Configuration Manager内のエンドポイント間の通信

Configuration Manager (現在のブランチ) に適用

この記事では、サイト システムとクライアントConfiguration Managerネットワーク経由で通信する方法について説明します。 これには、次のセクションが含まれます。

サイト内のサイト システム間の通信

サイト システムまたはコンポーネントConfiguration Manager、ネットワーク経由でサイト内の他のサイト システムまたはコンポーネントと通信する場合、サイトの構成方法に応じて、次のいずれかのプロトコルが使用されます。

  • サーバー メッセージ ブロック (SMB)

  • HTTP

  • HTTPS

サイト サーバーから配布ポイントへの通信を除き、サイト内のサーバー間の通信はいつでも行うことができます。 これらの通信では、ネットワーク帯域幅を制御するためのメカニズムは使用されません。 サイト システム間の通信を制御できないため、ネットワークが高速かつ適切に接続されている場所にサイト システム サーバーをインストールしてください。

サイト サーバーから配布ポイントへ

サイト サーバーから配布ポイントへのコンテンツの転送を管理するには、次の方法を使用します。

  • ネットワーク帯域幅の制御とスケジュール設定のために配布ポイントを構成します。 これらのコントロールは、サイト間アドレスによって使用される構成に似ています。 リモート ネットワークの場所へのコンテンツの転送がメイン帯域幅の考慮事項である場合は、別のConfiguration Manager サイトをインストールする代わりに、この構成を使用します。

  • 事前設定された配布ポイントとして配布ポイントをインストールできます。 事前設定された配布ポイントを使用すると、配布ポイント サーバーに手動で配置されたコンテンツを使用でき、ネットワーク経由でコンテンツ ファイルを転送する必要がなくなります。

詳細については、「 コンテンツ管理のためのネットワーク帯域幅の管理」を参照してください。

クライアントからサイト システムとサービスへの通信

クライアントは、サイト システムの役割、Active Directory Domain Services、およびオンライン サービスへの通信を開始します。 これらの通信を有効にするには、ファイアウォールでクライアントと通信のエンドポイント間のネットワーク トラフィックを許可する必要があります。 クライアントがこれらのエンドポイントと通信するときに使用されるポートとプロトコルの詳細については、「Configuration Managerで使用されるポート」を参照してください。

クライアントがサイト システムの役割と通信する前に、クライアントはサービスの場所を使用して、クライアントのプロトコル (HTTP または HTTPS) をサポートするロールを見つけます。 既定では、クライアントは、使用できる最も安全な方法を使用します。 詳細については、「クライアントが サイト リソースとサービスを検索する方法について」を参照してください。

Configuration Manager クライアントとサイト サーバー間の通信をセキュリティで保護するには、次のいずれかのオプションを構成します。

  • 公開キー インフラストラクチャ (PKI) を使用し、クライアントとサーバーに PKI 証明書をインストールします。 サイト システムが HTTPS 経由でクライアントと通信できるようにします。 証明書の使用方法については、「 PKI 証明書の要件」を参照してください。

  • HTTP サイト システムにConfiguration Manager生成された証明書を使用するようにサイトを構成します。 詳細については、「 拡張 HTTP」を参照してください。

インターネット インフォメーション サービス (IIS) を使用し、クライアントからの通信をサポートするサイト システムの役割を展開する場合は、クライアントが HTTP または HTTPS を使用してサイト システムに接続するかどうかを指定する必要があります。 HTTP を使用する場合は、署名と暗号化の選択肢も検討する必要があります。 詳細については、「 署名と暗号化の計画」を参照してください。

重要

バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。

クライアントから管理ポイントへの通信

クライアントが管理ポイントと通信する段階は、認証 (トランスポート) と承認 (メッセージ) の 2 つです。 このプロセスは、次の要因によって異なります。

  • サイト構成: HTTPS のみ、HTTP または HTTPS を許可するか、拡張 HTTP が有効になっている HTTP または HTTPS を許可します
  • 管理ポイントの構成: HTTPS または HTTP
  • デバイス中心のシナリオのデバイス ID
  • ユーザー中心のシナリオのユーザー ID

