Configuration Manager のエンドポイント間の通信

適用対象: Configuration Manager (Current Branch)

この記事では、Configuration Manager サイト システムとクライアントがネットワーク全体で通信する方法について説明します。 これには、次のセクションが含まれます。

サイト内のサイト システム間の通信

Configuration Manager サイト システムまたはコンポーネントがネットワークを介してサイト内の他のサイト システムまたはコンポーネントと通信する場合、サイトの構成方法に応じて、次のいずれかのプロトコルを使用します。

  • サーバー メッセージ ブロック (SMB)

  • HTTP

  • HTTPS

サイト サーバーから配布ポイントへの通信を除き、サイト内のサーバー間通信はいつでも行われます。 これらの通信では、ネットワーク帯域幅を制御するメカニズムは使用しない。 サイト システム間の通信を制御できないので、高速かつ接続されたネットワークを持つ場所にサイト システム サーバーをインストールしてください。

サイト サーバーから配布ポイントへ

サイト サーバーから配布ポイントへのコンテンツの転送を管理するには、次の戦略を使用します。

  • ネットワーク帯域幅の制御とスケジュール設定用に配布ポイントを構成します。 これらのコントロールは、サイト間アドレスで使用される構成に似ています。 コンテンツをリモート ネットワークの場所に転送する際に、別の Configuration Manager サイトをインストールする代わりに、この構成を使用してください。

  • 配布ポイントは、事前設定された配布ポイントとしてインストールできます。 事前設定された配布ポイントを使用すると、配布ポイント サーバーに手動で置くコンテンツを使用し、ネットワーク間でコンテンツ ファイルを転送する要件を削除できます。

詳細については、「コンテンツ管理のための ネットワーク帯域幅の管理」を参照してください

クライアントからサイト システムおよびサービスへの通信

クライアントは、サイト システムの役割、Active Directory ドメイン サービス、およびオンライン サービスとの通信を開始します。 これらの通信を有効にするには、ファイアウォールでクライアントと通信のエンドポイント間のネットワーク トラフィックを許可する必要があります。 クライアントがこれらのエンドポイントと通信するときに使用するポートとプロトコルの詳細については、「Configuration Manager で使用されるポート」 を参照してください

クライアントがサイト システムの役割と通信する前に、クライアントはサービスの場所を使用して、クライアントのプロトコル (HTTP または HTTPS) をサポートする役割を検索します。 既定では、クライアントは使用可能な最も安全な方法を使用します。 詳細については、「クライアントがサイト リソース とサービスを検索する方法について」を参照してください

Configuration Manager クライアントとサイト サーバー間の通信をセキュリティで保護するには、次のいずれかのオプションを構成します。

  • 公開キーインフラストラクチャ (PKI) を使用し、クライアントとサーバーに PKI 証明書をインストールします。 サイト システムが HTTPS 経由でクライアントと通信できます。 証明書の使用方法については、「PKI 証明書の要件 」を参照してください

  • HTTP サイト システムで Configuration Manager によって生成された証明書を使用するサイトを構成します。 詳細については、「Enhanced HTTP」を参照してください

インターネット インフォメーション サービス (IIS) を使用し、クライアントからの通信をサポートするサイト システムの役割を展開する場合は、クライアントが HTTP または HTTPS を使用してサイト システムに接続するかどうかを指定する必要があります。 HTTP を使用する場合は、署名と暗号化の選択も検討する必要があります。 詳細については、「署名と暗号化 の計画」を参照してください

重要

Configuration Manager バージョン 2103 から、HTTP クライアント通信を許可するサイトは廃止されました。 HTTPS または拡張 HTTP のサイトを構成します。 詳細については 、「HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください

クライアントと管理ポイントの通信

クライアントが管理ポイントと通信する場合は、認証 (トランスポート) と承認 (メッセージ) の 2 つの段階があります。 このプロセスは、次の要因によって異なります。

