Configuration Managerで Windows コンピューターにクライアントを展開する方法

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

この記事では、Configuration Manager クライアントを Windows コンピューターに展開する方法の詳細について説明します。 クライアント展開の計画と準備の詳細については、次の記事を参照してください。

クライアント プッシュ インストール

クライアント プッシュを使用するには、次の 3 つのメイン方法があります。

  • サイトのクライアント プッシュ インストールを構成すると、サイトが検出したコンピューターでクライアント インストールが自動的に実行されます。 このメソッドは、これらの境界が境界グループとして構成されている場合に、サイトの構成済み境界にスコープが設定されます。

  • コレクション内の特定のコレクションまたはリソースに対してクライアント プッシュ インストール ウィザードを実行して、クライアント プッシュ インストールを開始します。

  • クライアント プッシュ インストール ウィザードを使用して、Configuration Manager クライアントをインストールします。これを使用して結果のクエリを実行できます。 インストールは、クエリによって返される項目の 1 つが System Resource クラスの ResourceID 属性である場合にのみ成功します。

サイト サーバーがクライアント コンピューターに接続できない場合、またはセットアップ プロセスを開始できない場合は、1 時間ごとにインストールが自動的に再試行されます。 サーバーは最大 7 日間再試行を続けます。

クライアントのインストール プロセスを追跡するには、クライアントをインストールする前にフォールバック ステータス ポイントをインストールします。 フォールバック ステータス ポイントをインストールすると、クライアント プッシュ インストール方法によってインストールされると、クライアントに自動的に割り当てられます。 クライアントのインストールの進行状況を追跡するには、クライアントの展開と割り当てのレポートを表示します。

クライアント ログ ファイルは、トラブルシューティングの詳細を提供します。 ログ ファイルにはフォールバック ステータス ポイントは必要ありません。 たとえば、サイト サーバーの CCM.log ファイルは、サイト サーバーがコンピューターに接続したときに発生した問題を記録します。 クライアントの CCMSetup.log ファイルは、インストール プロセスを記録します。

重要

クライアント プッシュは、すべての前提条件が満たされている場合にのみ成功します。 詳細については、「 インストール方法の依存関係」を参照してください。

検出されたコンピューターにクライアント プッシュを自動的に使用するようにサイトを構成する

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サイト] ノードを選択します。

  2. サイト全体のクライアント プッシュの自動インストールを構成するサイトを選択します。

  3. リボンの [ ホーム ] タブの [設定] グループで、[ クライアント インストール設定] を選択し、[ クライアント プッシュ インストール] を選択します。

  4. [クライアント プッシュ インストール] プロパティ ウィンドウの [全般] タブで、[サイト全体の自動クライアント プッシュ インストールを有効にする] を選択します。

  5. バージョン 1806 以降、サイトを更新すると、クライアント プッシュ用の Kerberos チェックが有効になります。 [NTLM への接続フォールバックを許可する] オプションは既定で有効になっており、これは以前の動作と一致します。 サイトが Kerberos を使用してクライアントを認証できない場合は、NTLM を使用して接続を再試行します。 セキュリティを強化するために推奨される構成は、NTLM フォールバックを使用せずに Kerberos を必要とするこの設定を無効にすることです。

    セキュリティを強化するために、可能な限り既存の環境でこのオプションを無効にすることをお勧めします。

    注:

    クライアント プッシュを使用してConfiguration Manager クライアントをインストールすると、サイト サーバーによってクライアントへのリモート接続が作成されます。 バージョン 1806 以降では、接続を確立する前に NTLM へのフォールバックを許可しないことで、サイトで Kerberos 相互認証を要求できます。 この機能強化は、サーバーとクライアント間の通信をセキュリティで保護するのに役立ちます。

    セキュリティ ポリシーによっては、お使いの環境で、以前の NTLM 認証よりも Kerberos が既に優先または必要な場合があります。 これらの認証プロトコルのセキュリティに関する考慮事項の詳細については、 NTLM を制限する Windows セキュリティ ポリシー設定に関するページを参照してください。

    この機能を使用するには、クライアントが信頼された Active Directory フォレストに存在する必要があります。 Windows の Kerberos は、相互認証に Active Directory に依存しています。

  6. バージョン 2207 以降、サイトを更新すると、新しいサイトのインストール時に [ NTLM への接続フォールバックを許可する] オプションが既定で無効になります。 セキュリティを強化することをお勧めします。

  7. クライアント ソフトウェアをプッシュするシステムの種類Configuration Manager選択します。 クライアントをドメイン コントローラーにインストールするかどうかを選択します。