このプロセスのしくみを理解するには、次の表を使用します。

MP の種類 クライアント認証 クライアントの承認
デバイス ID
クライアントの承認
ユーザー ID
HTTP 匿名
Enhanced HTTP では、サイトは Microsoft Entra ID ユーザーまたはデバイス トークンを検証します。
場所要求: 匿名
クライアント パッケージ: 匿名
登録:次のいずれかの方法を使用してデバイス ID を証明します。
- 匿名 (手動承認)
- Windows 統合認証
- Microsoft Entra ID デバイス トークン (拡張 HTTP)
登録後、クライアントはメッセージ署名を使用してデバイス ID を証明します
ユーザー中心のシナリオでは、次のいずれかの方法を使用してユーザー ID を証明します。
- Windows 統合認証
- Microsoft Entra ID ユーザー トークン (拡張 HTTP)
HTTPS 次のいずれかの方法を使用します。
- PKI 証明書
- Windows 統合認証
- MICROSOFT ENTRA ID ユーザーまたはデバイス トークン
場所要求: 匿名
クライアント パッケージ: 匿名
登録:次のいずれかの方法を使用してデバイス ID を証明します。
- 匿名 (手動承認)
- Windows 統合認証
- PKI 証明書
- MICROSOFT ENTRA ID ユーザーまたはデバイス トークン
登録後、クライアントはメッセージ署名を使用してデバイス ID を証明します
ユーザー中心のシナリオでは、次のいずれかの方法を使用してユーザー ID を証明します。
- Windows 統合認証
- MICROSOFT ENTRA ID ユーザー トークン

ヒント

さまざまなデバイス ID の種類とクラウド管理ゲートウェイの管理ポイントの構成の詳細については、「 HTTPS の管理ポイントを有効にする」を参照してください。

クライアントから配布ポイントへの通信

クライアントが配布ポイントと通信する場合は、コンテンツをダウンロードする前に認証するだけで済みます。 このプロセスのしくみを理解するには、次の表を使用します。

DP の種類 クライアント認証
HTTP - 匿名 (許可されている場合)
- コンピューター アカウントまたはネットワーク アクセス アカウントを使用した Windows 統合認証
- コンテンツ アクセス トークン (拡張 HTTP)
HTTPS - PKI 証明書
- コンピューター アカウントまたはネットワーク アクセス アカウントを使用した Windows 統合認証
- コンテンツ アクセス トークン

インターネットまたは信頼されていないフォレストからのクライアント通信に関する考慮事項

詳細については、次の記事を参照してください。

Active Directory フォレスト間の通信

Configuration Managerは、Active Directory フォレストにまたがるサイトと階層をサポートします。 また、サイト サーバーと同じ Active Directory フォレスト内にないドメイン コンピューターと、ワークグループ内のコンピューターもサポートします。

サイト サーバーのフォレストによって信頼されていないフォレスト内のドメイン コンピューターをサポートする

  • その信頼されていないフォレストにサイト システムの役割をインストールし、サイト情報をその Active Directory フォレストに発行するオプションを指定します

  • これらのコンピューターをワークグループ コンピューターであるかのように管理する

信頼されていない Active Directory フォレストにサイト システム サーバーをインストールすると、そのフォレスト内のクライアントからのクライアント間通信がそのフォレスト内に保持され、Configuration Manager Kerberos を使用してコンピューターを認証できます。 クライアントのフォレストにサイト情報を発行する場合、クライアントは、割り当てられた管理ポイントからこの情報をダウンロードするのではなく、Active Directory フォレストから使用可能な管理ポイントの一覧などのサイト情報を取得する利点があります。

注:

インターネット上のデバイスを管理する場合は、サイト システム サーバーが Active Directory フォレストにあるときに、境界ネットワークにインターネット ベースのサイト システムの役割をインストールできます。 このシナリオでは、境界ネットワークとサイト サーバーのフォレスト間の双方向の信頼は必要ありません。

