System Center Configuration Manager でインターネット ベースのクライアント管理を計画するPlan for internet-based client management in System Center Configuration Manager

「オブジェクトの適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

インターネット ベースのクライアント管理 (IBCM とも呼ばれています) では、企業ネットワークに接続されておらず、標準的なインターネットに接続されている System Center Configuration Manager クライアントを管理できます。Internet-based client management (sometimes referred to as IBCM) lets you manage System Center Configuration Manager clients when they are not connected to your company network but have a standard internet connection. この管理方法には、便利な点がいくつかあります。たとえば、仮想プライベート ネットワーク (VPN) を設置する必要がないのでコストを削減でき、ソフトウェア更新プログラムを滞りなく展開することができます。This arrangement has several advantages that include the reduced costs of not having to run virtual private networks (VPNs) and being able to deploy software updates in a timelier manner.

公衆ネットワーク上のクライアント コンピューターの管理には、高いセキュリティが求められるので、インターネット ベースのクライアント管理では、クライアントとその接続先サイト システム サーバーで PKI 証明書を使用する必要があります。Because of the higher security requirements of managing client computers on a public network, internet-based client management requires that clients and the site system servers that the clients connect to use PKI certificates. PKI 証明書を使用することにより、独立した機関によって接続が相互承認され、サイト システムが送受信するデータが SSL (Secure Sockets Layer) で暗号化されるようになります。This ensures that connections are authenticated by an independent authority, and that data to and from these site systems are encrypted by using Secure Sockets Layer (SSL).

次のセクションの情報を、インターネットベースのクライアント管理を計画するときの参考にしてください。Use the following sections to help you plan for internet-based client management.

インターネットでサポートされない機能Features that Are Not Supported on the internet

クライアント管理機能の中には、インターネットでの使用に適していないものがあります。クライアントをインターネット上で管理する場合は、そのような機能はサポートされません。Not all client management functionality is appropriate for the internet; therefore they are not supported when clients are managed on the internet. サポートされない機能は、主に Active Directory ドメイン サービスに依存する機能や、ネットワーク探索や Wake On LAN (WOL) など、公衆ネットワークに適していない機能です。The features that are not supported for internet management typically rely on Active Directory Domain Services or are not appropriate for a public network, such as network discovery and Wake-on-LAN (WOL).

クライアントをインターネット上で管理する場合は、次の機能がサポートされません。The following features are not supported when clients are managed on the internet:

  • クライアントのプッシュ インストールやソフトウェア更新プログラムに基づいたクライアントの展開など、インターネット上でのクライアントの展開。Client deployment over the internet, such as client push and software update-based client deployment. 代わりに、クライアントを手動でインストールしてください。Instead, use manual client installation.

  • サイトの自動割り当てAutomatic site assignment.

  • Wake On LANWake-on-LAN.

  • オペレーティング システムの展開。Operating system deployment. ただし、オペレーティング システムを展開しないタスク シーケンスは展開することができます。たとえば、クライアントでスクリプトやメンテナンス タスクを実行するタスク シーケンスがあります。However, you can deploy task sequences that do not deploy an operating system; for example, task sequences that run scripts and maintenance tasks on clients.

  • リモート コントロールRemote control.

  • ユーザーへのソフトウェアの展開。ただし、インターネット ベースの管理ポイントで Windows 認証 (Kerberos または NTLM) 方式で Active Directory ドメイン サービスのユーザーを認証できる場合は除きます。Software deployment to users unless the internet-based management point can authenticate the user in Active Directory Domain Services by using Windows authentication (Kerberos or NTLM). これには、インターネット ベースの管理ポイントが、ユーザー アカウントのあるフォレストを信頼している場合が当てはまります。This is possible when the internet-based management point trusts the forest where the user account resides.

