Configuration Manager でクラウド管理ゲートウェイを計画するPlan for the cloud management gateway in Configuration Manager

「オブジェクトの適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

クラウド管理ゲートウェイ (CMG) は、インターネット上で Configuration Manager クライアントを管理する簡単な方法を提供します。The cloud management gateway (CMG) provides a simple way to manage Configuration Manager clients on the internet. Microsoft Azure のクラウド サービスとして CMG を展開することで、オンプレミスのインフラストラクチャを追加せずに、インターネット上を移動する従来のクライアントを管理できます。By deploying the CMG as a cloud service in Microsoft Azure, you can manage traditional clients that roam on the internet without additional on-premises infrastructure. また、オンプレミス インフラストラクチャをインターネットに公開する必要がありません。You also don't need to expose your on-premises infrastructure to the internet.


Configuration Manager では、このオプション機能は既定で無効です。Configuration Manager doesn't enable this optional feature by default. この機能は、使用する前に有効にする必要があります。You must enable this feature before using it. 詳細については、「Enable optional features from updates」 (更新プログラムのオプション機能の有効化) を参照してください。For more information, see Enable optional features from updates.

前提条件を確立した後、Configuration Manager コンソールで次の 3 つの手順を行うことで CMG が作成されます。After establishing the prerequisites, creating the CMG consists of the following three steps in the Configuration Manager console:

  1. CMG クラウド サービスを Azure に展開します。Deploy the CMG cloud service to Azure.
  2. CMG 接続ポイント ロールを追加します。Add the CMG connection point role.
  3. サービスのサイトとサイト ロールを構成します。Configure the site and site roles for the service. 展開し、構成すると、クライアントはオンプレミス サイト ロールがイントラネットにあるかインターネットにあるかに関わらず、シームレスにアクセスします。Once deployed and configured, clients seamlessly access on-premises site roles regardless of whether they're on the intranet or internet.

この記事では、CMG について知る、自分の環境に合うように設計する、実装を計画するための基礎知識を提供します。This article provides the foundational knowledge to learn about the CMG, design how it fits in your environment, and plan the implementation.


CMG が有益となるシナリオがいくつかあります。There are several scenarios for which a CMG is beneficial. より一般的なシナリオは次のようなシナリオです。The following scenarios are some of the more common:

  • Active Directory ドメイン参加 ID のある従来の Windows クライアントを管理します。Manage traditional Windows clients with Active Directory domain-joined identity. このようなクライアントには、Windows 7、Windows 8.1、Windows 10 があります。These clients include Windows 7, Windows 8.1, and Windows 10. PKI 証明書を使用して通信チャネルをセキュリティで保護します。It uses PKI certificates to secure the communication channel. 管理作業には次が含まれます。Management activities include:

    • ソフトウェア更新とエンドポイント保護Software updates and endpoint protection
    • インベントリとクライアントの状態Inventory and client status
    • コンプライアンス設定Compliance settings
    • デバイスにソフトウェアを配布Software distribution to the device
    • Windows 10 一括アップグレード タスク シーケンスWindows 10 in-place upgrade task sequence
  • 最新の ID を持つ、つまり、Azure Active Directory (Azure AD) に混種か単種でクラウド ドメイン参加している従来の Windows 10 クライアントを管理します。Manage traditional Windows 10 clients with modern identity, either hybrid or pure cloud domain-joined with Azure Active Directory (Azure AD). クライアントでは、PKI 証明書ではなく、Azure AD が認証に利用されます。Clients use Azure AD to authenticate rather than PKI certificates. Azure AD を利用する場合、複雑な PKI システムより設定、構成、保守管理が簡単です。Using Azure AD is simpler to set up, configure and maintain than more complex PKI systems. 管理作業は最初のシナリオと同じものに次が加わります。Management activities are the same as the first scenario, as well as:

    • ユーザーにソフトウェアを配布Software distribution to the user
  • インターネット経由で Configuration Manager クライアントを Windows 10 デバイスにインストールします。Install the Configuration Manager client on Windows 10 devices over the internet. Azure AD を利用すると、デバイスでは、クライアントの登録や割り当てのために CMG に認証できます。Using Azure AD allows the device to authenticate to the CMG for client registration and assignment. クライアントは手動でインストールできます。あるいは、Microsoft Intune など、別のソフトウェア配布方法を利用できます。You can install the client manually, or using another software distribution method, such as Microsoft Intune.

  • 新しいデバイス プロビジョニングと共同管理。New device provisioning with co-management. 既存のクライアントを自動登録する場合、共同管理に CMG は必要ありません。When auto-enrolling existing clients, CMG isn't required for co-management. Windows AutoPilot、Azure AD、Microsoft Intune、Configuration Manager が関わる新しいデバイスに対しては必要です。It is required for new devices involving Windows AutoPilot, Azure AD, Microsoft Intune, and Configuration Manager. 詳しくは、「共同管理へのパス」をご覧ください。For more information, see Paths to co-management.

