クラウド管理ゲートウェイのクライアント認証を構成する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

クラウド管理ゲートウェイ (CMG) のセットアップの次の手順は、クライアントの認証方法を構成することです。 これらのクライアントは、信頼されていないパブリック インターネットからサービスに接続する可能性があるため、認証要件が高くなります。 2 つのオプションがあります。

  • Microsoft Entra ID
  • PKI 証明書
  • サイト発行トークンのConfiguration Manager

この記事では、これらの各オプションを構成する方法について説明します。 基本的な情報については、「 CMG クライアント認証方法の計画」を参照してください。

Microsoft Entra ID

インターネット ベースのデバイスがWindows 10以降で実行されている場合は、CMG で最新の認証Microsoft Entra使用します。 この認証方法は、ユーザー中心のシナリオを可能にする唯一の方法です。

この認証方法には、次の構成が必要です。

  • デバイスはクラウド ドメインに参加しているか、ハイブリッドに参加Microsoft Entra必要があり、ユーザーにはMicrosoft Entra ID も必要です。

    ヒント

    デバイスがクラウドに参加しているかどうかをチェックするには、コマンド プロンプトで を実行dsregcmd.exe /statusします。 デバイスが参加またはハイブリッド参加Microsoft Entra場合、結果の AzureAdjoined フィールドに YES が表示されます。 詳細については、「 dsregcmd コマンド - デバイスの状態」を参照してください。

  • CMG を使用してインターネット ベースのクライアントにMicrosoft Entra認証を使用するための主な要件の 1 つは、サイトと Microsoft Entra ID を統合することです。 前の手順で、そのアクションを既に完了しました。

  • 環境に応じて、他にもいくつかの要件があります。

    • ハイブリッド ID のユーザー検出方法を有効にする
    • 管理ポイント ASP.NET 4.5 を有効にする
    • クライアント設定を構成する

これらの前提条件の詳細については、「Microsoft Entra ID を使用してクライアントをインストールする」を参照してください。

PKI 証明書

クライアント認証証明書をデバイスに発行できる公開キー 基盤 (PKI) がある場合は、次の手順を使用します。

この証明書は、CMG 接続ポイントで必要になる場合があります。 詳細については、「 CMG 接続ポイント」を参照してください。

証明書を発行する

PKI からこの証明書を作成して発行します。この証明書は、Configuration Managerのコンテキストの外部にあります。 たとえば、Active Directory Certificate Services とグループ ポリシーを使用して、ドメインに参加しているデバイスにクライアント認証証明書を自動的に発行できます。 詳細については、「 PKI 証明書の展開例: クライアント証明書を展開する」を参照してください。

CMG クライアント認証証明書では、次の構成がサポートされています。

  • 2048 ビットまたは 4096 ビットのキー長

  • この証明書は、証明書秘密キー (v3) のキー ストレージ プロバイダーをサポートします。 詳細については、「 CNG v3 証明書の概要」を参照してください。

クライアント証明書の信頼されたルートをエクスポートする

CMG は、クライアントと共に HTTPS チャネルを確立するために、クライアント認証証明書を信頼する必要があります。 この信頼を実現するには、信頼されたルート証明書チェーンをエクスポートします。 次に、Configuration Manager コンソールで CMG を作成するときに、これらの証明書を指定します。

信頼チェーン内のすべての証明書をエクスポートしてください。 たとえば、クライアント認証証明書が中間 CA によって発行される場合は、中間 CA 証明書とルート CA 証明書の両方をエクスポートします。

注:

クライアントが認証に PKI 証明書を使用する場合は、この証明書をエクスポートします。 すべてのクライアントが認証にMicrosoft Entra ID またはトークンを使用する場合、この証明書は必要ありません。