  8. [アカウント] タブで、Configuration Managerがターゲット コンピューターに接続するときに使用する 1 つ以上のアカウントを指定します。 [ 作成 ] アイコンを選択し、[ ユーザー名 ] と [パスワード ] (38 文字以内) を入力し、パスワードを確認して、[ OK] を選択します。 少なくとも 1 つのクライアント プッシュ インストール アカウントを指定します。 クライアントをインストールするには、このアカウントにターゲット コンピューターのローカル管理者権限が必要です。 クライアント プッシュ インストール アカウントを指定しない場合、Configuration Managerはサイト システム コンピューター アカウントの使用を試みます。 サイト システム コンピューター アカウントを使用すると、クロスドメイン クライアント プッシュが失敗します。

    注:

    セカンダリ サイトからのクライアント プッシュを使用するには、クライアント プッシュを開始するセカンダリ サイトでアカウントを指定します。

    クライアント プッシュ インストール アカウントの詳細については、次の手順「 クライアント プッシュ インストール ウィザードを使用する」を参照してください

  9. [インストールのプロパティ] タブで、必要な インストール プロパティ を指定します。

    Configuration Managerの Active Directory スキーマを拡張した場合、サイトは指定したクライアント インストール プロパティをActive Directory Domain Servicesに発行します。 インストール プロパティなしで CCMSetup を実行すると、Active Directory からこれらのプロパティが読み取られます。

    注:

    セカンダリ サイトでクライアント プッシュ インストールを有効にする場合は、SMSSITECODE プロパティを親プライマリ サイトのConfiguration Manager サイト コードに設定します。 Configuration Managerの Active Directory スキーマを拡張して、正しいサイト割り当てを自動的に見つけた場合は、このプロパティを AUTO に設定します

クライアント プッシュ インストール ウィザードを使用する

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サイト] ノードを選択します。

  2. サイト全体のクライアント プッシュの自動インストールを構成するサイトを選択します。

  3. リボンの [ ホーム ] タブの [設定] グループで、[ クライアント インストール設定] を選択し、[ クライアント プッシュ インストール] を選択します。

  4. [インストールのプロパティ] タブで、必要な インストール プロパティ を指定します。

    Configuration Managerの Active Directory スキーマを拡張した場合、サイトは指定したクライアント インストール プロパティをActive Directory Domain Servicesに発行します。 インストール プロパティなしで CCMSetup を実行すると、Active Directory からこれらのプロパティが読み取られます。

  5. Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動します。

  6. [ デバイス ] ノードで、1 つ以上のコンピューターを選択します。 または、[デバイス コレクション] ノードでコンピューターの コレクションを 選択します。

  7. リボンの [ ホーム ] タブで、次のいずれかのオプションを選択します。

    • クライアントを 1 つ以上のデバイスにプッシュするには、[ デバイス ] グループで [ クライアントのインストール] を選択します。

    • クライアントをデバイスのコレクションにプッシュするには、[ コレクション ] グループで [クライアントの インストール] を選択します。

  8. インストール Configuration Manager クライアント ウィザードの [作業を開始する前に] ページで、情報を確認し、[次へ] を選択します。

  9. [インストール オプション] ページで適切な オプションを選択 します。

  10. インストール設定を確認し、ウィザードを完了します。

注:

サイトがクライアント プッシュ用に構成されていない場合でも、このウィザードを使用してクライアントをインストールします。

ソフトウェア更新プログラムベースのインストール

ソフトウェア更新プログラム ベースのクライアント インストールでは、ソフトウェア更新プログラムとしてソフトウェアの更新ポイントにクライアントを発行します。 初めてのインストールまたはアップグレードには、この方法を使用します。

Configuration Manager クライアントがコンピューターにインストールされている場合、コンピューターはサイトからクライアント ポリシーを受け取ります。 このポリシーには、ソフトウェア更新プログラムを取得するソフトウェアの更新ポイント サーバー名とポートが含まれています。

重要

ソフトウェアの更新ベースのインストールでは、クライアントのインストールとソフトウェア更新プログラムに同じWindows Server Update Services (WSUS) サーバーを使用します。 このサーバーは、プライマリ サイトのアクティブなソフトウェアの更新ポイントである必要があります。 詳細については、「 ソフトウェアの更新ポイントをインストールする」を参照してください。

Configuration Manager クライアントがコンピューターにインストールされていない場合は、グループ ポリシー オブジェクトを構成して割り当てます。 グループ ポリシーは、ソフトウェアの更新ポイントのサーバー名を指定します。

ソフトウェア更新ベースのクライアント インストールにコマンド ライン プロパティを追加することはできません。 Configuration Managerの Active Directory スキーマを拡張した場合、クライアント のインストールでは、インストール プロパティのActive Directory Domain Servicesが自動的に照会されます。

Active Directory スキーマを拡張していない場合は、グループ ポリシーを使用してクライアントのインストール設定をプロビジョニングします。 これらの設定は、ソフトウェアの更新ベースのクライアント インストールに自動的に適用されます。 詳細については、「 クライアントのインストール プロパティをプロビジョニングする方法」および「クライアントを サイトに 割り当てる方法」の記事を参照してください。

次の手順に従って、ソフトウェアの更新ポイントを使用するようにConfiguration Manager クライアントを使用せずにコンピューターを構成します。 ソフトウェアの更新ポイントにクライアント ソフトウェアを発行する手順もあります。