特定のユース ケースSpecific use cases

以上のシナリオでは、次のような特定のデバイス ユース ケースが適用されることがあります。Across these scenarios the following specific device use cases may apply:

  • ラップトップなどのローミング デバイスRoaming devices such as laptops

  • WAN または VPN よりもインターネットでの管理が安価で効率性が良いリモート/支店デバイス。Remote/branch office devices that are less expensive and more efficient to manage over the internet than across a WAN or through a VPN.

  • 合併と買収。Azure AD にデバイスを参加させ、CMG 経由で管理するのが簡単な場合があります。Mergers and acquisitions, where it may be easiest to join devices to Azure AD and manage through a CMG.


既定ではすべてのクライアントが CMG のポリシーを受け取り、インターネットベースになるとき、その使用を開始します。By default all clients receive policy for a CMG, and start using it when they become internet-based. 組織に当てはまるシナリオとユース ケースによっては、CMG の使い方を調べる必要があります。Depending upon the scenario and use case that applies to your organization, you may need to scope usage of the CMG. 詳細については、「クライアントでクラウド管理ゲートウェイを使用できるようにする」のクライアント設定を参照してください。For more information, see the Enable clients to use a cloud management gateway client setting.

トポロジ設計Topology design

CMG コンポーネントCMG components

CMG の展開と操作には、次のコンポーネントが含まれます。Deployment and operation of the CMG includes the following components:

  • Azure の CMG クラウド サービスは、Configuration Manager クライアントの要求を認証し、CMG 接続ポイントに転送します。The CMG cloud service in Azure authenticates and forwards Configuration Manager client requests to the CMG connection point.

  • CMG 接続ポイント サイト システム ロールによって、オンプレミス ネットワークから Azure の CMG サービスまで、一貫性があり、パフォーマンスが高い接続が可能になります。The CMG connection point site system role enables a consistent and high-performance connection from the on-premises network to the CMG service in Azure. また、接続情報やセキュリティ設定などの各種設定を CMG に発行します。It also publishes settings to the CMG including connection information and security settings. CMG 接続ポイントは、URL マッピングに基づき、CMG からオンプレミス ロールにクライアント要求を転送します。The CMG connection point forwards client requests from the CMG to on-premises roles according to URL mappings.

  • サービス接続ポイント サイト システム ロールは、あらゆる CMG 展開タスクを処理する、クラウド サービス マネージャー コンポーネントを実行します。The service connection point site system role runs the cloud service manager component, which handles all CMG deployment tasks. また、このコンポーネントは、Azure AD のサービスの正常性とログ情報も監視し、レポートします。Additionally, it monitors and reports service health and logging information from Azure AD. サービス接続ポイントがオンライン モードであることを確認します。Make sure your service connection point is in online mode.

  • 管理ポイント サイト システム ロールは通常のようにクライアント要求にサービスを提供します。The management point site system role services client requests per normal.

  • ソフトウェア更新ポイント サイト システム ロールは通常のようにクライアント要求にサービスを提供します。The software update point site system role services client requests per normal.

  • インターネットベース クライアントは CMG に接続し、オンプレミスの Configuration Manager コンポーネントにアクセスします。Internet-based clients connect to the CMG to access on-premises Configuration Manager components.

  • CMG では、証明書ベースの HTTPS Web サービスを使用し、クライアントとのネットワーク通信をセキュリティで保護します。The CMG uses a certificate-based HTTPS web service to help secure network communication with clients.

  • インターネットベースのクライアントでは、ID や認証に PKI 証明書または Azure AD が使用されます。Internet-based clients use PKI certificates or Azure AD for identity and authentication.

  • クラウド配布ポイントによって、必要に応じて、インターネットベースのクライアントにコンテンツを提供されます。A cloud distribution point provides content to internet-based clients, as needed.

    • バージョン 1806 からは、CMG でクライアントにコンテンツを提供できるようにもなりました。Starting in version 1806, a CMG can also serve content to clients. この機能により、Azure VM の必要な証明書とコストが削減されます。This functionality reduces the required certificates and cost of Azure VMs. 詳細については、CMG の変更に関するページを参照してください。For more information, see Modify a CMG.

Azure Resource ManagerAzure Resource Manager

Azure Resource Manager の展開を使用して CMG を作成します。Create the CMG using an Azure Resource Manager deployment. Azure Resource Manager は、リソース グループと呼ばれる単一のエンティティとしてすべてのソリューション リソースを管理するための最新のプラットフォームです。Azure Resource Manager is a modern platform for managing all solution resources as a single entity, called a resource group. Azure Resource Manager で CMG を展開するとき、サイトは Azure Active Directory (Azure AD) を使って必要なクラウド リソースの認証と作成を行います。When deploying CMG with Azure Resource Manager, the site uses Azure Active Directory (Azure AD) to authenticate and create the necessary cloud resources. この最新の展開では、従来の Azure 管理証明書は必要ありません。This modernized deployment doesn't require the classic Azure management certificate.


この機能では、Azure クラウド サービス プロバイダー (CSP) のサポートは有効になりません。This capability doesn't enable support for Azure Cloud Service Providers (CSP). Azure Resource Manager での CMG の展開では引き続き従来のクラウド サービスが使われ、CSP はこれをサポートしません。The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. 詳細については、「Available Azure services in Azure CSP」(Azure CSP で使用可能な Azure サービス) を参照してください。For more information, see available Azure services in Azure CSP.

