Configuration Managerの Technical Preview 1606 の機能

適用対象: Configuration Manager (テクニカル プレビュー ブランチ)

この記事では、Configuration Manager バージョン 1606 の Technical Preview で利用できる機能について説明します。 このバージョンをインストールして、新しい機能を更新し、Configuration Managerのテクニカル プレビュー サイトに追加できます。 このバージョンのテクニカル プレビューをインストールする前に、概要トピック「Configuration Managerの Technical Preview」を参照して、テクニカル プレビューの使用に関する一般的な要件と制限事項、バージョン間の更新方法、および技術プレビューの機能に関するフィードバックを提供する方法について理解してください。

このテクニカル プレビューの既知の問題:

• Technical Preview 1604 から 1605 に更新した後、バージョン 1606 に更新すると、更新が失敗し、次のようなエラーが cmupdate.logに記録されます。

  ERROR: Failed to execute SQL Server command:  ~ ~-- Create site boundary group ~IF  dbo.fnIsCasOrStandalonePrimary() = 1 ~BEGIN ~   PRINT N'Create site boundary group during upgrade' ~   EXEC dbo.spBuildDefaultBoundaryGroups @UserName = N'SYSTEM' ~END
  

  この場合は、[Updatesとサービス] ノードで [更新プログラムの確認] をクリックし、[更新プログラムのインストールを再試行する] をクリックします。

  ---

このバージョンで試すことができる新機能を次に示します。

デバイスをコレクションに自動的に分類する

デバイス カテゴリを作成できます。このカテゴリを使用すると、Microsoft IntuneでConfiguration Managerを使用しているときに、デバイス コレクションにデバイスを自動的に配置できます。 その後、ユーザーは、デバイスをIntuneに登録するときに、デバイス カテゴリを選択する必要があります。 さらに、Configuration Manager コンソールからデバイスのカテゴリを変更することもできます。

大事な：この機能は、Microsoft Intune の 2016 年 6 月リリースで機能します。 これらの手順を試す前に、このリリースに更新されていることを確認してください。

ぜひ、お試しください。

一連のデバイス カテゴリを作成する

1. Configuration Manager コンソールの [資産とコンプライアンス] ワークスペースで、[概要] を展開し、[デバイス コレクション] をクリックします。
2. [ ホーム ] タブの [ カテゴリ ] グループで、[ デバイス カテゴリの管理] をクリックします。
3. [ デバイス カテゴリの管理 ] ダイアログ ボックスでは、カテゴリを作成、編集、または削除できます。 新しいカテゴリを作成してみてください。

コレクションをデバイス カテゴリに関連付ける

コレクションをデバイス カテゴリに関連付けると、指定したカテゴリ内のすべてのデバイスがそのコレクションに追加されます。

1. デバイス コレクションの [プロパティ] ダイアログで、[規則デバイス カテゴリ規則>の追加] をクリックします。
2. [ デバイス カテゴリ メンバーシップ 規則の作成 ] ダイアログ ボックスで、コレクション内のすべてのデバイスに適用されるカテゴリを選択します。
3. [ デバイス カテゴリ メンバーシップ規則の作成 ] ダイアログ ボックスと [コレクションのプロパティ] ダイアログ ボックスを閉じます。

デバイスのカテゴリを変更する

1. Configuration Manager コンソールの [資産とコンプライアンス] ワークスペースで、[概要] を展開し、[デバイス] をクリックします。
2. [デバイス] の一覧からデバイスを選択し、[ホーム] タブの [デバイス] グループで [カテゴリの変更] をクリックします。
3. [ デバイス カテゴリの編集 ] ダイアログ ボックスで、このデバイスに適用するカテゴリを選択し、[OK] をクリック します。

必要なアプリケーションおよびソフトウェア更新プログラムの展開の適用猶予期間

場合によっては、構成した期限を超えて、必要なアプリケーションの展開やソフトウェア更新プログラムをインストールする時間をユーザーに与える必要があります。 これは通常、コンピューターが長時間オフになっていて、多数のアプリケーションまたは更新プログラムの展開をインストールする必要がある場合に必要になる場合があります。 たとえば、エンド ユーザーが休暇から戻ったばかりの場合、期限切れのアプリケーションデプロイがインストールされるまで長い時間待つ必要がある場合があります。 この問題を解決するために、Configuration Managerクライアント設定をコレクションに展開することで、適用猶予期間を定義できるようになりました。

