none
管理ポイントのサポート台数と管理者権限に関しまして。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    いつも参考にさせていただいております。

    管理ポイントのサポート台数ついて、
    スタンドアロンプライマリサイトでは合計175000台サポート可能ですが(※詳細は割愛いたします)、
    管理ポイントでは25000台がサポート可能と記載されております。
    例1の場合、少なくとも別途1台の管理ポイント用のサーバーが必要の認識です。
    この場合、管理ポイントのサーバーは、
    拠点(大阪、福岡)からデータセンターへの通信負荷等はどのような観点で考慮するものなのでしょうか。
    配布ポイントであれば帯域や回線等の考慮が必要ですが、
    管理ポイントも拠点に配置可能であればそのようにした方が良いのでしょうか。

    それとも、管理ポイントであれば特に考慮する必要はないのでしょうか。
    <例1>
    ・管理対象端末50000台(デスクトップ30000台、ノート20000台)
    ・東京のデータセンターに全てのMECM(SCCM)サーバーを構築
    ・東京に20000台、大阪に15000台、福岡に15000台

    <参考URL>
    https://docs.microsoft.com/ja-jp/mem/configmgr/core/plan-design/configs/size-and-scale-numbers#management-points


    手元に検証環境が無く、大変恐縮です。
    MECMの管理者権限の設定についてです。
    例2の場合、以下の管理者権限設定は可能なのでしょうか。
    不可の場合は、それに近い設定があれば合わせてご教示いただけないでしょうか。
    ・セカンダリサイトの管理者にBドメインユーザーを指定
    ・管理者はセカンダリサイトのAドメイン端末(デバイス一覧等)を見ることができない
     (※ドメインAに関するもの全て)
    <例2>
    ・スタンドアロンプライマリサイト/セカンダリサイト構成
    ・マルチドメイン環境(Aドメイン/Bドメイン)
    ・AドメインとBドメインは信頼関係無し
    ・プライマリサイトは管理対象Aドメイン、セカンダリサイトは管理対象A/Bドメイン

    セキュリティロール、セキュリティスコープ、コレクション管理者設定に慣れておらず、
    ご質問に至ります。
    要はセカンダリサイト単位且つ所属ドメイン単位で設定可能かどうかとなります。
    管理対象ドメインが複数の場合や、
    セカンダリサイトにドメインの違うユーザーが居る場合に向けての仕様確認となります。

    <参考URL>
    https://docs.microsoft.com/ja-jp/mem/configmgr/core/understand/fundamentals-of-role-based-administration

    何卒お力添えいただきたく存じます。
    以上、よろしくお願いいたします。

    2020年11月20日 3:37
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    管理ポイント

    管理端末と管理ポイント間の通信は、ポリシー同期、ハードウェアインベントリ、ソフトウェアインベントリ、ソフトウェア利用状況の測定、クライアント通知などの多岐に渡りますが、それぞれの通信は管理端末と配布ポイント間の通信(コンテンツのダウンロード)と比較すると通信量が少ないので、小規模な環境であれば考慮される事すら無い場合もあります。

     

    ただ、ネットワーク帯域が十分でない、各機能のサイクルが極端に短い、例1の様な大規模な環境などの場合は、管理ポイントやソフトウェア更新ポイントについてもネットワーク帯域を考慮した上で構成を設計する事が多いでしょう。(個人的な経験上の話ですが)

    その場合、各機能において以下の様な数値を算出するか仮定した上で通信量を見積もります。

     

    1サイクルあたりの通信量

    1サイクルあたりの頻度

    ・端末台数

     

    これら管理ポイントの通信と、配布ポイントやソフトウェア更新ポイントについても通信量を見積もった結果、ネットワーク帯域が十分に確保できない場合は、大規模な拠点への管理ポイント設置は視野に入れた方が良いでしょう。あくまで仮の話でネットワーク帯域や構成にもよりますが、私であれば例1の東京・大阪・福岡の規模なら拠点内に管理ポイント・配布ポイント・ソフトウェア更新ポイントなどの設置を検討します。(各拠点の帯域が低速ならセカンダリサイトも検討する必要があるでしょう)

     

    管理スコープ

    まず最初に申し上げると、その様にセキュリティな権限や範囲を分けたい様な要件の場合は、以下にある通り中央管理サイトを構成した上で複数の子プライマリサイトを用意し、プライマリサイト毎にロール・スコープ・コレクションのセキュリティ設定を分離する事が必要な必要な理解です。(セカンダリサイトはあくまでプライマリサイトの延長線上です)

    https://docs.microsoft.com/ja-jp/mem/configmgr/core/plan-design/hierarchy/design-a-hierarchy-of-sites#determine-when-to-use-a-central-administration-site

