Configuration Manager でクラウド配布ポイントを使用する
Configuration Manager (現在のブランチ) に適用
警告
Azure からコンテンツを共有するための実装が変更されました。 [ CMG がクラウド配布ポイントとして機能し、Azure Storage からコンテンツを提供することを許可する] オプションを有効にして、コンテンツが有効なクラウド管理ゲートウェイを使用します。 詳細については、「 CMG の変更」を参照してください。
バージョン 2107 以降では、従来のクラウド配布ポイント (CDP) を作成できません。
クラウド配布ポイントは、Microsoft Azure でサービスとしてのプラットフォーム (PaaS) としてホストされる Configuration Manager 配布ポイントです。 このサービスでは、次のシナリオがサポートされています。
追加のオンプレミス インフラストラクチャを使用せずに、インターネット ベースのクライアントにソフトウェア コンテンツを提供する
クラウドでコンテンツ配信システムを有効にする
従来の配布ポイントの必要性を減らす
この記事では、クラウド配布ポイントについて学習し、その使用を計画し、実装を設計するのに役立ちます。 これには、次のセクションが含まれます。
機能と利点
機能
クラウド配布ポイントでは、オンプレミスの配布ポイントでも提供されるいくつかの機能がサポートされています。
クラウド配布ポイントを個別に管理するか、配布ポイント グループのメンバーとして管理する
フォールバック コンテンツの場所としてクラウド配布ポイントを使用する
イントラネットとインターネット ベースのクライアントの両方をサポート
利点
クラウド配布ポイントには、次の追加の利点があります。
サイトは、Azure のクラウド配布ポイントに送信する前にコンテンツを暗号化します。
クライアントによるコンテンツ要求に対する変化する需要を満たすために、Azure でクラウド サービスを手動でスケーリングします。 このアクションでは、Configuration Manager で追加の配布ポイントをインストールしてプロビジョニングする必要はありません。
Windows BranchCache などの他のコンテンツ テクノロジ用に構成されたクライアントからのコンテンツダウンロードをサポートします。
プル配布ポイントのソースの場所としてクラウド配布ポイントを使用します。
トポロジの設計
クラウド配布ポイントのデプロイと操作には、次のコンポーネントが含まれます。
Azure の クラウド サービス 。 サイトは、このサービスにコンテンツを配布し、Azure クラウド ストレージに格納します。 管理ポイントは、必要に応じて利用可能なソースの一覧にこのコンテンツの場所をクライアントに提供します。
管理ポイント サイト システムの役割は、クライアント要求を通常どおりにサービスします。
通常、オンプレミス クライアントはオンプレミスの管理ポイントを使用します。
インターネット ベースのクライアントは、 クラウド管理ゲートウェイまたは インターネット ベースの管理ポイントを使用します。
クラウド配布ポイントは 、証明書ベースの HTTPS Web サービスを使用して、クライアントとのネットワーク通信をセキュリティで保護します。 クライアントはこの証明書を信頼する必要があります。
Azure Resource Manager
Azure Resource Manager デプロイを使用してクラウド配布ポイントを作成します。 Azure Resource Manager は、すべてのソリューション リソースをリソース グループと呼ばれる 1 つのエンティティとして管理するための最新のプラットフォームです。 Azure Resource Manager を使用してクラウド配布ポイントをデプロイする場合、サイトでは Microsoft Entra ID を使用して、必要なクラウド リソースを認証および作成します。
注:
この機能では、Azure Cloud Service Providers (CSP) のサポートは有効になりません。 Azure Resource Manager を使用したクラウド配布ポイントのデプロイでは、CSP がサポートしていないクラシック クラウド サービスが引き続き使用されます。 詳細については、「 Azure CSP で使用可能な Azure サービス」を参照してください。
Azure Resource Manager は、クラウド配布ポイントの新しいインスタンスの唯一のデプロイ メカニズムです。 既存のデプロイは引き続き機能します。
階層設計
