CMG を変更する
Configuration Manager (現在のブランチ) に適用
構成を変更する必要がある場合は、クラウド管理ゲートウェイ (CMG) を変更できます。
プロパティの構成
CMG を作成した後、その設定の一部を変更できます。 Configuration Manager コンソールで CMG を選択し、[プロパティ] を選択します。 次のタブで設定を構成します。
[設定] タブ
証明書ファイル: CMG のサーバー認証証明書を変更します。 このオプションは、有効期限が切れる前に証明書を更新する場合に便利です。 新しい証明書を取得するときは、その共通名が同じであることを確認します。
注:
CMG のサーバー認証証明書を更新すると、証明書の共通名 (CN) に指定する FQDN では大文字と小文字が区別されます。 たとえば、現在の証明書の CN が の場合は、
granitefalls.contoso.com
同じ小文字の CN で新しい証明書を作成します。 ウィザードでは、CNGRANITEFALLS.CONTOSO.COM
を使用した証明書は受け入れられません。証明書に大幅な変更を加えた場合は、サービスの 再デプロイが必要になる場合があります。 たとえば、証明書のorganization名を変更します。
説明: Configuration Manager コンソールでこの CMG をさらに識別するための省略可能な説明を指定します。
VM インスタンス: サービスが Azure で使用する仮想マシンの数を変更します。 この設定を使用すると、使用量やコストに関する考慮事項に基づいて、サービスを動的にスケールアップまたはスケールダウンできます。
証明書: 信頼されたルートまたは中間 CA 証明書を追加または削除します。 このオプションは、新しい CA を追加したり、期限切れの証明書を廃止したりする場合に便利です。
クライアント証明書失効の確認: CMG の作成時に最初にこの設定を有効にしなかった場合は、CRL を発行した後で有効にすることができます。 詳細については、「 証明書失効リストを発行する」を参照してください。
TLS 1.2 を適用する: CMG では、既定でこのオプションが有効になります。 TLS 1.2 暗号化プロトコルを使用するように要求します。 バージョン 2107 以降の 更新プログラムのロールアップでは、この設定は CMG ストレージ アカウントにも適用されます。 詳細については、「 TLS 1.2 を有効にする方法」を参照してください。
CMG がクラウド配布ポイントとして機能し、Azure ストレージからコンテンツを提供できるようにする: CMG では、既定でこのオプションが有効になります。 コンテンツを含む展開をクライアントにターゲット設定する場合は、コンテンツを提供するように CMG を構成する必要があります。
[通知] タブ
CMG を作成した後は、いつでもアラートを再構成します。 詳細については、「 CMG の監視: 送信トラフィック アラートを設定する」を参照してください。
[コンテンツ] タブ
この CMG のクラウド ストレージ アカウントに割り当てられているパッケージを表示します。 各パッケージがストレージ アカウントで使用する領域を確認します。 パッケージを選択すると、コンテンツ ファイルを再配布または削除できます。
コンテンツが有効な CMG でパッケージのコンテンツ ファイルが使用可能であることを確認するには、[監視] ワークスペースの [コンテンツの状態] ノードに移動します。 詳細については、「 配布するコンテンツを監視する」を参照してください。
Convert
注:
Configuration Managerでは、このオプション機能は既定では有効になりません。 この機能を使用する前に、この機能を有効にする必要があります。 詳細については、「更新プログラムのオプション機能の有効化」を参照してください。
バージョン 2107 以降、クラシック クラウド サービスを使用する CMG がある場合は、仮想マシン スケール セットを使用するように変換します。
ヒント
このプロセスでは、基になるストレージ アカウントが再利用されます。
CMG を変換するときに、すべての設定を変更することはできません。
設定 | Convert |
---|---|
VM サイズ | |
VM インスタンス | |
CRL を確認する | |
TLS を要求する | |
コンテンツを提供する | |
Azure 環境 | |
サブスクリプション | |
Microsoft Entra アプリ | |
Region | |
リソース グループ |
変換プロセスでサポートされていない変更を行うには、 サービスを再デプロイする必要があります。
重要
CMG の サービス名 がドメイン内にある cloudapp.net
場合、仮想マシン スケール セットに変換することはできません。 たとえば、共通名が のサーバー認証証明書を内部 PKI から発行したとします GraniteFalls.cloudapp.net
。 Microsoft はドメインを cloudapp.net
所有しているため、このサービス名をドメイン内の新しいデプロイ名にマップする DNS CNAME を cloudapp.azure.com
