Configuration Manager でのクライアント展開のためのサイト システムの役割の決定

既定では、すべての Windows クライアント コンピューターは配布ポイントを使用して Configuration Manager をインストールし、配布ポイントが使用できない場合は、その代替として管理ポイントを使用します。 ただし、CCMSetup コマンド ライン プロパティ /source:<パス> を使用して、代替ソースからコンピューターに Windows クライアントをインストールできます。 たとえば、この方法は、インターネット上にクライアントをインストールする場合に適切となる場合があります。 また、そのインストール方法に必要なポートをファイアウォールがブロックしているため、あるいは低帯域幅接続をしているために、クライアントのインストール時にコンピューターと管理ポイントの間でのネットワーク パケットの送信を避けたい場合が考えられます。 しかし、サイトを割り当て、Configuration Manager で管理するには、すべてのクライアントは管理ポイントと通信する必要があります。

CCMSetup コマンド ライン プロパティ /source:<パス> の詳細については、「Configuration Manager のクライアント インストール プロパティについて」をご覧ください。

階層内に複数の管理ポイントをインストールすると、クライアントは、フォレストのメンバーシップとネットワーク上の位置に基づいて、もっとも適切な管理ポイントに自動的に接続します。 セカンダリ サイトには複数の管理ポイントをインストールすることはできません。

Configuration Manager に登録する Mac コンピューター クライアント (Configuration Manager SP1 のみ) およびモバイル デバイス クライアントには、クライアント インストールのために常に管理ポイントが必要です。 この管理ポイントは、プライマリ サイトにあり、モバイル デバイスをサポートするよう構成され、インターネットからのクライアント接続を受け入れることが必要です。 モバイル デバイス クライアントはセカンダリ サイトの管理ポイントを使用できず、ほかのプライマリ サイトの管理ポイントに接続することもできません。

フォールバック ステータス ポイントを使用すると、Windows コンピューターのクライアントの展開を監視し、管理ポイントと通信できないため管理されていないコンピューター上のクライアントを識別できます。 Mac コンピューター (Configuration Manager SP1 のみ)、Configuration Manager が登録するモバイル デバイス、および Exchange Server コネクタを使用して管理されるモバイル デバイスは、フォールバック ステータス ポイントを使用しません。

フォールバック ステータス ポイントは常に HTTP を使用してクライアントと通信しますが、HTTP は接続時の認証がなく、データをクリア テキストで送信します。 したがって、特にインターネット ベースでクライアントを管理している場合には、フォールバック ステータス ポイントが攻撃対象になる可能性があります。 このような危険を避けるには、実稼働環境にフォールバック ステータス ポイントだけを実行する専用サーバーを設置し、このサーバーには別のサイト システムの役割をインストールしないようにします。

次の条件すべてに該当する場合は、フォールバック ステータス ポイントをインストールしてください。

• クライアント コンピューターが管理ポイントと通信できなくても、Windows コンピューターからのクライアント通信エラーをサイトに送る。

• フォールバック ステータス ポイントから送信されるデータを表示する System Center 2012 Configuration Manager クライアント展開レポートを使用する。

• このサイト システムの役割専用のサーバーがあり、サーバーを攻撃から保護することができるセキュリティ手段が他にもある。

• 接続時の認証がなく HTTP トラフィックでは平文のままデータが転送されるためセキュリティ上のリスクはありますが、それよりもフォールバック ステータス ポイントを使用する利点の方が高くなります。

次の条件に該当する場合、フォールバック ステータス ポイントをインストールしないでください。

• 接続時の認証がなく、データをクリア テキストで送信するために発生する、Web サイト実行上のセキュリティ リスクが、クライアントで発生する通信上の問題を特定することによる利点よりも高い。

Configuration Manager には、Configuration Manager コンソールで、クライアントのインストール、割り当て、管理の監視に役立つ多数のレポートがあります。 一部のクライアント展開レポートは、クライアントがフォールバック ステータス ポイントに割り当てられていることが必要です。

クライアントの展開にレポートは必要ではなく、一部の展開情報は Configuration Manager コンソールで確認でき、クライアント ログ ファイルを利用して詳細情報を確認することもできますが、クライアント レポートは、クライアントの展開を監視したり、トラブルシューティングするのに役立つ貴重な情報を提供します。

モバイル デバイスを登録し、Mac コンピューター (Configuration Manager SP1 のみ) 用の証明書を登録するために、Configuration Manager には登録ポイントと登録プロキシ ポイントが必要です。 Exchange Server コネクタを使用してモバイル デバイスを管理する場合、モバイル デバイスのレガシ クライアント (たとえば Windows CE) をインストールする場合、または Configuration Manager を使用せずにクライアント証明書を要求して Mac コンピューターにインストールする場合、これらのサイト システムの役割は必要ありません。

Configuration Manager クライアントを Windows コンピューターにインストールする場合、配布ポイントは不要ですが、既定では、Configuration Manager はクライアントのソース ファイルを Windows コンピューターにインストールするときに配布ポイントを使用します。配布ポイントを使用できない場合は、代替として管理ポイントからこれらのファイルをダウンロードできます。 配布ポイントは、Configuration Manager に登録していないモバイル デバイスをインストールするのには使用されませんが、モバイル デバイスのレガシ クライアントをインストールする場合には使用されます。Configuration Manager クライアントをオペレーティング システムの展開の一部としてインストールする場合は、オペレーティング システムのイメージは配布ポイントに格納され、そこから取得されます。

ほとんどの Configuration Manager クライアントをインストールするのに配布ポイントは必要ありませんが、アプリケーションやソフトウェア更新プログラムなどのソフトウェアをクライアントにインストールする場合には、配布ポイントが必要です。

アプリケーション カタログ Web サイト ポイントとアプリケーション カタログ Web サービス ポイントは、クライアントの展開に必要ではありません。 ただし、これらをクライアント展開プロセスの一部としてインストールしておくと、Configuration Manager クライアントを Windows コンピューターにインストールしてすぐに、ユーザーが次の操作を実行できるようになります。

• モバイル デバイスをワイプする。

• アプリケーション カタログでアプリケーションを見つけてインストールする。

• 展開の目的が [利用可能] のアプリケーションをユーザーまたはデバイスに展開します。