インターネット アクセス要件
一部の構成マネージャー機能は、完全な機能の利用する上でインターネット接続を必要とします。 organizationがファイアウォールまたはプロキシ デバイスを使用してインターネットとのネットワーク通信を制限する場合は、これらのエンドポイントを許可してください。
構成マネージャーは、製品全体で次の Microsoft URL 転送サービスを使用します。
https://aka.ms
https://go.microsoft.com
以下のセクションに明示的に一覧表示されていない場合でも、これらのエンドポイントは常に許可する必要があります。
サービス接続ポイント
詳細については、「 サービス接続ポイントについて」を参照してください。
これらの構成は、サービス接続ポイントをホストするサーバーと、そのサーバーとインターネットの間のファイアウォールに適用されます。 インターネットの場所への送信 HTTPS ポート TCP 443 を介した通信を許可します。
サービス接続ポイントでは、認証の有無に関係なく Web プロキシを使用してこれらの場所を使用できます。 詳細については、「 プロキシ サーバーのサポート」を参照してください。
Configuration Manager サイトがクラウド サービスの必要なエンドポイントへの接続に失敗した場合、重要な状態メッセージ ID 11488 が発生します。 サービスに接続できない場合、SMS_SERVICE_CONNECTOR コンポーネントの状態は重大に変わります。 Configuration Manager コンソールの [コンポーネントの状態] ノードで詳細な状態を表示します。
バージョン 2010 以降、サービス接続ポイントは テナント接続の重要なインターネット エンドポイントを検証します。 これらのチェックは、クラウドに接続されたサービスが使用可能であることを確認するのに役立ちます。 また、ネットワーク接続に問題があるのかどうかを迅速に判断できるため、問題のトラブルシューティングにも役立ちます。 詳細については、「 インターネット アクセスの検証」を参照してください。
サービス接続ポイントに必要な特定の URL は、Configuration Manager機能によって異なります。
- 更新とサービス
- Windows サービス
- Azure サービス
- ビジネス向け Microsoft Store
- クラウド サービス
- Configuration Manager コンソール
- テナントのアタッチ
- 外部通知
ヒント
サービス接続ポイントは、go.microsoft.com
またはmanage.microsoft.com
に接続するときに、Microsoft Intune サービスを使用します。 Baltimore CyberTrust ルート証明書がインストールされていない場合、有効期限が切れている場合、またはサービス接続ポイントで破損している場合に、Intune コネクタで接続の問題が発生する既知の問題があります。 詳細については、「 サービス接続ポイントが更新プログラムをダウンロードしない」を参照してください。
更新とサービス
詳細については、「Updatesとサービス」を参照してください。
ヒント
管理分析情報ルールに対してこれらのエンドポイントを有効にします。サイトを Microsoft クラウドに接続して、Configuration Manager更新します。
*.akamaiedge.net
*.akamaitechnologies.com
*.manage.microsoft.com
go.microsoft.com
download.microsoft.com
download.windowsupdate.com
download.visualstudio.microsoft.com
sccmconnected-a01.cloudapp.net
definitionupdates.microsoft.com
configmgrbits.azureedge.net
重要
この Azure エンドポイントでは、特定の暗号スイートを持つ TLS 1.2 のみがサポートされます。 環境でこれらの Azure 構成がサポートされていることを確認します。 詳細については、「 Azure Front Door: TLS 構成に関する FAQ」を参照してください。
cmbitsstore.blob.core.windows.net
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
cmbitsstore.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
Windows サービス
詳細については、「サービスとしての Windowsの管理」を参照してください。
download.microsoft.com
https://go.microsoft.com/fwlink/?LinkID=619849
dl.delivery.mp.microsoft.com
Azure サービス
詳細については、「Configuration Managerで使用するように Azure サービスを構成する」を参照してください。
-
management.azure.com
(Azure パブリック クラウド) -
management.usgovcloudapi.net
(Azure US Government クラウド)
共同管理
共同管理のために windows デバイスをMicrosoft Intuneに登録する場合は、それらのデバイスがIntuneに必要なエンドポイントにアクセスできることを確認します。 詳細については、「Microsoft Intuneのネットワーク エンドポイント」を参照してください。
ビジネス向け Microsoft Store
Configuration Managerをビジネス向け Microsoft Storeと統合する場合は、サービス接続ポイントと対象デバイスがクラウド サービスにアクセスできることを確認します。 詳細については、「ビジネス向け Microsoft Store プロキシ構成」を参照してください。
配信の最適化
配信の最適化を使用する場合、クライアントはクラウド サービスと通信する必要があります。 *.do.dsp.mp.microsoft.com