Configuration Manager バージョン 1902 以降、クラウド管理ゲートウェイの新しいインスタンスに対しては、Azure Resource Manager が唯一の展開メカニズムです。Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. 既存の展開は引き続き機能します。Existing deployments continue to work.

Configuration Manager バージョン 1810 以前の CMG ウィザードでは、Azure 管理証明書を使う従来のサービス展開のためのオプションがまだ提供されています。In Configuration Manager version 1810 and earlier, the CMG wizard still provides the option for a classic service deployment using an Azure management certificate. リソースの展開と管理を簡単にするため、すべての新しい CMG インスタンスに Azure Resource Manager デプロイ モデルをお勧めします。To simplify the deployment and management of resources, the Azure Resource Manager deployment model is recommended for all new CMG instances. 可能であれば、Resource Manager で既存の CMG インスタンスを再展開してください。If possible, redeploy existing CMG instances through Resource Manager. 詳細については、CMG の変更に関するページを参照してください。For more information, see Modify a CMG.


バージョン 1810 以降では、Configuration Manager での Azure の従来のサービス展開の使用は推奨されていません。Starting in version 1810, the classic service deployment in Azure is deprecated for use in Configuration Manager. このバージョンが、これらの Azure の展開の作成がサポートされる最後のものとなります。This version is the last to support creation of these Azure deployments. この機能は、将来の Configuration Manager バージョンで削除されます。This functionality will be removed in a future Configuration Manager version.

階層の設計Hierarchy design

階層の一番上のサイトで CMG を作成します。Create the CMG at the top-tier site of your hierarchy. それが中央管理サイトである場合は、子プライマリ サイトで CMG 接続ポイントを作成します。If that's a central administration site, then create CMG connection points at child primary sites. クラウド サービス マネージャー コンポーネントは、中央管理サイトにもある、サービス接続ポイントにあります。The cloud service manager component is on the service connection point, which is also on the central administration site. この設計によって、必要に応じて、異なるプライマリ サイト間でサービスを共有できます。This design can share the service across different primary sites if needed.

Azure で複数の CMG サービスを作成できます。また、複数の CMG 接続ポイントを作成できます。You can create multiple CMG services in Azure, and you can create multiple CMG connection points. CMG 接続ポイントが複数あると、CMG からオンプレミス ロールへのクライアント トラフィックが負荷分散されます。Multiple CMG connection points provide load balancing of client traffic from the CMG to the on-premises roles. ネットワークの待ち時間を減らすために、関連 CMG をプライマリ サイトとして同じ地理的リージョンに割り当てます。To reduce network latency, assign the associated CMG to the same geographical region as the primary site.

バージョン 1902 以降、CMG を境界グループに関連付けることができるようになりました。Starting in version 1902, you can associate a CMG with a boundary group. クライアントにこの構成を使用すると、境界グループのリレーションシップに従って、クライアント通信に対して CMG を既定に設定したり、それにフォールバックしたりすることができます。This configuration allows clients to default or fallback to the CMG for client communication according to boundary group relationships. この動作は、ブランチ オフィスと VPN のシナリオで特に役立ちます。This behavior is especially useful in branch office and VPN scenarios. クライアント トラフィックに高価で低速な WAN リンクを使用せず、代わりに Microsoft Azure の高速なサービスを使用できます。You can direct client traffic away from expensive and slow WAN links to instead use faster services in Microsoft Azure.


インターネットベース クライアントはどの境界グループにも分類されません。Internet-based clients don't fall into any boundary group.

Configuration Manager バージョン 1810 以前では、CMG はどの境界グループにも分類されません。In Configuration Manager version 1810 and earlier, the CMG doesn't fall into any boundary group.

管理するクライアントの数など、その他の要因も CMG の設計に影響を与えます。Other factors, such as the number of clients to manage, also impact your CMG design. 詳細については、「パフォーマンスと拡張性」を参照してください。For more information, see Performance and scale.

例 1: スタンドアロン プライマリ サイトExample 1: standalone primary site

Contoso は、ニューヨーク市にある本社のオンプレミス データセンターにスタンドアロン プライマリ サイトを置いています。Contoso has a standalone primary site in an on-premises datacenter at their headquarters in New York City.

  • 米国東部 Azure リージョンに CMG を作成し、ネットワークの待ち時間を減らします。They create a CMG in the East US Azure region to reduce network latency.
  • CMG 接続ポイントを 2 つ作成します。いずれも 1 つの CMG サービスにリンクされています。They create two CMG connection points, both linked to the single CMG service.

クライアントがインターネットに接続するとき、米国東部 Azure リージョンの CMG と通信します。As clients roam onto the internet, they communicate with the CMG in the East US Azure region. CMG はこの通信を両方の CMG 接続ポイントに転送します。The CMG forwards this communication through both of the CMG connection points.

