Configuration Managerの CMG を設定する

Configuration Manager (現在のブランチ) に適用

前提条件が整ったら、クラウド管理ゲートウェイ (CMG) を設定するプロセスを開始できます。 このプロセスを開始する前に、CMG を作成するために必要な情報と前提条件があることを確認してください。 詳細については、「 CMG のチェックリストを設定する」を参照してください。

プロセス全体のこの手順には、次のアクションが含まれます。

• Configuration Manager コンソールを使用して、Azure で CMG サービスを作成します。
• クライアント証明書認証用にプライマリ サイトを構成します。
• CMG 接続ポイント サイト システムの役割を追加します。
• CMG トラフィックの管理ポイントとソフトウェアの更新ポイントを構成します。
• 境界グループを構成します。

CMG を設定する

注:

Azure に仮想マシン スケール セットを使用して CMG をデプロイすることは、プレリリース機能としてバージョン 2010 で初めて導入されました。 バージョン 2107 以降では、プレリリース機能ではなくなりました。

Configuration Managerでは、このオプション機能は既定では有効になりません。 この機能を使用する前に、この機能を有効にする必要があります。 詳細については、「更新プログラムのオプション機能の有効化」を参照してください。

トップレベル サイトで次の手順を実行します。 そのサイトは、スタンドアロン プライマリ サイトまたは中央管理サイト (CAS) のいずれかです。

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Cloud Management Gateway] を選択します。

2. リボンで [ クラウド管理ゲートウェイの作成 ] を選択します。

3. ウィザードの [ 全般 ] ページで、まずこの CMG の Azure 環境 を指定します。

   • AzurePublicCloud: グローバル Azure クラウドでサービスを作成します。
   • AzureUSGovernmentCloud: Azure US Government クラウドでサービスを作成します。

4. 次に、Azure に CMG をデプロイする方法を選択します。

   • 仮想マシン スケール セット

     • バージョン 2203 以降では、仮想マシン スケール セットのみがオプションです。

     • バージョン 2107 以降では、このオプションが推奨されるデプロイ方法です。 クラウド サービス (クラシック) メソッドを使用してデプロイされた既存の CMG がある場合でも、新しい CMG インスタンスを仮想マシン スケール セットとしてデプロイします。

     • バージョン 2010 および 2103 では、このプレリリース機能を有効にして表示する必要があります。 これらのリリースでは、クラウド ソリューション プロバイダー (CSP) サブスクリプションを持つお客様のみを対象としています。 クラウド サービス (クラシック) メソッドを使用して CMG を既にデプロイしている場合、このオプションは使用できません。 詳細については、「 CMG の計画: 仮想マシン スケール セット」を参照してください。

   • クラウド サービス (クラシック)

     重要

     バージョン 2203 以降では、 クラウド サービス (クラシック) として CMG をデプロイするオプションが削除されます。 すべての CMG デプロイでは 、仮想マシン スケール セットを使用する必要があります。 詳細については、「 削除された機能と非推奨の機能」を参照してください。

     • バージョン 2107 以降では、制限の 1 つのために仮想マシン スケール セットを使用してデプロイできない場合にのみ、このオプションを使用 します。

     • バージョン 2010 および 2103 では、ほとんどのお客様がこのデプロイ方法を使用する必要があります。

5. バージョン 2309 以降で、テナント名Microsoft Entra選択Microsoft Entra、アプリ名が自動的に設定されます。 [サインイン] を選びます。 Azure サブスクリプション所有者 アカウントで認証します。 複数のサブスクリプションを所有している場合は、使用するサブスクリプションのサブスクリプション ID を 選択します。

   注:

   バージョン 2309 以降では、CMG の作成にファースト パーティ アプリの使用が非推奨になりました。 これで、CMG はサード パーティのサーバー アプリを使用してベアラー トークンを取得します。

6. バージョン 2303 以下では、[サインイン] を選択 します。 Azure サブスクリプション所有者 アカウントで認証します。 ウィザードは、Microsoft Entra統合の前提条件の間に格納された情報から残りのフィールドを自動的に設定します。 複数のサブスクリプションを所有している場合は、使用するサブスクリプションのサブスクリプション ID を 選択します。

   [ 次へ] を選択し、サイトが Azure への接続をテストするまで待ちます。

7. ウィザードの [設定] ページで、最初に を 参照 します。CMG サーバー認証証明書の PFX ファイル (証明書ファイル)。 この証明書の共通名は、[ サービス名 ] フィールドと [ 展開名 ] フィールドを設定するために使用されます。