Microsoft Connected Cache をサポートする配布ポイントには、これらのエンドポイントも必要です。
詳細については、次の記事を参照してください。
- 配信の最適化に関する FAQ
- Configuration Managerでのコンテンツ管理の基本的な概念
- microsoft Connected Cache with Configuration Manager
クラウド サービス
クラウド管理ゲートウェイ (CMG) の詳細については、「CMG の計画」を参照してください。
このセクションでは、次の機能について説明します。
クラウド管理ゲートウェイ (CMG)
Microsoft Entra統合
Microsoft Entra ID ベースの検出
クラウド配布ポイント (CDP)
注:
クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 以降では、新しい CDP インスタンスを作成できません。 インターネット ベースのデバイスにコンテンツを提供するには、CMG がコンテンツを配布できるようにします。
次のセクションでは、エンドポイントをロール別に一覧表示します。 一部のエンドポイントは、 <prefix>
によってサービスを参照します。これは CMG のプレフィックス名です。 たとえば、CMG が GraniteFalls.WestUS.CloudApp.Azure.Com
されている場合、実際のストレージ エンドポイントは GraniteFalls.blob.core.windows.net
。
ヒント
いくつかの用語を明確にするには:
CMG サービス名: CMG サーバー認証証明書の共通名 (CN)。 クライアントと CMG 接続ポイントサイト システムの役割は、このサービス名と通信します。 たとえば、
GraniteFalls.contoso.com
およびGraniteFalls.WestUS.CloudApp.Azure.Com
が禁止となります。CMG デプロイ名: サービス名の最初の部分と、クラウド サービスデプロイの Azure の場所。 サービス接続ポイントのクラウド サービス マネージャー コンポーネントは、Azure に CMG をデプロイするときにこの名前を使用します。 デプロイ名は常に Azure ドメイン内にあります。 Azure の場所は、デプロイ方法によって異なります。例:
- 仮想マシン スケール セット:
GraniteFalls.WestUS.CloudApp.Azure.Com
- クラシック デプロイ:
GraniteFalls.CloudApp.Net
- 仮想マシン スケール セット:
この記事では、バージョン 2107 以降で推奨されるデプロイ方法として、仮想マシン スケール セットの例を使用します。 クラシック デプロイを使用する場合は、この記事を読み、インターネット アクセスを構成するときに違いに注意してください。
クラウド サービスのサービス接続ポイント
Configuration Manager Azure に CMG サービスをデプロイするには、サービス接続ポイントが次にアクセスする必要があります。
特定の Azure エンドポイント。構成に応じて環境ごとに異なります。 Configuration Managerは、これらのエンドポイントをサイト データベースに格納します。 SQL Serverの AzureEnvironments テーブルに対して、Azure エンドポイントの一覧を照会します。
Azure サービス:
-
management.azure.com
(Azure パブリック クラウド) -
management.usgovcloudapi.net
(Azure US Government クラウド)
-
Microsoft Entraユーザー検出の場合: Microsoft Graph エンドポイント
https://graph.microsoft.com/
クラウド サービスの CMG 接続ポイント
CMG 接続ポイントは、次のエンドポイントにアクセスする必要があります。
型 | Azure パブリック クラウド | Azure US Government クラウド |
---|---|---|
サービス 名 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
ストレージ エンドポイント 1 | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
ストレージ エンドポイント 2 | <prefix>.table.core.windows.net |
<prefix>.table.core.usgovcloudapi.net |
キー コンテナー | <prefix>.vault.azure.net |
<prefix>.vault.usgovcloudapi.net |
CMG 接続ポイント サイト システムでは、Web プロキシの使用がサポートされています。 プロキシに対してこのロールを構成する方法の詳細については、「 プロキシ サーバーのサポート」を参照してください。
CMG 接続ポイントは、CMG サービス エンドポイントにのみ接続する必要があります。 他の Azure エンドポイントへのアクセスは必要ありません。
クラウド サービス用のConfiguration Manager クライアント
CMG と通信する必要があるConfiguration Manager クライアントは、次のエンドポイントにアクセスする必要があります。
型 | Azure パブリック クラウド | Azure US Government クラウド |
---|---|---|
デプロイ 名 | <prefix>.<region>.cloudapp.azure.com |
<prefix>.usgovcloudapp.net |
ストレージ エンドポイント | <prefix>.blob.core.windows.net |
<prefix>.blob.core.usgovcloudapi.net |
Microsoft Entra エンドポイント | login.microsoftonline.com |
login.microsoftonline.us |
