System Center Configuration Manager のクライアント設定について

 

適用対象: System Center Configuration Manager (current branch)

System Center Configuration Manager のクライアント設定はすべて、Configuration Manager コンソールの [管理] ワークスペースの [クライアント設定] ノードから管理します。Configuration Manager では、一連の既定の設定が用意されています。 既定のクライアント設定を変更すると、変更された設定が階層内のすべてのクライアントに適用されます。 カスタムのクライアント設定も構成でき、これらの設定をコレクションに割り当てると、既定のクライアント設定よりも優先されます。 クライアント設定の構成方法については、「System Center Configuration Manager でクライアント設定を構成する方法」を参照してください。

クライアント設定の多くはまさにその名のとおりです。 クライアント設定を構成する前に、個々のクライアント設定の情報が必要になる場合があります。個々のクライアント設定の詳細については、次のセクションを参照してください。

デバイスに関するクライアント設定

ユーザーに関するクライアント設定

クライアント デバイス設定の詳細については、次のセクションを参照してください。

バックグラウンド インテリジェント転送

設定の名前説明
[BITS バックグラウンド転送の最大ネットワーク帯域幅を制限する]このオプションが [True] または [はい] として構成されている場合、Configuration Manager クライアントは BITS 帯域幅調整を使用することになります。
[調整期間の開始時間]BITS 調整期間を開始する時刻 (ローカル時刻) を指定します。
[調整期間の終了時間]BITS 調整期間を終了する時刻 (ローカル時刻) を指定します。 この値が [調整期間の開始時間] と同じ場合、BITS 調整は常に有効になります。
[調整期間内の最大転送速度 (Kbps)]指定した BITS 調整期間中に Configuration Manager クライアントで使用できる最大転送速度 (Kbps) を指定します。
[調整期間外に BITS ダウンロードを許可する]調整期間外に BITS ダウンロードを許可するには、このオプションを選択します。 このオプションを使用すると、Configuration Manager クライアントで、調整期間外に個別の BITS 設定を使用できます。
[調整期間外の最大転送速度 (Kbps)]指定した BITS 調整期間外に Configuration Manager クライアントで使用される最大転送速度 (Kbps) を指定します。 このオプションは、指定した期間外の BITS 調整の許可を選択した場合にのみ、構成できます。

クライアント ポリシー

設定の名前説明
[クライアント ポリシーのポーリング間隔 (分)]次の Configuration Manager クライアントがクライアント ポリシーをダウンロードする頻度を指定します。

- Windows コンピューター (デスクトップ、サーバー、ラップトップなど)
- Configuration Manager によって登録されるモバイル デバイス
- Mac コンピューター
- Linux または UNIX を実行しているコンピューター
クライアント上でのユーザー ポリシーのポーリングを有効にするこの設定を [True] または [はい] として構成した場合、Configuration Manager がユーザーを検出すると、コンピューター上の Configuration Manager クライアントが、そのログオン ユーザを対象としたアプリケーションとプログラムを受け取ります。 ユーザーを検出する方法の詳細については、「System Center Configuration Manager 用の探索の実行」の「Active Directory のコンピューター、ユーザー、またはグループの探索の構成」を参照してください。

アプリケーション カタログが、サイト サーバーからユーザーが利用可能なソフトウェアの一覧を受け取るので、アプリケーション カタログからユーザーがアプリケーションを表示、要求するために、この設定を [True] または [はい] に構成する必要はありません。 ただし、この設定が [False] または [いいえ] の場合、ユーザーがアプリケーション カタログを使用する際、次のようになります。

- アプリケーション カタログに表示されているアプリケーションはインストールできません。
- ユーザーに、各自のアプリケーション承認要求に関する通知が表示されません。 その代わりに、ユーザーはアプリケーション カタログを更新して承認ステータスを確認する必要があります。
- ユーザーは、アプリケーション カタログに発行されるアプリケーションのリビジョンおよび更新を受け取りません。 ただし、ユーザーにはアプリケーション カタログのアプリケーション変更情報が表示されます。
- アプリケーション カタログからクライアントにアプリケーションをインストールした後でアプリケーション展開を削除した場合、クライアントはアプリケーションがインストールされていることを最長 2 日間チェックします。

また、この設定が [False] または [いいえ] の場合、ユーザーは、ユーザーに展開される必要なアプリケーションや、ユーザー ポリシーに含まれているその他の管理操作を受け取りません。

この設定は、ユーザーのコンピューターがイントラネット上およびインターネット上にある場合に適用されます。ユーザー ポリシーをインターネット上で有効にする場合も、この設定を [True] または [はい] に構成する必要があります。
インターネット クライアントからのユーザー ポリシー要求を有効にするクライアントとサイトがインターネットベースのクライアント管理向けに構成されており、このオプションを [True] または [はい] に構成していて、次の両方の条件が当てはまる場合、ユーザーはコンピューターがインターネット上にあるときにユーザー ポリシーを受け取ります。

- クライアント設定 [クライアント上でのユーザー ポリシーのポーリングを有効にする] が [True] に構成されているか、[クライアントでユーザー ポリシーを有効にする] が [はい] に構成されている。
- インターネットベースの管理ポイントが、Windows 認証 (Kerberos または NTLM) を使用してユーザーを正しく認証している。

このオプションを [False] または [いいえ] のままにしている場合、またはいずれかの条件が当てはまらない場合は、インターネット上のコンピューターはコンピューター ポリシーのみ受け取ります。 この場合は、ユーザーは、インターネットベースのアプリケーション カタログからアプリケーションを表示、要求、およびインストールできます。 この設定が [False] または [いいえ] になっていて、[クライアント上でのユーザー ポリシーのポーリングを有効にする] が [True] に構成されているか、[クライアントでユーザー ポリシーを有効にする] が [はい] に構成されている場合、コンピューターがイントラネットに接続されるまでユーザーはユーザー ポリシーを受け取りません。