作成することはできません。
- 新しいサービス名を使用して、内部 PKI から新しいサーバー認証証明書を発行します。 Microsoft ドメインの代わりにドメイン名を使用することを検討してください。 詳細については、「 エンタープライズ PKI 証明書を使用する」を参照してください。
- 新しい証明書を使用して、新しい CMG を仮想マシン スケール セットとしてデプロイします。
- クライアントがこの新しい CMG を取得するためにポリシーを更新したら、古い CMG を削除します。
詳細については、「 CMG を新しいサービス名に置き換える」を参照してください。
CMG を仮想マシン スケール セットに変換するプロセス
重要
まず、 仮想マシン スケール セットの前提条件を確認します。 たとえば、必要な Azure リソース プロバイダー をサブスクリプションに登録してください。 また、関連付けられているサブスクリプションに対する [サブスクリプション所有者] アクセス許可と、関連付けられているテナントのグローバル管理者アクセス許可の両方も必要です。
Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Cloud Management Gateway] ノードを選択します。
[状態] が [準備完了] になっている CMG インスタンスを選択します。 リボンで、[ 変換] を選択します。 このアクションにより、CMG 変換ウィザードが開きます。
[全般] ページで、[ 次へ] を選択します。 これらの設定は変更できません。
[設定] ページで、新しい [デプロイ名] に仮想マシン スケール セットのサフィックスを付けます。
必要に応じて、他の構成を変更します。 次 に、[次へ ] を選択し、ウィザードを完了します。
変換プロセスを新しいデプロイと同じように監視します。 たとえば、コンソールで状態を表示し、 cloudmgr.log を確認します。 詳細については、「 CMG の監視」を参照してください。
DNS CNAME を更新または作成する
デプロイ名が変更されたので、DNS 標準名レコード (CNAME) を更新または作成する必要があります。 このエイリアスは、サービス名をデプロイ名にマップします。 詳細については、「 DNS CNAME エイリアスを作成する」を参照してください。
例:
CMG の サービス名 は です
GraniteFalls.contoso.com
。デプロイ名の場合:
クラシック:
GraniteFalls.cloudapp.net
仮想マシン スケール セット:
GraniteFalls.EastUS.CloudApp.Azure.Com
サービスを再デプロイする
次の構成など、より重要な変更を行うには、サービスを再デプロイする必要があります。
- サブスクリプション
- サービス名
- Region
- リソース グループ
- サーバー認証証明書の大幅な変更
インターネット ベースのクライアントが更新されたポリシーを受信するには、常に少なくとも 1 つのアクティブな CMG を保持します。 インターネット ベースのクライアントは、削除された CMG と通信できません。 クライアントは、ポリシーを更新するまで、新しいものについて知りません。 最初の CMG インスタンスを削除する 2 つ目の CMG インスタンスを作成する場合は、別の CMG 接続ポイントも作成します。
既定では、クライアントはポリシーを 24 時間ごとに更新します。 古い CMG を削除する前に、新しい CMG を作成してから少なくとも 1 日待ってください。 クライアントがオフになっているか、インターネットに接続されていない場合は、長く待つ必要がある場合があります。
バージョン 1810 以前の既存の CMG がある場合は、Azure Service Manager デプロイ方法が使用されます。 このメソッドでは、Azure 管理証明書を使用しました。 このメソッドは非推奨となり、サポートは新しいバージョンのConfiguration Managerで削除されます。 Azure Resource Manager デプロイ方法を使用するために、新しい CMG を再デプロイします。
サービスを再デプロイするプロセスは、サービス名と、それを再利用するかどうかによって異なります。
注:
バージョン 2107 以降では、異なるデプロイ方法を使用する複数の CMG を使用できます。 クラウド サービス (クラシック) CMG を仮想マシン スケール セットに変換することもできます。 詳細については、「 変換」を参照してください。
バージョン 2010 および 2103 では、 クラウド サービス (クラシック) メソッドを使用して CMG を既にデプロイしている場合、別の CMG を 仮想マシン スケール セットとしてデプロイすることはできません。その逆も同様です。 まず 、既存の CMG を削除してから、もう一方のデプロイ方法で新しい CMG を作成します。 サイトのすべての CMG インスタンスでは、同じデプロイ方法を使用する必要があります。 詳細については、「 CMG の計画: 仮想マシン スケール セット」を参照してください。