例 2: 階層Example 2: hierarchy

Fourth Coffee は、シアトルの本社にあるオンプレミス データセンターに中央管理サイトを置いています。Fourth Coffee has a central administration site in an on-premises datacenter at their headquarters in Seattle. プライマリ サイトが 1 つ同じデータセンターにあり、別のプライマリ サイトがパリのヨーロッパ統括オフィスにあります。One primary site is in the same datacenter, and the other primary site is in their main European office in Paris.

  • 中央管理サイトで、米国西部 Azure リージョンに CMG サービスを作成します。On the central administration site, they create a CMG service in the West US Azure region. 階層全体で、予想されるローミング クライアントの負荷に合わせて VM の数をスケーリングします。They scale the number of VMs for the expected load of roaming clients in the entire hierarchy.
  • シアトルベースのプライマリ サイトで、単一の CMG にリンクされている CMG 接続ポイントを作成します。On the Seattle-based primary site, they create a CMG connection point linked to the single CMG.
  • パリベースのプライマリ サイトで、単一の CMG にリンクされている CMG 接続ポイントを作成します。On the Paris-based primary site, they create a CMG connection point linked to the single CMG.

クライアントがインターネットにローミングするとき、米国西部 Azure リージョンの CMG と通信します。As clients roam onto the internet, they communicate with the CMG in the West US Azure region. CMG によって、この通信が、クライアントの割り当てられたプライマリ サイト内にある CMG 接続ポイントに転送されます。The CMG forwards this communication to the CMG connection point in the client's assigned primary site.


位置情報の目的で、複数の CMG インスタンスをデプロイする必要はありません。You don't need to deploy multiple CMG instances for the purposes of geolocation. 構成マネージャー クライアントは、地理的に離れている場合でも、クラウド サービスで発生するわずかな待機時間の影響をほとんど受けません。The Configuration Manager client is mostly unaffected by the slightly latency that occurs with the cloud service, even when geographically distant.


  • CMG をホストするための Azure サブスクリプションAn Azure subscription to host the CMG.

  • Azure 管理者は、設計によっては、特定のコンポーネントの初回作成に参加する必要があります。An Azure administrator needs to participate in the initial creation of certain components, depending upon your design. この管理者には Configuration Manager のアクセス許可は必要ありません。This persona doesn't require permissions in Configuration Manager.

    • CMG を展開するには、サブスクリプション管理者が必要ですTo deploy the CMG, you need a Subscription Admin
    • Azure Resource Manager を使用して CMG を展開するためにサイトを Azure AD と統合するには、全体管理者が必要です。To integrate the site with Azure AD for deploying the CMG using Azure Resource Manager, you need a Global Admin
  • CMG 接続ポイントをホストするためのオンプレミス Windows サーバーが少なくとも 1 つ。At least one on-premises Windows server to host the CMG connection point. このロールと他の Configuration Manager サイト システム ロールは同じ場所に置くことができます。You can colocate this role with other Configuration Manager site system roles.

  • サービス接続ポイントオンライン モードにする必要があります。The service connection point must be in online mode.

  • Azure Resource Manager でサービスを展開するための Azure AD との統合。Integration with Azure AD for deploying the service with Azure Resource Manager. 詳細については、「Azure サービスの構成」を参照してください。For more information, see Configure Azure services.

  • CMG のサーバー認証証明書A server authentication certificate for the CMG.

  • クライアントの OS バージョンと認証モデルによっては、他の証明書が必要になることがあります。Other certificates may be required, depending upon your client OS version and authentication model. 詳細については、「CMG 証明書」を参照してください。For more information, see CMG certificates.

    バージョン 1806 以降では、 [HTTP サイト システムには Configuration Manager によって生成された証明書を使用する] サイト オプションを使用するときは、管理ポイントは HTTP でもかまいません。Starting in version 1806, when using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. 詳細については、「Enhanced HTTP」(拡張 HTTP) をご覧ください。For more information, see Enhanced HTTP.

  • Configuration Manager バージョン 1810 以前で、Azure クラシック デプロイ方法を利用している場合は、Azure 管理証明書が必要です。In Configuration Manager version 1810 or earlier, if using the Azure classic deployment method, you must use an Azure management certificate.


    Azure Resource Managerの展開モデルを使用します。Use the Azure Resource Manager deployment model. この管理証明書は必要ありません。It doesn't require this management certificate.

    バージョン 1810 以降では、従来の展開方法は推奨されません。The classic deployment method is deprecated as of version 1810.

  • クライアントでは IPv4 を使用する必要があります。Clients must use IPv4.


  • クライアントとデバイスのサポートされるオペレーティング システムに記載されているあらゆるバージョンの Windows が CMG でサポートされています。All Windows versions listed in Supported operating systems for clients and devices are supported for CMG.

  • CMG では、管理ポイント ロールとソフトウェア更新ポイント ロールのみサポートされます。CMG only supports the management point and software update point roles.

  • CMG では、IPv6 アドレスとのみ通信するクライアントはサポートされません。CMG doesn't support clients that only communicate with IPv6 addresses.

  • ネットワーク ロード バランサーを利用するソフトウェア更新ポイントは CMG と連動しません。Software update points using a network load balancer don't work with CMG.