インターネットでのクライアント管理の詳細については、「System Center Configuration Manager でのエンドポイント間の通信」の「インターネットや信頼されていないフォレストからのクライアント通信に関する考慮事項」を参照してください。 Note: ユーザーからのアプリケーションの承認要求には、ユーザー ポリシーまたはユーザー認証は必要ありません。

コンプライアンス設定

設定の名前説明
[コンプライアンスの評価スケジュールを設定する]ユーザーが構成基準を展開するときにユーザーに対して表示される既定のスケジュールを作成するには、[スケジュール] をクリックします。 この値は、[構成基準の展開] ダイアログ ボックスで、基準ごとに構成できます。
[ユーザー データとプロファイルを有効にする]ユーザー データとプロファイルの構成項目を、階層内の Windows 8 コンピューターに展開する場合は、[はい] を選択します。

ユーザー データとプロファイルの詳細については、「System Center Configuration Manager でユーザー データとプロファイル構成項目を作成する方法」を参照してください。

コンピューター エージェント

設定の名前説明
既定のアプリケーション カタログ Web サイト ポイントConfiguration Manager は、この設定を使用して、ソフトウェア センターからアプリケーション カタログにユーザーを接続します。 アプリケーション カタログ Web サイト ポイントをホストするサーバーを NetBIOS 名または FQDN で指定したり、自動検出を指定したり、カスタマイズされた展開の URL を指定したりできます。 ほとんどの場合、次の利点のために自動検出が推奨されます。

- サイトにアプリケーション カタログ Web サイト ポイントが含まれている場合、サイトのアプリケーション カタログ Web サイト ポイントが自動的にクライアントに付与されます。
- HTTPS 向けに構成されているイントラネット上のアプリケーション カタログ Web サイト ポイントが、HTTPS 向けに構成されていないアプリケーション カタログ Web サイト ポイントより優先されるため、偽のサーバーからの保護が提供されます。
- クライアントがイントラネットおよびインターネットベースのクライアント管理向けに構成されている場合、ユーザーがインターネット上にある場合はインターネットベースのアプリケーション カタログ Web サイト ポイントが付与され、イントラネット上にある場合はイントラネットベースのアプリケーション カタログ Web ポイントが付与されます。

自動検出では、クライアントに最も近いアプリケーション カタログ Web サイト ポイントがクライアントに付与されるとは限りません。 次の理由から、[自動検出] を使用しない場合があります。

- クライアントに最も近いサーバーを手動で構成する必要がある、または低速のネットワーク接続経由でクライアントがサーバーに接続しないようにする必要がある。
- 各クライアントがどのサーバーに接続するのかを制御する必要がある。 これは、テスト、パフォーマンス、またはビジネス上の理由の場合があります。
- 最長 25 時間、つまり、別のアプリケーションカタログ Web サイト ポイントでクライアントに対してネットワークの変更が構成されるまで、待つのを避けたい。

自動検出を使用せずにアプリケーション カタログ Web サイト ポイントを指定する場合、イントラネット FQDN ではなく NetBIOS 名を指定すると、ユーザーがイントラネットでアプリケーション カタログに接続したときに、資格情報の入力を求めるメッセージが表示される可能性を低くすることができます。 NetBIOS 名を使用するには、次の条件が当てはまる必要があります。

- NetBIOS 名がアプリケーション カタログ Web サイト ポイントのプロパティに指定されている。
- WINS を使用しているか、すべてのクライアントがアプリケーション カタログ Web サイト ポイントと同じドメインに属している。
- アプリケーション カタログ Web サイト ポイントが HTTP クライアント接続向けに構成されているか、または HTTPS クライアント接続向けに構成されており、Web サーバー証明書に NetBIOS 名が含まれている。

通常、URL に FQDN が含まれている場合、ユーザーは資格情報の入力が求められますが、URL が NetBIOS 名の場合は、ユーザーは資格情報の入力が求められません。 ユーザーがインターネットから接続する場合は、この接続にインターネット FQDN を使用する必要があるため、ユーザーは常に資格情報の入力が求められます。 ユーザーがインターネット上にあるときに資格情報の入力を求める場合は、Kerberos を使用してユーザーを認証できるように、アプリケーション カタログ Web サイト ポイントを実行するサーバーがそのユーザー アカウントのドメイン コントローラーに接続できることを確認します。 Note: 自動検出のしくみ クライアントが、管理ポイントへのサービス探索要求を作成します。 クライアントと同じサイトにアプリケーション カタログ Web サイト ポイントがある場合、使用するアプリケーション カタログとしてこのサーバーがクライアントに付与されます。 サイト内に使用可能なアプリケーション カタログ Web サイト ポイントが複数ある場合、HTTPS 対応のサーバーが HTTPS に対応していないサーバーより優先されます。 このフィルタリングの後で、アプリケーション カタログとして使用するサーバーの 1 つがすべてのクライアントに対して付与されます。Configuration Manager は、複数のサーバー間で負荷分散を行いません。 クライアントのサイトにアプリケーション カタログ Web サイト ポイントが含まれていない場合、管理ポイントは、階層からアプリケーション カタログ Web サイト ポイントを特定せずに返します。 クライアントがイントラネット上にある場合、選択されたアプリケーション カタログ Web サイト ポイントは NetBIOS を使用してアプリケーション カタログの URL 用に構成され、イントラネット FQDN ではなくこの NetBIOS 名がクライアントに付与されます。 クライアントがインターネット上にあることが検出された場合は、インターネット FQDN のみクライアントに付与されます。 クライアントは、25 時間ごとまたはネットワークの変更を検出するたびに、このサービス探索要求を作成します。 たとえば、クライアントがイントラネットからインターネットに移動すると、このクライアントはインターネットベースの管理ポイントを見つけることができ、インターネットベースの管理ポイントからインターネットベースのアプリケーション カタログ Web サイト ポイント サーバーが提供されます。
[既定のアプリケーション カタログ Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する]このオプションを [True] または [はい] に構成している場合、現在の既定のアプリケーション カタログ Web サイトの URL がクライアントの Internet Explorer の信頼済みサイト ゾーンに自動的に追加されます。