ヒント

以前のソフトウェアのインストール後にコンピューターの再起動が保留中の状態になっている場合は、ソフトウェアの更新ベースのクライアント インストールによってコンピューターが再起動される可能性があります。

ソフトウェアの更新ポイントを指定するようにグループ ポリシー オブジェクトを構成する

  1. グループ ポリシー管理コンソールを使用して、新規または既存のグループ ポリシー オブジェクトを開きます。

  2. [コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] を選択します。

  3. [ イントラネットの Microsoft 更新サービスの場所を指定する] 設定のプロパティを開き、[有効] を選択 します

  4. 更新プログラムを検出するためのイントラネット更新サービスを設定する: ソフトウェア更新ポイント サーバーの名前とポートを指定します。

    • 完全修飾ドメイン名 (FQDN) を使用するようにConfiguration Manager サイト システムを構成している場合は、その形式を使用します。

    • Configuration Manager サイト システムが FQDN を使用するように構成されていない場合は、短い名前の形式を使用します。

    ヒント

    ポート番号を確認するには、「 WSUS で使用されるポート設定を確認する方法」を参照してください。

    FQDN 形式の例: http://server1.contoso.com:8530

  5. イントラネット統計サーバーを設定する: この設定は通常、同じサーバー名で構成されます。

  6. クライアントをインストールしてソフトウェア更新プログラムを受け取るコンピューターに、グループ ポリシー オブジェクトを割り当てます。

Configuration Manager クライアントをソフトウェアの更新ポイントに発行する

  1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サイト] ノードを選択します。

  2. ソフトウェア更新ベースのクライアント インストールを構成するサイトを選択します。

  3. リボンの [ ホーム ] タブの [設定] グループで、[ クライアント インストール設定] を選択し、[ ソフトウェア] Update-Based [クライアント インストール] を選択します。

  4. [ ソフトウェア更新ベースのクライアント インストールを有効にする] を選択します

  5. サイトのクライアント バージョンがソフトウェアの更新ポイントのバージョンよりも新しい場合は、[ 検出されたクライアント パッケージの新しいバージョン ] ダイアログ ボックスが開きます。 [ はい] を 選択して、最新バージョンを発行します。

    注:

    クライアント ソフトウェアをソフトウェアの更新ポイントにまだ発行していない場合、このダイアログ ボックスは空白になります。

新しいバージョンがある場合、Configuration Manager クライアントのソフトウェア更新プログラムは自動的に更新されません。 サイトを更新するときは、この手順を繰り返してクライアントを更新します。

インストールグループ ポリシー

Configuration Manager クライアントを発行または割り当てるには、Active Directory Domain Services のグループ ポリシーを使用します。 コンピューターの起動時にクライアントがインストールされます。 グループ ポリシーを使用すると、コントロール パネルの [プログラムの追加と削除] にクライアントが表示されます。 ユーザーはそこからインストールできます。

グループ ポリシー ベースのインストールには、Windows インストーラー パッケージ CCMSetup.msi を使用します。 このファイルは、サイト サーバー上の <ConfigMgr installation directory>\bin\i386 フォルダーにあります。 このファイルにプロパティを追加してインストールの動作を変更することはできません。

重要

クライアント インストール ファイルにアクセスするには、管理者権限が必要です。

詳細については、「グループ ポリシーを使用してソフトウェアをリモートでインストールする方法」を参照してください。

手動インストール

CCMSetup.exe を使用して、クライアント ソフトウェアをコンピューターに手動でインストールします。 このプログラムとそのサポート ファイルは、サイト サーバーの Configuration Manager インストール フォルダーの Client フォルダーにあります。 サイトは、次のようにこのフォルダーをネットワークに共有します。

\\<site server name>\SMS_<site code>\Client\

<site server name> はプライマリ サイト サーバー名です。 <site code> は、クライアントが割り当てられるプライマリ サイト コードです。 クライアントのコマンド ラインから CCMSetup.exe を実行するには、このネットワークの場所に接続し、コマンドを実行します。

重要

クライアント インストール ファイルにアクセスするには、管理者権限が必要です。

CCMSetup.exe は、必要なすべての前提条件をクライアント コンピューターにコピーし、Windows インストーラー パッケージ (Client.msi) を呼び出してクライアントをインストールします。 Client.msi を直接実行することはできません。

クライアント インストールの動作を変更するには、CCMSetup.exe と Client.msi の両方にコマンド ライン オプションを指定します。 Client.msi プロパティを指定する前に、 で / 始まる CCMSetup パラメーターを指定してください。 例:

