Configuration Managerでのインターネット ベースのクライアント管理を計画する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

インターネット ベースのクライアント管理 (IBCM) を使用して、内部ネットワークに接続されていないConfiguration Managerクライアントを管理します。 IBCM を使用する利点:

  • サービスを提供するサーバーとロールのフル コントロール
  • クラウド サービスの依存関係なし
  • 仮想プライベート ネットワーク (VPN) が必要ない場合があります
  • すべてのコストは、オンプレミス サービスに関連付けられています

パブリック ネットワーク上のクライアント コンピューターを管理するセキュリティ要件が高いため、IBCM では PKI 証明書を使用する必要があります。 この構成により、接続が独立した機関によって認証されます。 IBCM クライアントとサイト サーバーがデータを送信すると、暗号化され、セキュリティで保護されます。

クライアント通信

プライマリ サイトの次のサイト システムの役割は、信頼されていない場所にあるクライアントからの接続をサポートしています。

注:

IBCM は主にインターネット ベースのシナリオに焦点を当てていますが、信頼されていない Active Directory フォレスト内のクライアントにも同じ動作が適用されます。 セカンダリ サイトでは、信頼されていない場所からのクライアント接続はサポートされていません。

  • Configuration Manager ポリシー モジュール (NDES) の証明書登録ポイント

    警告

    バージョン 2203 以降、証明書登録ポイントはサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。

  • 配布ポイント

  • コンテンツ対応クラウド管理ゲートウェイ (CMG)

  • 登録プロキシ ポイント

  • フォールバック 状態ポイント

  • 管理ポイント

  • ソフトウェアの更新ポイント

インターネットに接続するサイト システムについて

クライアントのフォレストとサイト システム サーバーの間に信頼を持つ必要はありません。 ただし、インターネットに接続するサイト システムを含むフォレストが、ユーザー アカウントを含むフォレストを信頼する場合、この構成では、[クライアント ポリシー クライアント] 設定 [インターネット クライアントからのユーザー ポリシー要求を有効にする] を有効にすると、インターネット上のデバイスのユーザー ベースのポリシーがサポートされます。

たとえば、次の構成は、IBCM がインターネット上のデバイスのユーザー ポリシーをサポートする場合を示しています。

  • インターネット ベースの管理ポイントは境界ネットワーク内にあります。 そのネットワークには、ユーザーを認証するための読み取り専用ドメイン コントローラーもあります。 境界ネットワークと内部ネットワークの間のファイアウォールでは、Active Directory パケットが許可されます。

  • ユーザー アカウントはイントラネット ベースのフォレストにあります。 インターネット ベースの管理ポイントは、境界ベースのフォレストにあります。 境界フォレストは、内部フォレストを信頼します。 境界ネットワークと内部ネットワーク間のファイアウォールにより、認証パケットが許可されます。

  • ユーザー アカウントとインターネット ベースの管理ポイントはどちらもイントラネット ベースのフォレスト内にあります。 Web プロキシ サーバーを使用して、管理ポイントをインターネットに発行します。

Web プロキシ サーバーを使用する

インターネット ベースのサイト システムは、Web プロキシ サーバーを使用してインターネットに発行するときにイントラネットに配置できます。 インターネットからのクライアント接続のみ、またはインターネットとイントラネットからのクライアント接続に対して、これらのサイト システムを構成します。 Web プロキシ サーバーを使用する場合は、SSL または SSL トンネリングへの Secure Sockets Layer (SSL) ブリッジング用に構成できます。

SSL への SSL ブリッジング

SSL への SSL ブリッジングは、認証で SSL 終了を使用するため、推奨されるセキュリティで保護された構成です。 コンピューター認証を使用してクライアント コンピューターを認証します。 Configuration Managerで登録するモバイル デバイスは、SSL ブリッジングをサポートしていません。

プロキシで SSL 終端を使用すると、インターネットから内部ネットワークに転送される前にパケットが検査されます。 プロキシは、クライアントから接続を認証し、接続を終了してから、インターネット ベースのサイト システムへの新しい認証された接続を開きます。 クライアントConfiguration Managerプロキシを使用する場合、クライアントはパケット ペイロードにその ID (GUID) を安全に含めます。 管理ポイントは、プロキシをクライアントとは見なしません。 Configuration Managerでは、HTTP から HTTPS、または HTTPS から HTTP へのブリッジングはサポートされていません。