     

    ただ、例え中央管理サイト+子プライマリサイトの構成にしたとしても、質問で記載された様にサイト内で管理範囲を分離するといった事はできません。一応、Aドメイン/Bドメイン毎にコレクションを作成し、既定のコレクションも含めて読み取り権限を制御すれば見た目上は実現できなくは無いかもしれませんが、完全な管理者の権限などを付与していると新たなコレクション作成やコレクションのセキュリティ権限の変更ができてしまうので、意味が有りません。

     

    ちなみに「セカンダリサイトの管理者にBドメインユーザーを指定」については、MECMサーバーを構築するドメインがどちらなのか分かりませんが、AドメインとBドメインの間に信頼関係が無いのなら、異なるドメインのユーザーにMECMの権限を割り当てる事はできない認識です。(仮にMECMをAドメインに構築するなら、信頼関係の無いBドメインのユーザーにMECMの権限は割り当てられない)

     

     

    • 回答としてマーク aimar10 2020年11月25日 7:37
    2020年11月20日 14:36
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    管理ポイント

    管理端末と管理ポイント間の通信は、ポリシー同期、ハードウェアインベントリ、ソフトウェアインベントリ、ソフトウェア利用状況の測定、クライアント通知などの多岐に渡りますが、それぞれの通信は管理端末と配布ポイント間の通信(コンテンツのダウンロード)と比較すると通信量が少ないので、小規模な環境であれば考慮される事すら無い場合もあります。

     

    ただ、ネットワーク帯域が十分でない、各機能のサイクルが極端に短い、例1の様な大規模な環境などの場合は、管理ポイントやソフトウェア更新ポイントについてもネットワーク帯域を考慮した上で構成を設計する事が多いでしょう。(個人的な経験上の話ですが)

    その場合、各機能において以下の様な数値を算出するか仮定した上で通信量を見積もります。

     

    1サイクルあたりの通信量

    1サイクルあたりの頻度

    ・端末台数

     

    これら管理ポイントの通信と、配布ポイントやソフトウェア更新ポイントについても通信量を見積もった結果、ネットワーク帯域が十分に確保できない場合は、大規模な拠点への管理ポイント設置は視野に入れた方が良いでしょう。あくまで仮の話でネットワーク帯域や構成にもよりますが、私であれば例1の東京・大阪・福岡の規模なら拠点内に管理ポイント・配布ポイント・ソフトウェア更新ポイントなどの設置を検討します。(各拠点の帯域が低速ならセカンダリサイトも検討する必要があるでしょう)

     

    管理スコープ

    まず最初に申し上げると、その様にセキュリティな権限や範囲を分けたい様な要件の場合は、以下にある通り中央管理サイトを構成した上で複数の子プライマリサイトを用意し、プライマリサイト毎にロール・スコープ・コレクションのセキュリティ設定を分離する事が必要な必要な理解です。(セカンダリサイトはあくまでプライマリサイトの延長線上です)

    https://docs.microsoft.com/ja-jp/mem/configmgr/core/plan-design/hierarchy/design-a-hierarchy-of-sites#determine-when-to-use-a-central-administration-site

     

    ただ、例え中央管理サイト+子プライマリサイトの構成にしたとしても、質問で記載された様にサイト内で管理範囲を分離するといった事はできません。一応、Aドメイン/Bドメイン毎にコレクションを作成し、既定のコレクションも含めて読み取り権限を制御すれば見た目上は実現できなくは無いかもしれませんが、完全な管理者の権限などを付与していると新たなコレクション作成やコレクションのセキュリティ権限の変更ができてしまうので、意味が有りません。

     

    ちなみに「セカンダリサイトの管理者にBドメインユーザーを指定」については、MECMサーバーを構築するドメインがどちらなのか分かりませんが、AドメインとBドメインの間に信頼関係が無いのなら、異なるドメインのユーザーにMECMの権限を割り当てる事はできない認識です。(仮にMECMをAドメインに構築するなら、信頼関係の無いBドメインのユーザーにMECMの権限は割り当てられない)

     

     

    • 回答としてマーク aimar10 2020年11月25日 7:37
    2020年11月20日 14:36
    |
  • Question
    サインインして投票
    0
    サインインして投票
    Lapivy 様

    お礼が遅れて申し訳ございません。

    詳細なご返答大変ありがとうございます。
    ある程度同様なことを考えておりましたので、理解度が上がりました。

    こちらの簡略な返答で大変恐縮ですが、
    ご対応ありがとうございました。
    2020年11月25日 7:37
    |