Intune移行のネットワーク課題を解決!Microsoft Connected Cacheの仕組みと導入メリットを解説

Intune/Autopilot
Intune移行のネットワーク課題を解決!Microsoft Connected Cacheの仕組みと導入メリットを解説

株式会社アーザスの中島です。

最近Windows PCの管理基盤をMicrosoft Configuration Manager(MCM)からIntuneへ移行したいというご要望をいただく機会が増えています。

Intuneはクラウドベースのデバイス管理サービスであり、インターネット経由でWindows UpdateやMicrosoft 365 Appsなどを配信できることが大きなメリットです。一方で、日本企業ではこれまでオンプレミス環境を前提としたシステム構成が多く採用されてきました。

そのため、Intuneへ移行すると、

・Windows Updateのダウンロード通信量が増える
・拠点のインターネット回線へ負荷が集中する
・同じ更新プログラムを各PCが何度もMicrosoft CDNから取得してしまう

といった課題が発生するケースがあります。

もちろんネットワーク側でローカルブレイクアウト(LBO)させるという選択肢もありますが、既存環境を活用したいときに役立つのが Microsoft Connected Cache(MCC) です。

MCCは、オンプレミス環境にキャッシュサーバーを設置し、一度ダウンロードした更新プログラムを社内で再利用する仕組みです。これにより、インターネット回線の負荷を大幅に削減しながら、Intune環境でも効率的な更新プログラム配信を実現できます。

今回は、オンプレミス環境を活用したMCCの導入手順をご紹介します。

導入の前に

まずは、MCCがどのような役割を担うのかを簡単に整理してみましょう。

Configuration Manager(MCM)の場合

従来のMCMでは、更新プログラムは一度配布ポイント(Distribution Point:DP)へダウンロードされ、その後、社内PCへ配信されます。

MCMの場合

そのため、インターネットから同じ更新プログラムを何度も取得することはなく、社内ネットワークを利用した効率的な配信が可能でした。

Intuneの場合

一方、Intuneでは更新プログラム自体を保持するサーバーは存在しません。各クライアントがMicrosoft CDNから直接ダウンロードを行います。

Intuneの場合

数十台程度であれば大きな問題にならないケースもありますが、数百台から数千台規模になると、各端末が同じ更新プログラムをインターネットから取得するため、回線負荷が大きくなる可能性があります。

MCCを導入すると

MCCを導入すると、一度ダウンロードした更新プログラムを社内にキャッシュし、他のクライアントはそのキャッシュを利用してダウンロードできるようになります。

MCCの場合

これにより、

  • インターネット通信量の削減
  • 拠点回線への負荷軽減
  • ダウンロード時間の短縮

といった効果が期待できます。

オンプレミス環境のメリットを活かしながら、Intuneによるクラウド管理を実現できることが、Microsoft Connected Cacheの大きな特徴です。

導入前提

今回は、Configuration Managerの配布ポイント(Distribution Point)を利用してMCCを構成する方法を紹介します。

なお、Microsoft Connected CacheはAzure上に専用サーバーを構築する構成も利用できますが、本記事では既存のオンプレミス資産を有効活用する構成を前提としています。

① Configuration ManagerとIntuneの共同管理

オンプレミスの配布ポイントをMicrosoft Connected Cacheとして利用する場合は、Configuration ManagerとIntuneの共同管理(Co-management)が構成されていることが前提となります。

共同管理

共同管理を構成することで、Windows Updateなどのコンテンツ配信をIntune側で制御しながら、社内ではMCCを利用したキャッシュ配信を行えるようになります。

② 配布ポイントでMicrosoft Connected Cacheを有効化

Configuration Managerコンソールから対象の配布ポイントを開きます。

[管理] → [配布ポイント] → [プロパティ] → [全般]

以下の設定を有効化します。

「この配布ポイントをMicrosoft Connected Cacheサーバーとして使用する」

この設定を有効にすると、配布ポイントがMicrosoft Connected Cacheとして動作します。

③ 配信の最適化(Delivery Optimization)の構成

続いて、クライアントがMCCを利用できるようDelivery Optimizationを構成します。設定内容は以下の3点です。

  • Delivery Optimizationのクライアントポリシーを有効にする
  • 境界グループで「この境界グループでのピアダウンロードを許可する」を有効化する
  • 必要に応じてダウンロードモードなどのポリシーを設定する

これらの設定によって、クライアントはMicrosoft CDNではなく、社内のMicrosoft Connected Cacheを優先的に利用できるようになります。

④ ネットワーク設定

Microsoft Connected Cacheを利用するためには、ネットワーク側でもいくつかの設定が必要です。以下の通信を許可する必要があります。

  • Microsoft Connected CacheサーバーからMicrosoft CDNへのHTTPS通信(TCP 443)
  • クライアントからMCCサーバーへのHTTP通信(既定ではTCP 80)
  • 名前解決(DNS)が正常に行えること

また、配布ポイント側で許可が必要なURLは以下のとおりです。

許可すべきURL

  • windowsupdate.com
  • dl.delivery.mp.microsoft.com
  • officecdn.microsoft.com
  • cdn.office.net
  • manage.microsoft.com
  • do.dsp.mp.microsoft.com
  • azure-devices.net
  • global.azure-devices-provisioning.net
  • azurecr.io
  • blob.core.windows.net
  • mcr.microsoft.com
  • github.com
  • packages.microsoft.com

まとめ

Microsoft Connected Cacheを導入することで、Intune環境でも社内ネットワークを有効活用しながらWindows UpdateやMicrosoft 365 Appsなどのコンテンツを効率よく配信できます。

特に、数百〜数千台規模のPCを管理する環境では、インターネット回線の負荷軽減やダウンロード時間の短縮といった効果が期待できます。

ただし、このMCCについてはまだ動作が不明瞭な部分もありますので、次回は社内で実施した検証内容をまとめて公開したいと思います。

次回もお楽しみに!