この設定では、Internet Explorer の保護モードの設定が有効になっていない必要があります。 保護モードが有効になっていると、Configuration Manager クライアントがアプリケーション カタログからアプリケーションをインストールできない可能性があります。 既定では、信頼済みサイト ゾーンは、Windows 認証が必要なアプリケーション カタログへのユーザー ログオンもサポートしています。

このオプションを [False] のままにすると、Configuration Manager クライアントが使用するアプリケーション カタログの URL に応じて別のゾーンに Internet Explorer の設定を構成しない限り、そのクライアントはアプリケーション カタログからアプリケーションをインストールできなくなる可能性があります。 Note:  Configuration Manager が信頼済みサイト ゾーンに既定のアプリケーション カタログを追加するたびに、Configuration Manager は、新しいエントリを追加する前に、Configuration Manager が追加した以前の既定のアプリケーション カタログの URL を削除します。 URL がいずれかのセキュリティ ゾーンに既に指定されている場合、Configuration Manager はその URL を追加することはできません。 この場合は、他のゾーンからその URL を削除するか、必要な Internet Explorer 設定を手動で構成する必要があります。
[Silverlight アプリケーションが管理者特権での信頼モードで実行されることを許可する]この設定は、ユーザーが Configuration Manager クライアントを実行し、アプリケーション カタログを使用する場合、[はい] に構成する必要があります。

この設定を変更すると、次にユーザーがブラウザーを読み込むか、現在開いているブラウザー ウィンドウを更新したときに、有効になります。

この設定の詳細については、「System Center Configuration Manager のアプリケーション管理のセキュリティとプライバシー」の「Microsoft Silverlight 5 用の証明書、およびアプリケーション カタログに必要な管理者特権での信頼モード」を参照してください。
ソフトウェア センターに表示される組織名ソフトウェア センターでユーザーに表示する名前を入力します。 このブランド情報によって、ユーザーはこのアプリケーションを信頼されるソースとして特定できます。
新しいソフトウェア センターの使用有効になっている場合、こうしたクライアント設定の対象となっているすべてのクライアント コンピューターが、以前は Silverlight 依存のアプリケーション カタログでしかアクセスできなかった、ユーザーが利用できるアプリが表示される新しいソフトウェア センターを使用します。

ただし、ユーザーが利用できるアプリをソフトウェア センターに表示するには、アプリケーション カタログ Web サイト ポイントとアプリケーション カタログ Web サービス ポイントのサイト システムの役割が引き続き必要です。

詳細については、「System Center Configuration Manager のアプリケーション管理の計画と構成」をご覧ください。
インストール権限Warning: この設定は、アプリケーション カタログとソフトウェア センターに適用されます。 この設定は、ユーザーが会社ポータルを使用するときには効果を持ちません。

ソフトウェア、ソフトウェア更新プログラム、およびタスク シーケンスのインストールをユーザーがどのように開始するのかを構成します。

- すべてのユーザー: ゲスト以外のすべての権限を使用してクライアント コンピューターにログオンしたユーザーが、ソフトウェア、ソフトウェア更新プログラム、およびタスク シーケンスのインストールを開始できます。
- 管理者のみ: クライアント コンピューターにログオンしたユーザーが、ソフトウェア、ソフトウェア更新プログラム、およびタスク シーケンスのインストールを開始するには、ローカル Administrators グループのメンバーである必要があります。
- 管理者とプライマリ ユーザーのみ: クライアント コンピューターにログオンしたユーザーが、ソフトウェア、ソフトウェア更新プログラム、およびタスク シーケンスのインストールを開始するには、ローカルの Administrators グループのメンバーであるか、コンピューターのプライマリ ユーザーである必要があります。
- ユーザー以外: クライアント コンピューターにログオンしたユーザーは、ソフトウェア、ソフトウェア更新プログラム、およびタスク シーケンスのインストールを開始できません。 コンピューターに必要な展開は常に展開期限にインストールされ、ユーザーはアプリケーション カタログまたはソフトウェア センターからソフトウェアのインストールを開始することはできません。
[再起動時の BitLocker PIN の入力を一時停止する]コンピューターに BitLocker PIN の入力が構成されている場合、このオプションによって、ソフトウェアのインストール後にコンピューターを再起動するときに PIN 入力の要件をバイパスできます。

- 常時: Configuration Manager は、再起動が必要なソフトウェアをインストールしてコンピューターの再起動を開始した後で、コンピューターの次回起動時に PIN を入力する BitLocker 要件を一時停止します。 この設定は、Configuration Manager によって開始されるコンピューターの再起動にのみ適用され、ユーザーがコンピューターを再起動する場合は、BitLocker PIN の入力の要件は一時停止されません。 BitLocker PIN の入力要件は、Windows の起動後に再開されます。
- なし: Configuration Manager は、再起動が必要なソフトウェアをインストールした後で、コンピューターの次回起動時に PIN を入力する BitLocker 要件を一時停止しません。 この場合は、ユーザーが PIN を入力して標準の起動プロセスを完了し、Windows を読み込むまで、ソフトウェアのインストールを終了できません。
追加のソフトウェアでアプリケーションとソフトウェア更新プログラムの展開を管理しますこのオプションは、次の条件のいずれかが当てはまる場合のみ有効にします。

- この設定を有効にする必要があるベンダー ソリューションを使用している。
- Configuration Manager Software Development Kit (SDK) を使用して、クライアント エージェントの通知、アプリケーションのインストール、およびソフトウェア更新プログラムのインストールを管理している。 Warning: これらの条件のいずれも当てはまらない場合にこのオプションを選択すると、ソフトウェア更新プログラムおよび必要なアプリケーションがクライアントにインストールされなくなります。 この設定によって、ユーザーがアプリケーション カタログからアプリケーションをインストールできなくなったり、パッケージ、プログラム、およびタスク シーケンスをクライアント コンピューターにインストールできなくなるということはありません。
PowerShell 実行ポリシーConfiguration Manager クライアントで Windows PowerShell スクリプトを実行する方法を構成します。 これらのスクリプトは、構成項目でコンプライアンス設定を検出するときによく使用されますが、標準スクリプトとして展開に送信することもできます。

