Plánování zabezpečení v Configuration ManagerPlan for security in Configuration Manager

Platí pro: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Tento článek popisuje koncepty, které byste měli vzít v úvahu při plánování zabezpečení pomocí implementace Configuration Manager.This article describes the concepts for you to consider when planning for security with your Configuration Manager implementation. Obsahuje následující oddíly:It includes the following sections:

Plánování certifikátů (podepsaných svým držitelem a PKI)Plan for certificates (self-signed and PKI)

Configuration Manager používá kombinaci certifikátů podepsaných svým držitelem a certifikátů infrastruktury veřejných klíčů (PKI).Configuration Manager uses a combination of self-signed certificates and public key infrastructure (PKI) certificates.

Pokud je to možné, používejte certifikáty PKI.Use PKI certificates whenever possible. Další informace najdete v tématu požadavky na certifikát PKI.For more information, see PKI certificate requirements. Pokud Configuration Manager vyžádá certifikáty PKI během zápisu pro mobilní zařízení, musíte použít Active Directory Domain Services a certifikační autoritu organizace.When Configuration Manager requests PKI certificates during enrollment for mobile devices, you must use Active Directory Domain Services and an enterprise certification authority. Pro všechny ostatní certifikáty PKI je nasaďte a spravujte nezávisle na Configuration Manager.For all other PKI certificates, deploy and manage them independently from Configuration Manager.

Certifikáty PKI jsou požadovány, když se klientské počítače připojují k internetovým systémům lokality.PKI certificates are required when client computers connect to internet-based site systems. Některé scénáře s bránou pro správu cloudu a distribučním bodem cloudu také vyžadují certifikáty PKI.Some scenarios with the cloud management gateway and cloud distribution point also require PKI certificates. Další informace najdete v tématu Správa klientů na internetu.For more information, see Manage clients on the internet.

Pokud používáte infrastrukturu veřejných klíčů (PKI), můžete také pomocí protokolu IPsec zvýšit zabezpečení komunikace mezi servery mezi systémy lokality v lokalitě, mezi lokalitami a dalšími přenosy dat mezi počítači.When you use a PKI, you can also use IPsec to help secure the server-to-server communication between site systems in a site, between sites, and for other data transfer between computers. Implementace protokolu IPsec je nezávislá na Configuration Manager.Implementation of IPsec is independent from Configuration Manager.

Pokud nejsou certifikáty PKI k dispozici, Configuration Manager automaticky vygeneruje certifikáty podepsané svým držitelem.When PKI certificates aren't available, Configuration Manager automatically generates self-signed certificates. Některé certifikáty v Configuration Manager jsou vždy podepsané svým držitelem.Some certificates in Configuration Manager are always self-signed. Ve většině případů Configuration Manager automaticky spravuje certifikáty podepsané svým držitelem a vy nemusíte provádět žádné další akce.In most cases, Configuration Manager automatically manages the self-signed certificates, and you don't have to take additional action. Jedním z příkladů je podpisový certifikát serveru lokality.One example is the site server signing certificate. Tento certifikát je vždy podepsaný svým držitelem.This certificate is always self-signed. Ujistěte se, že zásady, které klienti stahují z bodu správy, byly odeslány ze serveru lokality a nebylo v něm manipulováno.It makes sure that the policies that clients download from the management point were sent from the site server and weren't tampered with.

Kryptografie: certifikáty nové generace (CNG)Cryptography: Next Generation (CNG) certificates

Configuration Manager podporuje certifikáty kryptografie: Next Generation (CNG).Configuration Manager supports Cryptography: Next Generation (CNG) certificates. Klienti služby Configuration Manager můžou používat certifikát ověřování klientů PKI s privátním klíčem v CNG (klíč úložiště klíčů).Configuration Manager clients can use PKI client authentication certificate with private key in CNG Key Storage Provider (KSP). S podporou KSP Configuration Manager klienti podporují privátní klíč založený na hardwaru, jako je například KSP čipu TPM pro certifikáty ověřování klientů PKI.With KSP support, Configuration Manager clients support hardware-based private key, such as TPM KSP for PKI client authentication certificates. Další informace najdete v tématu Přehled certifikátů CNG.For more information, see CNG certificates overview.

Vylepšený protokol HTTPEnhanced HTTP

Pro všechny Configuration Manager komunikačních cest se doporučuje používat komunikaci přes protokol HTTPS, ale u některých zákazníků je to náročné, protože se jedná o režii při správě certifikátů PKI.Using HTTPS communication is recommended for all Configuration Manager communication paths, but is challenging for some customers due to the overhead of managing PKI certificates. Zavedení integrace služby Azure Active Directory (Azure AD) omezuje některé, ale ne všechny požadavky na certifikáty.The introduction of Azure Active Directory (Azure AD) integration reduces some but not all of the certificate requirements. Počínaje verzí 1806 můžete povolit, aby lokalita používala Rozšířený protokol HTTP.Starting in version 1806, you can enable the site to use Enhanced HTTP. Tato konfigurace podporuje protokol HTTPS v systémech lokality pomocí kombinace certifikátů podepsaných svým držitelem a Azure AD.This configuration supports HTTPS on site systems by using a combination of self-signed certificates and Azure AD. Nevyžaduje infrastrukturu veřejných klíčů.It doesn't require PKI. Další informace najdete v tématu Rozšířená http.For more information, see Enhanced HTTP.