  • サイト構成: HTTPS のみ、HTTP または HTTPS を許可する、または拡張 HTTP が有効な HTTP または HTTPS を許可する
  • 管理ポイントの構成: HTTPS または HTTP
  • デバイス中心のシナリオのデバイス ID
  • ユーザー中心のシナリオのユーザー ID

このプロセスの動作を理解するには、次の表を使用します。

MP の種類 クライアント認証 クライアントの承認
デバイス ID
クライアントの承認
ユーザー ID
HTTP 匿名
拡張 HTTP を使用すると、サイトはユーザーまたはAzure AD トークンを**確認 します。
場所の要求: 匿名
クライアント パッケージ: 匿名
デバイス ID を証明するために、次のいずれかの方法を使用して登録します。
- 匿名 (手動による承認)
- Windows統合認証
- Azure AD トークン(拡張 HTTP)
登録後、クライアントはメッセージ署名を使用してデバイス ID を証明します。
ユーザー中心のシナリオでは、次のいずれかの方法を使用してユーザー ID を証明します。
- Windows統合認証
- Azure AD トークン(拡張 HTTP)
HTTPS 次のいずれかの方法を使用します。
- PKI 証明書
- Windows統合認証
- Azure AD または デバイス トークン
場所の要求: 匿名
クライアント パッケージ: 匿名
デバイス ID を証明するために、次のいずれかの方法を使用して登録します。
- 匿名 (手動による承認)
- Windows統合認証
- PKI 証明書
- Azure AD または デバイス トークン
登録後、クライアントはメッセージ署名を使用してデバイス ID を証明します。
ユーザー中心のシナリオでは、次のいずれかの方法を使用してユーザー ID を証明します。
- Windows統合認証
- Azure AD トークン

ヒント

さまざまなデバイス ID の種類とクラウド管理ゲートウェイの管理ポイントの構成の詳細については 、「Enable management point for HTTPS」を参照してください

クライアントから配布ポイントへの通信

クライアントが配布ポイントと通信する場合は、コンテンツをダウンロードする前に認証を行う必要があります。 このプロセスの動作を理解するには、次の表を使用します。

DP の種類 クライアント認証
HTTP - 匿名 (許可されている場合)
- Windowsまたはネットワーク アクセス アカウントを使用した統合認証
- コンテンツ アクセス トークン (拡張 HTTP)
HTTPS - PKI 証明書
- Windowsまたはネットワーク アクセス アカウントを使用した統合認証
- コンテンツ アクセス トークン

インターネットまたは信頼されていないフォレストからのクライアント通信に関する考慮事項

詳細については、次の資料を参照してください。

Active Directory フォレスト間の通信

Configuration Manager は、Active Directory フォレストにまたがるサイトと階層をサポートします。 また、サイト サーバーと同じ Active Directory フォレストに存在しないドメイン コンピューターと、ワークグループ内のコンピューターもサポートします。

サイト サーバーのフォレストから信頼されていないフォレスト内のドメイン コンピューターをサポートする

  • サイト情報をその Active Directory フォレストに発行するオプションを使用して、信頼されていないフォレストにサイト システムの役割をインストールする

  • ワークグループ コンピューターである場合と同様に、これらのコンピューターを管理する

信頼されていない Active Directory フォレストにサイト システム サーバーをインストールすると、そのフォレスト内のクライアントからサーバー間の通信はフォレスト内に保持され、Configuration Manager は Kerberos を使用してコンピューターを認証できます。 サイト情報をクライアントのフォレストに発行する場合、クライアントは、割り当てられた管理ポイントからこの情報をダウンロードするのではなく、Active Directory フォレストから利用可能な管理ポイントのリストなどのサイト情報を取得できます。

注意

インターネット上のデバイスを管理する場合は、サイト システム サーバーが Active Directory フォレスト内にあるときに、境界ネットワークにインターネット ベースのサイト システムの役割をインストールできます。 このシナリオでは、境界ネットワークとサイト サーバーのフォレストの間で、2 つの方法で信頼する必要はありません。

