クラウド管理ゲートウェイを一から構成してみる - 動作検証編 -

CMG クライアントを構成する

実際にクラウド管理ゲートウェイ (CMG) を使用してクライアントを管理するためには、プライマリ サイトサーバー側で機能を有効化した後に管理対象となる各クライアントを構成する必要があります。

構成方法はいくつか存在しますが、今回は検証環境ということもあり、既存のオンプレクライアントを疑似的にインターネット接続している状態にし、動作を確認していきたいと思います。

CMG クライアントの構成方法について詳しくは、以下を参照してください。

まず初めに、MECM 管理コンソールの [管理] - [クライアント設定] より、「既定のクライアント設定」の「クラウドサービス」が以下の設定となっていることを確認します。

「クライアントでクラウド管理ゲートウェイを使用できるようにする」：はい
「クラウド配布ポイントへのアクセスを許可する」：はい

これにより、クライアントは管理ポイントと通信し、CMG のアクセス先 URL 情報を受信します。
(ポーリングサイクルは 24 時間です。)

※ クライアント側の SMS Agent Host サービス (ccmexec.exe) を再起動することで、ポーリングサイクルを待たずに同期を強制することも可能です。

次に、クライアント側で URL 情報の同期が完了しているかを確認します。

クライアント側でコントロールパネルを起動し、「Configuration Manager」をクリックします。

「ネットワーク」タブを展開し、「インターネット ベースの管理ポイント」に URL が表示されていることを確認します。

また、以下のレジストリ値からも確認することが可能です。

HKLM\SOFTWARE\Microsoft\CCM
CMGFQDNs

次に、疑似的にインターネット接続環境にするため、クライアントのレジストリ値を以下の通り変更します。

以下のレジストリ値を [0] → [1] に変更します。

HKLM\SOFTWARE\Microsoft\CCM\Security
ClientAlwaysOnInternet

設定変更を即時反映させるため、Powershell を管理者で起動し、以下のコマンドを入力して SMS Agent Host サービス (ccmexec.exe) を再起動します。

Restart-Service ccmexec

コントロールパネルより「Configuration Manager」をクリックし、「全般」タブの「接続の種類」が「常にインターネット」となっていることを確認します。

以上で、クライアントの構成は完了です。

パッケージの配信

MECM 運用においてよく使用する機能である、パッケージの配信動作を確認していきます。クライアントにアプリケーションを配布、インストールさせたい場合に使用する機能となり、オンプレ環境における配信では以下のようなプロセスで実施する内容となります。

1. インストーラをサイトサーバーのソースフォルダに配置
2. MECM でパッケージを作成 (上記のソースフォルダを指定)
3. 作成したパッケージのコンテンツを配布ポイント (オンプレ) に配布
4. 任意のクライアントに対してパッケージを展開

パッケージの作成、配信設定方法について詳しくは以下を参照してください。

では実際に、オンプレとの違いを確認しつつ、 CMG における配信を実施していきます。

オンプレ環境と同様の手順でパッケージを作成します。
(後で必要となるため、対象のパッケージ ID を確認しておきます。)

作成したパッケージを右クリックし、 [コンテンツの配布] をクリックします。

ウィザードの「コンテンツの配布先」画面で [追加] をクリックし、「配布ポイント」をクリックします。

「種類」に「クラウド」と表示されている配布ポイントにチェックを入れ、 [OK] をクリックします。

※ ここで、「クラウド」の配布ポイントを選択する点が、オンプレの配信と異なる点です。「オンプレミス」の配布ポイントを選択すると、オンプレの配布ポイントにのみコンテンツが配布されるため、CMG クライアントへの配信はできません。