Certifikáty pro CMG a CDPCertificates for CMG and CDP

Správa klientů na internetu prostřednictvím brány pro správu cloudu (CMG) a distribučního bodu cloudu (CDP) vyžaduje použití certifikátů.Managing clients on the internet via the cloud management gateway (CMG) and cloud distribution point (CDP) requires the use of certificates. Počet a typ certifikátů se liší v závislosti na konkrétních scénářích.The number and type of certificates varies depending upon your specific scenarios. Další informace najdete v následujících článcích:For more information, see the following articles:

Plánování podpisového certifikátu serveru lokality (podepsaného svým držitelem)Plan for the site server signing certificate (self-signed)

Klienti mohou bezpečně získat kopii podpisového certifikátu serveru lokality z Active Directory Domain Services a z nabízené instalace klienta.Clients can securely get a copy of the site server signing certificate from Active Directory Domain Services and from client push installation. Pokud klienti nemůžou kopii tohoto certifikátu získat pomocí některého z těchto mechanismů, nainstalujte ho při instalaci klienta.If clients can't get a copy of this certificate by one of these mechanisms, install it when you install the client. Tento postup je zvlášť důležitý, pokud je první komunikace klienta s lokalitou v internetovém bodě správy.This process is especially important if the client's first communication with the site is with an internet-based management point. Vzhledem k tomu, že tento server je připojený k nedůvěryhodné síti, je zranitelnější vůči útokům.Because this server is connected to an untrusted network, it's more vulnerable to attack. Pokud tento další krok neprovedete, klienti automaticky stáhnou kopii podpisového certifikátu serveru lokality z bodu správy.If you don't take this additional step, clients automatically download a copy of the site server signing certificate from the management point.

Klienti nemohou bezpečně získat kopii certifikátu serveru lokality v následujících scénářích:Clients can't securely get a copy of the site server certificate in the following scenarios:

  • Klienta nenainstalujete pomocí klientské nabízené instalace a:You don't install the client by using client push, and:

    • Nerozšířili jste schéma služby Active Directory pro Configuration Manager.You haven't extended the Active Directory schema for Configuration Manager.

    • Nepublikovali jste lokalitu klienta na Active Directory Domain Services.You haven't published the client's site to Active Directory Domain Services.

    • Klient pochází z nedůvěryhodné doménové struktury nebo pracovní skupiny.The client is from an untrusted forest or a workgroup.

  • Používáte internetovou správu klientů a nainstalujete klienta nástroje, pokud je připojen k Internetu.You're using internet-based client management and you install the client when it's on the internet.

Pro instalaci klientů s kopií podpisového certifikátu serveru lokalityTo install clients with a copy of the site server signing certificate

  1. Vyhledejte podpisový certifikát serveru lokality na serveru primární lokality.Locate the site server signing certificate on the primary site server. Certifikát je uložen v úložišti certifikátů SMS systému Windows.The certificate is stored in the SMS certificate store of Windows. Má název subjektu Server lokality a popisný název, podpisový certifikát serveru lokality.It has the Subject name Site Server and the friendly name, Site Server Signing Certificate.

  2. Exportujte certifikát bez privátního klíče, bezpečně soubor uložte a přistoupit k němu jenom z zabezpečeného kanálu.Export the certificate without the private key, store the file securely, and access it only from a secured channel.

  3. Nainstalujte klienta pomocí následující vlastnosti Client. msi: SMSSIGNCERT=<full path and file name>Install the client by using the following client.msi property: SMSSIGNCERT=<full path and file name>

Plánování odvolání certifikátu PKIPlan for PKI certificate revocation

Pokud používáte certifikáty PKI s Configuration Manager, naplánujte použití seznamu odvolaných certifikátů (CRL).When you use PKI certificates with Configuration Manager, plan for use of a certificate revocation list (CRL). Zařízení používají seznam CRL k ověření certifikátu na připojujícím se počítači.Devices use the CRL to verify the certificate on the connecting computer. Seznam odvolaných certifikátů je soubor, který certifikační autorita (CA) vytváří a podepisuje.The CRL is a file that a certificate authority (CA) creates and signs. Obsahuje seznam certifikátů, které certifikační autorita vystavila, ale odvolala.It has a list of certificates that the CA has issued but revoked. Když správce certifikátů odvolá certifikáty, jeho kryptografický otisk se přidá do seznamu CRL.When a certificate administrator revokes certificates, its thumbprint is added to the CRL. Například pokud je vydaný certifikát známý nebo je podezřelý z ohrožení.For example, if an issued certificate is known or suspected to be compromised.

Důležité

Vzhledem k tomu, že umístění seznamu CRL se přidá k certifikátu, když ho CA vystavuje, nezapomeňte naplánovat seznam CRL, než nasadíte jakékoli certifikáty PKI, které Configuration Manager používá.Because the location of the CRL is added to a certificate when a CA issues it, ensure that you plan for the CRL before you deploy any PKI certificates that Configuration Manager uses.

Služba IIS vždycky kontroluje seznam CRL pro klientské certifikáty a tuto konfiguraci nemůžete změnit v Configuration Manager.IIS always checks the CRL for client certificates, and you can't change this configuration in Configuration Manager. Ve výchozím nastavení klienti Configuration Manager vždycky kontrolují seznam CRL pro systémy lokalit.By default, Configuration Manager clients always check the CRL for site systems. Toto nastavení zakažte zadáním vlastnosti lokality a zadáním vlastnosti CCMSetup.Disable this setting by specifying a site property and by specifying a CCMSetup property.