CCMSetup.exe /mp:SMSMP01 /logon SMSSITECODE=AUTO FSP=SMSFP01

この例では、クライアントは次のオプションを使用してインストールします。

オプション 説明
/mp:SMSMP01 この CCMSetup パラメーターは、必要なクライアント インストール ファイルをダウンロードするための管理ポイントSMSMP01を指定します。
/logon この CCMSetup パラメーターは、コンピューター上に既存のConfiguration Manager クライアントが見つかった場合にインストールを停止することを指定します。
SMSSITECODE=AUTO この Client.msi プロパティは、たとえば、Active Directory Domain Servicesを使用して、クライアントが使用するConfiguration Managerサイト コードの検索を試行することを指定します。
FSP=SMSFP01 この Client.msi プロパティは、SMSFP01 という名前のフォールバック 状態ポイントを使用して、クライアント コンピューターから送信された状態メッセージを受信することを指定します。

詳細については、「 クライアント のインストール パラメーターとプロパティについて」を参照してください。

ヒント

Microsoft Entra ID を使用して最新の Windows デバイスにConfiguration Manager クライアントをインストールする手順については、「認証にMicrosoft Entra ID を使用してConfiguration Manager クライアントをインストールして割り当てる」を参照してください。 この手順は、イントラネットまたはインターネット上のクライアント用です。

手動インストールの例

これらの例は、イントラネット上の Active Directory に参加しているクライアントの場合です。 次の値を使用します。

  • MPSERVER: 管理ポイントをホストしているサーバー
  • FSPSERVER: フォールバック ステータス ポイントをホストしているサーバー
  • ABC: サイト コード
  • contoso.com: ドメイン名

イントラネット FQDN を使用してすべてのサイト システム サーバーを構成し、サイト情報を Active Directory に発行したとします。

クライアント コンピューターで次の手順を開始します。

  1. ローカル管理者としてサインインします。
  2. ドライブ Z を に \\MPSERVER\SMS_ABC\Clientマップします。
  3. コマンド プロンプトを切り替えて Z をドライブします。

次に、次のいずれかのコマンドを実行します。

手動の例 1

CCMSetup.exe

このコマンドは、追加のパラメーターやプロパティなしでクライアントをインストールします。 クライアントは、次の設定を含め、Active Directory Domain Servicesに発行されたクライアント インストール プロパティで自動的に構成されます。

  • サイト コード: この設定では、クライアントの割り当て用に構成した境界グループにクライアントのネットワークの場所を含める必要があります。
  • 管理ポイント。
  • フォールバック 状態ポイント。
  • HTTPS のみを使用して通信します。

詳細については、「Active Directory Domain Servicesに発行されたクライアント インストール プロパティについて」を参照してください。

手動の例 2

CCMSetup.exe /MP:mpserver.contoso.com /UsePKICert SMSSITECODE=ABC CCMHOSTNAME=server05.contoso.com CCMFIRSTCERT=1 FSP=server06.constoso.com

このコマンドは、Active Directory Domain Servicesが提供する自動構成をオーバーライドします。 クライアントの割り当て用に構成された境界グループにクライアントのネットワークの場所を含める必要はありません。 代わりに、インストールによって次の設定が指定されます。

  • サイト コード
  • イントラネット管理ポイント
  • インターネット ベースの管理ポイント
  • インターネットからの接続を受け入れるフォールバック ステータス ポイント
  • 有効期間が最も長いクライアント公開キー 基盤 (PKI) 証明書 (使用可能な場合) を使用する

ログオン スクリプトのインストール

Configuration Managerでは、ログオン スクリプトを使用したConfiguration Manager クライアント ソフトウェアのインストールがサポートされています。 ログオン スクリプトで CCMSetup.exe プログラム ファイルを使用して、クライアントのインストールをトリガーします。

ログオン スクリプトのインストールでは、クライアントの手動インストールと同じ方法が使用されます。 CCMSsetup.exe の /logon インストール パラメーターを指定します。 いずれかのバージョンのクライアントがコンピューターに既に存在する場合、このパラメーターによってクライアントがインストールされなくなります。 この動作により、ログオン スクリプトが実行されるたびにクライアントが再インストールされるのを防ぐことができます。

パラメーターを使用/Sourceしてインストール ソースを指定せず、 パラメーターで/MPインストールを取得する管理ポイントが指定されていない場合、CCMSetup.exe は、Active Directory Domain Servicesを検索して管理ポイントを検索します。 この動作は、Configuration Managerのスキーマを拡張し、サイトをActive Directory Domain Servicesに発行した場合にのみ発生します。 または、クライアントは DNS を使用して管理ポイントを見つけることができます。

パッケージとプログラムのインストール

Configuration Managerを使用して、選択したデバイスのクライアント ソフトウェアをアップグレードするパッケージとプログラムを作成して展開します。 Configuration Managerは、パッケージプロパティに通常使用される値を設定するパッケージ定義ファイルを提供します。 追加のコマンド ライン パラメーターとプロパティを指定して、クライアント インストールの動作をカスタマイズします。

注:

この方法を使用して、Configuration Manager 2007 クライアントをアップグレードすることはできません。 代わりに、クライアントの自動アップグレードを使用します。これにより、クライアントの最新バージョンを含むパッケージが自動的に作成およびデプロイされます。 詳細については、「クライアントの アップグレード」を参照してください。