CMG を置き換え、同じサービス名を再利用する
重要
このプロセスでは、少なくとも 2 つの CMG サービスが既に存在し、そのうちの 1 つを一度に置き換えることを前提としています。 インターネット ベースのクライアントには、少なくとも 1 つのアクティブな CMG が必要です。
古い CMG を削除します。
同じサーバー認証証明書を使用して新しい CMG を作成します。
新しい CMG を使用するように CMG 接続ポイントを再構成します。
CMG を新しいサービス名に置き換える
新しいサーバー認証証明書を取得します。
新しい CMG を作成します。
新しい CMG 接続ポイントを作成し、新しい CMG にリンクします。
インターネット ベースのクライアントが新しい CMG に関するポリシーを受信するまで少なくとも 1 日待ちます。 クライアントがオフになっているか、インターネットに接続されていない場合は、長く待つ必要がある場合があります。
古い CMG と関連付けられている CMG 接続ポイントを削除します。
サービスを停止して開始する
必要に応じて、Configuration Manager コンソールを使用してサービスを停止して開始します。
Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Cloud Management Gateway] ノードを選択します。
CMG インスタンスを選択します。
リボンで、次のいずれかのアクションを選択します。
- 実行中の CMG を停止するには、[ サービスの停止] を選択します。
- 停止した CMG を開始するには、[ サービスの開始] を選択します。
Configuration Managerは、データ転送の合計が制限を超えたときに CMG サービスを停止できます。 詳細については、「しきい値を超えたときの CMG の停止」を参照してください。
重要
サービスが実行されていない場合でも、クラウド サービスに関連するコストは引き続き発生します。 サービスを停止しても、関連付けられているすべての Azure コストが排除されるわけではありません。 クラウド サービスのすべてのコストを削除するには、 CMG を削除します。
CMG サービスを停止すると、インターネット ベースのクライアントはConfiguration Managerと通信できません。
PowerShell を使用して CMG を停止して開始することもできます。
デプロイ モデルを決定する
CMG の現在のデプロイ モデルを決定するには、次の手順を実行します。
Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Cloud Management Gateway] ノードを選択します。
CMG インスタンスを選択します。
ウィンドウの下部にある [詳細] ウィンドウで、[ デプロイ モデル ] 属性を探します。
バージョン 2010 以降では、 クラウド サービス (クラシック) または 仮想マシン スケール セットが表示されます。
バージョン 2006 以前では、Resource Managerデプロイの場合、この属性は Azure Resource Managerです。 Azure 管理証明書を使用したレガシ デプロイ モデルは、Azure Service Managerとして表示されます。
重要
Azure Service Manager を使用した CMG デプロイは非推奨です。 サポートは、新しいバージョンのConfiguration Managerで削除されます。 Azure Resource Manager デプロイ方法を使用するために、新しい CMG を再デプロイします。
デプロイ モデル 属性を列としてリスト ビューに追加することもできます。
Azure portalの変更
Configuration Manager コンソールからのみ CMG を変更します。 サービスまたは基になる VM を Azure で直接変更することはサポートされていません。 変更は予告なく失われる場合があります。 サービスとしてのプラットフォーム (PaaS) と同様に、サービスはいつでも VM を再構築できます。 これらのリビルドは、バックエンド ハードウェアのメンテナンスや VM OS への更新プログラムの適用に発生する可能性があります。
Azure サービスのシークレット キーを更新する
CMG Microsoft Entra ID を初めて構成して Cloud Management Azure サービスを作成する場合は、Web (サーバー) アプリの登録で秘密鍵の有効期間を指定します。 既定では、秘密キーは 1 年間有効です。また、2 年間を指定することもできます。 秘密キーの有効期限が切れる前に、必ず更新してください。 詳細については、「 秘密キーを更新する」を参照してください。
サービスを削除する
CMG を削除する必要がある場合は、Configuration Manager コンソールからのみ削除してください。 Azure 内のコンポーネントを手動で削除すると、システムに不整合が生じます。 この状態は孤立した情報を残し、予期しない動作が発生する可能性があります。