クラウド配布ポイントを作成する場所は、コンテンツにアクセスする必要があるクライアントによって異なります。
Azure Resource Manager のデプロイ: プライマリ サイトまたは中央管理サイトでこの種類を作成します。
クラウド管理ゲートウェイ (CMG) は、クライアントにコンテンツを提供することもできます。 この機能により、Azure VM の必要な証明書とコストが削減されます。 詳細については、「 クラウド管理ゲートウェイの概要」を参照してください。
境界グループにクラウド配布ポイントを含めるかどうかを判断するには、次の動作を検討します。
インターネット ベースのクライアントは境界グループに依存しません。 インターネットに接続する配布ポイントまたはクラウド配布ポイントのみを使用します。 クラウド配布ポイントのみを使用してこれらの種類のクライアントにサービスを提供する場合は、それらを境界グループに含める必要はありません。
内部ネットワーク上のクライアントでクラウド配布ポイントを使用する場合は、クライアントと同じ境界グループに存在する必要があります。 クライアントは、コンテンツ ソースの一覧で最後にクラウド配布ポイントに優先順位を付けます。これは、Azure からのコンテンツのダウンロードに関連するコストがあるためです。 そのため、クラウド配布ポイントは通常、イントラネット ベースのクライアントのフォールバック ソースとして使用されます。 クラウドファーストの設計が必要な場合は、このビジネス要件を満たすように境界グループを設計します。 詳細については、「 境界グループの構成」を参照してください。
Azure の特定のリージョンにクラウド配布ポイントをインストールしても、クライアントは Azure リージョンを認識していません。 クラウド配布ポイントをランダムに選択します。 複数のリージョンにクラウド配布ポイントをインストールし、クライアントがコンテンツの場所の一覧で複数を受信した場合、クライアントは同じ Azure リージョンのクラウド配布ポイントを使用しない可能性があります。
バックアップと回復
階層内のクラウド配布ポイントを使用する場合は、次の情報を使用して、バックアップと回復の計画を立てるのに役立ちます。
バックアップ サイト サーバーのメンテナンス タスクを使用すると、Configuration Manager にはクラウド配布ポイントの構成が自動的に含まれます。
サーバー認証証明書のコピーをバックアップして保存します。 Configuration Manager プライマリ サイトを別のサーバーに復元する場合は、証明書を再インポートします。
要件
サービスをホストするには 、Azure サブスクリプション が必要です。
- Azure 管理者は、設計に応じて、特定のコンポーネントの初期作成に参加する必要があります。 このペルソナには、Configuration Manager でのアクセス許可は必要ありません。
サイト サーバーでは、クラウド サービスを展開および管理するために インターネット アクセス が必要です。
Azure Resource Manager のデプロイ方法を使用する場合は、Configuration Manager と Microsoft Entra ID for Cloud Management を統合します。 Microsoft Entra ID ユーザー検出 は必要ありません。
サーバー認証証明書。 詳細については、以下の 「証明書 」セクションを参照してください。
- 複雑さを軽減するには、サーバー認証証明書のパブリック証明書プロバイダーを使用します。 その場合は、クライアントがクラウド サービスの名前を解決するための DNS CNAME エイリアス も必要です。
Cloud Services グループで、クライアント設定の [クラウド配布ポイントへのアクセスを許可する] を [はい] に設定します。 既定では、この値は [いいえ] に設定されています。
クライアント デバイスには インターネット接続が必要であり、 IPv4 を使用する必要があります。
仕様
クラウド配布ポイントは、「 クライアントとデバイスでサポートされているオペレーティング システム」に記載されているすべての Windows バージョンをサポートしています。
管理者は、次の種類のサポートされているソフトウェア コンテンツを配布します。
アプリケーション
パッケージ
OS アップグレード パッケージ
サード パーティ製のソフトウェア更新プログラム
重要