ぜひ、お試しください。

猶予期間を構成するには、次のアクションを実行します。

1. クライアント設定の [コンピューター エージェント] ページで、展開期限 (時間) 後に適用される新しいプロパティ猶予期間を 1 から 120 時間の値で構成します。
2. 新しく必要なアプリケーションのデプロイで、または既存のデプロイのプロパティで、[ スケジュール ] ページで、クライアント設定で定義されている猶予期間まで、 ユーザー設定に従ってこのデプロイの適用を延期するチェック ボックスをオンにします。 このチェックボックスが選択され、クライアント設定も展開したデバイスを対象とするすべてのデプロイでは、適用猶予期間が使用されます。

適用猶予期間を構成し、チェック ボックスをオンにすると、アプリケーションのインストール期限に達すると、ユーザーがその猶予期間まで構成した最初の非ビジネス ウィンドウにインストールされます。 ただし、ユーザーは引き続きソフトウェア センターを開き、必要に応じてアプリケーションをインストールできます。 猶予期間が期限切れになると、適用は期限切れのデプロイの通常の動作に戻ります。 同様のオプションが、ソフトウェア更新プログラムの展開ウィザード、自動展開規則ウィザード、およびプロパティ ページに追加されました。

Configuration Managerを管理インストーラーとして Device Guard で使用する

Device Guard は、ハードウェアとソフトウェアの機能を使用して、デバイスで実行できる内容を厳密に制御するWindows 10機能です。

詳細については、「 Device Guard の概要」を参照してください。

このリリースでは、Configuration Manager Device Guard および Windows AppLocker と相互運用できるため、Configuration Managerで展開された実行可能ファイルと DLL ファイルは、マネージド インストーラーから取得すると自動的に信頼されます。つまり、ターゲット デバイスでの実行が許可され、明示的に許可されていない限り、他のソフトウェアの実行は許可されません。他の AppLocker 規則によって実行されます。

現時点では、この機能はConfiguration Manager コンソールからは構成できません。 ポリシーを構成するには、各クライアントでレジストリ キーを構成し、クライアントで Windows サービスを構成する必要があります。 これが完了したら、AppLocker ポリシー ファイルを構成します。 ポリシー ファイルを構成したら、互換性のある任意のクライアント デバイスに展開できます。

すべての AppLocker ポリシーと同様に、マネージド インストーラー ルールを使用するポリシーは、次の 2 つのモードで実行できます。

• 監査モード – アプリケーションの実行は禁止されていますが、ブロックされた可能性のあるアプリケーションはすべてログ ファイルで報告されます (これは、Configuration Managerの後のリリースでサポートされます)。
• 適用が有効 – アプリケーションの実行がブロックされます。

詳細については、次の記事を参照してください。

• Device Guard の概要

• Windows Defender アプリケーション制御の展開プロセスの計画と開始

  オンプレミス モバイル デバイス管理の複数のデバイス管理ポイント

  Technical Preview 1606 では、オンプレミス モバイル デバイス管理 (MDM) は、登録されたデバイスを複数のデバイス管理ポイントが使用できるように自動的に構成する、Windows 10 Anniversary Update の新機能をサポートします。 この機能を使用すると、通常のデバイス管理ポイントを使用できない場合に、デバイスを別のデバイス管理ポイントにフォールバックできます。 この機能は、Windows 10 Anniversary Update がインストールされている PC でのみ機能します。

ぜひ、お試しください。

1. 階層内に複数のデバイス管理ポイントをインストールします。

2. オンプレミス モバイル デバイス管理のWindows 10 Anniversary Update デバイスを登録します。

サイトを準備し、オンプレミスのモバイル デバイス管理用にデバイスを登録する方法については、「オンプレミス インフラストラクチャを使用してモバイル デバイスを管理する」を参照してください。

インターネット上のクライアントを管理するためのクラウド プロキシ サービス

クラウド プロキシ サービスを使用すると、インターネット上Configuration Managerクライアントを簡単に管理できます。 Microsoft Azure にデプロイされ、Azure サブスクリプションが必要なサービスは、クラウド プロキシ コネクタ ポイントと呼ばれる新しいロールを使用して、オンプレミスのConfiguration Manager インフラストラクチャに接続します。 完全に展開および構成されると、クライアントは、内部プライベート ネットワークに接続されているかインターネット上にあるかに関係なく、オンプレミスConfiguration Managerサイト システムの役割にアクセスできるようになります。