    また、インターネット ベースのクライアント管理では、ローミングをサポートしません。Additionally, internet-based client management does not support roaming. ローミングによって、クライアントが常に一番近い配布ポイントを見つけて、コンテンツをダウンロードできるようになります。Roaming enables clients to always find the closest distribution points to download content. しかしながら、インターネット上で管理されるクライアントは、割り当てられているサイトのサイト システムがインターネット FQDN を使用するように構成され、サイト システムの役割がインターネットからのクライアント接続を受け入れる場合に、そのサイト システムと通信します。Clients that are managed on the internet communicate with site systems from their assigned site when these site systems are configured to use an internet FQDN and the site system roles allow client connections from the internet. クライアントは、帯域幅や物理的な場所に関係なく、インターネット ベースのサイト システムのいずれかを無作為に選択します。Clients non-deterministically select one of the internet-based site systems, regardless of bandwidth or physical location.

    インターネットからの接続を受け付けるように構成したソフトウェアの更新ポイントがある場合は、インターネット上にある Configuration Manager のインターネット ベースのクライアントは、必ずこのソフトウェアの更新ポイントをスキャンして、どのソフトウェア更新プログラムが必要かを判断します。When you have a software update point that is configured to accept connections from the internet, Configuration Manager internet-based clients on the internet always scan against this software update point, to determine which software updates are required. ただし、これらのクライアントがインターネット上にある場合は、インターネット ベースの配布ポイントからではなく、まず Microsoft Update からソフトウェア更新プログラムをダウンロードしようとします。However, when these clients are on the internet, they first try to download the software updates from Microsoft Update, rather than from an internet-based distribution point. Microsoft Update からダウンロードできなかった場合だけ、クライアントに割り当てられているサイトのインターネットベースの配布ポイントからダウンロードします。Only if this fails, will they then try to download the required software updates from an internet-based distribution point. インターネット ベースのクライアント管理用に構成されていないクライアントは、Microsoft Update からはソフトウェア更新プログラムをダウンロードせず、常に Configuration Manager の配布ポイントを使用します。Clients that are not configured for internet-based client management never try to download the software updates from Microsoft Update, but always use Configuration Manager distribution points.

ヒント

Configuration Manager クライアントは、イントラネット上にあるか、インターネット上にあるかを自動的に判断します。The Configuration Manager client automatically determines whether it’s on the intranet or the internet. クライアントがドメイン コントローラーまたはオンプレミス管理ポイントに接続できる場合、その接続の種類が [現在はイントラネット] に設定されます。If the client can contact a domain controller or an on-premises management point, it sets its connection type to Currently intranet. それ以外の場合は [現在はインターネット] に切り替わり、クライアントの通信にはそのサイトに割り当てられている管理ポイント、ソフトウェアの更新ポイント、配布ポイントが使用されます。Otherwise, it switches to Currently internet, and the client uses the management points, software update points, and distribution points assigned to its site for communication.

インターネットや信頼されていないフォレストからのクライアント通信に関する考慮事項Considerations for client communications from the internet or untrusted forest

プライマリ サイトにインストールされた次のサイト システムの役割では、インターネットや信頼されていないフォレストなどの信頼されていない場所にあるクライアントからの接続がサポートされます (セカンダリ サイトでは信頼されていない場所からのクライアント接続はサポートされません)。The following site system roles installed at primary sites support connections from clients that are in untrusted locations, like the internet or an untrusted forest (secondary sites do not support client connections from untrusted locations):

  • アプリケーション カタログ Web サイト ポイントApplication Catalog website point

    重要

    アプリケーション カタログの役割のサポートは、バージョン 1910 で終了します。Support ends for the application catalog roles with version 1910. 詳細については、「アプリケーション カタログの削除」を参照してください。For more information, see Remove the application catalog.

  • Configuration Manager ポリシー モジュールConfiguration Manager Policy Module

  • 配布ポイント (クラウドベースの配布ポイントでは HTTPS が必要)Distribution point (HTTPS is required by cloud-based distribution points)

  • 登録プロキシ ポイントEnrollment proxy point

  • フォールバック ステータス ポイントFallback status point

  • 管理ポイントManagement point

  • ソフトウェアの更新ポイントSoftware update point

    インターネットに接続するサイト システムについて: About internet facing site systems:
    クライアントのフォレストと、サイト システム サーバーのフォレスト間の信頼を確立する必要はありませんが、インターネットに接続するサイト システムを含むフォレストがユーザー アカウントを含むフォレストを信頼している状態で、 [クライアント ポリシー] のクライアント設定 [インターネット クライアントからのユーザー ポリシー要求を有効にする] を有効にした場合は、この構成でインターネット上のデバイスのユーザーベース ポリシーがサポートされます。Although there is no requirement to have a trust between a client's forest and that of the site system server, when the forest that contains an internet facing site system trusts the forest that contains the user accounts, this configuration supports user-based policies for devices on the internet when you enable the Client Policy client setting Enable user policy requests from internet clients.