- バイパス: Configuration Manager クライアントは、署名されていないスクリプトを実行できるように、クライアント コンピューターの Windows PowerShell 構成をバイパスします。
- 制限済み: Configuration Manager クライアントは、クライアント コンピューターの現在の Windows PowerShell 構成を使用します。これにより、署名されていないスクリプトを実行できるかどうかが決定されます。
- すべて署名済み: Configuration Manager クライアントは、信頼された発行元によって署名されている場合にのみ、スクリプトを実行します。 この制限は、クライアント コンピューターの現在の Windows PowerShell 構成とは独立して適用されます。

このオプションには Windows PowerShell バージョン 2.0 以降が必要です。また、既定は [すべて署名済み] です。 Tip: このクライアント設定によって、未署名のスクリプトの実行が失敗する場合、Configuration Manager は、このエラーを次の方法でレポートします。
  • 展開ステータス エラーとして、エラー ID 0X87D00327 と「スクリプトに署名がありません」という説明を、Configuration Manager コンソールの [監視] ワークスペースに表示する。
  • エラーの種類「探索エラー」で、エラー コード「0X87D00327」と説明「スクリプトに署名がありません」、または、エラー コード「0X87D00320」と説明「スクリプトのホストがインストールされていません」を、「資産の構成基準に含まれる構成項目のエラーの詳細」などのレポートで通知する
  • Script is not signed (Error: 87D00327; Source: CCM) ファイルにメッセージ「DcmWmiProvider.log」を記録する
[期限のランダム化を無効にする]この設定は、期限に達したときに、必要なソフトウェア更新プログラムをインストールするためのアクティブ化の待機時間 (最大 2 時間) をクライアントで使用するかどうかを指定します。 既定では、アクティブ化の待機時間は無効です。

仮想デスクトップ インフラストラクチャ (VDI) シナリオでは、この待機時間により、Configuration Manager クライアントを実行する複数のバーチャル マシンを持つコンピューターの CPU 処理とデータ転送が分散されます。 VDI を使用しない場合でも、多くのクライアントで同時に同じ更新プログラムをインストールすると、サイト サーバーの CPU の使用率が増加し、配布ポイントの速度が低下して、使用可能なネットワーク帯域幅が大幅に減少します。

構成された期限に達したときに、待機時間なしで、必要なソフトウェア更新プログラムをインストールする必要がある場合、この設定で [はい] を選択します。

コンピューターの再起動

これらのコンピューター再起動設定を指定すると、再起動の一時的な通知の間隔の値および最終カウントダウンの間隔の値を、コンピューターに適用されている最短のメンテナンス ウィンドウよりも短くできます。

メンテナンス期間の詳細については、「System Center Configuration Manager でメンテナンス期間を使用する方法」を参照してください。

Endpoint Protection

設定の名前説明
クライアント コンピューターの Endpoint Protection クライアントを管理する階層内のコンピューター上の既存の Endpoint Protection クライアントを管理する必要がある場合は、[True] または [はい] を選択します。

このオプションは、Endpoint Protection クライアントを既にインストールしており、Configuration Manager によってクライアントを管理する必要がある場合に選択します。

また、このオプションは、既存のマルウェア対策ソリューションをアンインストールするスクリプトを作成し、Endpoint Protection クライアントをインストールして、Configuration Manager アプリケーションまたはパッケージとプログラムを使用してこのスクリプトを展開する必要がある場合にも使用します。
Endpoint Protection クライアントをクライアント コンピューターにインストールするEndpoint Protection クライアントがまだインストールされていないクライアント コンピューターにクライアントをインストールして有効にする場合は、[True] または [はい] を選択します。 Note: Endpoint Protection クライアントが既にインストールされている場合、[False] または [いいえ] を選択しても、Endpoint Protection クライアントはアンインストールされません。 Endpoint Protection クライアントをアンインストールするには、[クライアント コンピューターの Endpoint Protection クライアントを管理する] クライアント設定を、[False] または [いいえ] に設定し、Endpoint Protection クライアントをアンインストールするためのパッケージとプログラムを展開します。
Endpoint Protection をインストールする前に、インストールされているマルウェア対策ソフトウェアを自動的に削除する[True] または [はい] を選択すると、既存のマルウェア対策ソフトウェアのアンインストールが試行されます。 Note:  Endpoint Protection は、次のマルウェア対策ソフトウェアのみをアンインストールしようとします。
  • Symantec AntiVirus Corporate Edition バージョン 10
  • Symantec Endpoint Protection バージョン 11
  • Symantec Endpoint Protection Small Business Edition バージョン 12
  • McAfee VirusScan Enterprise バージョン 8
  • Trend Micro OfficeScan
  • Microsoft Forefront コードネーム Stirling Beta 2
  • Microsoft Forefront コードネーム Stirling Beta 3
  • Microsoft Forefront Client Security v1
  • Microsoft Security Essentials v1
  • Microsoft Security Essentials 2010
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Security Center Online v1
 

コンピューターに Endpoint Protection クライアントをインストールする際、既存のマルウェア対策ソリューションのアンインストールがサポートされていない場合は、Endpoint Protection クライアントのインストールは失敗します。 この場合、アプリケーション管理を使用して既存のマルウェア対策ソリューションをアンインストールしてから Endpoint Protection クライアントをインストールした上で、[クライアント コンピューターの Endpoint Protection クライアントを管理する] クライアント設定を使用して、新しくインストールされた Endpoint Protection クライアントを Configuration Manager に管理させることができます。
[書き込みフィルターのある Windows Embedded デバイスに対し、Endpoint Protection クライアントのインストールをコミットする (再起動が必要)]Windows Embedded デバイスの書き込みフィルターを無効にして、デバイスを再起動するには、[はい] を選択します。 これにより、デバイスのインストールがコミットされます。