Configuration Manager クライアントの古いバージョンから移行する方法の詳細については、「クライアント移行戦略の計画」を参照してください。

クライアント ソフトウェアのパッケージとプログラムを作成する

クライアント コンピューターに展開してクライアント ソフトウェアをアップグレードできるConfiguration Manager パッケージとプログラムConfiguration Manager作成するには、次の手順に従います。

  1. Configuration Manager コンソールで、[ソフトウェア ライブラリ] ワークスペースに移動し、[アプリケーション管理] を展開し、[パッケージ] ノードを選択します。

  2. リボンの [ ホーム ] タブの [ 作成 ] グループで、[ 定義からパッケージの作成] を選択します。

  3. ウィザードの [パッケージ定義] ページで、[発行元] の一覧から [Microsoft] を選択し、[パッケージ定義] の一覧から [クライアント アップグレードConfiguration Manager選択します。

  4. [ ソース ファイル ] ページで、[ 常にソース フォルダーからファイルを取得する] を選択します。

  5. [ ソース フォルダー] ページで、[ ネットワーク パス (UNC 名)] を選択します。 次に、サーバーのネットワーク パスを入力し、クライアント インストール ファイルを含む共有を入力します。

    注:

    Configuration Manager展開を実行するコンピューターは、指定したネットワーク フォルダーにアクセスできる必要があります。 それ以外の場合、クライアントのインストールは失敗します。

    クライアント のインストール プロパティを変更するには、[Configuration Manager エージェントサイレント アップグレードのプロパティ プログラム] ダイアログ ボックスの [全般] タブで CCMSetup.exe コマンド ラインを変更します。 既定のインストール プロパティは です /noservice SMSSITECODE=AUTO

  6. クライアント アップグレード パッケージをホストするすべての配布ポイントにパッケージを配布します。 次に、アップグレードするクライアントを含むデバイス コレクションにパッケージを展開します。

Intune MDM で管理される Windows デバイス

Microsoft Intuneに登録されているデバイスにConfiguration Manager クライアントを展開します。

この手順は、イントラネットに接続されている従来のクライアント用です。 従来のクライアント認証方法を使用します。 クライアントをインストールした後もデバイスがマネージド状態のままであることを確認するには、イントラネット上にあり、Configuration Manager サイト境界内にある必要があります。

Microsoft Entra ID を使用して Windows デバイスにConfiguration Manager クライアントをインストールする手順については、「認証にMicrosoft Entra ID を使用してConfiguration Manager クライアントをインストールして割り当てる」を参照してください。

Configuration Manager クライアントをインストールした後、デバイスは Intune から登録を解除しません。 Configuration Manager クライアントと MDM 登録を同時に使用できます。 詳細については、「 共同管理の概要」を参照してください。

注:

他のクライアント インストール方法を使用して、Configuration Manager クライアントを Intune で管理されるデバイスにインストールできます。 たとえば、Intune で管理されるデバイスがイントラネット上にあり、Active Directory ドメインに参加している場合は、グループ ポリシーを使用してConfiguration Manager クライアントをインストールできます。

Intune を使用してConfiguration Manager クライアントをインストールする

  1. Intune で、Configuration Manager クライアント インストール ファイルを含む Windows 基幹業務アプリCCMSetup.msi追加します。 このファイルは、\bin\i386サイト サーバーの Configuration Manager インストール ディレクトリのフォルダーにあります。

  2. Intune ソフトウェア パブリッシャーで、コマンド ライン パラメーターを入力します。 たとえば、イントラネット上の従来のクライアントで次のコマンドを使用します。

    CCMSETUPCMD="/MP:<FQDN of management point> SMSMP=<FQDN of management point> SMSSITECODE=<your site code> DNSSUFFIX=<DNS suffix of management point>"

    注:

    Microsoft Entra認証を使用して Windows クライアントで使用するコマンドの例については、「共同管理のためにインターネット ベースのデバイスを準備する方法」を参照してください。

  3. 登録されている Windows コンピューターのグループにアプリを割り当てます

OS イメージのインストール

OS イメージの作成に使用する参照コンピューターに、Configuration Manager クライアントをプレインストールします。

重要

Configuration Manager タスク シーケンスを使用して OS イメージを展開すると、[ConfigMgr クライアントの準備] ステップによって、Configuration Manager クライアントが完全に削除されます。

イメージング用のクライアント コンピューターを準備する

  1. Configuration Manager クライアント ソフトウェアを参照コンピューターに手動でインストールします。 詳細については、「Configuration Manager クライアントを手動でインストールする方法」を参照してください。

    重要

    CCMSetup.exe コマンド ライン プロパティでクライアントのConfiguration Managerサイト コードを指定しないでください。

  2. コマンド プロンプトで、「」と入力 net stop ccmexec して、参照コンピューター上の SMS エージェント ホスト サービス (CcmExec.exe) を停止します。

  3. 参照コンピューター上の Windows フォルダーから SMSCFG.INI ファイルを削除します。

  4. ローカル コンピューターの SMS 証明書ストアから証明書を削除します。

  5. 参照コンピューターのローカル コンピューター ストアに格納されているその他の有効なクライアント認証証明書を削除します。 たとえば、PKI 証明書を使用する場合は、コンピューターをイメージ化する前に、コンピューターとユーザーの個人用ストアの証明書を削除します

  6. クライアントが参照コンピューターの階層とは異なるConfiguration Manager階層にインストールされている場合は、参照コンピューターから信頼されたルート キーを削除します。

    注:

    クライアントがActive Directory Domain Servicesクエリを実行して管理ポイントを見つけることができない場合は、信頼されたルート キーを使用して信頼された管理ポイントを特定します。 イメージ化されたすべてのクライアントをマスター コンピューターと同じ階層に展開する場合は、信頼されたルート キーをそのまま使用します。

    クライアントを異なる階層に展開する場合は、信頼されたルート キーを削除します。 また、新しい信頼されたルート キーを使用してこれらのクライアントをプロビジョニングします。 詳細については、「 信頼されたルート キーの計画」を参照してください。

  7. イメージング ソフトウェアを使用して、参照コンピューターのイメージをキャプチャします。

  8. イメージを展開先のコンピューターに展開します。

ワークグループ コンピューター

Configuration Managerは、ワークグループ内のコンピューターのクライアント インストールをサポートします。 「クライアントを手動でインストールする方法」で指定した方法を使用して、クライアントConfiguration Managerワークグループ コンピューターにインストールします。

前提条件

  • 各ワークグループ コンピューターにクライアントを手動でインストールします。 インストール中に、対話型ユーザーはローカル管理者権限を持っている必要があります。

  • Configuration Manager サイト サーバー ドメイン内のリソースにアクセスするには、サイトのネットワーク アクセス アカウントを構成します。 ソフトウェア配布サイト コンポーネントでこのアカウントを指定します。 詳細については、「 サイト コンポーネント」を参照してください。

制限事項

  • ワークグループ クライアントは、Active Directory Domain Servicesから管理ポイントを見つけることができません。 代わりに、DNS または別の管理ポイントを使用します。

  • グローバル ローミングはサポートされていません。 ワークグループ クライアントは、サイト情報のActive Directory Domain Servicesに対してクエリを実行できません。

  • Active Directory 検出方法では、ワークグループ内のコンピューターを検出できません。

  • ワークグループ コンピューターのユーザーにソフトウェアを展開することはできません。

  • クライアント プッシュ インストール方法を使用して、ワークグループ コンピューターにクライアントをインストールすることはできません。

  • ワークグループ クライアントは認証に Kerberos を使用できないため、手動による承認が必要になる場合があります。

  • ワークグループ クライアントを配布ポイントとして構成することはできません。 Configuration Managerでは、配布ポイント コンピューターがドメインのメンバーである必要があります。

ワークグループ コンピューターにクライアントをインストールする

前提条件を確認し、「クライアントを手動でインストールする方法」セクションの指示Configuration Manager従います。

ワークグループの例 1

この例では、次の操作を実行します。

  • イントラネット クライアント管理用のクライアントをインストールします
  • サイト コードを指定します
  • 管理ポイントを検索する DNS サフィックスを指定します

CCMSetup.exe SMSSITECODE=ABC DNSSUFFIX=constoso.com

ワークグループの例 2

この例では、クライアントが境界グループで構成されているネットワーク上にある必要があります。 この要件が満たされていない場合、サイトの自動割り当ては機能しません。 コマンドには、サーバー FSPSERVER 上のフォールバック ステータス ポイントが含まれています。 このプロパティは、クライアントの展開を追跡し、クライアント通信の問題を特定するのに役立ちます。

CCMSetup.exe FSP=fspserver.constoso.com

インターネット ベースのクライアント管理

注:

このセクションは、 クラウド管理ゲートウェイを使用するクライアントには適用されません。 クラウド管理ゲートウェイを使用してインターネット ベースのクライアントをインストールするには、「認証にMicrosoft Entra ID を使用してConfiguration Manager クライアントをインストールして割り当てる」を参照してください。

Configuration Manager サイトで、イントラネット上にあるクライアントとインターネット上にあるクライアントに対するインターネット ベースのクライアント管理がサポートされている場合、イントラネットにクライアントをインストールする場合は、次の 2 つのオプションがあります。

  • たとえば、手動インストールやクライアント プッシュを使用して、クライアントをインストールするときに Client.msi プロパティ CCMHOSTNAME=<internet FQDN of the internet-based management point> を含めます。 このメソッドを使用する場合は、クライアントをサイトに直接割り当てます。 サイトの自動割り当てを使用することはできません。 この構成方法の例については、「Configuration Manager クライアントを手動でインストールする方法」セクションを参照してください。

  • イントラネット クライアント管理用のクライアントをインストールし、インターネット ベースのクライアント管理ポイントをクライアントに割り当てます。 管理ポイントを変更するには、コントロール パネルの [Configuration Manager] ページのクライアント プロパティを使用するか、スクリプトを使用します。 このメソッドを使用する場合は、自動クライアント割り当てを使用できます。 詳細については、「 クライアントのインストール後にインターネット ベースのクライアント管理用にクライアントを構成する方法 」セクションを参照してください。

インターネット上にあるクライアントをインストールするには、次のサポートされている方法のいずれかを選択します。

  • これらのクライアントが VPN を使用してイントラネットに一時的に接続するためのメカニズムを提供します。 次に、適切なクライアント インストール方法を使用してクライアントをインストールします。

  • Configuration Managerに依存しないインストール方法を使用します。 たとえば、クライアント インストール ソース ファイルをリムーバブル メディアにパッケージ化し、メディアをユーザーに送信します。 クライアント インストール ソース ファイルは、<installation path>\ClientConfiguration Manager サイト サーバー上のフォルダーにあります。 メディアに、クライアント フォルダー上で手動でコピーするスクリプトを含めます。 このフォルダーから、CCMSetup.exe とすべての適切な CCMSetup コマンド ライン プロパティを使用してクライアントをインストールします。

注:

Configuration Managerでは、インターネット ベースの管理ポイントまたはインターネット ベースのソフトウェアの更新ポイントからのクライアントのインストールはサポートされていません。

インターネット経由で管理されるクライアントは、インターネット ベースのサイト システムと通信する必要があります。 クライアントをインストールする前に、これらのクライアントにも公開キー インフラストラクチャ (PKI) 証明書があることを確認します。 これらの証明書は、Configuration Managerとは別にインストールします。 詳細については、「 PKI 証明書の要件」を参照してください。

CCMSetup コマンド ライン プロパティを指定して、クライアントをインターネットにインストールする

  1. Configuration Manager クライアントを手動でインストールする方法」セクションの指示に従います。 常に次のオプションを含めます。

    • CCMSetup コマンド ライン パラメーター /source:<local path of the copied Client folder>

    • CCMSetup コマンド ライン パラメーター /UsePKICert

    • Client.msi プロパティ CCMHOSTNAME=<FQDN of internet-based management point>

    • Client.msi プロパティ SMSSIGNCERT=<local path of exported site server signing certificate>

    • Client.msi プロパティ SMSSITECODE=<site code of internet-based management point>

    注:

    サイトに複数のインターネット ベースの管理ポイントがある場合、プロパティに指定 CCMHOSTNAME した管理ポイントは関係ありません。 Configuration Manager クライアントは、指定したインターネット ベースの管理ポイントに接続すると、サイトで使用可能なインターネット ベースの管理ポイントの一覧をクライアントに送信します。 クライアントは、一覧からランダムに 1 つを選択します。

  2. クライアントが証明書失効リスト (CRL) をチェックしたくない場合は、CCMSetup コマンド ライン パラメーター を指定します/NoCRLCheck

  3. インターネット ベースのフォールバック ステータス ポイントを使用している場合は、Client.msi プロパティ FSP=<internet FQDN of the internet-based fallback status point>を指定します。

  4. インターネット専用クライアント管理用にクライアントをインストールする場合は、Client.msi プロパティ CCMALWAYSINF=1を指定します。

  5. 追加の CCMSetup コマンド ライン パラメーターを指定する必要があるかどうかを判断します。 たとえば、クライアントに複数の有効な PKI 証明書がある場合は、証明書の選択基準を指定する必要があります。 使用可能なプロパティの一覧については、「 クライアント のインストール パラメーターとプロパティについて」を参照してください。

インターネットベースの例

CCMSetup.exe /source: D:\Clients /UsePKICert CCMHOSTNAME=server1.contoso.com SMSSIGNCERT=siteserver.cer SMSSITECODE=ABC FSP=server2.contoso.com CCMALWAYSINF=1 CCMFIRSTCERT=1

この例では、次の動作でクライアントをインストールします。

  • ドライブ D のフォルダーからソース ファイルを使用します。
  • クライアント PKI 証明書を使用します。
  • 有効期間が最も長い証明書を選択します。
  • インターネットのみのクライアント管理。
  • SERVER1 という名前のインターネット ベースの管理ポイントを使用するようにクライアントを割り当てます。
  • contoso.com ドメインでインターネット ベースのフォールバック ステータス ポイントを割り当てます。
  • クライアントを ABC サイトに割り当てます。

クライアントのインストール後にインターネット ベースのクライアント管理用にクライアントを構成するには

クライアントのインストール後にインターネット ベースの管理ポイントを割り当てるには、次のいずれかの手順を使用します。 1 つ目は手動で構成する必要があり、少数のクライアントに適しています。 2 つ目は、多くのクライアントを構成する場合に適しています。