ウィザードを完了させ、コンテンツの配布が完了することを確認します。

コンテンツがクラウド (CMG) 上に配布されているかは、Azure ポータルからストレージアカウントのコンテナーを参照することでも確認できます。

Azure ポータルにアクセスし、「ストレージアカウント」を検索します。

CMG 構成時に作成されたストレージアカウントを選択します。

「コンテナー」を選択し、配布したコンテンツの ID をクリックします。

作成したパッケージのコンテンツが含まれていることを確認します。

コンテンツの配布が確認できたら、パッケージをクライアントに展開します。

[補足]
配信方法はバックグラウンドでの強制配信、ソフトウェアセンターを利用した任意配信のどちらでも可能です。

注意点として、クライアントが Azure AD/Hybrid Azure AD Join 端末でない場合は、ソフトウェアセンター起動時に Azure アカウントでの認証を求められます。

Azure AD/Hybrid Azure AD Join 端末であればプライマリ更新トークン (Azure PRT) での認証・認可が行われ、認証画面が表示されることはありません。

Azure PRT について詳しくは以下を参照してください。

次に、展開したパッケージが CMG 経由で配信されているか、確認していきます。

クライアントにサインインし、以下のログを参照します。

C:\Windows\CCM\Logs
ContentTransferManager.log

対象のパッケージが CMG からダウンロードされていることが確認できました。

配信が完了し、インストールが成功したことを確認します。

ソフトウェア更新プログラムの配信

次に、ソフトウェア更新プログラムの配信動作を確認していきます。
今回の検証では、パッケージとは異なりクラウド (CMG) へのコンテンツの配布は行いません。

ソフトウェア更新プログラムの配信では、以下の条件が満たされると、クライアントは Microsoft Update (インターネット上) からコンテンツをダウンロードする動作となります。

●CMG クライアントの場所が「インターネット」と判定されている
●クラウド (CMG) 上に更新プログラムのコンテンツが存在しない

反対に、クラウド (CMG) にコンテンツが存在していると、クライアントは CMG (Azure) 上から更新プログラムをダウンロードすることになるため、Azure からクライアントに対するアウトバウンド通信が増加します。

ソフトウェア更新プログラムはコンテンツ容量が多く、CMG からダウンロードすると単純にネットワーク費用のコストが増加することになるため、注意が必要です。

コンテンツの送信コストについて詳しくは、以下を参照してください。

またソフトウェア更新プログラムの展開方法について詳しくは、以下を参照ください。

オンプレ環境と同様の手順で、ソフトウェア更新プログラムグループを作成します。

更新プログラムグループを右クリックし、「メンバーの表示」をクリックします。

更新プログラムを右クリックし、「ダウンロード」をクリックします。

ウィザードの「展開パッケージ」画面で「新しい展開パッケージを作成する」を選択し、任意の展開名とパッケージソースフォルダ (オンプレのサイトサーバー上) を指定し、 [次へ] をクリックします。

「配布ポイント」画面で [追加] をクリックし、「配布ポイント」をクリックします。

「種類」に「オンプレミス」と表示されている配布ポイントのみを選択し、 [OK] をクリックします。

※ ここで「クラウド」を選択してしまうと、クラウド (CMG) 上にコンテンツがアップロードされ、CMG クライアントは クラウド (CMG) 上からコンテンツをダウンロードします。

更新プログラムをクライアントに展開し、クライアント側で更新プログラムのダウンロード・インストールが行われることを確認します。

更新プログラムが Microsoft Update (インターネット上) からダウンロードされていることを、以下のログより確認します。

C:\Windows\CCM\Logs
ContentTransferManager.log

問題なくインストールが完了することが確認できました。

おわりに

今回は MECM の 基本的な要素である配信機能が、 CMG でどのように動作しているかを中心に確認してみました。

CMG を活用することによって、既存の運用方法を大きく変更することなくインターネット上のクライアント管理を実施できることがお分かりいただけたかと思います。

このところは、ゼロトラストの考え方に基づき場所を問わずクライアントを管理する運用が求められているため、前回から今回にかけてご紹介した CMG はそのための一つの手段としてご活用いただけるかと思います。

最後までお読みいただき、ありがとうございました。