Configuration Manager コンソールを使用して、サービスを Azure にデプロイし、クラウド プロキシ コネクタ ポイントロールを追加し、クラウド プロキシ トラフィックを許可するようにサイト システムの役割を構成します。 クラウド プロキシ サービスは現在、管理ポイント、配布ポイント、およびソフトウェアの更新ポイントの役割のみをサポートしています。

コンピューターを認証し、サービスのさまざまなレイヤー間の通信を暗号化するには、クライアント証明書と Secure Socket Layer (SSL) 証明書が必要です。 クライアント コンピューターは通常、グループ ポリシーの適用を通じてクライアント証明書を受け取ります。 ロールをホストしているクライアントとサイト システム サーバー間のトラフィックを暗号化するには、CA からカスタム SSL 証明書を作成する必要があります。 これら 2 種類の証明書に加えて、クラウド プロキシ サービスのデプロイを許可する管理証明書Configuration Manager Azure に設定する必要もあります。

TP 1606 でのクラウド プロキシ サービスの要件

• クラウド プロキシ コネクタ ポイントを実行しているクライアント コンピューターとサイト システム サーバー。
• 内部 CA からのカスタム SSL 証明書 - クライアント コンピューターからの通信を暗号化し、クラウド プロキシ サービスの ID を認証するために使用されます。
• クラウド サービスの Azure サブスクリプション。
• Azure 管理証明書 - Azure でConfiguration Managerを認証するために使用されます。

TP 1606 でのクラウド プロキシ サービスの制限事項

• 管理ポイント、配布ポイント、ソフトウェアの更新ポイントの役割のみをサポートします。
• ユーザー ポリシーはサポートされていません。
• Configuration Managerのオンプレミスモバイルデバイス管理では使用できません。
• Azure のパブリック クラウド プラットフォームでのみサポートされます。

ぜひ、お試しください。

クラウド プロキシ サービスをデプロイするプロセスには、次の手順が含まれます。

1. クラウド プロキシ サービス用のカスタム SSL 証明書を作成して発行します。
2. クライアント証明書のルートをエクスポートします。
3. 管理証明書を Azure にアップロードします。
4. Configuration Manager コンソールでクラウド プロキシ サービスを設定します。
5. クライアント証明書認証を使用するようにプライマリ サイトを構成します。
6. クラウド プロキシ コネクタ ポイントをサイトに追加します。
7. クラウド プロキシ トラフィックを受け入れるようにサイト システムの役割を構成します。

次のセクションでは、これらの手順を完了するための詳細について説明します。

カスタム SSL 証明書を作成する

クラウド プロキシ サービス用のカスタム SSL 証明書は、クラウドベースの配布ポイントの場合と同じ方法で作成できます。 「Cloud-Based 配布ポイントのサービス証明書を展開する」の手順に従いますが、次の操作は異なります。

• 新しい証明書テンプレートを設定するときは、Configuration Manager サーバー用に設定したセキュリティ グループに対する読み取りおよび登録のアクセス許可を付与します。

クライアント証明書のルートをエクスポートする

ネットワークで使用されるクライアント証明書のルートをエクスポートする最も簡単な方法は、ドメインに参加しているいずれかのマシンでクライアント証明書を開いてコピーすることです。

注:

クライアント証明書は、クラウド プロキシ サービスで管理する任意のコンピューターと、クラウド プロキシ コネクタ ポイントをホストしているサイト システム サーバーで必要です。 これらのマシンのいずれかにクライアント証明書を追加する必要がある場合は、「 Windows コンピューター用のクライアント証明書の展開」を参照してください。

1. [実行] ウィンドウで、「 mmc 」と入力し、Return キーを押します。
2. 管理コンソールの [ファイル] メニューで、[スナップインの追加と削除]をクリックします。
3. [スナップインの追加と削除] ダイアログ ボックスで、[ 証明書] をクリックし、[ 追加 >] をクリックし、[ コンピューター アカウント] をクリックし、[ 次へ]、[ ローカル コンピューター] の順にクリックし、[完了] をクリック します。 [ OK] をクリックしてダイアログ ボックスを閉じます。
4. [証明書] [個人用>証明書] >に移動します。
5. コンピューターでクライアント認証用の証明書をダブルクリックし、[認定パス] タブをクリックし、(パスの上部にある) ルート機関をダブルクリックします。
6. [詳細] タブをクリックし、[ ファイルにコピー]をクリックします。...
7. 既定の証明書形式を使用して証明書のエクスポート ウィザードを完了します。 作成したルート証明書の名前と場所を書き留めます。 後の手順でクラウド プロキシ サービスを構成するために必要になります。

