。 Windows PE ではワイヤレス ネットワークがサポートされていないため、デバイスには有線ネットワーク接続が必要です。
ブート メディアに PKI ベースの証明書を使用する場合は、Microsoft Enhanced RSA および AES プロバイダーを使用して SHA256 用に構成します。 この証明書の構成は推奨されますが、必須ではありません。 証明書には v3 (CNG) 証明書を指定できます。
バージョン 2010 および 2103 では、管理ポイントを [インターネットのみの接続を許可する] に構成した場合、CMG 経由でブート メディアを使用することはできません。 この問題を回避するには、管理ポイントを [イントラネットとインターネット接続を許可する] に構成します。
CMG で PKI ベースの証明書が使用されている場合は、信頼されたルート証明書をブート イメージに追加する必要があります。 それ以外の場合、Windows PE は CMG の証明書を信頼しないため、CMG と通信できません。 詳細については、「 信頼されたルート証明書をブート イメージに追加する」を参照してください。
CMG を使用するブート メディアを作成する
起動可能なメディアのタスク シーケンス メディアの作成ウィザードを開始します。 詳細については、「 起動可能なメディアを作成する」を参照してください。 次の手順を使用して、標準プロセスを変更します。
ウィザードの [ メディア管理 ] ページで、[ サイト ベースのメディア] オプションを選択します。
[ セキュリティ ] ページで、このメディアを保護するための強力なパスワードを設定します。
[ブート イメージ] ページの [管理ポイント] で、[管理ポイントの追加] ダイアログからクラウド管理ゲートウェイを選択します。
このメディアを使用してインターネットに接続されたデバイスを起動すると、指定された CMG と通信します。 ブート メディアは、CMG を介してタスク シーケンスの展開のポリシーをダウンロードします。 タスク シーケンスが実行されると、インターネット経由で追加のコンテンツとポリシーがダウンロードされます。
タスク シーケンスの実行後、クライアントはトークン ベースの認証を使用します。
信頼されたルート証明書をブート イメージに追加する
CMG で PKI ベースの証明書が使用されている場合は、信頼されたルート証明書をブート イメージに追加する必要があります。 それ以外の場合、Windows PE は CMG の証明書を信頼しないため、CMG と通信できません。
手順 1: 証明書レジストリ BLOB をエクスポートする
信頼されたルート証明書がインストールされているシステムでは、次の手順を実行します。
[スタート] メニューを開きます。 「
run
」と入力して、[実行] ウィンドウを開きます。mmc
を開きます。[ファイル] メニューの [ スナップインの追加と削除]...を選択します。
[スナップインの追加と削除] ダイアログ ボックスで、[ 証明書] を選択し、[ 追加] を選択します。
[証明書スナップイン] ダイアログ ボックスで、[ コンピューター アカウント] を選択し、[ 次へ] を選択します。
[コンピューターの選択] ダイアログ ボックスで、[ ローカル コンピューター] を選択し、[完了] を選択 します。
[スナップインの追加と削除] ダイアログ ボックスで、[OK] を選択します。
[ 証明書] を展開し、[ 信頼されたルート証明機関] を展開し、[証明書] を選択 します。
ルート証明書を選択します。 [ アクション ] メニューの [ 開く] を選択します。
[ 詳細 ] タブに切り替えます。
証明書の拇印の値をコピーします。 例えば
eb971f84c0c44b9eb22a378fecb45747eb971f84
[スタート] メニューから、
regedit
を実行します。次のレジストリ キーを参照します。
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
。 このレジストリ キーの詳細については、「 System Store の場所」を参照してください。ルート証明書の拇印と一致するレジストリ キーを選択します。
[ ファイル ] メニューの [ エクスポート] を選択します。 ファイル名を指定し、
.reg
ファイルを保存します。メモ帳でファイルを編集します。 キー パスで、[
SOFTWARE
] を [winpe-offline
] に変更し、ファイルを保存します。 例:[HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]
このファイルを、次の手順でアクセスできる場所にコピーします。
手順 2: 証明書レジストリ BLOB をオフライン ブート イメージにインポートする
ブート イメージ ファイルがあるシステムでは、次の手順を実行します。
WIM ファイルをマウントします。 たとえば、「
DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount
」のように入力します。[スタート] メニューから、
regedit
を実行します。[ HKEY_LOCAL_MACHINE] を選択します。 [ ファイル ] メニューの [ Hive の読み込み] を選択します。
[
C:\Mount\Windows\System32\config
] を参照し、[ ソフトウェア] を選択します。 このファイルは、C:\Mount
にマウントされた Windows PE イメージのオフライン レジストリ ハイブです。重要
このパスは、既定の Windows OS パスではなく、マウントされた Windows PE イメージに対するパスであることを確認します。
読み込まれた hive
winpe-offline
のキーに名前を付けます。[ ファイル ] メニューの [ インポート] を選択します。 以前にエクスポートおよび変更した変更された
.reg
ファイルを参照します。 [開く]を選択します。次のレジストリ キーを参照します。
Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates
し、新しいキーが追加されていることを確認します。次のレジストリ キーを選択します:
Computer\HKEY_LOCAL_MACHINE\winpe-offline
。 [ ファイル ] メニューの [ Hive のアンロード] を選択し、[ はい] を選択します。レジストリ エディターと、
C:\Mount
内のファイルを参照するその他のウィンドウを閉じます。ブート イメージのマウントを解除 し、変更をコミットします。 たとえば、
DISM /Unmount-image /Commit /MountDir:C:\Mount
のように指定します。
ブート イメージに信頼されたルート証明書が含まれるようになりました。