注:

Configuration Managerでは、サード パーティ製の SSL ブリッジ構成の設定はサポートされていません。 たとえば、Citrix Netscaler や F5 BIG-IP などです。 デバイス ベンダーと協力して、Configuration Managerで使用するように構成してください。

トンネリング

プロキシ Web サーバーが SSL ブリッジングの要件をサポートできない場合、Configuration Managerでは SSL トンネリングもサポートされます。 SSL トンネリングを使用して、Configuration Managerで登録するモバイル デバイスをサポートすることもできます。 プロキシは SSL 終了なしでインターネットからサイト システムに SSL パケットを転送するため、安全性の低いオプションです。 プロキシは、悪意のあるコンテンツのパケットを検査しません。 SSL トンネリングを使用する場合、プロキシ Web サーバーの証明書要件はありません。

インターネット ベースのクライアントの計画

イントラネットとインターネットの両方で管理できるようにインターネット ベースのクライアントを構成するか、インターネットのみのクライアント管理を行うかを決定します。 この管理オプションは、クライアントのインストール中にのみ構成できます。 後で変更するには、クライアントを再インストールします。

注:

インターネット ベースのクライアントをサポートするように管理ポイントを構成した場合、この管理ポイントに接続するクライアントは、次に使用可能な管理ポイントの一覧を更新するときにインターネットに対応します。

インターネット専用クライアント管理の構成をインターネットに制限する必要はありません。 イントラネットでも使用できます。

インターネットのみの管理用に構成するクライアントは、インターネットからのクライアント接続用に構成したサイト システムとのみ通信します。 次のシナリオでは、この構成を使用します。

  • イントラネットに接続しないことがわかっているコンピューターの場合。 たとえば、リモートの場所にある販売時点管理コンピューターなどです。
  • クライアント通信を HTTPS のみに制限する。 たとえば、ファイアウォールと制限付きセキュリティ ポリシーをサポートします。
  • 境界ネットワークにインターネット ベースのサイト システムをインストールし、これらのサーバーをConfiguration Manager クライアントとして管理する場合。

注:

インターネット上のワークグループ クライアントを管理する場合は、インターネット専用としてインストールします。

インターネット ベースの管理ポイントを使用するようにモバイル デバイスを構成すると、自動的にインターネット専用として構成されます。

インターネットとイントラネットの両方のクライアント管理用に他のクライアントを構成できます。 ネットワークの変化を検出すると、IBCM とイントラネット クライアント管理が自動的に切り替わります。 これらのクライアントがイントラネット上のクライアント接続をサポートする管理ポイントを見つけて接続できる場合、これらのクライアントはイントラネット クライアントとして管理されます。 イントラネット クライアントには、完全なConfiguration Manager機能があります。 イントラネット上のクライアント接続をサポートする管理ポイントが見つからない場合、クライアントはインターネット ベースの管理ポイントへの接続を試みます。 このアクションが成功した場合、これらのクライアントは、割り当てられたサイト内のインターネット ベースのサイト システムによって管理されます。

自動切り替えの利点は、クライアントがイントラネットに接続するときにすべての機能を使用でき、インターネット上で重要な管理を受けることができる点です。 インターネットから始まるコンテンツのダウンロードは、イントラネット上でシームレスに再開できます。また、その逆の方法でも再開できます。

前提条件

Configuration Managerの IBCM には、次の依存関係があります。

  • クライアントにはインターネット接続が必要です。 Configuration Managerは、デバイスの既存のインターネット接続を使用します。 モバイル デバイスには直接インターネット接続が必要です。 完全なクライアント コンピューターは、インターネットに直接接続することも、プロキシ Web サーバーを使用して接続することもできます。

  • IBCM をサポートするサイト システムには、インターネット接続が必要であり、Active Directory ドメインに存在する必要があります。 インターネット ベースのサイト システムでは、サイト サーバーの Active Directory フォレストとの信頼関係は必要ありません。 ただし、インターネット ベースの管理ポイントでWindows 認証を使用してユーザーを認証できる場合は、ユーザー ポリシーがサポートされます。 Windows 認証が失敗した場合、デバイス ポリシーのみがサポートされます。