Počítače, které používají kontrolu odvolání certifikátů, ale nemůžou najít seznam CRL, jako by byly odvolány všechny certifikáty v certifikačním řetězci.Computers that use certificate revocation checking but can't locate the CRL behave as if all certificates in the certification chain are revoked. Důvodem tohoto chování je skutečnost, že nemůžou ověřit, jestli se certifikáty nacházejí v seznamu odvolaných certifikátů.This behavior is due to the fact that they can't verify if the certificates are in the certificate revocation list. V tomto scénáři selžou všechna připojení, která vyžadují certifikáty a zahrnují kontrolu CRL.In this scenario, all connections fail that require certificates and include CRL checking. Při ověřování, že je váš seznam odvolaných certifikátů přístupný, můžete přejít na jeho umístění HTTP, takže je důležité si uvědomit, že Configuration Manager klient běží jako místní systém.When validating that your CRL is accessible by browsing to its http location, it is important to note that the Configuration Manager client runs as LOCAL SYSTEM. Proto může být testování dostupnosti seznamu CRL s webovým prohlížečem spuštěným v uživatelském kontextu úspěšné, ale při pokusu o vytvoření připojení HTTP ke stejné adrese URL seznamu CRL z důvodu interního řešení webového filtrování může dojít k zablokování účtu počítače.Therefore, testing CRL accessibility with a web browser running under user context may succeed, however the computer account may be blocked when attempting to make an http connection to the same CRL URL due to the internal web filtering solution. V této situaci může být nutné v případě, že je povolená adresa URL seznamu CRL u všech řešení pro filtrování webu.Whitelisting the CRL URL on any web filtering solutions may be necessary in this situation.

Kontrola seznamu CRL při každém použití certifikátu nabízí lepší zabezpečení před použitím odvolaného certifikátu.Checking the CRL every time that a certificate is used offers more security against using a certificate that's revoked. I když se v klientovi zavádí zpoždění připojení a další zpracování.Although it introduces a connection delay and additional processing on the client. Vaše organizace může vyžadovat tuto dodatečnou kontrolu zabezpečení pro klienty na internetu nebo v nedůvěryhodné síti.Your organization may require this additional security check for clients on the internet or an untrusted network.

Než se rozhodnete, jestli Configuration Manager klienti musí kontrolovat seznam CRL, obraťte se na správce infrastruktury veřejných klíčů.Consult your PKI administrators before you decide whether Configuration Manager clients must check the CRL. Pak zvažte zachování této možnosti povolené v Configuration Manager, pokud jsou splněné obě následující podmínky:Then consider keeping this option enabled in Configuration Manager when both of the following conditions are true:

  • Vaše infrastruktura PKI podporuje seznam CRL a je publikována tam, kde ji všichni Configuration Manager klienti můžou najít.Your PKI infrastructure supports a CRL, and it's published where all Configuration Manager clients can locate it. Tito klienti můžou zahrnovat zařízení na internetu a ty v nedůvěryhodných doménových strukturách.These clients might include devices on the internet, and ones in untrusted forests.

  • Požadavek na kontrolu seznamu odvolaných certifikátů pro každé připojení k systému lokality, který je nakonfigurován pro použití certifikátu PKI, je větší než následující požadavky:The requirement to check the CRL for each connection to a site system that's configured to use a PKI certificate is greater than the following requirements:

    • Rychlejší připojeníFaster connections
    • Efektivní zpracování na klientoviEfficient processing on the client
    • Riziko, že se klienti nedaří připojit k serverům, pokud se seznam CRL nedá najítThe risk of clients failing to connect to servers if the CRL cannot be located

Plánování důvěryhodných kořenových certifikátů PKI a seznamu vystavitelů certifikátůPlan for the PKI trusted root certificates and the certificate issuers list

Pokud vaše systémy lokality IIS používají klientské certifikáty PKI pro ověřování klientů prostřednictvím protokolu HTTP nebo pro ověřování klientů a šifrování prostřednictvím protokolu HTTPS, bude pravděpodobně nutné importovat certifikáty kořenové certifikační autority jako vlastnost lokality.If your IIS site systems use PKI client certificates for client authentication over HTTP, or for client authentication and encryption over HTTPS, you might have to import root CA certificates as a site property. Tady jsou dva scénáře:Here are the two scenarios:

  • Operační systémy nasazujete pomocí Configuration Manager a body správy přijímají pouze připojení klientů přes protokol HTTPS.You deploy operating systems by using Configuration Manager, and the management points only accept HTTPS client connections.

  • Použijete klientské certifikáty PKI, které neřetězují k kořenovému certifikátu, ke kterému mají body správy vztah důvěryhodnosti.You use PKI client certificates that don't chain to a root certificate that the management points trust.

    Poznámka

    Když vydáte klientské certifikáty PKI ze stejné hierarchie certifikační autority, která vydává certifikáty serveru, které používáte pro body správy, nemusíte tento certifikát od kořenové certifikační autority zadávat.When you issue client PKI certificates from the same CA hierarchy that issues the server certificates that you use for management points, you don't have to specify this root CA certificate. Pokud však používáte více hierarchií certifikačních autorit a nejste si jisti, zda vzájemně důvěřují, importujte kořenovou certifikační autoritu pro hierarchii certifikačních autorit klientů.However, if you use multiple CA hierarchies and you aren't sure whether they trust each other, import the root CA for the clients' CA hierarchy.

