Configuration Manager でクラウド配布ポイントを使用する

適用対象: Configuration Manager (現在のブランチ)

警告

Azure からコンテンツを共有する実装が変更されました。 [CMG がクラウド配布ポイントとして機能し、Azure ストレージからコンテンツを提供するようにする] オプションを有効にすることで、コンテンツが有効なクラウド管理ゲートウェイ を使用します。 詳細については 、「CMG の変更」を参照してください

バージョン 2107 から、従来のクラウド配布ポイント (CDP) を作成できない。

クラウド配布ポイントは、サービスとしてのプラットフォーム (PaaS) としてホストされる Configuration Manager 配布Microsoft Azure。 このサービスは、次のシナリオをサポートします。

  • 追加のオンプレミス インフラストラクチャを使用せずに、インターネット ベースのクライアントにソフトウェア コンテンツを提供する

  • コンテンツ配布システムをクラウドで有効にする

  • 従来の配布ポイントの必要性を減らす

この記事では、クラウド配布ポイントについて学び、その使用を計画し、実装を設計するのに役立ちます。 これには、次のセクションが含まれます。

機能と利点

機能

クラウド配布ポイントは、オンプレミス配布ポイントでも提供されるいくつかの機能をサポートしています。

  • クラウド配布ポイントを個別に、または配布ポイント グループのメンバーとして管理する

  • フォールバック コンテンツの場所としてクラウド配布ポイントを使用する

  • イントラネット とインターネット ベースの両方のクライアントをサポート

利点

クラウド配布ポイントには、次のような追加の利点があります。

  • サイトは、コンテンツを Azure のクラウド配布ポイントに送信する前に暗号化します。

  • クライアントによるコンテンツ要求に対する変化する要求を満たすために、Azure でクラウド サービスを手動でスケーリングします。 このアクションでは、Configuration Manager に追加の配布ポイントをインストールしてプロビジョニングする必要はありません。

  • BranchCache などの他のコンテンツ テクノロジ用に構成されたクライアントからのコンテンツダウンロードWindowsサポートします。

  • プル配布ポイントのソースの場所としてクラウド配布ポイントを使用します。

トポロジ設計

クラウド配布ポイントの展開と操作には、次のコンポーネントが含まれます。

  • Azure のクラウド サービス。 サイトはコンテンツをこのサービスに配布し、Azure クラウド ストレージに格納します。 管理ポイントは、必要に応じて利用可能なソースの一覧で、クライアントにこのコンテンツの場所を提供します。

  • 管理 ポイント サイト システムの 役割は、通常ごとのクライアント要求にサービスを提供します。

  • クラウド配布ポイントは、証明書ベース の HTTPS Web サービスを使用して、クライアントとのネットワーク通信をセキュリティで保護します。 クライアントは、この証明書を信頼する必要があります。

Azure リソース マネージャー

Azure Resource Manager の展開を使用して クラウド配布ポイントを作成しますAzure Resource Manager は、すべてのソリューション リソースをリソース グループと呼ばれる 1 つのエンティティとして管理するための最新 のプラットフォームです。 Azure Resource Manager を使用してクラウド配布ポイントを展開する場合、サイトは Azure Active Directory (Azure AD) を使用して、必要なクラウド リソースを認証および作成します。

注意

この機能では、Azure Cloud Service Providers (CSP) のサポートは有効にされていません。 Azure Resource Manager を使用したクラウド配布ポイントの展開では、CSP がサポートしない従来のクラウド サービスが引き続き使用されます。 詳細については 、「Azure CSP で利用可能な Azure サービス」を参照してください

Azure Resource Manager は、クラウド配布ポイントの新しいインスタンスの唯一の展開メカニズムです。 既存の展開は引き続き機能します。

階層設計

クラウド配布ポイントを作成する場所は、コンテンツにアクセスする必要があるクライアントによって異なります。

  • Azure Resource Manager の展開: プライマリ サイトまたはサーバーの全体管理サイトでこの種類を作成します。

  • クラウド管理ゲートウェイ (CMG) は、クライアントにコンテンツを提供できます。 この機能により、Azure VM の必要な証明書とコストが削減されます。 詳細については、「クラウド管理ゲートウェイ の概要」を参照してください

境界グループにクラウド配布ポイントを含めるかどうかを判断するには、次の動作を検討してください。

  • インターネット ベースのクライアントは境界グループに依存しません。 インターネットに接続する配布ポイントまたはクラウド配布ポイントのみを使用します。 クラウド配布ポイントのみを使用してこれらの種類のクライアントにサービスを提供する場合は、それらを境界グループに含める必要はありません。