  • Azure Resource Model を使用する CMG 展開では、Azure クラウド サービス プロバイダー (CSP) のサポートが有効になりません。CMG deployments using the Azure Resource Model don't enable support for Azure Cloud Service Providers (CSP). Azure Resource Manager での CMG の展開では引き続き従来のクラウド サービスが使われ、CSP はこれをサポートしません。The CMG deployment with Azure Resource Manager continues to use the classic cloud service, which the CSP doesn't support. 詳細については、「Available Azure services in Azure CSP」 (Azure CSP で使用可能な Azure サービス) を参照してください。For more information, see available Azure services in Azure CSP

Configuration Manager の機能のサポートSupport for Configuration Manager features

次の表は、Configuration Manager 機能の CMG サポートをまとめたものです。The following table lists CMG support for Configuration Manager features:

機能Feature サポートSupport
ソフトウェア更新プログラムSoftware updates サポートされています
エンドポイント保護Endpoint protection サポートされています
ハードウェアとソフトウェアのインベントリHardware and software inventory サポートされています
クライアント ステータスと通知Client status and notifications サポートされています
スクリプトの実行Run scripts サポートされています
コンプライアンス設定Compliance settings サポートされています
クライアント インストールClient install
(Azure AD 統合で)(with Azure AD integration)
ソフトウェア配布 (デバイスを対象に)Software distribution (device-targeted) サポートされています
ソフトウェア配布 (ユーザーを対象とし、必須)Software distribution (user-targeted, required)
(Azure AD 統合で)(with Azure AD integration)
ソフトウェア配布 (ユーザーを対象とし、利用可能)Software distribution (user-targeted, available)
(すべての要件)(all requirements)
Windows 10 一括アップグレード タスク シーケンスWindows 10 in-place upgrade task sequence サポートされています
ブート イメージを使用せずに、 [タスク シーケンスを開始する前にすべてのコンテンツをローカルにダウンロードする] オプションを指定して展開されるタスク シーケンスTask sequences that aren't using boot images and are deployed with an option: Download all content locally before starting task sequence サポートされています
CMPivotCMPivot サポートされています (1806)(1806)
その他のタスク シーケンス シナリオAny other task sequence scenario サポートされていません
クライアント プッシュClient push サポートされていません
サイトの自動割り当てAutomatic site assignment サポートされていません
ソフトウェア承認要求Software approval requests サポートされていません
Configuration Manager コンソールConfiguration Manager console サポートされていません
[リモート ツール]Remote tools サポートされていません
Web サイトのレポートReporting website サポートされていません
Wake On LANWake on LAN サポートされていません
Mac、Linux、UNIX クライアントMac, Linux, and UNIX clients サポートされていません
ピア キャッシュPeer cache サポートされていません
オンプレミス MDMOn-premises MDM サポートされていません
サポートされています = この機能はサポートされているあらゆるバージョンの Configuration Manager によって、CMG でサポートされています= This feature is supported with CMG by all supported versions of Configuration Manager
サポート (YYMM) = この機能は、バージョン YYMM 以降の Configuration Manager によって、CMG でサポートされていますSupported (YYMM) = This feature is supported with CMG starting with version YYMM of Configuration Manager
サポートされていません = この機能は CMG でサポートされていません= This feature isn't supported with CMG



以下のコスト情報は、見積もり目的のみで提供されます。The following cost information is for estimating purposes only. ご利用の環境によっては、変動要素が他にも存在し、それが CMG 使用の総コストに影響を与えることがあります。Your environment may have other variables that affect the overall cost of using CMG.

CMG では次の Azure コンポーネントが利用され、Azure サブスクリプション アカウントへの課金が発生します。CMG uses the following Azure components, which incur charges to the Azure subscription account:

仮想マシンVirtual machine

  • CMG では、PaaS (サービスとしてのプラットフォーム) として Azure Cloud Services が使用されます。CMG uses Azure Cloud Services as platform as a service (PaaS). このサービスでは、計算処理コストを発生させる仮想マシン (VM) が使用されます。This service uses virtual machines (VMs) that incur compute costs.

  • CMG は Standard A2 V2 VM を使用します。CMG uses a Standard A2 V2 VM.

  • CMG をサポートする VM インスタンスの数を選択します。You select how many VM instances support the CMG. 1 が既定値で、16 が最大値です。One is the default, and 16 is the maximum. この数値は CMG の作成時に設定されます。後で変更し、必要に応じてサービスの規模を変更できます。This number is set when creating the CMG, and can be changed afterwards to scale the service as needed.

  • クライアントをサポートするために必要な VM の数については、「パフォーマンスと拡張性」を参照してください。For more information on how many VMs you need to support your clients, see Performance and scale.

  • 予想されるコストについては、「Azure の料金計算ツール」を参照してください。See the Azure pricing calculator to help determine potential costs.


    仮想マシンのコストは地域によって異なります。Virtual machine costs vary by region.

送信データの転送Outbound data transfer

  • 課金は Azure から外に出るデータに基づきます (エグレスまたはダウンロード)。Charges are based on data flowing out of Azure (egress or download). Azure に入ってくるデータは無料です (イングレスまたはアップロード)。Any data flows into Azure are free (ingress or upload). Azure から外に出る CMG データには、クライアントのポリシー、クライアント通知、CMG からサイトに転送されるクライアント応答があります。CMG data flows out of Azure include policy to the client, client notifications, and client responses forwarded by the CMG to the site. このような応答には、インベントリ レポート、ステータス メッセージ、コンプライアンス ステータスがあります。These responses include inventory reports, status messages, and compliance status.

  • CMG とクライアントの通信がなくても、何らかのバックグラウンド通信によって、CMG とオンプレミス サイトの間にネットワーク トラフィックが発生します。Even without any clients communicating with a CMG, some background communication causes network traffic between the CMG and the on-premises site.

  • Configuration Manager コンソールで送信データ転送 (GB) を表示してください。View the Outbound data transfer (GB) in the Configuration Manager console. 詳細については、CMG でクライアントを監視する方法に関するページを参照してください。For more information, see Monitor clients on CMG.

  • 予想されるコストについては、「Azure 帯域幅の料金詳細」を参照してください。See the Azure bandwidth pricing details to help determine potential costs. データ転送の価格設定は階層になっています。Pricing for data transfer is tiered. 使えば使うほど、ギガバイトあたりで支払う料金が安くなります。The more you use, the less you pay per gigabyte.

  • インターネットベースのクライアントの場合、クライアントあたり毎月約 100-300 MB が予想されます (この数値は見積もり目的でのみ提供されます)。For estimating purposes only, expect approximately 100-300 MB per client per month for internet-based clients. 下の見積もりは、既定のクライアント構成用です。The lower estimate is for a default client configuration. 上の見積もりは、もっと活動的なクライアント構成用です。The upper estimate is for a more aggressive client configuration. 実際の使用は、クライアント設定に基づいて変わることがあります。Your actual usage may vary depending upon how you configure client settings.


    ソフトウェア更新やアプリケーションの展開など、他のアクションを実行すると、Azure から外に出るデータ転送の量が増えます。Performing other actions, such as deploying software updates or applications, increases the amount of outbound data transfer from Azure.

  • CMG オプションを誤って [クライアント証明書の失効状態の検証] に構成すると、クライアントから CMG への追加のトラフィックが発生する場合があり、Misconfiguration of the CMG option to Verify client certificate revocation can cause additional traffic from clients to the CMG. その追加のトラフィックにより、Azure の出力データが増加して、Azure のコストが増加する可能性があります。This additional traffic can increase the Azure egress data, which can increase your Azure costs. 詳細については、「証明書失効リストを発行する」を参照してください。For more information, see Publish the certificate revocation list.

コンテンツ ストレージContent storage

  • インターネットベース クライアントは、Windows Update から無料で Microsoft ソフトウェア更新コンテンツを受け取ります。Internet-based clients get Microsoft software update content from Windows Update at no charge. Microsoft 更新コンテンツが含まれる更新パッケージをクラウド配布ポイントに配布しないでください。配布すると、ストレージとデータ エグレスのコストが発生することがあります。Don't distribute update packages with Microsoft update content to a cloud distribution point, otherwise you may incur storage and data egress costs.

  • アプリケーションやサードパーティのソフトウェア更新など、他の必要なコンテンツの場合、クラウドの配布ポイントに配布する必要があります。For any other necessary content, such as applications or third-party software updates, you must distribute to a cloud distribution point. 現在のところ、CMG では、コンテンツをクライアントに送信するクラウドの配布ポイントのみをサポートしています。Currently, the CMG supports only the cloud distribution point for sending content to clients.

  • 詳細については、クラウド配布ポイントの使用のコストに関するページを参照してください。For more information, see the cost of using cloud distribution points.

  • バージョン 1806 以降、クライアントにコンテンツを提供するクラウド配布ポイントとして CMG を使用できるようになりました。Starting in version 1806, a CMG can also be a cloud distribution point to serve content to clients. この機能により、Azure VM の必要な証明書とコストが削減されます。This functionality reduces the required certificates and cost of Azure VMs. 詳細については、CMG の変更に関するページを参照してください。For more information, see Modify a CMG.

その他のコストOther costs

  • クラウド サービスにはそれぞれ、動的 IP アドレスが与えられます。Each cloud service has a dynamic IP address. 個々の CMG で新しい動的 IP アドレスが使用されます。Each distinct CMG uses a new dynamic IP address. CMG あたりの VM を追加しても、このようなアドレスは増えません。Adding additional VMs per CMG doesn't increase these addresses.

パフォーマンスと拡張性Performance and scale

CMG の拡張性については、「サイジングとスケールの数値」をご覧ください。For more information on CMG scale, see Size and scale numbers.

次は、CMG パフォーマンスを改善するための推奨事項です。The following recommendations can help you improve CMG performance:

  • 可能な場合、CMG、CMG 接続ポイント、Configuration Manager のサイト サーバーは同じネットワーク リージョンで構成してください。待機時間を減らすことができます。If possible, configure the CMG, CMG connection point, and the Configuration Manager site server in same network region to reduce latency.