クラウド サービス用のConfiguration Manager コンソール
Configuration Manager コンソールを使用するすべてのデバイスは、次のエンドポイントにアクセスする必要があります。
型 | Azure パブリック クラウド | Azure US Government クラウド |
---|---|---|
エンドポイントのMicrosoft Entra | login.microsoftonline.com aadcdn.msauth.net aadcdn.msftauth.net |
login.microsoftonline.us |
ソフトウェア更新プログラム
WSUS と自動Updatesが Microsoft Update クラウド サービスと通信できるように、アクティブなソフトウェアの更新ポイントが次のエンドポイントにアクセスできるようにします。
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://ntservicepack.microsoft.com
ソフトウェア更新プログラムの詳細については、「ソフトウェア更新プログラム の計画」を参照してください。
イントラネット ファイアウォール
次の場合は、2 つのサイト システム間のファイアウォールにエンドポイントを追加することが必要になる場合があります。
- 子サイトにソフトウェアの更新ポイントがある場合
- サイトにリモート アクティブなインターネット ベースのソフトウェアの更新ポイントがある場合
子サイトのソフトウェア更新ポイント
http://<FQDN for software update point on child site>
https://<FQDN for software update point on child site>
http://<FQDN for software update point on parent site>
https://<FQDN for software update point on parent site>
Microsoft 365 アプリの管理
注:
2020 年 4 月 21 日より、Office 365 ProPlus の名前が Microsoft 365 Apps for enterprise に変更されます。 詳細については、「Office 365 ProPlusの名前の変更」を参照してください。 コンソールの更新中も、Configuration Manager コンソールとサポート ドキュメントに古い名前への参照が表示される場合があります。
Configuration Managerを使用してMicrosoft 365 Apps for enterpriseのデプロイと更新を行う場合は、次のエンドポイントを許可します。
officecdn.microsoft.com
クライアント更新プログラムのソフトウェア更新ポイントMicrosoft 365 Apps for enterprise同期するにはconfig.office.com
Microsoft 365 Apps for enterpriseデプロイ用のカスタム構成を作成するにはhttps://clients.config.office.net
Microsoft 365 Apps for enterpriseの更新プログラムの展開をサポートするためのhttps://go.microsoft.com/fwlink/?linkid=2190568
contentstorage.osi.office.net
Office アドインの準備状況の評価をサポートするclients.config.office.net
を使用して、特定のMicrosoft 365 Apps更新に必要なファイルの名前を取得します。 詳細については、「Microsoft 365 Apps ファイル リスト API の使用」を参照してください。
最上位のサイト サーバーは、Microsoft Apps 365 準備ファイルをダウンロードするために、次のエンドポイントにアクセスする必要があります。
- 2021 年 3 月 2 日以降:
https://omex.cdn.office.net/mirrored/sccmreadiness/SOT_SCCM_AddinReadiness.CAB
- 2021 年 3 月 2 日より前の場所:
https://contentstorage.osi.office.net/sccmreadinessppe/sot_sccm_addinreadiness.cab
- 2021 年 3 月 2 日より前の場所:
注:
このファイルの場所は、2021 年 3 月 2 日変更されています。 詳細については、「Microsoft 365 Apps準備ファイルのダウンロード場所の変更」を参照してください。
Configuration Manager コンソール
Configuration Manager コンソールを使用するコンピューターでは、特定の機能に対して次のインターネット エンドポイントにアクセスする必要があります。
注:
Microsoft からのプッシュ通知をコンソールに表示するには、サービス接続ポイントが configmgrbits.azureedge.net
にアクセスする必要があります。
また、更新とサービスのためにこのエンドポイントにアクセスする必要があるため、既に許可されている可能性があります。
コンソール内のフィードバック
コンソールを実行するコンピューターで、次のインターネット エンドポイントにアクセスして診断データを Microsoft に送信できるようにします。
petrol.office.microsoft.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
umwatsonc.events.data.microsoft.com
*-umwatsonc.events.data.microsoft.com
この機能の詳細については、「 製品のフィードバック」を参照してください。
コミュニティ ワークスペース
ドキュメント ノード
このコンソール ノードの詳細については、「Configuration Manager コンソールの使用」を参照してください。
https://aka.ms