Pokud je nutné importovat certifikáty kořenové certifikační autority pro Configuration Manager, exportujte je z vydávající certifikační autority nebo z klientského počítače.If you must import root CA certificates for Configuration Manager, export them from the issuing CA or from the client computer. Pokud exportujete certifikát z vydávající certifikační autority, která je také kořenovou certifikační autoritou, ujistěte se, že neexportujete privátní klíč.If you export the certificate from the issuing CA that's also the root CA, make sure you don't export the private key. Uložte exportovaný soubor certifikátu do zabezpečeného umístění, aby nedocházelo k manipulaci.Store the exported certificate file in a secure location to prevent tampering. Při nastavování lokality potřebujete přístup k souboru.You need access to the file when you set up the site. Pokud přistupujete k souboru přes síť, ujistěte se, že komunikace je chráněná před manipulací pomocí protokolu IPsec.If you access the file over the network, make sure the communication is protected from tampering by using IPsec.

Pokud se obnoví jakýkoli certifikát kořenové certifikační autority, který importujete, musíte importovat obnovený certifikát.If any root CA certificate that you import is renewed, you must import the renewed certificate.

Tyto importované certifikáty kořenové certifikační autority a certifikát kořenové certifikační autority každého bodu správy vytvoří seznam vystavitelů certifikátů, který Configuration Manager počítače používat následujícími způsoby:These imported root CA certificates and the root CA certificate of each management point create the certificate issuers list that Configuration Manager computers use in the following ways:

  • Když se klienti připojují k bodům správy, bod správy ověří, že je klientský certifikát zřetězený do důvěryhodného kořenového certifikátu v seznamu vystavitelů certifikátů lokality.When clients connect to management points, the management point verifies that the client certificate is chained to a trusted root certificate in the site's certificate issuers list. Pokud tomu tak není, certifikát je odmítnut a připojení PKI se nezdařilo.If it doesn't, the certificate is rejected, and the PKI connection fails.

  • Když klienti vyberou certifikát PKI a mají seznam vystavitelů certifikátů, vyberou certifikát, který je zřetězený s důvěryhodným kořenovým certifikátem v seznamu vystavitelů certifikátů.When clients select a PKI certificate and have a certificate issuers list, they select a certificate that chains to a trusted root certificate in the certificate issuers list. Pokud se neshodují, klient nevybere certifikát PKI.If there's no match, the client doesn't select a PKI certificate. Další informace najdete v tématu plánování výběru klientského certifikátu PKI.For more information, see Plan for PKI client certificate selection.

Plánování výběru klientského certifikátu PKIPlan for PKI client certificate selection

Pokud vaše systémy lokality IIS používají klientské certifikáty PKI pro ověřování klientů prostřednictvím protokolu HTTP nebo pro ověřování klientů a šifrování prostřednictvím protokolu HTTPS, Naplánujte způsob, jakým klienti Windows vyberou certifikát, který se má použít pro Configuration Manager.If your IIS site systems use PKI client certificates for client authentication over HTTP or for client authentication and encryption over HTTPS, plan for how Windows clients select the certificate to use for Configuration Manager.

Poznámka

Některá zařízení nepodporují metodu výběru certifikátu.Some devices don't support a certificate selection method. Místo toho automaticky vyberou první certifikát, který splňuje požadavky na certifikát.Instead, they automatically select the first certificate that fulfills the certificate requirements. Například klienti na počítačích Mac a mobilních zařízeních nepodporují metodu výběru certifikátu.For example, clients on Mac computers and mobile devices don't support a certificate selection method.

V mnoha případech je výchozí konfigurace a chování dostačující.In many cases, the default configuration and behavior is sufficient. Klient Configuration Manager v počítačích se systémem Windows filtruje více certifikátů pomocí těchto kritérií v tomto pořadí:The Configuration Manager client on Windows computers filters multiple certificates by using these criteria in this order:

  1. Seznam vydavatelů certifikátů: certifikát řetězí ke kořenové certifikační autoritě, která je pro bod správy důvěryhodná.The certificate issuers list: The certificate chains to a root CA that's trusted by the management point.

  2. Certifikát se nachází ve výchozím úložišti certifikátů nazvaném Osobní.The certificate is in the default certificate store of Personal.

  3. Certifikát je platný, není odvolaný ani s prošlou platností.The certificate is valid, not revoked, and not expired. Při kontrole platnosti se taky ověří, jestli je privátní klíč přístupný.The validity check also verifies that the private key is accessible.

  4. Certifikát má schopnost ověřování klienta, nebo je vydaný pro název počítače.The certificate has client authentication capability, or it's issued to the computer name.

  5. Certifikát má nejdelší dobu platnosti.The certificate has the longest validity period.

Nakonfigurujte klienty tak, aby používali seznam vystavitelů certifikátů, a to pomocí následujících mechanismů:Configure clients to use the certificate issuers list by using the following mechanisms:

  • Publikujte ji pomocí Configuration Manager informací o lokalitě Active Directory Domain Services.Publish it with Configuration Manager site information to Active Directory Domain Services.

  • Nainstalujte klienty pomocí klientské nabízené instalace.Install clients by using client push.