  • 構成マネージャー クライアントと CMG 間の接続は、リージョンを意識していません。The connection between the Configuration Manager client and the CMG isn't region-aware. クライアントの通信の大部分は、待ち時間 / 地理的分離から影響を受けません。Client communication is largely unaffected by latency / geographic separation. geo 近接の目的で複数の CMG を展開する必要はありません。It's not necessary to deploy multiple CMG for the purposes of geo-proximity. 階層内の最上位サイトに CMG を展開し、インスタンスを追加してスケールを拡大します。Deploy the CMG at the top-level site in your hierarchy and add instances to increase scale.

  • サービスの可用性を高くするには、少なくとも 2 つの CMG インスタンスとサイトあたり 2 つの CMG 接続ポイントと共に CMG を作成します。For high availability of the service, create a CMG with at least two CMG instances and two CMG connection points per site.

  • VM インスタンスを追加することで、より多くのクライアントをサポートできるように CMG を拡張します。Scale the CMG to support more clients by adding more VM instances. Azure Load Balancer では、クライアントのサービスへの接続が制御されます。The Azure load balancer controls client connections to the service.

  • CMG 接続ポイントを増やすことで、ポイント間の負荷を分散できます。Create more CMG connection points to distribute the load among them. CMG では、それが接続している CMG 接続ポイントにラウンドロビンでトラフィックが送信されます。The CMG distributes the traffic to its connecting CMG connection points in a round-robin fashion.

  • サポートしているクライアント数を超えたことで CMG に高い負荷がかかっているときでも要求は処理されますが、遅延が発生することがあります。When the CMG is under high load with more than the supported number of clients, it still handles requests but there may be delay.


Configuration Manager では、CMG 接続ポイントのクライアント数に対して絶対的な上限が課されていませんが、Windows Server では、TCP 動的ポートの既定の最大範囲が 16,384 になっています。While Configuration Manager has no hard limit on the number of clients for a CMG connection point, Windows Server has a default maximum TCP dynamic port range of 16,384. Configuration Manager サイトで管理している (CMG 接続ポイントが 1 つの) クライアントが 16,384 を超える場合、Windows Server の上限を増やす必要があります。If a Configuration Manager site manages more than 16,384 clients with a single CMG connection point, you must increase the Windows Server limit. すべてのクライアントでクライアント通知のためのチャネルが保守管理されています。このチャネルは CMG 接続ポイントでポートを開いています。All clients maintain a channel for client notifications, which holds a port open on the CMG connection point. netsh コマンドを使用してこの上限を増やす方法については、Microsoft サポート記事 929851 を参照してください。For more information on how to use the netsh command to increase this limit, see Microsoft Support article 929851.

ポートとデータ フローPorts and data flow

オンプレミス ネットワークに受信ポートを開く必要はありません。You don't need to open any inbound ports to your on-premises network. サービス接続ポイントと CMG 接続ポイントによって、Azure と CMG とのあらゆる通信が開始されます。The service connection point and CMG connection point initiate all communication with Azure and the CMG. これらの 2 つのサイト システム ロールでは、Microsoft クラウドへの送信接続を作成する必要があります。These two site system roles need to create outbound connections to the Microsoft cloud. サービス接続ポイントは Azure でサービスを展開し、監視します。そのため、オンライン モードにする必要があります。The service connection point deploys and monitors the service in Azure, thus must be online mode. CMG 接続ポイントは CMG に接続し、CMG とオンプレミス サイト システム ロールの間の通信を管理します。The CMG connection point connects to the CMG to manage communication between the CMG and on-premises site system roles.

CMG の概念を表す基本的なデータ フロー図:The following diagram is a basic, conceptual data flow for the CMG:

CMG データ フロー

  1. サービス接続ポイントは HTTPS ポート 443 で Azure に接続します。The service connection point connects to Azure over HTTPS port 443. Azure AD または Azure 管理証明書を利用して認証します。It authenticates using Azure AD or the Azure management certificate. サービス接続ポイントによって Azure で CMG が展開されます。The service connection point deploys the CMG in Azure. CMG によって、サーバー認証証明書を利用し、HTTPS クラウド サービスが作成されます。The CMG creates the HTTPS cloud service using the server authentication certificate.

  2. CMG 接続ポイントは TCP TLS または HTTPS で Azure の CMG に接続します。The CMG connection point connects to the CMG in Azure over TCP-TLS or HTTPS. 接続のオープン状態を維持し、将来の 2 方向通信のためのチャネルを構築します。It holds the connection open, and builds the channel for future two-way communication.

  3. クライアントは HTTPS ポート 443 で CMG に接続します。The client connects to the CMG over HTTPS port 443. Azure AD またはクライアント認証証明書を利用して認証します。It authenticates using Azure AD or the client authentication certificate.

  4. CMG では、既存の接続を利用し、クライアント接続がオンプレミス CMG 接続ポイントに転送されます。The CMG forwards the client communication over the existing connection to the on-premises CMG connection point. 受信ファイアウォール ポートを開く必要はありません。You don't need to open any inbound firewall ports.