ワークグループ内のコンピューターをサポートする

  • サイト システムの役割への HTTP クライアント接続を使用するときにワークグループ コンピューターを手動で承認します。 Configuration Manager Kerberos を使用してこれらのコンピューターを認証することはできません。

  • これらのコンピューターが配布ポイントからコンテンツを取得できるように、ネットワーク アクセス アカウントを使用するようにワークグループ クライアントを構成します。

  • ワークグループ クライアントが管理ポイントを見つけるための代替メカニズムを提供します。 DNS 発行を使用するか、管理ポイントを直接割り当てます。 これらのクライアントは、Active Directory Domain Servicesからサイト情報を取得できません。

詳細については、次の記事を参照してください。

複数のドメインとフォレストにまたがるサイトまたは階層をサポートするシナリオ

シナリオ 1: フォレストにまたがる階層内のサイト間の通信

このシナリオでは、Kerberos 認証をサポートする双方向フォレスト信頼が必要です。 Kerberos 認証をサポートする双方向フォレスト信頼がない場合、Configuration Managerはリモート フォレスト内の子サイトをサポートしていません。

Configuration Managerでは、親サイトのフォレストとの双方向の信頼が必要なリモート フォレストへの子サイトのインストールがサポートされています。 たとえば、必要な信頼が存在する限り、セカンダリ サイトをプライマリ親サイトとは異なるフォレストに配置できます。

注:

子サイトには、プライマリ サイト (中央管理サイトが親サイト) またはセカンダリ サイトを指定できます。

Configuration Managerのサイト間通信では、データベース レプリケーションとファイル ベースの転送が使用されます。 サイトをインストールするときは、指定したサーバーにサイトをインストールするアカウントを指定する必要があります。 このアカウントでは、サイト間の通信も確立および維持されます。 サイトがファイル ベースの転送とデータベース レプリケーションを正常にインストールして開始した後は、サイトとの通信のために他の何も構成する必要はありません。

双方向フォレストの信頼が存在する場合、Configuration Managerは追加の構成手順を必要としません。

既定では、新しい子サイトをインストールすると、Configuration Managerは次のコンポーネントを構成します。

  • サイト サーバー コンピューター アカウントを使用する各サイトのサイト間ファイル ベースのレプリケーション ルート。 Configuration Managerは、各コンピューターのコンピューター アカウントを対象のコンピューターのSMS_SiteToSiteConnection_<sitecode> グループに追加します。

  • 各サイトの SQL Server 間のデータベース レプリケーション。

また、次の構成も設定します。

  • 介在するファイアウォールとネットワーク デバイスは、Configuration Manager必要なネットワーク パケットを許可する必要があります。

  • 名前解決はフォレスト間で機能する必要があります。

  • サイトまたはサイト システムの役割をインストールするには、指定したコンピューターに対するローカル管理者権限を持つアカウントを指定する必要があります。

シナリオ 2: フォレストにまたがるサイトでの通信

このシナリオでは、双方向フォレストの信頼は必要ありません。

プライマリ サイトでは、リモート フォレスト内のコンピューターにサイト システムの役割をインストールできます。

  • サイト システムの役割がインターネットからの接続を受け入れる場合、セキュリティのベスト プラクティスとして、サイト システムの役割を、フォレスト境界がサイト サーバーの保護を提供する場所 (境界ネットワークなど) にインストールします。

信頼されていないフォレスト内のコンピューターにサイト システムの役割をインストールするには:

  • サイト システムのインストール アカウントを指定します。このアカウントを使用してサイト システムの役割をインストールします。 (このアカウントには、接続先のローカル管理者資格情報が必要です)。次に、指定したコンピューターにサイト システムの役割をインストールします。

  • [サイト システム] オプション [ このサイト システムへの接続を開始するためにサイト サーバーを要求する] を選択します。 この設定では、サイト サーバーがサイト システム サーバーへの接続を確立してデータを転送する必要があります。 この構成により、信頼されていない場所にあるコンピューターが、信頼されたネットワーク内にあるサイト サーバーとの接続を開始できなくなります。 これらの接続では、 サイト システム インストール アカウントが使用されます。

