次の方法で共有

Configuration Managerのモバイル デバイスにクライアントを展開するための前提条件

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

重要

オンプレミス MDM と macOS 用のConfiguration Manager クライアントはどちらも非推奨です

macOS とモバイル デバイスの管理をMicrosoft Intuneに移行します。 詳細については、「 サポートされているクライアントとデバイス」を参照してください。

環境内Configuration Managerクライアントをデプロイすると、製品内に次の外部依存関係と依存関係があります。

Configuration Manager クライアントのハードウェアと OS の最小要件の詳細については、「サポートされている構成」を参照してください。

注:

この記事に示されているソフトウェアバージョン番号には、必要な最小バージョン番号のみが記載されています。

Configuration Manager クライアントをモバイル デバイスにインストールして登録する場合は、この情報を使用して前提条件を判断します。

Configuration Manager外部の依存関係

  • モバイル デバイスに必要な証明書を展開および管理するための証明書テンプレートを備えたMicrosoftエンタープライズ証明機関 (CA)。

    発行元 CA は、登録プロセス中にモバイル デバイス ユーザーからの証明書要求を自動的に承認する必要があります。

    証明書の要件の詳細については、「 証明書プロファイルのセキュリティとプライバシー」を参照してください。

  • モバイル デバイスを登録できるユーザーを含むセキュリティ グループ。

    このセキュリティ グループは、モバイル デバイスの登録中に使用される証明書テンプレートを構成するために使用されます。

  • 省略可能ですが、推奨: ConfigMgrEnroll という名前の DNS エイリアス (CNAME レコード)。 登録プロキシ ポイントのサーバー名に対してこのエイリアスを構成します。

    登録サービスの自動検出をサポートするには、この DNS エイリアスが必要です。 この DNS レコードを構成しない場合、ユーザーは登録プロセスの一部として登録プロキシ ポイントの名前を手動で指定する必要があります。

  • 登録ポイントと登録プロキシ ポイントを実行するコンピューターのサイト システムの役割の依存関係。

    詳細については、「 サイト システム サーバーでサポートされているオペレーティング システム」を参照してください。

依存関係のConfiguration Manager

詳細については、「 クライアントのサイト システムの役割を決定する」を参照してください。

  • 管理ポイントの構成:

    • HTTPS クライアント接続
    • モバイル デバイスで有効
    • インターネット FQDN
    • インターネットからのクライアント接続を受け入れる

  • 登録ポイントと登録プロキシ ポイント

    登録プロキシ ポイントはモバイル デバイスからの登録要求を管理し、登録ポイントは登録プロセスを完了します。 登録ポイントはサイト サーバーと同じ Active Directory フォレストに存在する必要がありますが、登録プロキシ ポイントは別のフォレストに存在できます。

  • モバイル デバイス登録のクライアント設定

    クライアント設定を構成して、ユーザーがモバイル デバイスを登録し、少なくとも 1 つの登録プロファイルを構成できるようにします。

  • Reporting Services ポイント

    レポート サービス ポイントは省略可能ですが、推奨されるサイト システムの役割です。 モバイル デバイスの登録とクライアント管理に関連するレポートを表示できます。 詳細については、「 レポートの概要」を参照してください。

  • モバイル デバイスの登録を構成するには、アカウントに次のセキュリティ アクセス許可が必要です。

    • 登録サイト システムの役割を追加、変更、削除するには:Site オブジェクトのアクセス許可を変更します。

    • 登録用のクライアント設定を構成するには:既定のクライアント設定にはサイト オブジェクトの変更アクセス許可が必要で、カスタム クライアント設定にはクライアント エージェントのアクセス許可が必要です。

    完全管理者の既定のセキュリティ ロールには、登録サイト システムの役割を構成するために必要なアクセス許可が含まれています。

  • 登録済みのモバイル デバイスを管理するには、アカウントに次のセキュリティアクセス許可が必要です。

    • モバイル デバイスをワイプまたは廃止するには: Collection オブジェクトのリソースを削除します。

    • ワイプまたは廃止コマンドを取り消すには: Collection オブジェクトのリソースを削除します。

    • モバイル デバイスを許可およびブロックするには: Collection オブジェクトのリソースを変更します。

    • リモート ロックまたはモバイル デバイスでパスコードをリセットするには: Collection オブジェクトのリソースを変更します。

    Operations Administrator の既定のセキュリティ ロールには、モバイル デバイスを管理するために必要なアクセス許可が含まれています。

セキュリティアクセス許可を構成する方法の詳細については、「ロールベースの管理の基礎」および「ロールベースの管理を構成する」を参照してください。

ファイアウォールの要件

ルーターやファイアウォール、Windows ファイアウォール (該当する場合) などの介入ネットワーク デバイスでは、モバイル デバイス登録に関連付けられているトラフィックを許可する必要があります。

  • モバイル デバイスと登録プロキシ ポイント間: HTTPS (既定では TCP 443)

  • 登録プロキシ ポイントと登録ポイントの間: HTTPS (既定では TCP 443)

プロキシ Web サーバーを使用する場合は、SSL トンネリング用に構成します。 SSL ブリッジングは、モバイル デバイスではサポートされていません。

次の手順

クライアントの Windows ファイアウォールとポート設定