  • Klienti ho stáhnou z bodu správy poté, co jsou úspěšně přiřazeni ke své lokalitě.Clients download it from the management point after they're successfully assigned to their site.

  • Zadejte v průběhu instalace klienta jako vlastnost CCMSetup Client. msi CCMCERTISSUERS.Specify it during client installation as a CCMSetup client.msi property of CCMCERTISSUERS.

Klienti, kteří nemají seznam vydavatelů certifikátů při první instalaci a ještě nejsou přiřazeni k lokalitě, tuto kontrolu přeskočí.Clients that don't have the certificate issuers list when they're first installed and aren't yet assigned to the site skip this check. Když klienti mají seznam vystavitelů certifikátů a nemají certifikát PKI, který je v seznamu vystavitelů certifikátů zřetězený s důvěryhodným kořenovým certifikátem, výběr certifikátu se nezdařil.When clients do have the certificate issuers list and don't have a PKI certificate that chains to a trusted root certificate in the certificate issuers list, certificate selection fails. Klienti nepokračují s dalšími kritérii výběru certifikátu.Clients don't continue with the other certificate selection criteria.

Ve většině případů klient Configuration Manager správně identifikuje jedinečný a vhodný certifikát PKI.In most cases, the Configuration Manager client correctly identifies a unique and appropriate PKI certificate. Pokud se však toto chování nejedná o tento případ, místo abyste vybrali certifikát na základě schopnosti ověřování klientů, můžete nastavit dvě alternativní metody výběru:However, when this behavior isn't the case, instead of selecting the certificate based on the client authentication capability, you can set up two alternative selection methods:

  • Částečná shoda řetězců v názvu předmětu certifikátu klienta.A partial string match on the client certificate subject name. Tato metoda rozlišuje nerozlišovat velká a malá písmena.This method is a case-insensitive match. To je vhodné, pokud používáte plně kvalifikovaný název domény (FQDN) počítače v poli subjekt a chcete, aby výběr certifikátu byl založen na příponě domény, například contoso.com.It's appropriate if you're using the fully qualified domain name (FQDN) of a computer in the subject field and want the certificate selection to be based on the domain suffix, for example contoso.com. Tuto metodu výběru však můžete použít k identifikaci libovolného řetězce sekvenčních znaků v názvu subjektu certifikátu, který rozlišuje certifikát od ostatních v úložišti certifikátů klienta.However, you can use this selection method to identify any string of sequential characters in the certificate subject name that differentiates the certificate from others in the client certificate store.

    Poznámka

    Nemůžete použít částečnou shodu řetězců s alternativním názvem subjektu (SAN) jako s nastavením lokality.You can't use the partial string match with the subject alternative name (SAN) as a site setting. I když můžete určit částečnou shodu řetězců pro síť SAN pomocí služby CCMSetup, bude tato vlastnost přepsána vlastnostmi lokality v následujících scénářích:Although you can specify a partial string match for the SAN by using CCMSetup, it'll be overwritten by the site properties in the following scenarios:

    • Klienti načtou informace o lokalitě publikované do Active Directory Domain Services.Clients retrieve site information that's published to Active Directory Domain Services.

      • Klienti jsou instalováni pomocí nabízené instalace klienta.Clients are installed by using client push installation.

      Částečnou shodu řetězců v síti SAN použijte, pouze když instalujete klienty ručně a pokud nezískávají informace o lokalitě z Active Directory Domain Services.Use a partial string match in the SAN only when you install clients manually and when they don't retrieve site information from Active Directory Domain Services. Tyto podmínky se vztahují například jenom na internetové klienty.For example, these conditions apply to internet-only clients.

  • Shoda s hodnotami atributu názvu předmětu certifikátu klienta nebo hodnotami atributu alternativní název subjektu (SAN).A match on the client certificate subject name attribute values or the subject alternative name (SAN) attribute values. Tato metoda je shodná s rozlišením velkých a malých písmen.This method is a case-sensitive match. Je vhodný, pokud používáte rozlišující název X500 nebo ekvivalentní identifikátory objektu (OID) v souladu s dokumentem RFC 3280 a chcete, aby výběr certifikátu byl založen na hodnotách atributů.It's appropriate if you're using an X500 distinguished name or equivalent object identifiers (OIDs) in compliance with RFC 3280, and you want the certificate selection to be based on the attribute values. Je možné určit pouze atributy a jejich hodnoty, které požadujete k jedinečné identifikaci nebo ověření certifikátu a odlišení certifikátu od jiných v úložišti certifikátů.You can specify only the attributes and their values that you require to uniquely identify or validate the certificate and differentiate the certificate from others in the certificate store.

Následující tabulka uvádí hodnoty atributů, které Configuration Manager podporuje pro kritéria výběru klientského certifikátu.The following table shows the attribute values that Configuration Manager supports for the client certificate selection criteria.