[いいえ] を指定すると、クライアントは一時オーバーレイにインストールされ、デバイスが再起動されるときに消去されます。 このシナリオでは、別のインストールによってデバイスに変更がコミットされない限り、Endpoint Protection クライアントはコミットされません。 これは、既定の設定です。
Endpoint Protection クライアントのインストール後に必要なコンピューターの再起動を抑制するEndpoint Protection クライアントをインストールした後にコンピューターの再起動を抑制する必要がある場合は、[True] または [はい] を選択します。 Important: Endpoint Protection クライアントでコンピューターの再起動が必要であり、この設定が [False] に構成されている場合は、構成されているメンテナンス ウィンドウに関係なく再起動が行われます。
Endpoint Protection のインストールを完了するために必要な再起動をユーザーが一定の時間延期できるようにする (時間単位)Endpoint Protection クライアントのインストール後にコンピューターの再起動が必要な場合に、ユーザーが再起動を延期できる時間を指定します。 このオプションを構成できるのは、[Endpoint Protection クライアントのインストール後に必要なコンピューターの再起動を抑制する] オプションが [False] に設定されている場合のみです。
[クライアント コンピューター上で定義ファイルを初めて更新する場合は、代替ソース (Microsoft Windows Update、Microsoft Windows Server Update Services、UNC 共有など) を無効にする]Configuration Manager に初期定義の更新プログラムのみをクライアント コンピューターにインストールさせる場合は、[True] または [はい] を選択します。 この設定は、定義ファイルの初回更新時に、不要なネットワーク接続を避けてネットワーク帯域幅を削減するのに役立ちます。

ハードウェア インベントリ

設定の名前説明
カスタム MIF ファイルの最大サイズ (KB)ハードウェア インベントリ サイクル中にクライアントから収集される各カスタムの各管理情報フォーマット (MIF) ファイルに対して許容される最大サイズをキロバイト (KB) 単位で指定します。 MIF ファイルがこのサイズを超える場合、その MIF ファイルは Configuration Manager ハードウェア インベントリで処理されません。 1 ~ 5,000 KB のサイズを指定できます。 既定では、この値は 250 KB に設定されます。 この設定は、通常のハードウェア インベントリ データ ファイルのサイズには影響しません。 Note: この設定は、既定のクライアント設定でのみ使用できます。
ハードウェア インベントリ クラスConfiguration Manager では、sms_def.mof ファイルを手動で編集することなく、クライアントから収集するハードウェア情報を拡張できます。Configuration Manager ハードウェア インベントリを拡張する場合は、[クラスの設定] をクリックします。 詳細については、「System Center Configuration Manager でのハードウェア インベントリの拡張方法」をご覧ください。
MIF ファイルを収集するハードウェア インベントリの実行時に Configuration Manager クライアントから管理情報フォーマット MIF ファイルを収集するかどうかを指定するには、この設定を使用します。

MIF ファイルをハードウェア インベントリで収集するためには、クライアント コンピューター上の正しい場所に MIF ファイルを配置する必要があります。 既定では、ファイルは次の場所にあります。

- IDMIF ファイルは Windows\System32\CCM\Inventory\Idmif フォルダーに配置する必要があります。
- NOIDMIF ファイルは Windows\System32\CCM\Inventory\Noidmif フォルダーに配置する必要があります。 Note: この設定は、既定のクライアント設定でのみ使用できます。

従量制インターネット接続

Windows 8 クライアント コンピューターが従量制のインターネット接続を使用している場合に、Configuration Manager サイトと通信する方法を管理できます。 インターネット プロバイダーは、従量制インターネット接続を使用しているときに送受信したデータ量に基づいて課金することがあります。

System_CAPS_ICON_note.jpg メモ


構成したクライアント設定は、次のシナリオでは Windows 8 クライアント コンピューターに適用されません。

  • コンピューターがローミング データ接続を使用している場合: Configuration Manager クライアントは、Configuration Manager サイトへのデータ転送が必要な操作を実行しません。
  • Windows ネットワーク接続のプロパティが従量制以外に構成されている場合: Configuration Manager クライアントは、従量制以外のインターネット接続を使用しているものとして動作し、Configuration Manager サイトにデータを転送します。
設定の名前説明
従量制ネットワーク接続でのクライアントの通信方法ドロップダウン リストを使用して、Windows 8 クライアント コンピューター用に次から 1 つ選択します。

 
  • 許可: クライアント デバイスがローミング データ接続を使用していない場合、従量制インターネット接続でのすべてのクライアント通信を許可します。
  • 制限: 従量制インターネット接続で、次のクライアント通信のみを許可します。

     
    • クライアント ポリシーの取得
    • クライアント状態メッセージのサイトへの送信
    • アプリケーション カタログを使用したソフトウェアインストール要求
    • 必要な展開 (インストールの期限に達した場合)
     Important: ユーザーがソフトウェア センターまたはアプリケーション カタログからソフトウェアのインストールを開始する場合、従量制インターネット接続の設定に関係なく、常に通信を許可します。

    従量制インターネット接続のデータ転送の制限に達した場合、クライアントはそれ以上 Configuration Manager サイトとの通信を試行しません。
  • ブロック: Configuration Manager クライアントは、従量制インターネット接続を使用している場合に、Configuration Manager サイトとの通信を試行しません。 これは既定値です。

電源管理

設定名説明
ユーザーがデバイスを電源管理対象から外せるようにするソフトウェア センターのユーザーが、構成済みの電源管理設定から自分のコンピューターを除外できるようにするには、ドロップダウン リストから、[True] または [はい] を選択します。
[ウェイクアップ プロキシを有効にする]サイトでユニキャスト パケットが構成されている場合に、サイトの Wake On LAN 設定を補足するには、[はい] を指定します。

ウェイクアップ プロキシの詳細については、「Planning How to Wake Up Clients in System Center Configuration Manager」を参照してください。 Warning: テスト環境でウェイクアップ プロキシがどのように動作するかを理解するまで、実稼動環境でウェイクアップ プロキシを有効にしないでください。
[ウェイクアップ プロキシのポート番号 (UDP)]管理コンピューターが、スリープ中のコンピューターにウェイクアップ パケットを送信するときに使用するポート番号の既定値をそのまま使用するか、数値を選択した値に変更します。