信頼されていないフォレストにインストールされたサイト システムの役割を使用するには、サイト サーバーがデータの転送を開始した場合でも、ファイアウォールでネットワーク トラフィックを許可する必要があります。

さらに、次のサイト システムの役割では、サイト データベースへの直接アクセスが必要です。 そのため、ファイアウォールでは、信頼されていないフォレストからサイトのSQL Serverへの該当するトラフィックを許可する必要があります。

  • 資産インテリジェンス同期ポイント

  • Endpoint Protection ポイント

  • 登録ポイント

  • 管理ポイント

  • レポート サービス ポイント

  • 状態移行ポイント

詳細については、「Configuration Managerで使用されるポート」を参照してください。

サイト データベースへの管理ポイントと登録ポイントのアクセスを構成する必要がある場合があります。

  • 既定では、これらの役割をインストールすると、Configuration Managerは、サイト システムの役割の接続アカウントとして、新しいサイト システム サーバーのコンピューター アカウントを構成します。 その後、アカウントを適切なSQL Server データベース ロールに追加します。

  • これらのサイト システムの役割を信頼されていないドメインにインストールする場合は、サイト システムの役割の接続アカウントを構成して、サイト システムの役割がデータベースから情報を取得できるようにします。

これらのサイト システムの役割の接続アカウントになるようにドメイン ユーザー アカウントを構成する場合は、ドメイン ユーザー アカウントがそのサイトのSQL Server データベースに適切なアクセス権を持っていることを確認します。

  • 管理ポイント: 管理ポイント データベース接続アカウント

  • 登録ポイント: 登録ポイント接続アカウント

他のフォレストでサイト システムの役割を計画する場合は、次の追加情報を考慮してください。

  • Windows ファイアウォールを実行する場合は、該当するファイアウォール プロファイルを構成して、サイト データベース サーバーとリモート サイト システムの役割でインストールされているコンピューター間の通信を渡します。

  • インターネット ベースの管理ポイントが、ユーザー アカウントを含むフォレストを信頼する場合、ユーザー ポリシーがサポートされます。 信頼が存在しない場合は、コンピューター ポリシーのみがサポートされます。

シナリオ 3: クライアントがサイト サーバーと同じ Active Directory フォレストにいない場合のクライアントとサイト システムの役割の間の通信

Configuration Managerは、サイトのサイト サーバーと同じフォレストに存在しないクライアントに対して、次のシナリオをサポートします。

  • クライアントのフォレストとサイト サーバーのフォレストの間には、双方向のフォレスト信頼があります。

  • サイト システムの役割サーバーは、クライアントと同じフォレストにあります。

  • クライアントは、サイト サーバーとの双方向フォレストの信頼を持たないドメイン コンピューター上にあり、サイト システムの役割がクライアントのフォレストにインストールされていません。

  • クライアントはワークグループ コンピューター上にあります。

ドメインに参加しているコンピューター上のクライアントは、サイトが Active Directory フォレストに発行されるときに、サービスの場所にActive Directory Domain Servicesを使用できます。

サイト情報を別の Active Directory フォレストに発行するには:

  • フォレストを指定し、[管理] ワークスペースの [Active Directory フォレスト] ノードでそのフォレストへの発行を有効にします。

  • Active Directory Domain Servicesにデータを発行するように各サイトを構成します。 この構成により、そのフォレスト内のクライアントはサイト情報を取得し、管理ポイントを検索できます。 サービスの場所にActive Directory Domain Servicesを使用できないクライアントの場合は、DNS またはクライアントの割り当てられた管理ポイントを使用できます。

シナリオ 4: Exchange Server コネクタをリモート フォレストに配置する

このシナリオをサポートするには、フォレスト間で名前解決が機能することを確認します。 たとえば、DNS 転送を構成します。 Exchange Server コネクタを構成するときは、Exchange Serverのイントラネット FQDN を指定します。 詳しくは、「Configuration Manager と Exchange によるモバイル デバイスの管理」をご覧ください。

関連項目