Atribut OIDOID Attribute Rozlišující název atributuDistinguished name attribute Definice atributuAttribute definition
0.9.2342.19200300.100.1.250.9.2342.19200300.100.1.25 DCDC Součást doményDomain component
1.2.840.113549.1.9.11.2.840.113549.1.9.1 E nebo e-mailE or E-mail E-mailová adresaEmail address
2.5.4.32.5.4.3 CNCN PříjmeníCommon name
2.5.4.42.5.4.4 SNSN Název předmětuSubject name
2.5.4.52.5.4.5 SERIALNUMBERSERIALNUMBER Sériové čísloSerial number
2.5.4.62.5.4.6 CC Kód zeměCountry code
2.5.4.72.5.4.7 LL LokalitaLocality
2.5.4.82.5.4.8 S nebo STS or ST Název státu nebo oblastiState or province name
2.5.4.92.5.4.9 STREETSTREET UliceStreet address
2.5.4.102.5.4.10 OO Název organizaceOrganization name
2.5.4.112.5.4.11 OUOU Organizační jednotkaOrganizational unit
2.5.4.122.5.4.12 T nebo TitleT or Title NázevTitle
2.5.4.422.5.4.42 G nebo GN nebo GivenNameG or GN or GivenName Křestní jménoGiven name
2.5.4.432.5.4.43 I nebo InitialsI or Initials IniciályInitials
2.5.29.172.5.29.17 (žádná hodnota)(no value) Alternativní název subjektuSubject Alternative Name

Pokud je po použití kritérií výběru použit více než jeden vhodný certifikát, můžete přepsat výchozí konfiguraci a vybrat certifikát s nejdelší dobou platnosti a místo toho určit, že není vybrán žádný certifikát.If more than one appropriate certificate is located after the selection criteria are applied, you can override the default configuration to select the certificate that has the longest validity period and instead, specify that no certificate is selected. V tomto scénáři klient nebude moci komunikovat se systémy lokality IIS pomocí certifikátu PKI.In this scenario, the client won't be able to communicate with IIS site systems with a PKI certificate. Klient pošle do přiřazeného záložního stavového bodu chybovou zprávu, která vás upozorní na selhání výběru certifikátu, abyste mohli změnit nebo Upřesnit kritéria výběru certifikátu.The client sends an error message to its assigned fallback status point to alert you to the certificate selection failure so that you can change or refine your certificate selection criteria. Chování klienta poté bude záviset na tom, že připojení, jež selhalo, bylo založeno na protokolu HTTPS nebo HTTP:The client behavior then depends on whether the failed connection was over HTTPS or HTTP:

  • Pokud selhalo připojení prostřednictvím protokolu HTTPS: klient se pokusí připojit přes protokol HTTP a použije certifikát klienta podepsaný svým držitelem.If the failed connection was over HTTPS: The client tries to connect over HTTP and uses the client self-signed certificate.

  • Pokud selhalo připojení prostřednictvím protokolu HTTP: klient se pokusí o připojení znovu přes protokol HTTP pomocí certifikátu klienta podepsaného svým držitelem.If the failed connection was over HTTP: The client tries to connect again over HTTP by using the self-signed client certificate.

Chcete-li identifikovat jedinečný klientský certifikát PKI, můžete také zadat vlastní úložiště jiné než výchozí osobní v úložišti počítače .To help identify a unique PKI client certificate, you can also specify a custom store other than the default of Personal in the Computer store. Toto úložiště je však třeba vytvořit nezávisle na Configuration Manager.However, you must create this store independently from Configuration Manager. Musíte být schopni nasadit certifikáty do tohoto vlastního úložiště a obnovit je před vypršením doby platnosti.You must be able to deploy certificates to this custom store and renew them before the validity period expires.

Další informace najdete v tématu Konfigurace nastavení pro klientské certifikáty PKI.For more information, see Configure settings for client PKI certificates.

Plánování strategie přechodu pro certifikáty PKI a internetovou správu klientůPlan a transition strategy for PKI certificates and internet-based client management

Flexibilní možnosti konfigurace v Configuration Manager umožňují postupně převádět klienty a lokalitu, aby používaly certifikáty PKI k zabezpečení koncových bodů klienta.The flexible configuration options in Configuration Manager let you gradually transition clients and the site to use PKI certificates to help secure client endpoints. Certifikáty PKI poskytují lepší zabezpečení a umožňují správu internetových klientů.PKI certificates provide better security and enable you to manage internet clients.

Z důvodu počtu možností konfigurace a voleb v Configuration Manager neexistuje žádný jediný způsob, jak převést lokalitu, aby všichni klienti používali připojení HTTPS.Because of the number of configuration options and choices in Configuration Manager, there's no single way to transition a site so that all clients use HTTPS connections. Je však možné provést následující kroky:However, you can follow these steps as guidance:

  1. Nainstalujte lokalitu Configuration Manager a nakonfigurujte ji tak, aby systémy lokality přijímaly připojení klientů přes protokol HTTPS a HTTP.Install the Configuration Manager site and configure it so that site systems accept client connections over HTTPS and HTTP.

  2. Nakonfigurujte kartu komunikace s klientským počítačem ve vlastnostech lokality tak, aby nastavení systému lokality byla http nebo https, a vyberte použít klientský certifikát PKI (schopnost ověřování klientů), pokud je k dispozici.Configure the Client Computer Communication tab in the site properties so that the Site System Settings is HTTP or HTTPS, and select Use PKI client certificate (client authentication capability) when available. Další informace najdete v tématu Konfigurace nastavení pro klientské certifikáty PKI.For more information, see Configure settings for client PKI certificates.

    Poznámka

    Počínaje verzí 1906 se tato karta nazývá zabezpečení komunikace.Starting in version 1906, this tab is called Communication Security.

  3. Proveďte zavedení PKI pro klientské certifikáty.Pilot a PKI rollout for client certificates. Ukázkové nasazení najdete v tématu Nasazení certifikátu klienta pro počítače se systémem Windows.For an example deployment, see Deploy the client certificate for Windows computers.

  4. Nainstalujte klienty pomocí metody nabízené instalace klienta.Install clients by using the client push installation method. Další informace najdete v tématu instalace klientů Configuration Manager pomocí klientské nabízené instalace.For more information, see the How to install Configuration Manager clients by using client push.

  5. Monitorujte nasazení a stav klienta pomocí sestav a informací v konzole Configuration Manager.Monitor client deployment and status by using the reports and information in the Configuration Manager console.

  6. Sledujte, kolik klientů používá certifikát klienta PKIm, zobrazením sloupce Certifikát klienta v pracovním prostoru Prostředky a kompatibilita v uzlu Zařízení .Track how many clients are using a client PKI certificate by viewing the Client Certificate column in the Assets and Compliance workspace, Devices node.

    Do počítačů lze také nasadit nástroj pro vyhodnocení připravenosti HTTPS Configuration Manager (cmHttpsReadiness. exe).You can also deploy the Configuration Manager HTTPS Readiness Assessment Tool (cmHttpsReadiness.exe) to computers. Pak můžete pomocí sestav zobrazit, kolik počítačů může používat klientský certifikát PKI s Configuration Manager.Then use the reports to view how many computers can use a client PKI certificate with Configuration Manager.

    Poznámka

    Při instalaci klienta Configuration Manager nainstaluje nástroj CMHttpsReadiness. exe do složky %windir%\CCM.When you install the Configuration Manager client, it installs the CMHttpsReadiness.exe tool in the %windir%\CCM folder. Při spuštění tohoto nástroje jsou k dispozici následující možnosti příkazového řádku:The following command-line options are available when you run this tool:

    • /Store:<name>: Tato možnost je stejná jako vlastnost Client. msi CCMCERTSTORE ./Store:<name>: This option is the same as the CCMCERTSTORE client.msi property

    • /Issuers:<list>: Tato možnost je stejná jako vlastnost Client. msi CCMCERTISSUERS ./Issuers:<list>: This option is the same as the CCMCERTISSUERS client.msi property

    • /Criteria:<criteria>: Tato možnost je stejná jako vlastnost Client. msi CCMCERTSEL ./Criteria:<criteria>: This option is the same as the CCMCERTSEL client.msi property

    • /SelectFirstCert: Tato možnost je stejná jako vlastnost Client. msi CCMFIRSTCERT ./SelectFirstCert: This option is the same as the CCMFIRSTCERT client.msi property

      Další informace najdete v tématu o vlastnostech instalace klienta.For more information, see About client installation properties.

  7. Pokud jste si jistí, že všichni klienti úspěšně používají svůj klientský certifikát PKI k ověřování prostřednictvím protokolu HTTP, postupujte podle těchto kroků:When you're confident that enough clients are successfully using their client PKI certificate for authentication over HTTP, follow these steps:

    1. Nasaďte certifikát PKI webového serveru na členský server, na kterém běží další bod správy pro lokalitu, a nakonfigurujte tento certifikát ve službě IIS.Deploy a PKI web server certificate to a member server that runs an additional management point for the site, and configure that certificate in IIS. Další informace najdete v tématu Nasazení certifikátu webového serveru pro systémy lokality, které spouštějí službu IIS.For more information, see Deploy the web server certificate for site systems that run IIS.

    2. Nainstalujte roli bodu správy na tomto serveru a nakonfigurujte možnost Připojení klientů ve vlastnostech bodu správy pro protokol HTTPS.Install the management point role on this server and configure the Client connections option in the management point properties for HTTPS.

  8. Monitorujte a ověřte, zda klienti, kteří mají certifikát PKI, používají nový bod správy pomocí protokolu HTTPS.Monitor and verify that clients that have a PKI certificate use the new management point by using HTTPS. K ověření můžete použít čítače protokolování nebo výkonu služby IIS.You can use IIS logging or performance counters to verify.

  9. Rekonfigurujte další role systému lokality pro použití připojení klienta prostřednictvím protokolu HTTPS.Reconfigure other site system roles to use HTTPS client connections. Chcete-li spravovat klienty na internetu, ujistěte se, že systémy lokality mají internetový plně kvalifikovaný název domény.If you want to manage clients on the internet, make sure that site systems have an internet FQDN. Nakonfigurujte jednotlivé body správy a distribuční body pro přijetí připojení klienta z Internetu.Configure individual management points and distribution points to accept client connections from the internet.

    Důležité

    Než nastavíte role systému lokality pro příjem připojení z Internetu, zkontrolujte informace o plánování a požadavky pro internetovou správu klientů.Before you set up site system roles to accept connections from the internet, review the planning information and prerequisites for internet-based client management. Další informace najdete v tématu komunikace mezi koncovými body.For more information, see Communications between endpoints.

  10. Rozšíříte zavedení certifikátu PKI pro klienty a systémy lokality, které spouští službu IIS.Extend the PKI certificate rollout for clients and for site systems that run IIS. V případě potřeby nastavte role systému lokality pro připojení klientů přes protokol HTTPS a připojení k Internetu.Set up the site system roles for HTTPS client connections and internet connections, as required.

  11. Nejvyšší zabezpečení: Pokud jste si jistí, že všichni klienti používají klientský certifikát PKI k ověřování a šifrování, změňte vlastnosti lokality tak, aby používaly pouze HTTPS.For the highest security: When you're confident that all clients are using a client PKI certificate for authentication and encryption, change the site properties to use HTTPS only.