   ワイルドカード証明書を使用する場合は、[サービス名] フィールドのアスタリスク (*) を、CMG のグローバルに一意のデプロイ名プレフィックスに置き換えます。

   1. 必要に応じて、[説明] を指定して、Configuration Manager コンソールでこの CMG をさらに識別します。

   2. この CMG の Azure リージョン を選択します。 使用可能なリージョンの一覧は、選択したサブスクリプションによって異なる場合があります。

   3. [リソース グループ] オプションを選択します。

      • [ 既存のものを使用] を選択した場合は、一覧から既存のリソース グループを選択します。 このリソース グループは、CMG 用に選択したのと同じリージョンに既に存在している必要があります。 既存のリソース グループを選択し、以前に選択したリージョンとは異なるリージョンにある場合、CMG はデプロイに失敗します。

      • [ 新規作成] を選択した場合は、新しいリソース グループ名を入力します。

   4. 既定では、 VM サイズ は Standard (A2_V2) です。 デザインで指定されている別のオプションを選択します。 たとえば、VM あたりのクライアント容量を増やす 場合は Large (A4_v2) 、小規模なテスト環境では ラボ (B2s) などです。

      重要

      ラボ (B2s) サイズの VM は、ラボ テストと小さな概念実証環境のみを対象としています。 たとえば、Configuration Manager technical preview ブランチなどです。 B2s VM は、CMG での運用環境での使用を目的としたものではありません。 低コストで低パフォーマンスです。

   5. [ VM インスタンス] フィールドに、このサービスの VM の数を入力します。 既定値は 1 ですが、CMG あたり最大 16 台の VM をスケールアップできます。

   6. クライアント認証証明書を使用している場合は、[ 証明書 ] を選択して信頼されたルート証明書を追加します。 信頼チェーン内のすべての証明書を追加します。

      注:

      クライアント認証にMicrosoft Entra ID またはサイト発行トークンを使用する場合、信頼されたルート証明書は必要ありません。

   7. 既定では、ウィザードで [クライアント証明書失効の確認] オプションが有効になります。 この検証を機能させるには、証明書失効リスト (CRL) を公開する必要があります。 詳細については、「 証明書失効リストを発行する」を参照してください。

   8. 既定では、ウィザードで [TLS 1.2 を適用する] オプションが有効になります。 この設定では、Azure VM で TLS 1.2 暗号化プロトコルを使用する必要があります。 これは、オンプレミスのConfiguration Managerサイト サーバーまたはクライアントには適用されません。 バージョン 2107 以降の 更新プログラムのロールアップでは、この設定は CMG ストレージ アカウントにも適用されます。 詳細については、「 TLS 1.2 を有効にする方法」を参照してください。

   9. 既定では、ウィザードでは、[ CMG がクラウド配布ポイントとして機能し、Azure Storage からコンテンツを提供することを許可する] オプションが有効になります。 コンテンツを含む展開をクライアントにターゲット設定する場合は、コンテンツを提供するように CMG を構成する必要があります。

8. 次に、ウィザードの [アラート] ページを示します。 14 日間のしきい値で CMG トラフィックを監視するには、しきい値アラートを有効にします。 次に、しきい値と、異なるアラート レベルを発生させる割合を指定します。 ストレージ アラートのしきい値を有効にすることもできます。 完了したら、[ 次へ ] を選択します。

9. 設定を確認し、ウィザードを完了します。

Configuration Managerサービスの設定を開始します。 Azure でサービスを完全にプロビジョニングするのにかかる時間は、指定した設定によって異なります。 サービスの準備ができたら、新しい CMG の [状態] 列を表示します。

CMG デプロイのトラブルシューティングを行うには、 CloudMgr.log と CMGSetup.log を使用します。 詳細については、「 CMG の監視」を参照してください。

ヒント

このプロセスには、PowerShell コマンドレット New-CMCloudManagementGateway を使用することもできます。 必要に応じて、このコマンドレットを使用して CMG サービスを作成します。 詳細については、「 New-CMCloudManagementGateway」を参照してください。

クライアント証明書認証用にプライマリ サイトを構成する

クライアントが CMG で 認証するためにクライアント認証証明書 を使用している場合は、次の手順に従って各プライマリ サイトを構成します。

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開して、[サイト] を選択します。

2. インターネット ベースのクライアントが割り当てられているプライマリ サイトを選択し、[プロパティ] を選択 します。

3. [通信セキュリティ] タブに切り替え、[使用可能な場合は PKI クライアント証明書 (クライアント認証) を使用する] を選択します。

4. CRL を発行しない場合は、次のオプションを無効にします。クライアントは、サイト システムの証明書失効リスト (CRL) をチェックします。

CMG 接続ポイントを追加する

CMG 接続ポイントは、オンプレミスのConfiguration Manager展開からクラウドベースの CMG への通信に必要なサイト システムの役割です。 このプロセスを開始する前に、ロールの計画を既に作成し、少なくとも 1 つの既存のサイト システム サーバーを特定しておく必要があります。 詳細については、「 CMG の計画」を参照してください。