[ウェイクアップ プロキシ用の Windows ファイアウォールの例外です。] オプションを構成すると、ここで指定したポート番号は、Windows ファイアウォールを実行するクライアントで自動的に構成されます。 クライアントで別のファイアウォールを実行している場合、この設定で指定した UDP ポート番号を許可するように手動で構成する必要があります。
[Wake On LAN ポート番号 (UDP)]サイトの [プロパティ] の [ポート] タブで Wake On LAN (UDP) ポート番号を変更していない場合は、既定値の「9」をそのまま使用してください。 Important: この数値は、サイトの [プロパティ] の数値と一致する必要があります。 一方でこの数値を変更した場合、もう一方では自動的に更新されません。

リモート ツール

設定名説明
クライアントのリモート コントロールを有効にする

 ファイアウォール例外プロファイル
これらのクライアント設定を受け取るすべてのクライアント コンピューターで Configuration Manager リモート コントロールを有効にするかどうかを選択します。 リモート コントロールを有効にして、必要に応じてクライアント コンピューターでリモート コントロールが機能するようにファイアウォール設定を構成するには、[構成] をクリックします。 Important: ファイアウォール設定が構成されていないと、リモート コントロールが正しく機能しない可能性があります。 Note: 既定では、リモート コントロールは無効になっています。
ユーザーはソフトウェア センターでポリシー設定または通知設定を変更できるユーザーがソフトウェア センター内からリモート コントロール オプションを変更できるかどうかを選択します。
無人のコンピューターのリモート コントロールを許可するログオフまたはロックされているクライアント コンピューターに、管理者がリモート コントロールを使用してアクセスできるかどうかを選択します。 この設定が無効になっている場合、ログオンされ、ロックが解除されているコンピューターのみリモート コントロールできます。
リモート コントロールのアクセス許可をユーザーに要求するリモート コントロール セッションを許可する前に、クライアント コンピューターにユーザーの許可を確認するメッセージを表示するかどうかを選択します。
ローカルの Administrators グループにリモート コントロール権限を付与するクライアント コンピューターへのリモート コントロール セッションを、リモート コントロール接続を開始するサーバーのローカル管理者が確立できるかどうかを選択します。
許容アクセス レベル許可するリモート コントロール アクセスのレベルを指定します。 次の項目から選択できます。

- フル コントロール
- 表示のみ
- なし
セッションを表示できるユーザー[ユーザーの設定] をクリックして [クライアント設定の構成] ダイアログ ボックスを開き、クライアント コンピューターとのリモート コントロール セッションを確立できる Windows ユーザーの名前を指定します。
タスクバーにセッション通知アイコンを表示するクライアント コンピューターのタスクバーにリモート コントロール セッションがアクティブであることを示すアイコンを表示するには、このオプションを選択します。
セッション接続バーを表示するクライアント コンピューターにリモート コントロール セッションがアクティブであることを示すセッション接続バーを表示するには、このオプションを選択します。
クライアントで音を鳴らす音を使用してクライアント コンピューターでリモート コントロール セッションがアクティブであることを示すには、このオプションを使用します。 セッションが接続または切断されたときに音を鳴らしたり、セッション中に繰り返し音を鳴らすことができます。
[要請されていないリモート アシスタンス設定を管理する]このオプションを選択すると、Configuration Manager が要請されていないリモート アシスタンス セッションを管理します。

要請されていないリモート アシスタンス セッションとは、クライアント コンピューターのユーザーがセッションを開始するアシスタンスを要求しないセッションです。
[要請されたリモート アシスタンス設定を管理する]このオプションを選択すると、Configuration Manager が要請されたリモート アシスタンス セッションを管理します。

要請されたリモート アシスタンス セッションとは、クライアント コンピューターのユーザーが管理者にリモート アシスタンスを要求を送信するセッションです。
[リモート アシスタンスのアクセス レベル]Configuration Manager コンソールで開始されるリモート アシスタンス セッションに割り当てるアクセス レベルを選択します。 Note: クライアント コンピューターのユーザーは、リモート アシスタンス セッションが実行されるときに常にアクセス許可を付与する必要があります。
リモート デスクトップ設定の管理このオプションを選択すると、Configuration Manager がコンピューターのリモート デスクトップ セッションを管理します。
[セッションを表示できるユーザーにリモート デスクトップ接続を許可する]このオプションを選択すると、アクセス許可の一覧で指定されているユーザーが、クライアント コンピューターのリモート デスクトップ ローカル ユーザー グループに追加されます。
[Windows Vista 以降のバージョンのオペレーティング システムが実行されているコンピューターではネットワーク レベルの認証を必要とする]ネットワーク レベルの認証を使用して、Windows Vista 以降を実行するクライアント コンピューターにリモート デスクトップ接続を確立する場合は、このより安全なオプションを選択します。 ネットワーク レベルの認証は、リモート デスクトップ接続を確立する前にユーザー認証を完了するため、最初に必要なリモート コンピューター リソースが少なくてすみます。 この方法は、悪意のあるユーザーやソフトウェアからコンピューターを保護するのに役立つため、より安全であり、サービス拒否攻撃からのリスクを軽減します。

ソフトウェアの展開

設定の名前説明
展開の再評価スケジュールを指定するすべての展開に関して、Configuration Manager によって要件の規則を再評価するスケジュールを構成します。 既定値は 7 日間ごとです。 Important: ネットワークとクライアント コンピューターのパフォーマンスが低下する可能性があるため、この値を既定値よりも小さい値に変更しないことをお勧めします。

この操作は、Configuration Manager クライアント コンピューターから開始することもできます。それには、コントロール パネルの [Configuration Manager] の [アクション] タブで、[アプリケーション展開の評価サイクル] アクションを選択します。