クライアント認証証明書をコンピューターに発行した後、そのコンピューターでこのプロセスを使用して、信頼されたルート証明書をエクスポートします。

  1. [スタート] メニューを開きます。 「run」と入力して、[実行] ウィンドウを開きます。 を開きます mmc

  2. [ファイル] メニューの [ スナップインの追加と削除]...を選択します。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[ 証明書] を選択し、[ 追加] を選択します。

    1. [証明書スナップイン] ダイアログ ボックスで、[ コンピューター アカウント] を選択し、[ 次へ] を選択します。

    2. [コンピューターの選択] ダイアログ ボックスで、[ ローカル コンピューター] を選択し、[完了] を選択 します

    3. [スナップインの追加と削除] ダイアログ ボックスで、[OK] を選択します

  4. [ 証明書] を展開し、[ 個人用] を展開し、[証明書] を選択 します

  5. 目的が クライアント認証である証明書を選択します。

    1. [アクション] メニューの [ 開く] を選択します。

    2. [ 認定パス ] タブに移動します。

    3. チェーンの次の証明書を選択し、[ 証明書の表示] を選択します。

  6. この新しい [証明書] ダイアログ ボックスで、[ 詳細 ] タブに移動します。[ ファイルにコピー]を選択します。...

  7. 既定の証明書形式である DER でエンコードされたバイナリ X.509 () を使用して、証明書のエクスポート ウィザードを完了します。CER)。 エクスポートされた証明書の名前と場所を書き留めます。

  8. 元のクライアント認証証明書の証明書パス内のすべての証明書をエクスポートします。 エクスポートされた証明書が中間 CA であり、信頼されたルート CA である証明書を書き留めます。

CMG 接続ポイント

クライアント要求を安全に転送するには、CMG 接続ポイントと管理ポイントとの安全な接続が必要です。 PKI クライアント認証を使用していて、インターネットが有効な管理ポイントが HTTPS である場合は、CMG 接続ポイントの役割を持つサイト システム サーバーにクライアント認証証明書を発行します。

注:

CMG 接続ポイントでは、次のシナリオではクライアント認証証明書は必要ありません。

  • クライアントはMicrosoft Entra認証を使用します。
  • クライアントはConfiguration Managerトークンベースの認証を使用します。
  • サイトでは拡張 HTTP が使用されます。

詳細については、「 HTTPS の管理ポイントを有効にする」を参照してください。

サイト トークン

デバイスを ID に参加させたり、PKI クライアント認証証明書を使用したりMicrosoft Entraできない場合は、トークンベースの認証Configuration Manager使用します。 詳細については、または一括登録トークンを作成する方法については、「 クラウド管理ゲートウェイのトークン ベースの認証」を参照してください。

HTTPS の管理ポイントを有効にする

サイトの構成方法と選択したクライアント認証方法によっては、インターネット対応管理ポイントの再構成が必要になる場合があります。 次のような 2 つのオプションがあります。

  • 拡張 HTTP 用にサイトを構成し、HTTP の管理ポイントを構成する
  • HTTPS の管理ポイントを構成する

拡張 HTTP 用にサイトを構成する

サイト オプションを使用して HTTP サイト システムにConfiguration Manager生成された証明書を使用する場合は、HTTP の管理ポイントを構成できます。 拡張 HTTP を有効にすると、サイト サーバーは SMS ロール SSL 証明書という名前の自己署名証明書を生成します。 この証明書は、ルート SMS 発行元 証明書によって発行されます。 管理ポイントは、この証明書を、ポート 443 にバインドされた IIS 既定の Web サイトに追加します。

このオプションを使用すると、内部クライアントは引き続き HTTP を使用して管理ポイントと通信できます。 Microsoft Entra ID またはクライアント認証証明書を使用するインターネット ベースのクライアントは、HTTPS 経由でこの管理ポイントと CMG を介して安全に通信できます。

詳細については、「 拡張 HTTP」を参照してください。

HTTPS の管理ポイントを構成する

HTTPS の管理ポイントを構成するには、まず Web サーバー証明書を発行します。 次に、HTTPS のロールを有効にします。

  1. PKI またはサード パーティのプロバイダーから Web サーバー証明書を作成して発行します。これは、Configuration Managerのコンテキストの外部にあります。 たとえば、Active Directory 証明書サービスとグループ ポリシーを使用して、管理ポイントの役割を持つサイト システム サーバーに Web サーバー証明書を発行します。 詳細については、次の記事を参照してください。

  2. 管理ポイント ロールのプロパティで、クライアント接続を HTTPS に設定します。

    ヒント

    CMG を設定したら、この管理ポイントの他の設定を構成します。

環境に複数の管理ポイントがある場合は、CMG に対して HTTPS を有効にする必要はありません。 CMG 対応管理ポイントを インターネットのみとして構成します。 その後、オンプレミスのクライアントは使用を試みません。

管理ポイント クライアント接続モードの概要

これらのテーブルは、クライアントの種類に応じて、管理ポイントに HTTP と HTTPS のどちらを必要とするかをまとめたものです。 次の用語を使用します。

  • ワークグループ: デバイスはドメインまたはMicrosoft Entra ID に参加していませんが、クライアント認証証明書を持っています。
  • AD ドメイン参加済み: デバイスを オンプレミスの Active Directory ドメインに参加させます。
  • Microsoft Entra参加済み: クラウド ドメイン参加とも呼ばれ、デバイスを Microsoft Entra テナントに参加させます。 詳細については、「Microsoft Entra参加済みデバイス」を参照してください。
  • ハイブリッド参加済み: デバイスをオンプレミスの Active Directoryに参加させ、Microsoft Entra ID に登録します。 詳細については、「ハイブリッド参加済みデバイスMicrosoft Entra」を参照してください。
  • HTTP: 管理ポイントのプロパティで、クライアント接続を HTTP に設定します。
  • HTTPS: 管理ポイントのプロパティで、クライアント接続を HTTPS に設定します。
  • E-HTTP: サイトのプロパティの [通信セキュリティ] タブで、サイト システムの設定を HTTPS または HTTP に設定し、[HTTP サイト システムにConfiguration Manager生成された証明書を使用する] オプションを有効にします。 HTTP の管理ポイントを構成し、HTTP 管理ポイントは HTTP と HTTPS の両方の通信の準備ができています。

重要

バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。

CMG と通信するインターネット ベースのクライアントの場合

次のクライアント接続モードで CMG からの接続を許可するように、オンプレミスの管理ポイントを構成します。

インターネット ベースのクライアント 管理ポイント
ワークグループ ノート 1 E-HTTP、HTTPS
AD ドメイン参加済み 注 1 E-HTTP、HTTPS
Microsoft Entra参加済み E-HTTP、HTTPS
ハイブリッド参加済み E-HTTP、HTTPS

注:

注 1: この構成では、クライアントに クライアント認証証明書が必要であり、デバイス中心のシナリオのみをサポートします。

オンプレミスの管理ポイントと通信しているオンプレミス クライアントの場合

次のクライアント接続モードでオンプレミス管理ポイントを構成します。

オンプレミス クライアント 管理ポイント
Workgroup HTTP、HTTPS
AD ドメイン参加済み HTTP、HTTPS
Microsoft Entra参加済み HTTPS
ハイブリッド参加済み HTTP、HTTPS

注:

オンプレミスの AD ドメイン参加クライアントは、HTTP または HTTPS 管理ポイントと通信するデバイス中心のシナリオとユーザー中心のシナリオの両方をサポートします。

オンプレミスMicrosoft Entra参加済みクライアントとハイブリッド参加済みクライアントは、デバイス中心のシナリオでは HTTP 経由で通信できますが、ユーザー中心のシナリオを有効にするには E-HTTP または HTTPS が必要です。 それ以外の場合は、ワークグループ クライアントと同じように動作します。

次の手順

これで、Configuration Managerで CMG を作成する準備ができました。

CMG を設定する