    たとえば、次のような場合に、インターネット ベースのクライアント管理がインターネット上のデバイス用のユーザー ポリシーを使用します。For example, the following configurations illustrate when internet-based client management supports user policies for devices on the internet:

  • インターネット ベースの管理ポイントが、ユーザーを認証する読み取り専用ドメイン コントローラーが存在する境界ネットワークにあり、介在するファイアウォールで Active Directory パケットを許可する。The internet-based management point is in the perimeter network where a read-only domain controller resides to authenticate the user and an intervening firewall allows Active Directory packets.

  • ユーザー アカウントがフォレスト A (イントラネット) にあり、インターネット ベースの管理ポイントがフォレスト B (境界ネットワーク) にある。The user account is in Forest A (the intranet) and the internet-based management point is in Forest B (the perimeter network). フォレスト B がフォレスト A を信頼しており、介在するファイアウォールが認証パケットを許可する。Forest B trusts Forest A, and an intervening firewall allows the authentication packets.

  • ユーザー アカウントとインターネット ベースの管理ポイントがフォレスト A (イントラネット) にある。The user account and the internet-based management point are in Forest A (the intranet). 管理ポイントは、Web プロキシ サーバー (Forefront Threat Management Gateway など) を使用してインターネットに発行される。The management point is published to the internet by using a web proxy server (like Forefront Threat Management Gateway).

注意

Kerberos 認証に失敗すると、自動的に NTLM 認証が試みられます。If Kerberos authentication fails, NTLM authentication is then automatically tried.

上の例に示すように、インターネット ベースのサイト システムを Web プロキシ サーバー (ISA Server や Forefront Threat Management Gateway など) を使用してインターネットに発行する場合は、それらのサイト システムをイントラネットに配置することができます。As the previous example shows, you can place internet-based site systems in the intranet when they are published to the internet by using a web proxy server, such as ISA Server and Forefront Threat Management Gateway. これらのサイト システムは、インターネットからのクライアント接続のみ、またはインターネットとイントラネットの両方を受け付けるように構成できます。These site systems can be configured for client connection from the internet only, or client connections from the internet and intranet. Web プロキシ サーバーを使用する場合は、SSL (Secure Sockets Layer) から SSL へのブリッジングまたは SSL トンネリングを構成できます。ブリッジングの方が安全です。When you use a web proxy server, you can configure it for Secure Sockets Layer (SSL) bridging to SSL (more secure) or SSL tunneling:

  • SSL から SSL へのブリッジング: SSL bridging to SSL:
    インターネットベースのクライアント管理でプロキシ Web サーバーを使用する場合は、認証と SSL 終了を使用する SSL から SSL へのブリッジングを構成することをお勧めします。The recommended configuration when you use proxy web servers for internet-based client management is SSL bridging to SSL, which uses SSL termination with authentication. クライアント コンピューターは、コンピューター認証によって、モバイル デバイス レガシ クライアントは、ユーザー認証によって認証されなければなりません。Client computers must be authenticated by using computer authentication, and mobile device legacy clients are authenticated by using user authentication. Configuration Manager によって登録されるモバイル デバイスは、SSL ブリッジングをサポートしていません。Mobile devices that are enrolled by Configuration Manager do not support SSL bridging.