https://raw.githubusercontent.com
コミュニティ ハブ
この機能の詳細については、「 コミュニティ ハブ」を参照してください。
https://github.com
https://communityhub.microsoft.com
テナントのアタッチ
詳細については、「テナントのアタッチの有効化」を参照してください。
https://aka.ms/configmgrgateway
https://*.manage.microsoft.com
Azure パブリック クラウドのお客様向けhttps://*.manage.microsoft.us
バージョン 2107 以降の米国政府機関クラウドのお客様向けhttps://dc.services.visualstudio.com
サービス接続ポイントは、 https://*.manage.microsoft.com
でホストされている通知サービスへの長時間の送信接続を行います。 サービス接続ポイントに使用されるプロキシが、発信接続のタイムアウトを早くしすぎないことを確認します。 このインターネット エンドポイントへの発信接続は 3 分に設定することをお勧めします。
環境に特定の証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の検証場所のみを許可するプロキシ 規則がある場合は、次の CRL と OCSP URL も許可します。
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
http://www.microsoft.com/pkiops
エンドポイントの分析
詳細については、「 エンドポイント分析プロキシの構成」を参照してください。
Configuration Manager マネージド デバイスに必要なエンドポイント
Configuration Manager マネージド デバイスからは、Configuration Manager ロールのコネクタ経由で Intune にデータが送信され、Microsoft パブリック クラウドに直接アクセスする必要はありません。
エンドポイント | 職務 |
---|---|
https://graph.windows.net |
サーバー ロールの Endpoint analytics に階層をアタッチするときに設定Configuration Manager自動的に取得するために使用されます。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。 |
https://*.manage.microsoft.com |
デバイスコレクションとデバイスをエンドポイント分析と同期するために使用Configuration Managerサーバー ロールのみ。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。 |
Intune マネージド デバイスに必要なエンドポイント
エンドポイント分析にデバイスを登録する場合、デバイスから Microsoft パブリック クラウドに必要な機能データが送信される必要があります。 Endpoint Analytics は、Windows クライアントと Windows Server 接続ユーザー エクスペリエンスとテレメトリ コンポーネント (DiagTrack) を使用して、Intuneマネージド デバイスからデータを収集します。 デバイス上の接続ユーザー エクスペリエンスとテレメトリ サービスが実行されていることを確認してください。
エンドポイント | 職務 |
---|---|
https://*.events.data.microsoft.com |
必要な機能データを Intune データ収集エンドポイントに送信するために Intune マネージド デバイスによって使用されます。 |
資産インテリジェンス
資産インテリジェンスを使用する場合は、サービスの同期を次のエンドポイントに許可します。
https://sc.microsoft.com
https://ssu2.manage.microsoft.com
Microsoft Edge の展開
Configuration Manager コンソールを実行しているデバイスは、Microsoft Edge を展開するために次のエンドポイントにアクセスする必要があります。
場所 | 使用 |
---|---|
https://aka.ms/cmedgeapi |
Microsoft Edge のリリースに関する情報 |
https://edgeupdates.microsoft.com/api/products?view=enterprise |
Microsoft Edge のリリースに関する情報 |
http://dl.delivery.mp.microsoft.com |
Microsoft Edge リリースのコンテンツ |
外部通知
詳細については、「 外部通知」を参照してください。
サービス接続ポイントは、通知サービス (Azure Logic Apps など) と通信する必要があります。 ロジック アプリのアクセス エンドポイントの形式は通常、 https://*.<RegionName>.logic.azure.com:443
です。 例: https://prod1.westus2.logic.azure.com:443
ロジック アプリのアクセス エンドポイントと関連する IP アドレスを取得するには、次のプロセスを使用します。
- Azure portalの [Logic Apps] で、通知のロジック アプリを選択します。 詳細については、「Azure portalでロジック アプリを管理する」を参照してください。
- アプリのメニューの [設定] セクションで、[プロパティ] を選択 します。
- Access エンドポイントと Access エンドポイントIP アドレスの値を表示またはコピーします。
Microsoft パブリック IP アドレス
Microsoft IP アドレス範囲の詳細については、「 Microsoft パブリック IP 空間」を参照してください。 これらのアドレスは定期的に更新されます。 サービスごとの細分性はなく、これらの範囲の IP アドレスを使用できます。