CMG のチェックリストを設定する

Configuration Manager (現在のブランチ) に適用

クラウド管理ゲートウェイ (CMG) をデプロイする前に、この記事を使用してセットアップ プロセスを理解してください。 また、すべての前提条件を開始する準備ができていることを確認します。

まず、環境に CMG を実装するための設計と計画を作成します。 詳細については、「 クラウド管理ゲートウェイの計画」を参照してください。 記事のそのセクションを使用して、CMG 設計を決定します。

CMG の全体的なセットアップ プロセスは、次の 5 つのメイン部分に分かれています。

1. CMG サーバー認証証明書を取得する: CMG は、パブリック インターネット経由のセキュリティで保護されたクライアント通信に HTTPS を使用します。 公開プロバイダーから証明書を取得することも、公開キー インフラストラクチャ (PKI) から証明書を発行することもできます。

2. Microsoft Entra ID を構成する: Configuration Managerには、Microsoft Entra ID でのアプリの登録が必要です。 Configuration Manager作成することも、Azure 管理者が事前に登録を作成することもできます。

3. クライアント認証を構成する: クライアントはインターネット経由で通信するため、Configuration Managerにはこのチャネルのセキュリティが強化されている必要があります。 Microsoft Entra ID、PKI 証明書、またはトークン ベースの認証をサイト サーバーから使用できます。

4. CMG のセットアップ: この手順には、サイトの構成と CMG 接続ポイントサイト システムの役割の追加も含まれます。

5. CMG を使用するようにクライアントを構成します。

このセクションの他の記事では、プロセスの各部分について説明します。

用語

CMG の設定のコンテキストでは、次の用語が使用されます。 わかりやすくするために、ここで定義されています。

• Microsoft Entra ID テナント: ユーザー アカウントとアプリの登録のディレクトリ。 1 つのテナントに複数のサブスクリプションを設定できます。

• Azure サブスクリプション: サブスクリプションは、課金、リソース、サービスを分離します。 これは 1 つのテナントに関連付けられています。

  ヒント

  詳細については、「 Microsoft のクラウド オファリングのサブスクリプション、ライセンス、アカウント、テナント」を参照してください。

• Azure リソース グループ: Azure ソリューションの関連リソースを保持するコンテナー。 リソース グループには、グループとして管理するリソースが含まれています。 organizationにとって最も意味のあるものに基づいて、リソース グループに属するリソースを決定します。 詳細については、「 リソース グループ」を参照してください。

• CMG サービス名: CMG サーバー認証証明書の共通名 (CN)。 クライアントと CMG 接続ポイントサイト システムの役割は、このサービス名と通信します。 たとえば、GraniteFalls.Contoso.Com および GraniteFalls.WestUS.CloudApp.Azure.Com が禁止となります。

• CMG デプロイ名: サービス名の最初の部分と、クラウド サービスデプロイの Azure の場所。 サービス接続ポイントのクラウド サービス マネージャー コンポーネントは、Azure に CMG をデプロイするときにこの名前を使用します。 デプロイ名は常に Azure ドメイン内にあります。 Azure の場所は、デプロイ方法によって異なります。例:

  • 仮想マシン スケール セット: GraniteFalls.WestUS.CloudApp.Azure.Com
  • クラシック デプロイ: GraniteFalls.CloudApp.Net

チェックリスト

次のチェックリストを使用して、CMG を作成するために必要な情報と前提条件があることを確認します。

• 使用する Azure 環境。 たとえば、Azure パブリック クラウドや Azure US Government クラウドなどです。

• この CMG デプロイの Azure リージョン。

• スケールと冗長性に必要な VM インスタンスの数。

• Microsoft Entra ID でアプリを登録する Azure アプリケーション開発者、クラウド アプリケーション管理者、アプリケーション管理者、またはグローバル管理者ロール。

• Azure で CMG を作成するときの Azure サブスクリプション所有者 ロール。

• CMG 接続ポイントの役割を追加する予定の既存のサイト システム サーバーが少なくとも 1 つ。

• インターネット アクセスの要件を確認して、必要な各サービスに到達できることを確認します。

• このオプション機能を有効にします。

プロセスの次の手順で、他の前提条件コンポーネントを設定します。

PowerShell を使用して自動化する

必要に応じて、PowerShell を使用して CMG セットアップの側面を自動化できます。 以前のバージョンで使用できるコマンドレットがいくつかありましたが、バージョン 2010 には、新しいコマンドレットと既存のコマンドレットの大幅な機能強化が含まれています。

たとえば、Azure 管理者はまず、Microsoft Entra ID に 2 つの必須アプリを作成します。 次に、次のコマンドレットを使用して CMG をデプロイするスクリプトを記述します。

1. Import-CMAADServerApplication: Configuration ManagerでMicrosoft Entra サーバー アプリ定義を作成します。
2. Import-CMAADClientApplication: Configuration ManagerでMicrosoft Entra クライアント アプリ定義を作成します。
3. Get-CMAADApplication を使用してアプリ オブジェクトを取得し、New-CMCloudManagementAzureService に渡して、Configuration Managerで Azure サービス接続を作成します。
4. New-CMCloudManagementGateway: Azure で CMG サービスを作成します。
5. Add-CMCloudManagementGatewayConnectionPoint: CMG 接続ポイント サイト システムを作成します。

これらのコマンドレットを使用して、CMG サービスの作成、構成、管理とMicrosoft Entra要件を自動化できます。

Configuration Managerのアプリ定義をMicrosoft Entraします。

• Get-CMAADApplication
• Import-CMAADClientApplication
• Import-CMAADServerApplication

Configuration Managerの Cloud Management Azure サービス:

• New-CMCloudManagementAzureService
• Set-CMCloudManagementAzureService
• Get-CMAzureService
• Remove-CMAzureService

Configuration Managerのクラウド管理ゲートウェイ サービス:

• Get-CMCloudManagementGateway
• New-CMCloudManagementGateway
• Remove-CMCloudManagementGateway
• Set-CMCloudManagementGateway
• Start-CMCloudManagementGateway
• Stop-CMCloudManagementGateway

CMG 接続ポイント サイト システムの役割:

• Add-CMCloudManagementGatewayConnectionPoint
• Get-CMCloudManagementGatewayConnectionPoint
• Remove-CMCloudManagementGatewayConnectionPoint
• Set-CMCloudManagementGatewayConnectionPoint

次の手順

サーバー認証証明書を取得して CMG のセットアップを開始します。

CMG サーバー認証証明書