ソフトウェア インベントリ

設定の名前説明
[インベントリ レポートの詳細]インベントリに対するファイル情報のレベルを指定します。 ファイルのみの詳細、ファイルに関連付けられた製品の詳細、またはファイルの情報すべてをインベントリすることができます。
[これらのファイルの種類をインベントリ対象とする]インベントリに対するファイルの種類を指定する場合、[種類の設定] をクリックして、[クライアント設定の構成] ダイアログ ボックスの次の項目を構成します。 Note: 複数のカスタムのクライアント設定がコンピューターに適用されている場合は、各設定に戻されるインベントリは結合されます。

- [新規] アイコンをクリックしてインベントリするファイルの種類を新規に追加し、[インベントリされるファイルのプロパティ] ダイアログ ボックスで次の情報を指定します。
- [名前] – インベントリするファイルの名前を指定します。 任意の文字列の代わりに「*」、任意の 1 文字の代わりに「?」を使用できます。 たとえば、拡張子 .doc を持つすべてのファイルをインベントリするには、ファイル名「*.doc」を指定します。
- [場所] – [設定] をクリックして [パスのプロパティ] ダイアログ ボックスを開きます。 ソフトウェア インベントリは、すべてのクライアントのハード ディスクで、特定のファイル、特定のパス (たとえば、C:\Folder) または特定の変数 (たとえば、%windir%) を検索するように構成することも、さらに特定のパスにあるすべてのサブフォルダーでも検索するように構成することもできます。
- [暗号化または圧縮されたファイルを除く] – このオプションをオンにすると、圧縮されたり暗号化されたりしたファイルはインベントリされません。
- [Windows フォルダー内のファイルは除く] – このオプションをオンにすると、Windows フォルダーおよびそのサブフォルダー内のファイルはインベントリされません。
- [OK] をクリックして [インベントリされるファイルのプロパティ] ダイアログ ボックスを閉じます。
- インベントリするファイルをすべて追加し、[OK] をクリックして [クライアント設定の構成] ダイアログ ボックスを閉じます。
[ファイルの収集]クライアント コンピューターからファイルを収集するには、[ファイルの設定] をクリックして次を構成します。 Note: 複数のカスタムのクライアント設定がコンピューターに適用されている場合は、各設定に戻されるインベントリは結合されます。

- [クライアント設定の構成] ダイアログ ボックスで、[新規] アイコンをクリックして収集するファイルを追加します。
- [収集するファイルのプロパティ] ダイアログ ボックスで、次の情報を入力します。
- [名前] – 収集するファイルの名前を指定します。 任意の文字列の代わりに「*」、任意の 1 文字の代わりに「?」を使用できます。
- [場所] – [設定] をクリックして [パスのプロパティ] ダイアログ ボックスを開きます。 ソフトウェア インベントリは、すべてのクライアントのハード ディスクで、収集するファイル、特定のパス (たとえば、C:\Folder) または特定の変数 (たとえば、%windir%) を検索するように構成することも、さらに特定のパスにあるすべてのサブフォルダーでも検索するように構成することもできます。
- [暗号化または圧縮されたファイルを除く] – このオプションをオンにすると、圧縮されたり暗号化されたりしたファイルは収集されません。
- [ファイルの合計サイズが次のサイズ (KB) を超える場合はファイルの収集を停止する] – ファイルのサイズ (単位: KB) で指定すると、これを超えるサイズの [名前] で指定されたファイルは収集されません。 Note: サイト サーバーは、新しいものから 5 つまでの変更された収集ファイルを収集し、<ConfigMgr インストール ディレクトリ\Inboxes\Sinv.box\Filecol ディレクトリに保存します。 前回のソフトウェア インベントリが収集されてからファイルが変更されていない場合、ファイルは再収集されません。 20 MB より大きいファイルはソフトウェア インベントリでは収集されません。 [クライアント設定の構成] ダイアログ ボックスの [収集した全ファイルの最大サイズ (KB)] の値は、すべての収集されたファイルの最大サイズを示しています。 サイズがこの値に達すると、ファイルの収集は停止します。 既に収集されたファイルは保持され、サイト サーバーに送信されます。 Important: ソフトウェア インベントリをたくさんのサイズの大きなファイルを収集するよう構成すると、ネットワークとサイト サーバーのパフォーマンスに悪影響となる場合があります。
収集したファイルを表示する方法の詳細については、「System Center Configuration Manager でリソース エクスプローラーを使用してソフトウェア インベントリを表示する方法」を参照してください。
- [OK] をクリックして [収集するファイルのプロパティ] ダイアログ ボックスを閉じます。
- 収集するファイルをすべて追加し、[OK] をクリックして [クライアント設定の構成] ダイアログ ボックスを閉じます。
[名前の設定]ソフトウェア インベントリ時には、サイト内のクライアントにインストールされたファイルのヘッダー情報から製造元名と製品名が取得されます。 これらの名前はファイルのヘッダー情報内で常に標準化されているわけではないため、リソース エクスプローラーでソフトウェア インベントリ情報を表示するときや、クエリを実行するときに、同じ製造元名または製品名の異なるバージョンが表示される場合があります。 表示名を標準化するには、[名前の設定] をクリックして [クライアント設定の構成] ダイアログ ボックスの次の項目を構成します。

- 名前の種類: ソフトウェア インベントリは、製造元と製品の両方の情報を収集します。 ドロップダウン リストから、[製造元] と [製品] のどちらの表示名を構成するのかを選択します。
- 表示名: [インベントリされた名前] の一覧の名前部分で使用する表示名を指定します。 [新規] アイコンをクリックすると新しい表示名を指定できます。
- インベントリされた名前: - [新規] アイコンをクリックしてインベントリされる名前を新規で追加すると、ソフトウェア インベントリで [表示名] の一覧で選択された名前により置換されます。 置換する名前は複数追加することができます。