    プロキシ Web サーバーで SSL 終了を使用する利点は、インターネットからのパケットが内部ネットワークに転送される前に検査されることです。The benefit of SSL termination at the proxy web server is that packets from the internet are subject to inspection before they are forwarded to the internal network. プロキシ Web サーバーはクライアントからの接続を認証してから終了します。次に、インターネット ベースのサイト システムに認証済みの新しい接続を開きます。The proxy web server authenticates the connection from the client, terminates it, and then opens a new authenticated connection to the internet-based site systems. Configuration Manager クライアントでプロキシ Web サーバーが使用される場合、クライアント ID (クライアント GUID) はパケット ペイロード内に安全に格納されるので、管理ポイントではプロキシ Web サーバーはクライアントとは見なされません。When Configuration Manager clients use a proxy web server, the client identity (client GUID) is securely contained in the packet payload so that the management point does not consider the proxy web server to be the client. HTTP から HTTPS、または HTTPS から HTTP へのブリッジングは Configuration Manager ではサポートされていません。Bridging is not supported in Configuration Manager with HTTP to HTTPS, or from HTTPS to HTTP.

    注意

    Configuration Manager では、サードパーティの SSL ブリッジ構成の設定はサポートされていません。Configuration Manager doesn't support setting third-party SSL bridging configurations. たとえば、Citrix Netscaler や F5 BIG-IP などです。For example, Citrix Netscaler or F5 BIG-IP. これらを Configuration Manager で使用する場合の構成については、デバイスのベンダーにお問い合わせください。Please work with your device vendor to configure it for use with Configuration Manager.

  • トンネリング:Tunneling:
    プロキシ Web サーバーが SSL ブリッジングの要件をサポートできない場合や、Configuration Manager によって登録されたモバイル デバイスに対してインターネット サポートを構成する場合は、SSL トンネリングもサポートされます。If your proxy web server cannot support the requirements for SSL bridging, or you want to configure internet support for mobile devices that are enrolled by Configuration Manager, SSL tunneling is also supported. ただし、この方法は、安全性が低くなります。これは、インターネットからの SSL パケットが SSL 終了なしにサイト システムに転送されるので、悪意のあるコンテンツがないかどうかを検査できないためです。It is a less secure option because the SSL packets from the internet are forwarded to the site systems without SSL termination, so they cannot be inspected for malicious content. SSL トンネリングを使用する場合は、プロキシ Web サーバーに証明書は必要ありません。When you use SSL tunneling, there are no certificate requirements for the proxy web server.

インターネット ベースのクライアントの計画Planning for internet-Based Clients

インターネット上で管理することになるクライアント コンピューターを、イントラネットとインターネットの両方で管理できるようにするか、それともインターネット専用として構成するかを決める必要があります。You must decide whether the client computers that will be managed over the internet will be configured for management on the intranet and the internet, or for internet-only client management. このクライアントの管理オプションは、クライアントをインストールするときしか構成できません。You can only configure the client management option during the installation of a client computer. 選択したオプションを変更したい場合は、クライアントを再インストールする必要があります。If you change your mind later, you must reinstall the client.

注意

インターネットを利用できる管理ポイントを構成する場合は、管理ポイントに接続されるクライアントが利用可能な管理ポイントの一覧を更新すると、インターネットを利用できるようになります。If you configure an internet capable management point, clients that connect to the management point will become internet-capable when they next refresh their list of available management points.

ヒント

インターネット専用クライアント管理の構成をインターネットだけに制限する必要はありません。その構成をイントラネットでも使用できます。You do not have to restrict the configuration of internet-only client management to the internet and you can also use it on the intranet.

インターネット専用クライアントとして構成されたクライアントは、インターネットからのクライアント接続を受け入れるサイト システムだけと通信します。Clients that are configured for internet-only client management only communicate with the site systems that are configured for client connections from the internet. この構成は、遠隔地の売場専用コンピューターなど、企業のイントラネットに接続することのないコンピューターに適しています。This configuration would be appropriate for computers that you know never connect to your company intranet, for example, point of sale computers in remote locations. また、クライアント接続を HTTPS のみに制限する場合 (ファイアウォールとセキュリティ ポリシーを採用する場合など) や、インターネット ベースのサイト システムを境界ネットワークにインストールし、Configuration Manager クライアントを使用してこれらのサーバーを管理する場合にも適しています。It might also be appropriate when you want to restrict client communication to HTTPS only (for example, to support firewall and restricted security policies), and when you install internet-based site systems in a perimeter network and you want to manage these servers by using the Configuration Manager client.