- Configuration Manager コンソールは、クラウド配布ポイントへの Microsoft ソフトウェア更新プログラムの配布をブロックしませんが、クライアントが使用しないコンテンツを格納するために Azure のコストを支払います。 インターネット ベースのクライアントは、常に Microsoft Update クラウド サービスから Microsoft ソフトウェア更新プログラムのコンテンツを取得します。 Microsoft ソフトウェア更新プログラムをクラウド配布ポイントに配布しないでください。
- ソフトウェア更新プログラムがクラウド配布ポイントに配布されている場合、クライアントがイントラネット上にある場合でも、コンテンツのダウンロードにローカル配布ポイントが使用されます。
- コンテンツ ストレージに CMG を使用する場合、[利用可能なクライアントの場合に差分コンテンツをダウンロードする] 設定が有効になっている場合、サード パーティの更新プログラムのコンテンツはクライアントにダウンロードされません。
クラウド配布ポイントをソースとして使用するようにプル配布ポイントを構成します。 詳細については、「 ソース配布ポイントについて」を参照してください。
展開設定
実行中のタスク シーケンスで必要に応じて、コンテンツをローカルにダウンロードします。 タスク シーケンス エンジンは、コンテンツが有効な CMG またはクラウド配布ポイントからオンデマンドでパッケージをダウンロードできます。 このオプションを使用すると、インターネット ベースのデバイスへの Windows インプレース アップグレードの展開をさらに柔軟に行うことができます。
タスク シーケンスを開始する前に、すべてのコンテンツをローカルにダウンロードします。 このオプションを使用すると、Configuration Manager クライアントは、タスク シーケンスを開始する前にクラウド ソースからコンテンツをダウンロードします。
クラウド配布ポイントでは、[ 配布ポイントからプログラムを実行する] オプションを使用したパッケージのデプロイはサポートされていません。 展開オプションを使用して 、配布ポイントからコンテンツをダウンロードし、ローカルで実行します。
制限事項
PXE またはマルチキャストが有効な展開にクラウド配布ポイントを使用することはできません。
クラウド配布ポイントでは、App-V ストリーミング アプリケーションはサポートされていません。
クラウド配布ポイントでは、Microsoft 365 Apps 更新プログラムのコンテンツはサポートされていません。
クラウド配布ポイントで コンテンツを事前設定 することはできません。 クラウド配布ポイントを管理するプライマリ サイトの配布マネージャーは、すべてのコンテンツを転送します。
クラウド配布ポイントをプル配布ポイントとして構成することはできません。
コスト
重要
次のコスト情報は、見積もりのみを目的としています。 お使いの環境には、クラウド配布ポイントを使用する全体的なコストに影響する他の変数が含まれている場合があります。
Configuration Manager には、コストの制御とデータ アクセスの監視に役立つ次のオプションが含まれています。
クラウド サービスに格納するコンテンツの量を制御および監視します。 詳細については、「 クラウド配布ポイントの監視」を参照してください。
Configuration Manager を構成して、クライアントダウンロードのしきい値が月単位の制限を満たすか超えたときにアラートを生成します。 詳細については、「 データ転送のしきい値アラート」を参照してください。
クライアントによるクラウド配布ポイントからのデータ転送の数を減らすには、次のいずれかのピア キャッシュ テクノロジを使用します。
Configuration Manager ピア キャッシュ
Windows BranchCache
Windows 配信の最適化
詳細については、「 コンテンツ管理の基本的な概念」を参照してください。
コンポーネント
クラウド配布ポイントでは、Azure サブスクリプション アカウントに対して料金が発生する次の Azure コンポーネントを使用します。
ヒント
クラウド管理ゲートウェイは、クライアントにコンテンツを提供することもできます。 この機能により、Azure VM を統合することでコストが削減されます。 詳細については、「 クラウド管理ゲートウェイのコスト」を参照してください。
仮想マシン
クラウド配布ポイントでは、Azure Cloud Services をサービスとしてのプラットフォーム (PaaS) として使用します。 このサービスでは、コンピューティング コストが発生する仮想マシン (VM) を使用します。
各クラウド配布ポイント サービスでは、2 つの Standard A0 VM が使用されます。