ソフトウェア更新プログラム

設定の名前説明
クライアントのソフトウェア更新プログラムを有効にするこの設定を使用して、Configuration Manager クライアント上のソフトウェア更新プログラムを有効にします。 この設定をオフにすると、Configuration Manager がクライアントから既存の展開ポリシーを削除します。 この設定を再度有効にすると、クライアントが現在の展開ポリシーをダウンロードします。 Important: この設定をクリアすると、ソフトウェア更新プログラム デバイス設定に依存する NAP およびコンプライアンス設定ポリシーは、機能しなくなります。
ソフトウェア更新プログラムのスキャンのスケジュールこの設定を使用して、クライアントがソフトウェア更新プログラムの対応評価スキャンを開始する頻度を指定します。 対応評価スキャンでは、クライアント上のソフトウェア更新プログラムのステータスを判別します (必要、インストール済みなど)。 コンプライアンス対応評価の詳細については、「ソフトウェア更新プログラムのコンプライアンス対応評価」を参照してください。

既定では、簡易スケジュールが使用され、対応スキャンが 7 日ごとに開始されます。 カスタム スケジュールを作成して具体的な開始日時を指定するように選択したり、UTC またはローカル時刻のいずれを使用するのかを選択したり、繰り返しの間隔を特定の曜日に構成したりできます。 Note: 1 日未満の間隔を指定すると、Configuration Manager によって自動的に既定の 1 日に設定されます。 Warning: クライアント コンピューターでの実際の開始時刻は、開始時刻に 2 時間までの任意の時間を加えた時刻です。 これにより、クライアント コンピューターがスキャンを開始すると同時にアクティブなソフトウェアの更新ポイント サーバーの Windows Server Update Services (WSUS) に接続するのを防止できます。
[展開の再評価のスケジュール]この設定を使用して、ソフトウェアの更新クライアント エージェントが Configuration Manager クライアント コンピューターでソフトウェア更新プログラムのインストール ステータスを再評価する頻度を構成します。 前にインストールされたソフトウェア更新プログラムがクライアント コンピューターに見つからず、引き続き必要である場合は、ソフトウェア更新プログラムがインストールされます。 展開の再評価スケジュールは、ソフトウェア更新プログラムの対応への会社のポリシー、ユーザーがソフトウェア更新プログラムをアンインストールできるかどうかなどに基づいて調整する必要があります。このとき、展開の再評価のサイクルそれぞれの結果が一部のネットワークおよびクライアント コンピューターの CPU アクティビティにつながることを考慮します。 既定では、簡易スケジュールが使用され、展開再評価スキャンが 7 日ごとに開始されます。 Note: 1 日未満の間隔を指定すると、Configuration Manager によって自動的に既定の 1 日に設定されます。
いすれかのソフトウェア更新プログラムが期限に達したときに、指定期間内に期限を迎える他のソフトウェア更新プログラムの展開をすべてインストールするこの設定を使用して、指定した期間内に期限を迎える、必須の展開に含まれるソフトウェア更新プログラムをすべてインストールします。 必須のソフトウェア更新プログラムの展開期限に達すると、展開に含まれているソフトウェア更新プログラムのインストールがクライアントで開始されます。 この設定で、指定期間内に期限が構成された、他の必須の展開に定義されているソフトウェア更新プログラムのインストールを開始するかどうかも指定します。

この設定を使用すると、必須のソフトウェア更新プログラムのインストールが促進され、セキュリティの向上、表示通知の減少、およびクライアント コンピューターのシステム再起動の減少が見込まれます。 既定では、この設定は無効になっています。
保留中の展開の期限が指定した期間内の場合は、これらの展開もすべてインストールするこの設定を使用して、以前の設定に期間を指定します。 1 ~ 23 時間および 1 ~ 365 日の値を入力できます。 この設定の既定値は、7 日間です。

ユーザーとデバイスのアフィニティ

設定の名前説明
ユーザーとデバイスのアフィニティ使用状況のしきい値 (分)ユーザー デバイスのアフィニティ マッピングを Configuration Manager が作成するまでの時間 (分) を指定します。
ユーザーとデバイスのアフィニティ使用状況のしきい値 (日)使用状況に基づいたアフィニティのしきい値を測定する期間 (日) を指定します。 Note: たとえば、[ユーザーとデバイスのアフィニティ使用状況のしきい値 (分)] に [60] 分を指定し、[ユーザーとデバイスのアフィニティ使用状況のしきい値 (日)] に [5] 日を指定している場合、ユーザー デバイスのアフィニティを自動的に作成するためには、ユーザーは 5 日間に 60 分間デバイスを使用する必要があります。
使用状況データに基づいてユーザーとデバイスのアフィニティを自動構成する収集された使用状況情報に基づいて Configuration Manager がユーザーとデバイスのアフィニティを自動構成できるようにする場合は、[True] または [はい] を選択します。

クライアントのユーザー設定の詳細については、次のセクションを参照してください。

モバイル デバイス

設定の名前説明
モバイル デバイス登録プロファイルこの設定を構成するには、その前に、モバイル デバイス ユーザー設定 [ユーザーがモバイル デバイスを登録できるようにする] を [True] に設定する必要があります。 次に、[プロファイルの設定] をクリックして、登録プロセス中に使用する証明書テンプレートに関する情報が含まれる登録プロファイル、登録ポイントと登録プロキシ ポイントを含むサイト、および登録後にデバイスを管理するサイトを指定できます。 Important: このオプションを構成する前に、モバイル デバイスの登録に使用する証明書テンプレートを構成していることを確認してください。

登録

設定の名前説明
モバイル デバイス登録プロファイルこの設定を構成する前に、まずユーザー設定 [ユーザーがモバイル デバイスと Mac コンピューターを登録できるようにする] を [はい] に設定する必要があります。 次に、[プロファイルの設定] をクリックして、登録プロセス中に使用する証明書テンプレートに関する情報が含まれる登録プロファイル、登録ポイントと登録プロキシ ポイントを含むサイト、および登録後にデバイスを管理するサイトを指定できます。 Important: このオプションを構成する前に、モバイル デバイスの登録または Mac クライアント証明書の登録に使用する証明書テンプレートを構成しておきます。

ユーザーとデバイスのアフィニティ

設定の名前説明
ユーザーがプライマリ デバイスを定義できるようにするアプリケーション カタログの [デバイス] タブからユーザーが自身のプライマリ デバイスを特定できるようにするかどうかを指定します。

System Center Configuration Manager のクライアント管理のテクニカル リファレンス

表示: