検出済みデバイスのプッシュ登録の準備

検出された Windows デバイスのプッシュ登録を開始する前に、デバイスで管理者権限を有効にして、一部のファイアウォール設定を変更する必要があります。
こうしたタスクは、プッシュ登録を使用してデバイスをリモート登録するためだけに必要となります。これらの変更は後で取り消すことができますが、別のリモート登録を実行する場合、もう一度適用する必要があります。
管理外 Windows デバイスのリモート登録準備タスク
ステップ
処理
ステップ 1
管理外デバイスで管理者権限を有効にします。
Windows ユーザ アカウント制御(UAC)は、ローカル管理者アカウントによる C$ や Admin$ などのリモート管理共有へのリモート アクセスを遮断します。この共有は、最新の更新がインストールされているすべての Windows オペレーティングシステムで無効になります。
管理外 Windows デバイスで管理共有(
デバイス名
\admin$)を有効にするには、レジストリの値を作成する必要があります。
管理外デバイスが Active Directory ドメインの一部である場合、リモート登録ではドメイン管理者アカウントの資格情報を使用する必要があります。これに該当しない場合、登録する管理外の各デバイスで管理者の資格情報が利用できるようにしてください。
ステップ 2
ファイアウォール設定を変更し、コンポーネント間の通信を許可します。
リモート デバイスを登録してコンポーネント間の通信を有効にするには、以下のポートに対してファイアウォールの除外を設定する必要があります。
通信ポート
プロトコルとポート番号
使用目的
リスナープロセス
TCP/IP: 445
ネットワークログオン
システム
TCP/IP: 139
UDP: 137、138
ファイル共有
システム
TCP/IP: 135
リモートタスク管理サービス
svchost.exe
TCP/IP 範囲: 49154-65535
リモートタスク管理サービス
services.exe
広範囲の TCP/IP ポートを開かないようにするには、このポート範囲を減らします。ただし、リモート プロシージャ コール(RPC)ポートのデフォルト数を制限し、Active Directory GPO ポリシーに 3 つのレジストリ値を追加する操作も必要になります。
レジストリ値について詳しくは次の Microsoft 社の記事を参照してください。
管理外デバイスが Active Directory ドメインの一部である場合、前述の準備手順を実行するために Active Directory グループ ポリシー オブジェクト(GPO)を使用できます。
  1. Active Directory GPO を使用して検出済みデバイスのプッシュ登録を準備する方法
  2. レジストリ キーを設定します。
    1. グループ ポリシー オブジェクト エディタで、
      [ユーザー設定] > [Windows の設定] > [レジストリ]
      に移動します。
    2. 新しいレジストリ項目を追加します。
      管理外 Windows デバイスで管理共有(
      デバイス名
      \admin$)を有効にするには、レジストリの値を作成する必要があります。
      • キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
      • 値: LocalAccountTokenFilterPolicy, value 1, type DWORD32
      GPO ポリシーでのレジストリキーの設定について詳しくは、次の Microsoft 社の記事を参照してください。
  3. ファイアウォールの例外を作成します。
    1. グループ ポリシー オブジェクト エディタで、
      [セキュリティの設定] > [セキュリティが強化された Windows ファイアウォール]
      に移動します。
    2. 上の表に示されているポートについて、ファイアウォール除外ルールを作成します。
      GPO ポリシーでのファイアウォールの例外の作成について詳しくは、以下の Microsoft の記事を参照してください。