CMG のデータ フロー
Configuration Manager (現在のブランチ) に適用
この記事では、クラウド管理ゲートウェイ (CMG) のコンポーネント間のデータ フローについて説明します。 機能するには、特定のネットワーク ポートとインターネット エンドポイントが必要です。 オンプレミス ネットワークへの受信ポートを開く必要はありません。 サービス接続ポイントと CMG 接続ポイントサイト システムの役割は、Azure と CMG との通信をすべて開始します。 これら 2 つのロールは、Microsoft クラウドへの送信接続を作成する必要があります。 サービス接続ポイントは Azure でサービスをデプロイして監視するため、オンラインである必要があります。 CMG 接続ポイントは CMG に接続して、CMG とオンプレミスサイト システムの役割間の通信を管理します。
データ フロー図
次の図は、CMG の基本的な概念データ フローです。
サービス接続ポイントは、HTTPS ポート 443 経由で Azure に接続します。 Microsoft Entra ID を使用して認証されます。 サービス接続ポイントは、Azure に CMG をデプロイします。 CMG は、サーバー認証証明書を使用して HTTPS サービスを作成します。
CMG 接続ポイントは、Azure の CMG に接続します。 接続を開いたままにし、将来の双方向通信のためにチャネルを構築します。
CMG を仮想マシン スケール セットとしてデプロイすると、このフローは HTTPS 経由になります。
CMG をクラシック クラウド サービスとしてデプロイする場合、最初に TCP-TLS が試行されます。 接続が失敗した場合は、HTTPS に切り替わります。
詳細については、「 注 2: 1 つの VM の CMG 接続ポイント HTTPS ポート」を参照してください。
クライアントは HTTPS ポート 443 経由で CMG に接続します。 Microsoft Entra ID、クライアント認証証明書、またはサイト発行トークンを使用して認証されます。
注:
CMG がコンテンツを提供できるようにする場合、クライアントは HTTPS ポート 443 経由で Azure BLOB ストレージに直接接続します。 詳細については、「 コンテンツ データ フロー」を参照してください。
CMG は、既存の接続経由でクライアント通信をオンプレミスの CMG 接続ポイントに転送します。 受信ファイアウォール ポートを開く必要はありません。
CMG 接続ポイントは、クライアント通信をオンプレミスの管理ポイントとソフトウェアの更新ポイントに転送します。
Microsoft Entra ID と統合する場合の詳細については、「Azure サービスの構成: クラウド管理データ フロー」を参照してください。
コンテンツ データ フロー
クライアントがコンテンツの場所として CMG を使用する場合:
管理ポイントは、クライアントにアクセス トークンとコンテンツ ソースの一覧を提供します。 このトークンは 24 時間有効であり、クライアントにクラウドベースのコンテンツ ソースへのアクセス権を付与します。
管理ポイントは、CMG の サービス名 を使用してクライアントの場所要求に応答します。 このプロパティは、サーバー認証証明書の共通名と同じです。
ドメイン名 (例: ) を使用している場合、
WallaceFalls.contoso.comクライアントは最初にこの FQDN の解決を試みます。 クライアントは、ドメインのインターネットに接続する DNS で CNAME エイリアスを使用して、Azure デプロイ名を解決します。次に、クライアントは デプロイ名 を有効な IP アドレスに解決します。 この応答は、Azure の DNS によって処理されます。
クライアントは CMG に接続します。 Azure は、VM インスタンスのいずれかに接続を負荷分散します。 クライアントは、アクセス トークンを使用して自身を認証します。
CMG は、クライアントのアクセス トークンを認証し、クライアントに Azure Storage 内の正確なコンテンツの場所を提供します。
クライアントが CMG のサーバー認証証明書を信頼している場合は、Azure Storage に接続してコンテンツをダウンロードします。
必要なポート
次の表に、必要なネットワーク ポートとプロトコルの一覧を示します。 クライアントは、接続を開始するデバイスであり、送信ポートが必要です。 サーバーは接続を受け入れるデバイスであり、受信ポートが必要です。
| クライアント | プロトコル | ポート | サーバー | 説明 |
|---|---|---|---|---|
| サービス接続ポイント | HTTPS | 443 | Azure | CMG のデプロイ |
| CMG 接続ポイント (仮想マシン スケール セット) | HTTPS | 443 | CMG サービス | 1 つの VM インスタンスのみに CMG チャネルを構築するためのプロトコル 注 2 |
| CMG 接続ポイント (仮想マシン スケール セット) | HTTPS | 10124-10139 | CMG サービス | 2 つ以上の VM インスタンスに CMG チャネルを構築するためのプロトコル 注 3 |