潜在的なコストを判断するには、 Azure 料金計算ツール を参照してください。
注:
仮想マシンのコストはリージョンによって異なります。
送信データ転送
Azure へのデータフローは無料 (イングレスまたはアップロード) です。 サイトからクラウド配布ポイントにコンテンツを配布することは、Azure にアップロードしています。
料金は、Azure から流出するデータ (エグレスまたはダウンロード) に基づいています。 Azure からクラウド配布ポイントのデータフローは、クライアントがダウンロードするソフトウェア コンテンツで構成されます。
詳細については、「 クラウド配布ポイントの監視」を参照してください。
潜在的なコストを判断するには、 Azure 帯域幅の価格の詳細を参照してください 。 データ転送の価格は階層化されています。 使用する量が多いほど、ギガバイトあたりの支払いが少なくなります。
コンテンツ保存
インターネット ベースのクライアントは、Microsoft Update クラウド サービスから無料で Microsoft ソフトウェア更新プログラムのコンテンツを取得します。 Microsoft ソフトウェア更新プログラムを含むソフトウェア更新プログラムの展開パッケージをクラウド配布ポイントに配布しないでください。 そうしないと、クライアントが使用しないコンテンツのデータ ストレージ コストが発生します。
Azure Resource Manager デプロイを使用するクラウド配布ポイントでは、Azure ローカル冗長ストレージ (LRS) が使用されます。 詳細については、「 ローカル冗長ストレージ」を参照してください。
その他のコスト
- 各クラウド サービスには動的 IP アドレスがあります。 個別のクラウド配布ポイントごとに、新しい動的 IP アドレスが使用されます。 クラウド サービスごとに VM を追加しても、これらのアドレスは増えません。
ポートとデータ フロー
クラウド配布ポイントには、次の 2 つの主要なデータ フローがあります。
サイト サーバーが Azure に接続してクラウド配布ポイント サービスを設定する
クライアントがクラウド配布ポイントに接続してコンテンツをダウンロードする
サイト サーバーから Azure へ
オンプレミス ネットワークへの受信ポートを開く必要はありません。 サイト サーバーは、クラウド サービスのデプロイ、更新、管理を行うために、Azure とクラウド配布ポイントとの通信をすべて開始します。 サイト サーバーは、Microsoft クラウドへの送信接続を作成する必要があります。 このアクションは、配布ポイント サイト システムの役割を特定のサイトにインストールすることと同じです。
クライアントからクラウドへの配布ポイント
オンプレミス ネットワークへの受信ポートを開く必要はありません。 インターネット ベースのクライアントは、Azure サービスと直接通信します。 クラウド配布ポイントを使用する内部ネットワーク上のクライアントは、Microsoft クラウドに接続する必要があります。
コンテンツの場所の優先順位とイントラネット ベースのクライアントがクラウド配布ポイントを使用する場合の詳細については、「 コンテンツ ソースの優先順位」を参照してください。
クライアントがコンテンツの場所としてクラウド配布ポイントを使用する場合:
管理ポイントは、クライアントにアクセス トークンとコンテンツ ソースの一覧を提供します。 このトークンは 24 時間有効であり、クライアントにクラウド配布ポイントへのアクセス権を付与します。
管理ポイントは、クラウド配布ポイントの サービス FQDN を使用してクライアントの場所要求に応答します。 このプロパティは、サーバー認証証明書の共通名と同じです。
ドメイン名 (たとえば、WallaceFalls.contoso.com) を使用している場合、クライアントは最初にこの FQDN の解決を試みます。 クライアントが Azure サービス名を解決するには、ドメインのインターネットに接続する DNS に CNAME エイリアス (例: WallaceFalls.cloudapp.net) が必要です。
クライアントは次に、Azure サービス名 (たとえば、WallaceFalls.cloudapp.net) を有効な IP アドレスに解決します。 この応答は、Azure の DNS によって処理する必要があります。
クライアントはクラウド配布ポイントに接続します。 Azure は、VM インスタンスのいずれかに接続を負荷分散します。 クライアントは、アクセス トークンを使用して自身を認証します。