  • 内部ネットワーク上のクライアントにクラウド配布ポイントを使用する場合は、クライアントと同じ境界グループに配置する必要があります。 Azure からコンテンツをダウンロードする際にコストがかかるため、クライアントはコンテンツ ソースのリストの最後にクラウド配布ポイントを優先します。 そのため、クラウド配布ポイントは通常、イントラネット ベースのクライアントのフォールバック ソースとして使用されます。 クラウドファーストの設計が必要な場合は、このビジネス要件を満たした境界グループを設計します。 詳細については、「Configure boundary groups 」を参照してください

Azure の特定の地域にクラウド配布ポイントをインストールしても、クライアントは Azure 地域を認識しません。 クラウド配布ポイントをランダムに選択します。 複数の地域にクラウド配布ポイントをインストールし、クライアントがコンテンツの場所の一覧で複数の配布ポイントを受け取る場合、クライアントは同じ Azure 地域からクラウド配布ポイントを使用しない可能性があります。

バックアップと回復

階層内でクラウド配布ポイントを使用する場合は、次の情報を使用して、バックアップと回復の計画に役立ちます。

  • Backup Site Server メンテナンス タスクを 使用すると、Configuration Manager にクラウド配布ポイントの構成が自動的に含まれます。

  • サーバー認証証明書のコピーをバックアップして保存します。 Configuration Manager プライマリ サイトを別のサーバーに復元する場合は、証明書を再インポートします。

要件

  • サービスをホスト するには Azure サブスクリプション が必要です。

    • Azure 管理者は、 設計に応じて、特定のコンポーネントの初期作成に参加する必要があります。 このペルサは、Configuration Manager でアクセス許可を必要とします。
  • サイト サーバーでは、クラウド サービスを展開 および管理するためにインターネット アクセスが必要です。

  • Azure Resource Manager の展開方法を使用する 場合は、Configuration Manager をクラウド Azure ADに統合します。 Azure AD 検出 は必要ありません。

  • サーバー 認証証明書。 詳細については、以下の「 証明書」セクションを 参照してください。

    • 複雑さを軽減するには、サーバー認証証明書にパブリック証明書プロバイダーを使用します。 その場合は、クラウド サービスの名前を解決するためにクライアント用の DNS CNAME エイリアスも必要です。
  • [クラウド配布ポイントへのアクセスを 許可 する] の [クライアント設定] を [クラウド サービス] グループ の [は い] に設定 します。 既定では、この値は No に 設定されています

  • クライアント デバイスはインターネット 接続を必要とします**。IPv4 を使用する必要があります**。

仕様

  • クラウド配布ポイントは、クライアントとデバイスWindowsサポートされているオペレーティング システムに記載されているすべてのバージョンをサポートします

  • 管理者は、次の種類のサポートされているソフトウェア コンテンツを配布します。

    • アプリケーション

    • パッケージ

    • OS アップグレード パッケージ

    • サード パーティ製のソフトウェア更新プログラム

      重要

      • Configuration Manager コンソールは、Microsoft ソフトウェア更新プログラムのクラウド配布ポイントへの配布をブロックしませんが、クライアントが使用しないコンテンツを格納するために Azure コストを支払っています。 インターネット ベースのクライアントは、常に Microsoft Update クラウド サービスから Microsoft ソフトウェア更新プログラムのコンテンツを取得します。 Microsoft ソフトウェア更新プログラムをクラウド配布ポイントに配布しない。
      • コンテンツ ストレージに CMG を使用する場合、[利用可能なクライアントの場合にデルタ コンテンツをダウンロードする] 設定が有効になっている場合、サードパーティの更新プログラムのコンテンツはクライアントにダウンロードされません
  • クラウド配布ポイントをソースとして使用するプル配布ポイントを構成します。 詳細については、「ソース配布ポイント について」を参照してください

展開設定

  • 実行中のタスク シーケンスで必要な場合は、ローカルでコンテンツをダウンロードします。 タスク シーケンス エンジンは、コンテンツが有効な CMG またはクラウド配布ポイントからオンデマンドでパッケージをダウンロードできます。 このオプションは、インターネット ベースのデバイスWindows一時アップグレードの展開に柔軟性を提供します。