| CMG 接続ポイント (クラシック クラウド サービス) | TCP-TLS | 10140-10155 | CMG サービス | CMG チャネルを構築するための推奨プロトコル 注 1 |
| CMG 接続ポイント (クラシック クラウド サービス) | HTTPS | 443 | CMG サービス | プロトコルをフォールバックして、1 つの VM インスタンスのみに CMG チャネルを構築 する注 2 |
| CMG 接続ポイント (クラシック クラウド サービス) | HTTPS | 10124-10139 | CMG サービス | プロトコルをフォールバックして CMG チャネルを 2 つ以上の VM インスタンスに構築する 注 3 |
| クライアント | HTTPS | 443 | Cmg | 一般的なクライアント通信 |
| クライアント | HTTPS | 443 | BLOB ストレージ | クラウドベースのコンテンツをダウンロードする |
| CMG 接続ポイント | HTTPS または HTTP | 443 または 80 | 管理ポイント | オンプレミスのトラフィック、ポートは管理ポイントの構成に依存 |
| CMG 接続ポイント | HTTPS または HTTP | 443 または 80/ 8530 または 8531 | ソフトウェアの更新ポイント | オンプレミスのトラフィック、ポートはソフトウェアの更新ポイントの構成によって異なります |
ポートに関する注意事項
注 1: CMG 接続ポイント TCP-TLS ポート
これらのポートは、CMG を クラウド サービス (クラシック) としてデプロイする場合にのみ適用されます。これは、バージョン 2006 以前で使用できる唯一の方法でした。
CMG 接続ポイントは、まず、各 CMG VM インスタンスとの有効期間の長い TCP-TLS 接続を確立しようとします。 ポート 10140 の最初の VM インスタンスに接続します。 2 番目の VM インスタンスでは、ポート 10141 が使用されます。ポート 10155 では 16 番目までです。 TCP-TLS 接続のパフォーマンスは最高ですが、インターネット プロキシはサポートされていません。 CMG 接続ポイントが TCP-TLS 経由で接続できない場合は、HTTPS注 2 にフォールバックします。
注 2: 1 つの VM の CMG 接続ポイント HTTPS ポート
仮想マシン スケール セットに CMG をデプロイする場合、CMG 接続ポイントは HTTPS 経由で Azure のサービスとのみ通信します。 CMG 通信チャネルを構築するために TCP-TLS ポートは必要ありません。
クラシック クラウド サービスとしてデプロイされた CMG の場合、TCP-TLS 接続が失敗した場合にのみこのポートが使用されます。 CMG 接続ポイントが TCP-TLSNote 1 経由で CMG に接続できない場合は、HTTPS 443 経由で Azure ネットワーク ロード バランサーに接続します。 この動作は、1 つの VM インスタンスに対してのみ行われます。
注 3: 2 つ以上の VM の CMG 接続ポイント HTTPS ポート
VM インスタンスが 2 つ以上ある場合、CMG 接続ポイントは HTTPS 443 ではなく、最初の VM インスタンスに対して HTTPS 10124 を使用します。 HTTPS ポート 10139 の 16 番目まで、HTTPS 10125 の 2 番目の VM インスタンスに接続します。
インターネット アクセス要件
organizationがファイアウォールまたはプロキシ デバイスを使用してインターネットとのネットワーク通信を制限する場合は、CMG 接続ポイントとサービス接続ポイントがインターネット エンドポイントにアクセスできるようにする必要があります。
詳細については、「 インターネット アクセスの要件」を参照してください。
このセクションでは、次の機能について説明します。
クラウド管理ゲートウェイ (CMG)
Microsoft Entra統合
MICROSOFT ENTRA ID ベースの検出
クラウド配布ポイント (CDP)
注:
クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 以降では、新しい CDP インスタンスを作成できません。 インターネット ベースのデバイスにコンテンツを提供するには、CMG がコンテンツを配布できるようにします。
次のセクションでは、エンドポイントをロール別に一覧表示します。 一部のエンドポイントは、 によって <prefix>サービスを参照します。これは CMG のプレフィックス名です。 たとえば、CMG が の場合、 GraniteFalls.WestUS.CloudApp.Azure.Com実際のストレージ エンドポイントは です GraniteFalls.blob.core.windows.net。
ヒント
いくつかの用語を明確にするには:
CMG サービス名: CMG サーバー認証証明書の共通名 (CN)。 クライアントと CMG 接続ポイントサイト システムの役割は、このサービス名と通信します。 たとえば、