ワークグループ内のコンピューターをサポートする

  • サイト システムの役割に HTTP クライアント接続を使用する場合は、ワークグループ コンピューターを手動で承認します。 Configuration Manager では、Kerberos を使用してこれらのコンピューターを認証できない。

  • これらのコンピューターが配布ポイントからコンテンツを取得できるよう、ネットワーク アクセス アカウントを使用するワークグループ クライアントを構成します。

  • ワークグループ クライアントが管理ポイントを検索するための別のメカニズムを提供します。 DNS 発行を使用するか、管理ポイントを直接割り当てる。 これらのクライアントは、Active Directory ドメイン サービスからサイト情報を取得できない。

詳細については、次の資料を参照してください。

複数のドメインとフォレストにまたがるサイトまたは階層をサポートするシナリオ

シナリオ 1: フォレストにまたがる階層内のサイト間の通信

このシナリオでは、Kerberos 認証をサポートする 2 者間フォレストの信頼が必要です。 Kerberos 認証をサポートする 2 者間フォレストの信頼が存在しない場合、Configuration Manager はリモート フォレスト内の子サイトをサポートします。

Configuration Manager は、親サイトのフォレストとの間で必要な信頼を持つリモート フォレストへの子サイトのインストールをサポートしています。 たとえば、必要な信頼が存在する限り、プライマリ親サイトとは異なるフォレストにセカンダリ サイトを配置できます。

注意

子サイトには、プライマリ サイト (サーバーの全体管理サイトが親サイト) またはセカンダリ サイトを指定できます。

Configuration Manager のサイト間通信では、データベース レプリケーションとファイル ベースの転送が使用されます。 サイトをインストールする場合は、指定したサーバーにサイトをインストールするアカウントを指定する必要があります。 このアカウントでは、サイト間の通信も確立および維持されます。 サイトがファイル ベースの転送とデータベース レプリケーションを正常にインストールして開始した後、サイトへの通信のために他に何も構成する必要はありません。

2 つのフォレストの信頼が存在する場合、Configuration Manager は追加の構成手順を必要としません。

既定では、新しい子サイトをインストールすると、Configuration Manager は次のコンポーネントを構成します。

  • サイト サーバー コンピューター アカウントを使用する各サイトのサイト間ファイル ベースのレプリケーション ルート。 Configuration Manager は、各コンピューターのコンピューター アカウントを 、SMS_SiteToSiteConnection_ < のサイト > コード グループに追加します。

  • 各サイトのサーバー間SQLレプリケーション。

また、次の構成も設定します。

  • ファイアウォールとネットワーク デバイスを介入するには、Configuration Manager が必要とするネットワーク パケットを許可する必要があります。

  • 名前解決はフォレスト間で機能する必要があります。

  • サイトまたはサイト システムの役割をインストールするには、指定したコンピューターにローカル管理者のアクセス許可を持つアカウントを指定する必要があります。

シナリオ 2: フォレストにまたがるサイトでの通信

このシナリオでは、2 つのフォレストの信頼は必要としません。

プライマリ サイトは、リモート フォレスト内のコンピューターへのサイト システムの役割のインストールをサポートします。

  • サイト システムの役割がインターネットからの接続を受け入れる場合、セキュリティのベスト プラクティスとして、フォレスト境界がサイト サーバーの保護を提供する場所 (境界ネットワークなど) にサイト システムの役割をインストールします。

信頼されていないフォレスト内のコンピューターにサイト システムの役割をインストールするには、次の手順を実行します。

  • サイト システム のインストール アカウントを指定します。サイトはサイト システムの役割のインストールに使用します。 (このアカウントに接続するには、ローカルの管理資格情報が必要です)。次に、指定したコンピューターにサイト システムの役割をインストールします。

  • [サイト システム] オプション [ このサイト システムへの接続を開始するサイト サーバーを要求する] を選択します。 この設定では、サイト サーバーがサイト システム サーバーへの接続を確立してデータを転送する必要があります。 この構成により、信頼されていない場所にあるコンピューターが、信頼できるネットワーク内にあるサイト サーバーとの接触を開始できません。 これらの接続は、 サイト システム インストール アカウントを使用します