  • タスク シーケンスを開始する前に、すべてのコンテンツをローカルでダウンロードします。 このオプションを使用すると、Configuration Manager クライアントは、タスク シーケンスを開始する前にクラウド ソースからコンテンツをダウンロードします。

  • クラウド配布ポイントでは、[配布ポイントからプログラムを実行する] オプションを使用した パッケージ展開はサポートされていません。 展開オプションを使用して、 配布ポイントからコンテンツをダウンロードし、ローカルで実行します

制限事項

  • PXE またはマルチキャストが有効な展開にクラウド配布ポイントを使用することはできません。

  • クラウド配布ポイントでは、App-V ストリーミング アプリケーションはサポートされていません。

  • クラウド配布ポイントは、更新プログラムのコンテンツMicrosoft 365 Appsサポートされていません。

  • クラウド配布ポイント でコンテンツ を事前設定できない。 クラウド配布ポイントを管理するプライマリ サイトの配布マネージャーは、すべてのコンテンツを転送します。

  • クラウド配布ポイントをプル配布ポイントとして構成できない。

コスト

重要

次のコスト情報は、見積もりのみを目的とします。 環境には、クラウド配布ポイントを使用する全体的なコストに影響する他の変数がある場合があります。

Configuration Manager には、コストの制御とデータ アクセスの監視に役立つ次のオプションが含まれています。

  • クラウド サービスに格納するコンテンツの量を制御および監視します。 詳細については、「クラウド配布ポイント の監視」を参照してください

  • クライアントダウンロードのしきい値が月次制限を超えた場合に警告を表示する Configuration Manager を構成します。 詳細については、「データ転送しきい 値アラート」を参照してください

  • クライアントによるクラウド配布ポイントからのデータ転送の数を減らすには、次のいずれかのピア キャッシュ テクノロジを使用します。

コンポーネント

クラウド配布ポイントは、Azure サブスクリプション アカウントに料金が発生する次の Azure コンポーネントを使用します。

ヒント

クラウド管理ゲートウェイは、クライアントにコンテンツを提供できます。 この機能は、Azure VM を統合することでコストを削減します。 詳細については 、「Cost for cloud management gateway」を参照してください

仮想マシン

  • クラウド配布ポイントは、Azure Cloud Services をサービスとしてのプラットフォーム (PaaS) として使用します。 このサービスは、コンピューティング コストが発生する仮想マシン (VM) を使用します。

  • 各クラウド配布ポイント サービスは、2 つの Standard A0 VM を使用します。

  • 潜在的なコスト を判断するには、Azure の価格計算ツールを参照してください。

    注意

    仮想マシンのコストは地域によって異なります。

送信データ転送

  • Azure へのデータフローは無料です (入力またはアップロード)。 サイトからクラウド配布ポイントにコンテンツを配布すると、Azure にアップロードされます。

  • 料金は、Azure から流れ出るデータ (出力またはダウンロード) に基づいて行います。 Azure からクラウド配布ポイントのデータフローは、クライアントがダウンロードするソフトウェア コンテンツで構成されます。

  • 詳細については、「クラウド配布ポイント の監視」を参照してください

  • 潜在的なコスト を判断するには、Azure 帯域幅の価格の詳細を参照してください。 データ転送の価格は階層化されます。 使用する量が多い場合、ギガバイトあたりの支払いは少なめです。

コンテンツ保存

  • インターネット ベースのクライアントは、Microsoft Update クラウド サービスから Microsoft ソフトウェア更新プログラムのコンテンツを無料で取得します。 Microsoft ソフトウェア更新プログラムを含むソフトウェア更新プログラム展開パッケージをクラウド配布ポイントに配布しない。 それ以外の場合は、クライアントが使用しないコンテンツのデータ ストレージ コストが発生します。

  • Azure Resource Manager 展開を使用するクラウド配布ポイントは、Azure ローカル冗長ストレージ (LRS) を使用します。 詳細については、「ローカル冗長 ストレージ」を参照してください

その他のコスト

  • 各クラウド サービスには、動的 IP アドレスがあります。 各個別のクラウド配布ポイントは、新しい動的 IP アドレスを使用します。 クラウド サービスごとに VM を追加しても、これらのアドレスは増加しません。

