【1】
"MECM管理下とならず(アイコンがインストール済未オンラインの緑ランプ)" が具体的にどの様な状態にあるのか読み取れませんが、取り合えず境界が未設定だからといって管理ポイントに全くアクセスできない訳では無く、少なくともサイトの既定の管理ポイントにはアクセスするはずです。(インストールのオプションが適切である前提)
インストールが正常に完了していない、またはクライアント登録やサイト割り当てのプロセスに問題がある事が疑われる場合は、クライアント側の以下のログを確認頂くと良いでしょう。
Ccmsetup.log
ClientIDManagerStartup.log
【2】
以下の PowerShell コマンドの事でしょうか?
Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}
であれば、認識の通り CMG を指定するポリシーを確認するためのコマンドですので、エージェントのインストールに問題が有るなどで CMG ポリシーを受け取っていない場合は何も表示されないものと思われます。
インターネット上のクライアントに CMG を使用してエージェントをインストールする方法については以下を確認して下さい。Hybrid Azure AD Joinとの事ですので、ccmsetup.exe を実行するときに、 /mp パラメーターを使用して CMG の URL を指定する方法が取れるかと思います。
https://docs.microsoft.com/ja-jp/mem/configmgr/core/clients/manage/cmg/configure-clients#install-off-premises-clients-using-a-cmg
【3】
MECMクライアントにより、管理ポイントや配布ポイントの検出が行われる際に送信されるネットワーク構成に関する情報を基に自動作成している様に読み取れますので、MECMクライアントがインストールされているデバイスでないと自動作成はされないものと思われます。
どのVPNで利用可能かについては分かりませんが、動作としては VPN の仮想 NIC の情報を基にVPN用の境界を作成・判別する様なので、VPN により仮想 NIC が作成され、それが MECM 側で判別できるなら可能だと思われます。
Lapivy 様 詳細なご返答、心より感謝いたします。 内容に関しては、ひとつひとつ検証させていただきます。 お礼が短文で恐縮ですが、ご対応ありがとうございました。