GraniteFalls.contoso.comおよびGraniteFalls.WestUS.CloudApp.Azure.Comが禁止となります。CMG デプロイ名: サービス名の最初の部分と、クラウド サービスデプロイの Azure の場所。 サービス接続ポイントのクラウド サービス マネージャー コンポーネントは、Azure に CMG をデプロイするときにこの名前を使用します。 デプロイ名は常に Azure ドメイン内にあります。 Azure の場所は、デプロイ方法によって異なります。例:
- 仮想マシン スケール セット:
GraniteFalls.WestUS.CloudApp.Azure.Com - クラシック デプロイ:
GraniteFalls.CloudApp.Net
- 仮想マシン スケール セット:
この記事では、バージョン 2107 以降で推奨されるデプロイ方法として、仮想マシン スケール セットの例を使用します。 クラシック デプロイを使用する場合は、この記事を読み、インターネット アクセスを構成するときに違いに注意してください。
クラウド サービスのサービス接続ポイント
Configuration Manager Azure に CMG サービスをデプロイするには、サービス接続ポイントが次にアクセスする必要があります。
特定の Azure エンドポイント。構成に応じて環境ごとに異なります。 Configuration Managerは、これらのエンドポイントをサイト データベースに格納します。 SQL Serverの AzureEnvironments テーブルに対して、Azure エンドポイントの一覧を照会します。
Azure サービス:
-
management.azure.com(Azure パブリック クラウド) -
management.usgovcloudapi.net(Azure US Government クラウド)
-
Microsoft Entraユーザー検出の場合: Microsoft Graph エンドポイント
https://graph.microsoft.com/
クラウド サービスの CMG 接続ポイント
CMG 接続ポイントは、次のエンドポイントにアクセスする必要があります。
| 種類 | Azure パブリック クラウド | Azure US Government クラウド |
|---|---|---|
| サービス 名 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| ストレージ エンドポイント 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| ストレージ エンドポイント 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
| キー コンテナー | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG 接続ポイント サイト システムでは、Web プロキシの使用がサポートされています。 プロキシに対してこのロールを構成する方法の詳細については、「 プロキシ サーバーのサポート」を参照してください。
CMG 接続ポイントは、CMG サービス エンドポイントにのみ接続する必要があります。 他の Azure エンドポイントへのアクセスは必要ありません。
クラウド サービス用のConfiguration Manager クライアント
CMG と通信する必要があるConfiguration Manager クライアントは、次のエンドポイントにアクセスする必要があります。
| 種類 | Azure パブリック クラウド | Azure US Government クラウド |
|---|---|---|
| デプロイ 名 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
| ストレージ エンドポイント | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
| Microsoft Entra エンドポイント | login.microsoftonline.com |
login.microsoftonline.us |
クラウド サービス用のConfiguration Manager コンソール
Configuration Manager コンソールを使用するすべてのデバイスは、次のエンドポイントにアクセスする必要があります。
| 種類 | Azure パブリック クラウド | Azure US Government クラウド |
|---|---|---|
| エンドポイントのMicrosoft Entra | login.microsoftonline.comaadcdn.msauth.netaadcdn.msftauth.net |
login.microsoftonline.us |
HTTP ヘッダーと動詞
クライアント、CMG、およびオンプレミス サイト システム間の通信を管理するネットワーク デバイスでは、次の HTTP ヘッダーと動詞を許可する必要があります。 これらの項目がブロックされている場合、CMG を介したクライアント通信に影響します。
HTTP ヘッダー
- 範囲:
- CCMClientID:
- CCMClientIDSignature:
- CCMClientTimestamp:
- CCMClientTimestampsSignature:
HTTP 動詞
- HEAD
- CCM_POST
- BITS_POST
- GET
- PROPFIND