CMG 接続ポイントを追加するには、次の手順で サイト システムの役割をインストールする手順をまとめます。

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サーバーとサイト システムの役割] ノードを選択します。

2. このロールを追加する既存のサイト サーバーを選択します。 リボンの [ ホーム ] タブで、[ サイト システムの役割の追加] を選択します。

3. [システム ロールの選択] 画面で、[ クラウド管理ゲートウェイ接続ポイント] を選択し、[ 次へ] を選択します。 このサーバーが接続する クラウド管理ゲートウェイ名 を選択します。 選択した CMG のリージョンがウィザードに表示されます。

重要

クライアント認証証明書を使用している場合、CMG 接続ポイントにはこの証明書が必要です。 詳細については、「 クライアント認証証明書」を参照してください。

CMG サービスの正常性のトラブルシューティングを行うには、 CMGService.log と SMS_Cloud_ProxyConnector.log を使用します。 詳細については、「 ログ ファイル」を参照してください。

ヒント

必要に応じて、PowerShell コマンドレット Add-CMCloudManagementGatewayConnectionPoint を使用して、CMG 接続ポイントの役割をサイト システム サーバーに追加することもできます。

詳細については、「 Add-CMCloudManagementGatewayConnectionPoint」を参照してください。

CMG トラフィックのクライアント向けロールを構成する

CMG トラフィックを受け入れるように管理ポイントとソフトウェアの更新ポイント サイト システムを構成します。 インターネット ベースのクライアントにサービスを提供するすべての管理ポイントとソフトウェア更新ポイントに対して、プライマリ サイトで次の手順を実行します。

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[サイトの構成] を展開し、[サーバーとサイト システムの役割] ノードを選択します。 リボンの [ホーム] タブの [表示] グループで、[ 役割を持つサーバー] を選択します。 次に、一覧から [管理ポイント ] を選択します。

2. CMG トラフィック用に構成するサイト システム サーバーを選択します。 詳細ウィンドウで [管理ポイント ] ロールを選択し、リボンの [サイトロール] グループで [プロパティ] を選択 します。

3. [管理ポイントのプロパティ] シートの [クライアント接続] で、[クラウド管理ゲートウェイ トラフィックConfiguration Manager許可する] を選択します。

   CMG の設計とConfiguration Managerバージョンによっては、HTTPS オプションを有効にする必要がある場合があります。 詳細については、「 HTTPS の管理ポイントを有効にする」を参照してください。

4. [ OK] を選択 して、管理ポイントのプロパティ ウィンドウを閉じます。

必要に応じて、他の管理ポイントとソフトウェアの更新ポイントに対して、これらの手順を繰り返します。

境界グループを構成する

CMG を境界グループに関連付けることができます。 この構成により、クライアントは境界グループの関係に従ってクライアント通信に CMG を使用できます。 この構成は、VPN または WAN 接続経由よりも CMG 経由で管理する方が良い場合がある VPN またはブランチ オフィス クライアントに役立ちます。 [ オンプレミス ソースよりもクラウドベースのソースを優先 する] オプションを有効にすると、クライアントはポリシーとコンテンツの両方に CMG を優先します。

境界グループの詳細については、「境界グループの 構成」を参照してください。

境界グループを作成または構成するときは、[参照] タブでクラウド管理ゲートウェイを追加します。 このアクションは、CMG をこの境界グループに関連付けます。

Branchcache

コンテンツが有効な CMG で Windows BranchCache を使用できるようにするには、サイト サーバーに BranchCache 機能をインストールします。

• サイト サーバーにオンプレミスの配布ポイント サイト システムの役割がある場合は、そのロールのプロパティのオプションを [ BranchCache を有効にして構成する] に構成します。 詳細については、「 配布ポイントの構成」を参照してください。

• サイト サーバーに配布ポイントの役割がない場合は、Windows に BranchCache 機能をインストールします。 詳細については、「 BranchCache 機能のインストール」を参照してください。

コンテンツを既に CMG に配布し、BranchCache を有効にすることにした場合は、最初に機能をインストールします。 次に、コンテンツを CMG に再配布します。

コンテンツの配布と管理

コンテンツを他の配布ポイントと同じコンテンツ対応 CMG に配布します。 管理ポイントには、クライアントが要求するコンテンツがない限り、コンテンツの場所の一覧に CMG は含まれません。 詳細については、「コンテンツの 配布と管理」を参照してください。

CMG 上のコンテンツを他の配布ポイントと同じように管理します。 これらのアクションには、配布ポイント グループへの割り当てとコンテンツ パッケージの管理が含まれます。 詳細については、「 配布ポイントのインストールと構成」を参照してください。

次の手順

CMG 用のクライアントを構成して、CMG のセットアップを続行します。

CMG 用にクライアントを構成する