ポートとデータ フロー

クラウド配布ポイントには、次の 2 つのプライマリ データ フローがあります。

  • サイト サーバーが Azure に接続してクラウド配布ポイント サービスをセットアップする

  • クライアントがクラウド配布ポイントに接続してコンテンツをダウンロードする

サイト サーバーから Azure への接続

オンプレミス ネットワークへの受信ポートを開く必要はない。 サイト サーバーは、Azure とクラウド配布ポイントとの通信を開始して、クラウド サービスを展開、更新、および管理します。 サイト サーバーは、Microsoft クラウドへの送信接続を作成する必要があります。 このアクションは、配布ポイント サイト システムの役割を特定のサイトにインストールするのと同じです。

クライアントからクラウドへの配布ポイント

オンプレミス ネットワークへの受信ポートを開く必要はない。 インターネット ベースのクライアントは、Azure サービスと直接通信します。 クラウド配布ポイントを使用する内部ネットワーク上のクライアントは、Microsoft クラウドに接続する必要があります。

コンテンツの場所の優先度とイントラネット ベースのクライアントがクラウド配布ポイントを使用する場合の詳細については、「コンテンツ ソースの優先度 」を参照してください

クライアントがクラウド配布ポイントをコンテンツの場所として使用する場合:

  1. 管理ポイントは、クライアントにコンテンツ ソースの一覧と共にアクセス トークンを与えます。 このトークンは 24 時間有効で、クライアントがクラウド配布ポイントにアクセスできます。

  2. 管理ポイントは、クラウド配布ポイントの Service FQDN を使用してクライアントの場所要求に応答します。 このプロパティは、サーバー認証証明書の共通名と同じです。

    たとえば、ドメイン名を使用している場合は、WallaceFalls.contoso.com この FQDN の解決を試みる必要があります。 クライアントが Azure サービス名を解決するには、ドメインのインターネットに接続する DNS に CNAME エイリアスが必要です (たとえば、次 WallaceFalls.cloudapp.net。

  3. クライアントは次に、Azure サービス名 (たとえば、WallaceFalls.cloudapp.net IP アドレスに解決します。 この応答は、Azure の DNS で処理する必要があります。

  4. クライアントはクラウド配布ポイントに接続します。 Azure は、VM インスタンスの 1 つへの接続を負荷分散します。 クライアントは、アクセス トークンを使用して自身を認証します。

  5. クラウド配布ポイントは、クライアントのアクセス トークンを認証し、クライアントに Azure ストレージ内の正確なコンテンツの場所を提供します。

  6. クライアントがクラウド配布ポイントのサーバー認証証明書を信頼している場合は、Azure ストレージに接続してコンテンツをダウンロードします。

パフォーマンスとスケール

配布ポイントの設計と同様に、次の要素を考慮してください。

  • 同時クライアント接続の数
  • クライアントがダウンロードするコンテンツのサイズ
  • ビジネス要件を満たすために許可される時間の長さ

トポロジ の設計に応じて、クライアントが特定のコンテンツに対して複数のクラウド配布ポイントのオプションを持っている場合、それらのクラウド サービス間で自然にランダム化されます。 特定のコンテンツのみを 1 つのクラウド配布ポイントに配布し、多数のクライアントが同時にこのコンテンツをダウンロードしようとする場合、このアクティビティは、その単一のクラウド配布ポイントに大きな負荷をかかえます。 追加のクラウド配布ポイントを追加すると、個別の Azure ストレージ サービスも含まれます。 クライアントがクラウド配布ポイント コンポーネントと通信し、コンテンツをダウンロードする方法の詳細については、「ポートとデータ フロー 」を参照してください

クラウド配布ポイントは、Azure ストレージのフロントエンドとして 2 つの Azure VM を使用します。 この既定の展開は、ほとんどの顧客のニーズを満たします。 極端な状況では、多数の同時クライアント接続 (たとえば、150,000 クライアント) では、Azure VM の処理能力がクライアント要求に対応できません。 クラウド配布ポイントに使用する Azure VM のサイズを変更できません。 Configuration Manager でクラウド配布ポイントの VM インスタンス数を構成できませんが、必要に応じて、Azure portal でクラウド サービスを再構成します。 VM インスタンスを手動で追加するか、自動的にスケーリングするサービスを構成します。

重要

Configuration Manager を更新すると、サイトはクラウド サービスを再展開します。 Azure portal でクラウド サービスを手動で再構成すると、インスタンスの数は既定の 2 にリセットされます。

Azure ストレージ サービスは、1 つのファイルに対して 1 秒あたり 500 の要求をサポートします。 1 つのクラウド配布ポイントのパフォーマンス テストでは、24 時間で 1 つの 100 MB ファイルから 50,000 クライアントへの配布がサポートされました。