管理証明書を Azure にアップロードする

Configuration Managerが Azure API にアクセスし、クラウド プロキシ サービスを構成するには、Azure 管理証明書が必要です。 管理証明書をアップロードする方法の詳細と手順については、Azure ドキュメントの次の記事を参照してください。

• Azure Cloud Servicesの証明書の概要
• Azure Management API Management 証明書をアップロードします。

管理証明書に関連付けられているサブスクリプション ID を必ずコピーしてください。 Configuration Manager コンソールでクラウド プロキシ サービスを構成するために必要になります。

クラウド プロキシ サービスを設定する

1. Configuration Manager コンソールで、[管理>] Cloud Services > [クラウド プロキシ サービス] に移動します。
2. [ クラウド プロキシ サービスの作成] をクリックします。
3. [クラウド プロキシ サービスの作成ウィザード] で、Azure サブスクリプション ID (Azure 管理ポータルからコピー) を入力し、[参照] をクリックし、Azure 管理証明書としてアップロードするために使用した証明書ファイルを選択します。 [次へ] をクリックします。 コンソールが Azure に接続するまでしばらく待ちます。
4. ウィザードで追加の詳細を入力します。
   • カスタム SSL 証明書からエクスポートした秘密キー (.pfx ファイル) を指定します。
   • クライアント証明書からエクスポートされたルート証明書を指定します。
   • 新しい証明書テンプレートの作成時に使用したのと同じサービス名 FQDN を指定します。
   • [クライアント証明書失効の確認] の横にあるボックスをオフにします (CRL 情報を公開している場合を除く)。
   • 完了したら、[ 次へ ] をクリックします。
5. 設定を確認し、[ 次へ] をクリックします。 Configuration Managerサービスの設定を開始します。 ウィザードが完了したら、[ 閉じる] をクリックできますが、Azure でサービスを完全にプロビジョニングするまでに 5 分から 15 分かかります。 新しく設定されたクラウド プロキシ サービスの [状態] 列を確認して、サービスの準備が完了したタイミングを確認します。

クライアント認定認証用にプライマリ サイトを構成する

1. Configuration Manager コンソールで、[管理>サイト構成サイト] >に移動します。
2. クラウド プロキシ サービスを使用して管理するクライアントのプライマリ サイトを選択し、[ プロパティ] をクリックします。
3. プライマリ サイトのプロパティ シートの [クライアント コンピューター通信] タブで、[使用可能な場合は PKI クライアント証明書 (クライアント認証) を使用する] の横にあるボックスをチェックします。
4. サイト システムの証明書失効リスト (CRL) チェック [クライアント] の横にあるチェック ボックスをオフにしてください。 このオプションは、CRL を公開している場合にのみ必要です。
5. [OK] をクリックします。

クラウド プロキシ コネクタ ポイントを追加する

クラウド プロキシ コネクタ ポイントは、クラウド プロキシ サービスと通信するための新しいサイト システムの役割です。 クラウド プロキシ コネクタ ポイントを追加するには、「Configuration Managerのサイト システムの役割を追加する」の手順に従います。

クラウド プロキシ トラフィックのロールを構成する

クラウド プロキシ サービスを設定する最後の手順は、クラウド プロキシ トラフィックを受け入れるようにサイト システムの役割を構成することです。 Tech Preview 1606 の場合、クラウド プロキシ サービスでは、管理ポイント、配布ポイント、ソフトウェアの更新ポイントの役割のみがサポートされます。 各ロールは個別に構成する必要があります。

1. Configuration Manager コンソールで、[管理>] [サイト構成>サーバー] と [サイト システムの役割] に移動します。
2. クラウド プロキシ トラフィック用に構成するロールのサイト システム サーバーをクリックします。
3. ロールをクリックし、[ プロパティ] をクリックします。
4. ロールの [プロパティ] シートの [クライアント Connections] で、[HTTPS] を選択し、[クラウド プロキシ トラフィックの許可] の横にあるボックスConfiguration Managerチェックし、[OK] をクリックします。 残りのロールに対して、これらの手順を繰り返します。

インターネット上のクライアントの状態を確認する

サービスとロールが完全に構成されると、内部クライアントは次の場所要求でクラウド プロキシ サービスの場所を取得します。 位置情報が更新されたクライアントは、インターネット上のConfiguration Managerと通信できます。 場所要求のポーリング サイクルは 24 時間ごとに行われます。 通常スケジュールされた場所の要求を待ちたくない場合は、コンピューターで SMS エージェント ホスト サービス (ccmexec.exe) を再起動して要求を強制できます。