    注:

    ユーザー ポリシーをサポートするには、 クライアント ポリシー グループで次のクライアント設定も有効にします。

    • クライアントでユーザー ポリシー ポーリングを有効にする
    • インターネット クライアントからのユーザー ポリシー要求を有効にする

  • インターネット ベースのクライアントとサイト システム サーバーに必要な証明書を展開および管理するための公開キー インフラストラクチャ (PKI)。 詳細については、「 PKI 証明書の要件」を参照してください。

  • IBCM をサポートするサイト システムのインターネット完全修飾ドメイン名 (FQDN) のパブリック DNS ホスト エントリを登録します。

  • サイトのプロパティの [Communication Security]\(通信セキュリティ\) タブで使用可能な場合は、[PKI クライアント証明書 (クライアント認証機能)] オプションを有効にします。 このオプションは必須です。

クライアント通信の要件

介在するファイアウォールまたはプロキシ サーバーは、インターネット ベースのサイト システムのクライアント通信を許可する必要があります。

  • HTTP 1.1 のサポート

  • マルチパート MIME 添付ファイルの HTTP コンテンツ タイプを許可する (マルチパート/混合およびアプリケーション/オクテット ストリーム)

動詞

インターネット ベースのサイト システム サーバーの役割に対して次の動詞を許可します。

役割 動詞
管理ポイント -頭
- CCM_POST
- BITS_POST
-取得
- PROPFIND
配布ポイント -頭
-取得
- PROPFIND
フォールバック 状態ポイント POST

HTTP ヘッダー

インターネット ベースのサイト システム サーバーの役割に対して、次の HTTP ヘッダーを許可します。

役割 HTTP ヘッダー
管理ポイント -範囲:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
配布ポイント 範囲:

インターネットからのクライアント接続にソフトウェア更新ポイントを使用する場合の同様の通信要件については、Windows Server Update Services (WSUS) のドキュメントを参照してください。

サポートされない機能

すべてのクライアント管理機能がインターネットに適しているわけではありません。 Configuration Managerは、インターネット上のクライアントの一部の機能をサポートしていません。 これらのサポートされていない機能は、通常、Active Directory Domain Servicesに依存しているか、パブリック ネットワークには適していません。

IBCM を使用してインターネット上のクライアントを管理する場合、次の機能はサポートされません。

  • クライアント プッシュやソフトウェア更新プログラムベースのクライアント展開など、インターネット経由でのクライアントの展開。 クライアントの手動インストールを使用します。

  • サイトの自動割り当て

  • Wake-on-LAN

  • OS の展開。 ただし、OS を展開しないタスク シーケンスは展開できます。

  • リモート コントロール

  • ユーザーへのソフトウェア展開。 この機能は、サポートされなくなったアプリケーション カタログに依存していました。

  • クライアント ローミング。 ローミングを使用すると、クライアントはコンテンツをダウンロードする最も近い配布ポイントを常に見つけることができます。 クライアントは、帯域幅や物理的な場所に関係なく、インターネット ベースのサイト システムの 1 つを非決定的に選択します。

インターネットからの接続を受け入れるようにソフトウェア更新ポイントを構成する場合、インターネット ベースのクライアントは常にこのソフトウェア更新ポイントに対してスキャンして、必要なソフトウェア更新プログラムを決定します。 これらのクライアントがインターネット上にある場合、最初に、インターネット ベースの配布ポイントからではなく、Microsoft Update からソフトウェア更新プログラムをダウンロードしようとします。 この動作が失敗した場合は、インターネット ベースの配布ポイントから必要なソフトウェア更新プログラムをダウンロードしようとします。

ヒント

Configuration Manager クライアントは、イントラネット上かインターネット上かを自動的に決定します。 クライアントがドメイン コントローラーまたはオンプレミス管理ポイントに接続できる場合は、その接続の種類を "現在 イントラネット" に設定します。 それ以外の場合は、"現在 インターネット" に切り替え、サイトに割り当てられているサイト システムと通信します。