クラウド配布ポイントは、クライアントのアクセス トークンを認証し、クライアントに Azure Storage 内の正確なコンテンツの場所を提供します。
クライアントがクラウド配布ポイントのサーバー認証証明書を信頼する場合は、Azure ストレージに接続してコンテンツをダウンロードします。
パフォーマンスとスケール
配布ポイントの設計と同様に、次の要因を考慮してください。
- 同時クライアント接続の数
- クライアントがダウンロードするコンテンツのサイズ
- ビジネス要件を満たすために許可される時間の長さ
トポロジの設計に応じて、クライアントが特定のコンテンツに対して複数のクラウド配布ポイントのオプションを持っている場合、それらのクラウド サービス間で自然にランダム化されます。 特定のコンテンツを 1 つのクラウド配布ポイントにのみ配布し、多数のクライアントがこのコンテンツを同時にダウンロードしようとすると、このアクティビティにより、その 1 つのクラウド配布ポイントに対する負荷が高くなります。 クラウド配布ポイントを追加すると、別の Azure ストレージ サービスも含まれます。 クライアントがクラウド配布ポイント コンポーネントと通信し、コンテンツをダウンロードする方法の詳細については、「 ポートとデータ フロー」を参照してください。
クラウド配布ポイントは、Azure ストレージのフロントエンドとして 2 つの Azure VM を使用します。 この既定のデプロイは、ほとんどのお客様のニーズを満たしています。 極端な状況では、多数の同時クライアント接続 (150,000 クライアントなど) では、Azure VM の処理能力がクライアント要求に追いつかない場合があります。 クラウド配布ポイントに使用される Azure VM のサイズを変更することはできません。 Configuration Manager でクラウド配布ポイントの VM インスタンスの数を構成することはできませんが、必要に応じて、Azure portal でクラウド サービスを再構成します。 VM インスタンスを手動で追加するか、サービスを自動的にスケーリングするように構成します。
重要
Configuration Manager を更新すると、サイトはクラウド サービスを再デプロイします。 Azure portal でクラウド サービスを手動で再構成すると、インスタンスの数が既定値の 2 にリセットされます。
Azure ストレージ サービスは、1 つのファイルに対して 1 秒あたり 500 要求をサポートします。 1 つのクラウド配布ポイントのパフォーマンス テストでは、1 つの 100 MB ファイルを 24 時間で 50,000 クライアントに配布できるようになりました。
証明書
クラウド配布ポイントの設計に応じて、1 つ以上のデジタル証明書が必要です。
一般情報
クラウド配布ポイントの証明書では、次の構成がサポートされています。
4096 ビットのキー長
バージョン 3 証明書。 詳細については、「 CNG 証明書の概要」を参照してください。
次のポリシーを使用して Windows を構成する場合 : システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する
TLS 1.2 のサポート。 詳細については、「 暗号化コントロールのテクニカル リファレンス」を参照してください。
サーバー認証証明書
この証明書は、すべてのクラウド配布ポイントのデプロイに必要です。
詳細については、 CMG サーバー認証証明書と、必要に応じて次のサブセクションを参照してください。
- クライアントへの CMG 信頼されたルート証明書
- パブリック プロバイダーによって発行されたサーバー認証証明書
- エンタープライズ PKI から発行されたサーバー認証証明書
クラウド配布ポイントでは、クラウド管理ゲートウェイと同じ方法でこの種類の証明書が使用されます。 クライアントもこの証明書を信頼する必要があります。 複雑さを軽減するために、Microsoft では、パブリック プロバイダーによって発行された証明書を使用することをお勧めします。
ワイルドカード証明書を使用しない限り、同じ証明書を再利用しないでください。 クラウド配布ポイントとクラウド管理ゲートウェイの各インスタンスには、一意のサーバー認証証明書が必要です。
PKI からこの証明書を作成する方法の詳細については、「 クラウド配布ポイントのサービス証明書を展開する」を参照してください。
よく寄せられる質問 (FAQ)
クライアントには、クラウド配布ポイントからコンテンツをダウンロードするための証明書が必要ですか?