  5. CMG 接続ポイントによってクライアント通信がオンプレミス管理ポイントとソフトウェア更新ポイントに転送されます。The CMG connection point forwards the client communication to the on-premises management point and software update point.

Azure でコンテンツをホストする場合の詳細については、「クラウドベースの配布ポイントの使用」を参照してください。For more information when you host content in Azure, see Use a cloud-based distribution point.

必要なポートRequired ports

この表は、必要なネットワーク ポートとプロトコルをまとめたものです。This table lists the required network ports and protocols. クライアントは接続を開始し、送信ポートを必要とするデバイスです。The Client is the device initiating the connection, requiring an outbound port. サーバーは接続を承認し、受信ポートを必要とするデバイスです。The Server is the device accepting the connection, requiring an inbound port.

クライアントClient プロトコルProtocol ポートPort サーバーServer [説明]Description
[サービス接続ポイント]Service connection point HTTPSHTTPS 443443 AzureAzure CMG のデプロイCMG deployment
CMG 接続ポイントCMG connection point TCP-TLSTCP-TLS 10140-1015510140-10155 CMG サービスCMG service CMG チャネル 1 を構築するための優先プロトコルPreferred protocol to build CMG channel 1
CMG 接続ポイントCMG connection point HTTPSHTTPS 443443 CMG サービスCMG service ただ 1 つの VM インスタンスに CMG チャネルを構築するためのフォールバック プロトコル 2Fallback protocol to build CMG channel to only one VM instance2
CMG 接続ポイントCMG connection point HTTPSHTTPS 10124-1013910124-10139 CMG サービスCMG service 複数の VM インスタンスに CMG チャネルを構築するためのフォールバック プロトコル 3Fallback protocol to build CMG channel to two or more VM instances3
クライアントClient HTTPSHTTPS 443443 CMGCMG 一般クライアント通信General client communication
CMG 接続ポイントCMG connection point HTTPS または HTTPHTTPS or HTTP 443 または 80443 or 80 管理ポイントManagement point
(バージョン 1710)(version 1710)
オンプレミス トラフィック、ポートは管理ポイント構成に依存On-premises traffic, port depends upon management point configuration
CMG 接続ポイントCMG connection point HTTPSHTTPS 443443 管理ポイントManagement point
(バージョン 1802)(version 1802)
オンプレミス トラフィックは HTTPS にする必要ありOn-premises traffic must be HTTPS
CMG 接続ポイントCMG connection point HTTPS または HTTPHTTPS or HTTP 443 または 80443 or 80 ソフトウェアの更新ポイントSoftware update point オンプレミス トラフィック、ポートはソフトウェア更新ポイント構成に依存On-premises traffic, port depends upon software update point configuration

1 CMG 接続ポイントは最初に、各 CMG VM インスタンスと長時間 TCP-TLS 接続を確立しようとします。1 The CMG connection point first tries to establish a long-lived TCP-TLS connection with each CMG VM instance. ポート 10140 の最初の VM インスタンスに接続します。It connects to the first VM instance on port 10140. 2 番目の VM インスタンスではポート 10141 が使用されます。最大で 16 番目のポートでポート 10155 が使用されます。The second VM instance uses port 10141, up to the 16th on port 10155. TCP TLS 接続がパフォーマンスの面で最高ですが、インターネット プロキシをサポートしていません。A TCP-TLS connection performs the best, but it doesn’t support internet proxy. CMG 接続ポイントが TCP TLS 経由で接続できない場合、HTTPS にフォールバックします。2If the CMG connection point can’t connect via TCP-TLS, then it falls back to HTTPS2.

2 CMG 接続ポイントが TCP-TLS 経由で CMG に接続できない場合1、1 つの VM インスタンスのためにのみ、HTTPS 443 で Azure ロード バランサーに接続します。2 If the CMG connection point can’t connect to the CMG via TCP-TLS1, it connects to the Azure network load balancer over HTTPS 443 only for one VM instance.

3 2 つ以上の VM インスタンスがある場合、CMG 接続ポイントは、HTTPS 443 ではなく、HTTPS 10124 を使用し、最初の VM インスタンスに接続します。3 If there are two or more VM instances, the CMG connection point uses HTTPS 10124 to the first VM instance, not HTTPS 443. HTTPS 10125 で 2 番目の VM インスタンスに接続し、最大で 16 番目が HTTPS ポート 10139 で接続します。It connects to the second VM instance on HTTPS 10125, up to the 16th on HTTPS port 10139.

インターネット アクセス要件Internet access requirements

組織がファイアウォールまたはプロキシ デバイスを使用してインターネットとのネットワーク通信を制限している場合は、CMG 接続ポイントとサービス接続ポイントからインターネット エンドポイントへのアクセスを許可する必要があります。If your organization restricts network communication with the internet using a firewall or proxy device, you need to allow CMG connection point and service connection point to access internet endpoints.

詳細については、「Internet access requirements (インターネット アクセスの要件)」を参照してください。For more information, see Internet access requirements.

次のステップNext steps