インターネット上のワークグループ クライアントを管理する場合は、これらのクライアントをインターネット専用としてインストールする必要があります。When you want to manage workgroup clients on the internet, you must install them as internet-only.

注意

モバイル デバイス クライアントは、イントーネット ベースの管理ポイントを使用するように構成すると、自動的にインターネット専用になります。Mobile device clients are automatically configured as internet-only when they are configured to use an internet-based management point.

その他のクライアント コンピューターは、インターネットとイントラネットの両用に構成できます。Other client computers can be configured for internet and intranet client management. このように構成すると、クライアントが接続されるネットワークが変わると、インターネット ベースのクライアント管理とイントラネット クライアント管理が自動的に切り替わります。They can automatically switch between internet-based client management and intranet client management when they detect a change of network. イントラネットのクライアント接続用に構成された管理ポイントに接続できた場合は、Configuration Manager のすべての管理機能に対応しているイントラネット クライアントとして管理されます。If these clients can find and connect to a management point that is configured for client connections on the intranet, these clients are managed as intranet clients that have full Configuration Manager management functionality. イントラネットのクライアント接続用に構成されている管理ポイントに接続できなかった場合は、インターネット ベースの管理ポイントに接続しようとします。この管理ポイントに接続できると、クライアントに割り当てられているサイトのインターネット ベースのサイト システムによって管理されるようになります。If the clients cannot find or connect to a management point that is configured for client connections on the intranet, they attempt to connect to an internet-based management point, and if this is successful, these clients are then managed by the internet-based site systems in their assigned site.

インターネット ベースのクライアント管理とイントラネット クライアント管理が自動的に切り替わることの長所は、クライアント コンピューターがイントラネットに接続しているときは常に Configuration Manager のすべての機能を使用することができ、インターネットに接続したときも、主要な管理機能によって引き続き管理されているという点です。The benefit in automatic switching between internet-based client management and intranet client management is that client computers can automatically use all Configuration Manager features whenever they are connected to the intranet and continue to be managed for essential management functions when they are on the internet. また、インターネット上で開始したダウンロードをイントラネットに接続したときに再開したり、その逆も行えます。Additionally, a download that began on the internet can seamlessly resume on the intranet, and vice versa.

インターネット ベースのクライアント管理の前提条件Prerequisites for internet-Based Client Management

Configuration Manager でインターネット ベースのクライアント管理を行うには、次の条件を満たしている必要があります。Internet-based client management in Configuration Manager has the following external dependencies:

  • インターネット上で管理されるクライアントは、インターネットに接続できる必要があります。Clients that will be managed on the internet must have an internet connection.

    Configuration Manager は、既存のインターネット サービス プロバイダー (ISP) 接続を使用します。一時的な接続と常時接続のどちらでもかまいません。Configuration Manager uses existing Internet Service Provider (ISP) connections to the internet, which can be either permanent or temporary connections. モバイル デバイス クライアントはインターネットに直接接続する必要があります。コンピューター クライアントはインターネットに直接接続するか、プロキシ Web サーバー経由で接続することができます。Client mobile devices must have a direct internet connection, but client computers can have either a direct internet connection or connect by using a proxy web server.

  • インターネット ベースのクライアント管理で使用するサイト システムは、インターネットに接続可能で、Active Directory ドメインになければなりません。Site systems that support internet-based client management must have connectivity to the internet and must be in an Active Directory domain.

    インターネット ベースのサイト システムとサイト サーバーの Active Directory フォレストに信頼関係は必要ありません。The internet-based site systems do not require a trust relationship with the Active Directory forest of the site server. ただし、インターネット ベースの管理ポイントが Windows 認証を使用してユーザーを認証できる場合は、ユーザー ポリシーを使用することができます。However, when the internet-based management point can authenticate the user by using Windows authentication, user policies are supported. Windows 認証できない場合は、コンピューター ポリシーだけを使用できます。If Windows authentication fails, only computer policies are supported.