信頼されていないフォレストにインストールされたサイト システムの役割を使用するには、サイト サーバーがデータの転送を開始した場合でも、ファイアウォールでネットワーク トラフィックを許可する必要があります。

さらに、次のサイト システムの役割では、サイト データベースに直接アクセスする必要があります。 したがって、ファイアウォールでは、信頼されていないフォレストからサイトのポリシーへの適用可能なトラフィックを許可する必要SQL Server。

  • 資産インテリジェンス同期ポイント

  • Endpoint Protectionポイント

  • 登録ポイント

  • 管理ポイント

  • レポート サービス ポイント

  • 状態移行ポイント

詳細については 、「Configuration Manager で使用されるポート」を参照してください

サイト データベースへの管理ポイントと登録ポイントへのアクセスを構成する必要がある場合があります。

  • 既定では、これらの役割をインストールすると、Configuration Manager は新しいサイト システム サーバーのコンピューター アカウントをサイト システムの役割の接続アカウントとして構成します。 次に、アカウントを適切なデータベース ロールSQL Server追加します。

  • これらのサイト システムの役割を信頼されていないドメインにインストールする場合は、サイト システムの役割の接続アカウントを構成して、サイト システムの役割がデータベースから情報を取得できます。

これらのサイト システムの役割の接続アカウントとしてドメイン ユーザー アカウントを構成する場合は、ドメイン ユーザー アカウントが、そのサイトの SQL Server データベースに適切なアクセス権を持っている必要があります。

  • 管理ポイント: 管理ポイント データベース接続アカウント

  • 登録ポイント: 登録ポイント接続アカウント

他のフォレストでサイト システムの役割を計画する場合は、次の追加情報を検討してください。

  • ファイアウォールをWindowsする場合は、サイト データベース サーバーとリモート サイト システムの役割がインストールされているコンピューター間の通信を渡す適切なファイアウォール プロファイルを構成します。

  • インターネット ベースの管理ポイントがユーザー アカウントを含むフォレストを信頼すると、ユーザー ポリシーがサポートされます。 信頼が存在しない場合は、コンピューター ポリシーだけがサポートされます。

シナリオ 3: クライアントがサイト サーバーと同じ Active Directory フォレストに存在しない場合のクライアントとサイト システムの役割間の通信

Configuration Manager は、サイトのサイト サーバーと同じフォレスト内にないクライアントに対して、次のシナリオをサポートしています。

  • クライアントのフォレストとサイト サーバーのフォレストの間には、2 つのフォレストの信頼があります。

  • サイト システムの役割サーバーは、クライアントと同じフォレストにあります。

  • クライアントは、サイト サーバーとの間のフォレストの信頼を持つドメイン コンピューター上に存在し、サイト システムの役割はクライアントのフォレストにインストールされません。

  • クライアントはワークグループ コンピューター上にいます。

ドメインに参加しているコンピューター上のクライアントは、サイトが Active Directory フォレストに公開されている場合、サービスの場所に Active Directory ドメイン サービスを使用できます。

サイト情報を別の Active Directory フォレストに発行するには、次の方法を実行します。

  • フォレストを指定し、[管理] ワークスペースの [Active Directory フォレスト ] ノードで、そのフォレストへの発行を 有効 にします。

  • Active Directory ドメイン サービスにデータを発行する各サイトを構成します。 この構成により、そのフォレスト内のクライアントはサイト情報を取得し、管理ポイントを検索できます。 サービスの場所に Active Directory ドメイン サービスを使用できないクライアントの場合は、DNS またはクライアントの割り当てられた管理ポイントを使用できます。

シナリオ 4: リモート フォレストExchange Serverコネクタを置く

このシナリオをサポートするには、フォレスト間で名前解決が機能します。 たとえば、DNS 転送を構成します。 サーバー コネクタを構成Exchange Server、サーバーのイントラネット FQDN を指定Exchange Server。 詳しくは、「Configuration Manager と Exchange によるモバイル デバイスの管理」をご覧ください。

関連項目