クライアントがクラウド プロキシ サービスの新しい位置情報を取得したら、内部プライベート ネットワーク上ではなくなったがインターネットにアクセスできるクライアントの状態を確認してみてください。 クラウド プロキシ サービスのトラフィックを監視するには、[管理>] Cloud Services [>クラウド プロキシ サービス] に移動し、リスト ウィンドウでサービスを選択し、詳細ウィンドウでトラフィック情報を表示します。

Configuration Managerで Microsoft 365 クライアント エージェントを管理する

Technical Preview 1606 以降では、グループ ポリシーではなく、Configuration Manager クライアント エージェント設定を使用して、Microsoft 365 クライアントがConfiguration Managerから更新プログラムを受信できるようにします。 この設定を構成して Microsoft 365 更新プログラムを展開すると、Configuration Manager クライアント エージェントは Microsoft 365 クライアント エージェントと通信して、配布ポイントから Microsoft 365 更新プログラムをダウンロードしてインストールします。 Configuration Managerは、クライアント エージェント設定のインベントリも取得します。

詳細については、「Microsoft 365 Apps for enterprise更新プログラムの管理」を参照してください。

Configuration Manager クライアント設定を設定して、Office 365 クライアント エージェントを管理する

1. Configuration Manager コンソールで、[管理] [概要>>] [クライアント設定] の順にクリックします。
2. 適切なデバイス設定を開き、クライアント エージェントを有効にします。 既定のクライアント設定とカスタム クライアント設定の詳細については、「クライアント設定 を構成する方法」を参照してください。
3. [ソフトウェア Updates] をクリックし、[Office 365 クライアント エージェントの管理を有効にする] 設定で [はい] を選択します。

OSDPreserveDriveLetter タスク シーケンス変数は非推奨になりました

OSDPreserveDriveLetter タスク シーケンス変数は、そのイメージをターゲット コンピューターに適用するときに、オペレーティング システム イメージ WIM ファイルでキャプチャされたドライブ文字をタスク シーケンスで使用するかどうかを決定します。

• このタスク シーケンス変数は、Technical Preview 1606 で非推奨になりました。

オペレーティング システムの展開中に、既定では、Windows セットアップによって使用する最適なドライブ文字 (通常は C:) が決定されるようになりました。 使用する別のドライブを指定する場合は、[オペレーティング システムの適用] タスク シーケンス ステップで場所を変更できます。 [ このオペレーティング システムを適用する場所を選択する ] 設定に移動し、[ 特定の論理ドライブ文字] を選択して、使用するドライブを選択します。 コピー先のコンピューターで選択した文字が割り当てられたドライブが必要です。

Updatesノードとサービス ノードの変更

Technical Preview 1606 では、Configuration Manager コンソールのUpdatesとサービスに適用されるいくつかの変更が導入されました。

• ノード名の変更:

  [監視] ワークスペースで、[サイト サービスの状態] ノードの名前が [Updates] と [サービス状態] に変更されました。

• その他のインストール状態:

  サイトの更新プログラムのインストール状態を表示すると、コンソールに次のアクションの個別の詳細が表示されるようになりました。

  • ダウンロード (これは、サービス接続ポイント サイト システムの役割がインストールされている最上位のサイトにのみ適用されます)
  • レプリケーション
  • 前提条件の確認
  • インストール

  さらに、詳細については、どのログ ファイルを表示できるかなど、各手順の詳細情報が表示されるようになりました。

• 前提条件のエラーを再試行するための新しいオプション:

  [管理] ワークスペースと [監視] ワークスペースの両方で、[Updates] ノードと [サービス] ノードには、[前提条件の警告を無視する] という名前の新しいボタンがリボンに表示されます。

  [前提条件の警告を無視する] (Updates ウィザード内から) オプションを使用せずに更新プログラムをインストールし、その更新プログラムのインストールが [事前要求の状態] 警告で停止した場合は、[前提条件の警告を無視する] を選択して、前提条件の警告を無視する更新プログラムの自動継続をトリガーできます。

• 更新プログラムのクリーナー ビュー:

  [Updatesとサービス] ノードを表示すると、最近インストールされた更新プログラムと、インストールできる新しい更新プログラムのみが表示されます。 以前にインストールした更新プログラムを表示するには、リボンに表示される新しい [履歴 ] ボタンをクリックします。

• 運用前の名前が変更されたオプション:

  [Updatesとサービス] ノードで、[クライアント オプション] という名前のボタンの名前が [運用前クライアントの昇格] に変更されるようになりました。