クライアント認証証明書は必要ありません。 クライアントは、クラウド配布ポイントで使用されるサーバー認証証明書を信頼する必要があります。 この証明書がパブリック証明書プロバイダーによって発行されている場合、ほとんどの Windows デバイスには、これらのプロバイダーの信頼されたルート証明書が既に含まれています。 組織の PKI からサーバー認証証明書を発行した場合、クライアントはチェーン全体で発行証明書を信頼する必要があります。 このチェーンには、ルート証明機関と中間証明機関が含まれます。 PKI の設計によっては、この証明書によって、クラウド配布ポイントのデプロイが複雑になることがあります。 この複雑さを回避するために、Microsoft では、クライアントが既に信頼しているパブリック証明書プロバイダーを使用することをお勧めします。
オンプレミスのクライアントはクラウド配布ポイントを使用できますか?
はい。 内部ネットワーク上のクライアントでクラウド配布ポイントを使用する場合は、クライアントと同じ境界グループに存在する必要があります。 クライアントは、コンテンツ ソースの一覧で最後にクラウド配布ポイントに優先順位を付けます。これは、Azure からのコンテンツのダウンロードに関連するコストがあるためです。 したがって、クラウド配布ポイントは通常、イントラネット ベースのクライアントのフォールバック ソースとして使用されます。 クラウドファーストの設計が必要な場合は、それに応じて境界グループを設計します。 詳細については、「 境界グループの構成」を参照してください。
Azure ExpressRoute は必要ですか?
Azure ExpressRoute を使用すると、オンプレミス ネットワークを Microsoft クラウドに拡張できます。 ExpressRoute、またはその他の仮想ネットワーク接続は、Configuration Manager クラウド配布ポイントには必要ありません。
組織で ExpressRoute を使用している場合は、クラウド配布ポイントの Azure サブスクリプションを、ExpressRoute を使用するサブスクリプションから分離します。 この構成により、クラウド配布ポイントが誤ってこの方法で接続されないようにします。
Azure 仮想マシンを維持する必要がありますか?
メンテナンスは必要ありません。 クラウド配布ポイントの設計では、サービスとしての Azure プラットフォーム (PaaS) が使用されます。 Configuration Manager は、指定したサブスクリプションを使用して、必要な VM、ストレージ、およびネットワークを作成します。 Azure は、仮想マシンをセキュリティで保護して更新します。 これらの VM は、サービスとしてのインフラストラクチャ (IaaS) の場合と同様に、オンプレミス環境の一部ではありません。 クラウド配布ポイントは、Configuration Manager 環境をクラウドに拡張する PaaS です。 詳細については、「 PaaS クラウド サービス モデルのセキュリティ上の利点」を参照してください。
クラウド配布ポイントは Azure CDN を使用していますか?
Azure Content Delivery Network (CDN) は、世界中の戦略的に配置された物理ノードでコンテンツをキャッシュすることで、高帯域幅コンテンツを迅速に配信するためのグローバル ソリューションです。 詳細については、「 Azure CDN とは」を参照してください。
Configuration Manager クラウド配布ポイントは現在、Azure CDN をサポートしていません。