    注意

    ユーザー ポリシーを使用するには、クライアント設定の [クライアント ポリシー] で次の 2 つを [TRUE] に設定する必要があります。To support user policies, you also must set to True the two Client Policy client settings:

    • クライアント上でのユーザー ポリシーのポーリングを有効にするEnable user policy polling on clients
      • インターネット クライアントからのユーザー ポリシー要求を有効にするEnable user policy requests from Internet clients

    インターネット ベースのアプリケーション カタログ Web サービス ポイントも、ユーザーのコンピューターがインターネット上にあるときに、そのユーザーを認証するために Windows 認証を必要とします。An internet-based Application Catalog website point also requires Windows authentication to authenticate users when their computer is on the internet. この要件は、ユーザー ポリシーとは独立しています。This requirement is independent from user policies.

  • クライアントが必要とし、インターネットとインターネット ベースのサイト システム サーバーで管理する証明書を展開して管理できる公開キー基盤 (PKI) が必要です。You must have a supporting public key infrastructure (PKI) that can deploy and manage the certificates that the clients require and that are managed on the internet and the internet-based site system servers.

    PKI 証明書の詳細については、「System Center Configuration Manager での PKI 証明書の要件」をご覧ください。For more information about the PKI certificates, see PKI certificate requirements for System Center Configuration Manager.

  • インターネット ベースのクライアント管理をサポートするサイト システムのインターネット完全修飾ドメイン名 (FQDN) を公開 DNS サーバーのホスト エントリとして登録する必要があります。The internet fully qualified domain name (FQDN) of site systems that support internet-based client management must be registered as host entries on public DNS servers.

  • 介在するファイアウォールまたはプロキシ サーバーは、インターネット ベースのサイト システムに関連付けられたクライアント接続を許可する必要があります。Intervening firewalls or proxy servers must allow the client communication that is associated with internet-based site systems.

    クライアント接続の要件:Client communication requirements:

    • HTTP 1.1 をサポートしていることSupport HTTP 1.1

    • マルチパート MIME 添付ファイルの HTTP コンテンツ タイプ (multipart/mixed および application/octet-stream) を許可することAllow HTTP content type of multipart MIME attachment (multipart/mixed and application/octet-stream)

    • インターネット ベースの管理ポイントで次の動詞を使用できること:Allow the following verbs for the internet-based management point:

      • HEADHEAD

      • CCM_POSTCCM_POST

      • BITS_POSTBITS_POST

      • GETGET

      • PROPFINDPROPFIND

    • インターネット ベースの配布ポイントで次の動詞を使用できること:Allow the following verbs for the internet-based distribution point:

      • HEADHEAD

      • GETGET

      • PROPFINDPROPFIND

    • インターネット ベースのフォールバック ステータス ポイントで次の動詞を使用できること:Allow the following verbs for the internet-based fallback status point:

      • POSTPOST
    • インターネット ベースのアプリケーション カタログ Web サイト ポイントで次の動詞を使用できること:Allow the following verbs for the internet-based Application Catalog website point:

      • POSTPOST

      • GETGET

    • インターネット ベースの管理ポイントで次の HTTP ヘッダーを使用できること:Allow the following HTTP headers for the internet-based management point:

      • Range:Range:

      • CCMClientID:CCMClientID:

      • CCMClientIDSignature:CCMClientIDSignature:

      • CCMClientTimestamp:CCMClientTimestamp:

      • CCMClientTimestampsSignature:CCMClientTimestampsSignature:

    • インターネット ベースの配布ポイントで次の HTTP ヘッダーを使用できること:Allow the following HTTP header for the internet-based distribution point:

      • Range:Range:

      これらの条件を満たす構成については、ファイアウォールまたはプロキシ サーバーのドキュメントをご覧ください。For configuration information to support these requirements, refer to your firewall or proxy server documentation.

      インターネットからのクライアント接続にソフトウェアの更新ポイントを使用する場合は、Windows Server Update Services (WSUS) のドキュメントをご覧ください。For similar communication requirements when you use the software update point for client connections from the internet, see the documentation for Windows Server Update Services (WSUS). たとえば、Windows Server 2003 の WSUS については、「付録 D:セキュリティ設定」 (セキュリティ設定の展開の付録) をご覧ください。For example, for WSUS on Windows Server 2003, see Appendix D: Security Settings, the deployment appendix for security settings.