証明書

クラウド配布ポイントの設計に応じて、1 つ以上のデジタル証明書が必要です。

一般情報

クラウド配布ポイントの証明書は、次の構成をサポートします。

サーバー認証証明書

この証明書は、すべてのクラウド配布ポイントの展開に必要です。

詳細については 、CMG サーバー認証証明書と、必要に応じて次のサブセクションを参照してください。

  • クライアントへの CMG 信頼されたルート証明書
  • パブリック プロバイダーによって発行されたサーバー認証証明書
  • エンタープライズ PKI から発行されたサーバー認証証明書

クラウド配布ポイントは、クラウド管理ゲートウェイと同じ方法でこの種類の証明書を使用します。 クライアントもこの証明書を信頼する必要があります。 複雑さを軽減するために、パブリック プロバイダーによって発行された証明書の使用をお勧めします。

ワイルドカード証明書を使用しない限り、同じ証明書を再利用しないでください。 クラウド配布ポイントとクラウド管理ゲートウェイの各インスタンスには、一意のサーバー認証証明書が必要です。

PKI からこの証明書を作成する方法の詳細については、「クラウド配布ポイント 用にサービス証明書を展開する」を参照してください

よく寄せられる質問 (FAQ)

クラウド配布ポイントからコンテンツをダウンロードするには、クライアントに証明書が必要ですか?

クライアント認証証明書は必要ありません。 クライアントは、クラウド配布ポイントで使用されるサーバー認証証明書を信頼する必要があります。 この証明書がパブリック証明書プロバイダーによって発行されている場合、ほとんどのデバイスWindowsこれらのプロバイダーの信頼されたルート証明書が既に含まれます。 組織の PKI からサーバー認証証明書を発行した場合、クライアントはチェーン全体で発行する証明書を信頼する必要があります。 このチェーンには、ルート証明機関と中間証明機関が含まれます。 PKI の設計に応じて、この証明書はクラウド配布ポイントの展開に複雑さを加える可能性があります。 この複雑さを回避するために、クライアントが既に信頼しているパブリック証明書プロバイダーの使用をお勧めします。

オンプレミスのクライアントはクラウド配布ポイントを使用できますか?

はい。 内部ネットワーク上のクライアントにクラウド配布ポイントを使用する場合は、クライアントと同じ境界グループに配置する必要があります。 Azure からコンテンツをダウンロードする際にコストがかかるため、クライアントはコンテンツ ソースのリストの最後にクラウド配布ポイントを優先します。 したがって、通常、クラウド配布ポイントはイントラネット ベースのクライアントのフォールバック ソースとして使用されます。 クラウドファーストの設計が必要な場合は、境界グループを必要に応じて設計します。 詳細については、「Configure boundary groups 」を参照してください

Azure ExpressRoute が必要ですか?

Azure ExpressRoute を 使用すると、オンプレミス ネットワークを Microsoft クラウドに拡張できます。 ExpressRoute などの仮想ネットワーク接続は、Configuration Manager クラウド配布ポイントでは必要ありません。

組織で ExpressRoute を使用している場合は、クラウド配布ポイントの Azure サブスクリプションを ExpressRoute を使用するサブスクリプションから分離します。 この構成により、クラウド配布ポイントが誤ってこの方法で接続されないようにします。

Azure 仮想マシンを維持する必要がありますか?

メンテナンスは不要です。 クラウド配布ポイントの設計では、Azure プラットフォームをサービス (PaaS) として使用します。 Configuration Manager は、指定したサブスクリプションを使用して、必要な VM、ストレージ、およびネットワークを作成します。 Azure は仮想マシンをセキュリティで保護して更新します。 これらの VM は、サービスとしてのインフラストラクチャ (IaaS) の場合と同様に、オンプレミス環境の一部ではありません。 クラウド配布ポイントは、Configuration Manager 環境をクラウドに拡張する PaaS です。 詳細については 、「PaaS クラウド サービス モデルのセキュリティ上の利点」を参照してください

クラウド配布ポイントは、クラウド配布ポイントでAzure CDN?

Azure Content Delivery Network (CDN) は、世界中の戦略的に配置された物理ノードにコンテンツをキャッシュすることで、高帯域幅コンテンツを迅速に配信するグローバル ソリューションです。 詳細については、「What is is Azure CDN? 」を参照してください

Configuration Manager クラウド配布ポイントは現在、このセキュリティ をAzure CDN。

次の手順

クラウド配布ポイントのインストール