Configuration Manager コントロール パネルからクライアントをインストールした後に、インターネット ベースのクライアント管理用にクライアントを構成する

  1. クライアントのConfiguration Manager コントロール パネルを開きます。

  2. [ ネットワーク ] タブで、インターネット ベースの管理ポイントの完全修飾ドメイン名 (FQDN) を インターネット FQDN として入力します。

    注:

    [ ネットワーク ] タブは、クライアントにクライアント PKI 証明書がある場合にのみ使用できます。

  3. クライアントがプロキシ サーバーを使用してインターネットにアクセスする場合は、プロキシ サーバーの設定を入力します。

スクリプトを使用してクライアントのインストール後にインターネット ベースのクライアント管理用にクライアントを構成する

PowerShell

  1. PowerShell ISE や Visual Studio Code などの PowerShell インライン エディターを開きます。 メモ帳などのテキスト エディターを使用することもできます。

  2. 次のコード行をコピーしてエディターに挿入します。 を、インターネット ベースの管理ポイントのインターネット FQDN に置き換えます 'mp.contoso.com'

    $newInternetBasedManagementPointFQDN = 'mp.contoso.com'
$client = New-Object -ComObject Microsoft.SMS.Client
$client.SetInternetManagementPointFQDN($newInternetBasedManagementPointFQDN)
Restart-Service CcmExec
$client.GetInternetManagementPointFQDN()

    注:

    最後の行には、新しいインターネット管理ポイントの値を確認する必要があります。

    指定したインターネット ベースの管理ポイントを削除するには、サーバーの FQDN 値を引用符で囲んで削除します。 行は になります $newInternetBasedManagementPointFQDN = ''

  3. .ps1 拡張子を持つファイルを保存します。

  4. クライアント コンピューターで管理者特権でスクリプトを実行します。 次のいずれかの方法を使用します。

    • パッケージとプログラムを使用して、既存のConfiguration Manager クライアントにファイルをデプロイします。

    • エクスプローラー内のスクリプト ファイルをダブルクリックして、既存のConfiguration Manager クライアントでファイルをローカルに実行します。

変更を有効にするには、クライアントを再起動する必要がある場合があります。

クライアント のインストール プロパティをプロビジョニングする

グループ ポリシーとソフトウェア更新プログラム ベースのクライアント インストールのクライアント インストール プロパティをプロビジョニングします。 Windows グループ ポリシーを使用して、Configuration Manager クライアント インストール プロパティを持つコンピューターをプロビジョニングします。 これらのプロパティは、コンピューターのレジストリに格納されます。 クライアントは、インストール時にそれらを読み取ります。 この手順は通常は必要ありませんが、次のような一部のクライアント インストール シナリオで必要になる場合があります。

  • グループ ポリシー設定またはソフトウェアの更新ベースのクライアント インストール方法を使用しています。 Configuration Managerの Active Directory スキーマを拡張していません。

  • 特定のコンピューターのクライアント インストール プロパティをオーバーライドする必要があります。

注:

CCMSetup.exe コマンド ラインでインストール プロパティが指定されている場合、コンピューターでプロビジョニングされたインストール プロパティは使用されません。

という名前ConfigMgrInstallation.admのグループ ポリシー管理テンプレートが、Configuration Managerインストール メディアに提供されます。 このテンプレートを使用して、インストール プロパティを使用してクライアント コンピューターをプロビジョニングします。

ヒント

既定では、 ConfigMgrInstallation.adm 255 文字を超える文字列はサポートされていません。 この構成は、CCMCERTISSUERS などの長い値を持つ複数のパラメーターまたはパラメーターの追加に影響する可能性があります。

この問題を回避するには:

  1. メモ帳で編集 ConfigMgrInstallation.adm します。
  2. プロパティ VALUENAME SetupParametersの場合は、値を MAXLEN 大きな整数に変更します。 たとえば、「 MAXLEN 511 」のように入力します。

グループ ポリシー オブジェクトを使用してクライアント インストール プロパティを構成して割り当てる

  1. Windows グループ ポリシー オブジェクト エディターなどのエディターを使用して、ConfigMgrInstallation.adm 管理テンプレートを新しいグループ ポリシー オブジェクトまたは既存のグループ ポリシー オブジェクト (GPO) にインポートします。 このファイルTOOLS\ConfigMgrADMTemplatesは、Configuration Manager インストール メディアのフォルダーにあります。

  2. インポートした設定のプロパティを開き 、クライアント展開設定を構成します

  3. [有効] を選択します。

  4. [ CCMSetup ] ボックスに、必要な CCMSetup コマンド ライン プロパティを入力します。 すべての CCMSetup コマンド ライン プロパティとその使用例の一覧については、「 クライアント インストール パラメーターとプロパティについて」を参照してください。

  5. クライアント インストール プロパティを使用してプロビジョニングするコンピューターに GPO Configuration Manager割り当てます。