CMG クライアント認証
Configuration Manager (現在のブランチ) に適用
クラウド管理ゲートウェイ (CMG) に接続するクライアントは、信頼されていないパブリック インターネット上にある可能性があります。 クライアントの配信元により、認証要件が高くなります。 CMG を使用した ID と認証には、次の 3 つのオプションがあります。
- Microsoft Entra ID
- PKI 証明書
- サイト発行トークンのConfiguration Manager
次の表は、各メソッドの主な要因をまとめたものです。
Microsoft Entra ID | PKI 証明書 | サイト トークン | |
---|---|---|---|
ConfigMgr バージョン | すべてサポートされています | すべてサポートされています | すべてサポートされています |
Windows クライアントのバージョン | Windows 10 以降 | すべてサポートされています | すべてサポートされています |
シナリオのサポート | ユーザーとデバイス | デバイスのみ | デバイスのみ |
管理ポイント | E-HTTP または HTTPS | E-HTTP または HTTPS | E-HTTP または HTTPS |
Microsoft では、デバイスを Microsoft Entra ID に参加することをお勧めします。 インターネット ベースのデバイスでは、Configuration Manager Microsoft Entra先進認証を使用できます。 また、デバイスがインターネット上にあるか、内部ネットワークに接続されているかに関係なく、デバイスとユーザーの両方のシナリオが可能になります。
1 つ以上のメソッドを使用できます。 すべてのクライアントで同じメソッドを使用する必要はありません。
どの方法を選択するかは、1 つ以上の管理ポイントを再構成する必要もあります。 詳細については、「 CMG のクライアント認証を構成する」を参照してください。
Microsoft Entra ID
インターネット ベースのデバイスが Windows 10 以降で実行されている場合は、CMG で最新の認証Microsoft Entra使用することを検討してください。 この認証方法は、ユーザー中心のシナリオを可能にする唯一の方法です。 たとえば、ユーザー コレクションにアプリをデプロイする場合などです。
最初に、デバイスはクラウド ドメインに参加しているか、ハイブリッドに参加Microsoft Entra必要があり、ユーザーにはMicrosoft Entra ID も必要です。 organizationが既にMicrosoft Entra ID を使用している場合は、この前提条件を使用して設定する必要があります。 そうでない場合は、Azure 管理者と連絡を取り、クラウドベースの ID を計画してください。 詳細については、「Microsoft Entraデバイス ID」を参照してください。 そのプロセスが完了するまでは、CMG を使用したインターネット ベースのクライアントに対する トークンベースの認証 を検討してください。
環境に応じて、他にもいくつかの要件があります。
- ハイブリッド ID のユーザー検出方法を有効にする
- 管理ポイント ASP.NET 4.5 を有効にする
- クライアント設定を構成する
これらの前提条件の詳細については、「Microsoft Entra ID を使用してクライアントをインストールする」を参照してください。
注:
デバイスが、CMG コンピューティング リソースのサブスクリプションを持つテナントとは別のMicrosoft Entra テナントにある場合は、バージョン 2010 以降、ユーザーとデバイスに関連付けられていないテナントの認証を無効にすることができます。 詳細については、「 Azure サービスの構成」を参照してください。
PKI 証明書
クライアント認証証明書をデバイスに発行できる公開キー インフラストラクチャ (PKI) がある場合は、CMG を使用したインターネット ベースのデバイスに対するこの認証方法を検討してください。 ユーザー中心のシナリオはサポートされていませんが、サポートされているバージョンの Windows を実行しているデバイスをサポートします。
ヒント
ハイブリッドまたはクラウド ドメインに参加している Windows デバイスでは、認証にMicrosoft Entra ID を使用するため、この証明書は必要ありません。
この証明書は、CMG 接続ポイントでも必要になる場合があります。
サイト トークン
デバイスを ID に参加させたり、PKI クライアント認証証明書を使用したりMicrosoft Entraできない場合は、トークンベースの認証Configuration Manager使用します。 サイト発行のクライアント認証トークンは、サポートされているすべてのクライアント OS バージョンで機能しますが、デバイス シナリオのみをサポートします。
クライアントが内部ネットワークに接続する場合は、トークンが自動的に発行されます。 サイトに登録してこのクライアント トークンを取得するには、オンプレミスの管理ポイントと直接通信する必要があります。
内部ネットワークにクライアントを登録できない場合は、一括登録トークンを作成してデプロイできます。 一括登録トークンを使用すると、クライアントは最初にサイトをインストールして通信できます。 この初期通信は、サイトがクライアント独自の一意のクライアント認証トークンを発行するのに十分な長さです。 その後、クライアントは、インターネット上にある間、サイトとのすべての通信に認証トークンを使用します。
次の手順
次に、階層内で CMG を使用する方法を設計します。