    Tento plán nejdřív zavádí certifikáty PKI pro ověřování pouze přes protokol HTTP a pak pro ověřování a šifrování prostřednictvím protokolu HTTPS.This plan first introduces PKI certificates for authentication only over HTTP, and then for authentication and encryption over HTTPS. Když použijete tento plán k následnému zavedení těchto certifikátů, snížíte riziko, že se klienti stanou nespravovanými.When you follow this plan to gradually introduce these certificates, you reduce the risk that clients become unmanaged. Výhodou je také nejvyšší zabezpečení, které Configuration Manager podporuje.You'll also benefit from the highest security that Configuration Manager supports.

Plánování důvěryhodného kořenového klíčePlan for the trusted root key

Configuration Manager důvěryhodný kořenový klíč poskytuje mechanismus pro klienty Configuration Manager, aby ověřil systémy lokality patřící do jejich hierarchie.The Configuration Manager trusted root key provides a mechanism for Configuration Manager clients to verify site systems belong to their hierarchy. Každý server lokality generuje klíč pro výměnu lokalit, který slouží ke komunikaci s dalšími lokalitami.Every site server generates a site exchange key to communicate with other sites. Klíč pro výměnu lokality z lokality nejvyšší úrovně v hierarchii je označován jako důvěryhodný kořenový klíč.The site exchange key from the top-level site in the hierarchy is called the trusted root key.

Funkce důvěryhodného kořenového klíče v Configuration Manager se podobá kořenovému certifikátu v infrastruktuře veřejných klíčů.The function of the trusted root key in Configuration Manager resembles a root certificate in a public key infrastructure. Všechny položky podepsané soukromým klíčem důvěryhodného kořenového klíče jsou důvěryhodné i mimo hierarchii.Anything signed by the private key of the trusted root key is trusted further down the hierarchy. Klienti ukládají kopii důvěryhodného kořenového klíče lokality do oboru názvů služby Root\ccm\locationservices WMI.Clients store a copy of the site's trusted root key in the root\ccm\locationservices WMI namespace.

Lokalita například vystaví certifikát pro bod správy, který se podepisuje soukromým klíčem důvěryhodného kořenového klíče.For example, the site issues a certificate to the management point, which it signs with the private key of the trusted root key. Lokalita sdílí s klienty veřejný klíč jeho důvěryhodného kořenového klíče.The site shares with clients the public key of its trusted root key. Klienti pak mohou rozlišovat mezi body správy, které jsou v jejich hierarchii, a body správy, které nejsou v jejich hierarchii.Then clients can differentiate between management points that are in their hierarchy and management points that aren't in their hierarchy.

Klienti automaticky načtou veřejnou kopii důvěryhodného kořenového klíče pomocí dvou mechanismů:Clients automatically retrieve the public copy of the trusted root key by using two mechanisms:

  • Rozšíříte schéma služby Active Directory pro Configuration Manager a publikujete web do Active Directory Domain Services.You extend the Active Directory schema for Configuration Manager, and publish the site to Active Directory Domain Services. Klienti pak tyto informace o lokalitě načtou ze serveru globálního katalogu.Then clients retrieve this site information from a global catalog server. Další informace najdete v tématu Příprava služby Active Directory pro publikování lokality.For more information, see Prepare Active Directory for site publishing.

  • Když instalujete klienty pomocí metody nabízené instalace klienta.When you install clients using the client push installation method. Další informace najdete v tématu klientská nabízená instalace.For more information, see Client push installation.

Pokud klienti nemohou získat důvěryhodný kořenový klíč pomocí jednoho z těchto mechanismů, důvěřují důvěryhodnému kořenovému klíči, který je poskytován prvním bodem správy, se kterým komunikuje.If clients can't retrieve the trusted root key by using one of these mechanisms, they trust the trusted root key that's provided by the first management point that they communicate with. V tomto scénáři může být klient omylem přesměrován na bod správy útočníka, kde by získal zásady z podvodného bodu správy.In this scenario, a client might be misdirected to an attacker's management point where it would receive policy from the rogue management point. Tato akce vyžaduje sofistikovaného útočníka.This action requires a sophisticated attacker. Tento útok je omezený na krátkou dobu před tím, než klient získá důvěryhodný kořenový klíč z platného bodu správy.This attack is limited to the short time before the client retrieves the trusted root key from a valid management point. Chcete-li snížit toto riziko, že by útočník nasměroval klienty na podvodný bod správy, zajistěte klientům důvěryhodný kořenový klíč předem.To reduce this risk of an attacker misdirecting clients to a rogue management point, pre-provision the clients with the trusted root key.

Pomocí následujících postupů můžete předem zřídit a ověřit důvěryhodný kořenový klíč pro klienta Configuration Manager:Use the following procedures to pre-provision and verify the trusted root key for a Configuration Manager client:

Předem zřídit klienta s důvěryhodným kořenovým klíčem pomocí souboruPre-provision a client with the trusted root key by using a file

  1. Na serveru lokality otevřete v textovém editoru následující soubor: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Vyhledejte položku SMSPublicRootKey = .Locate the entry, SMSPublicRootKey=. Zkopírujte klíč z daného řádku a zavřete soubor bez jakýchkoli změn.Copy the key from that line, and close the file without any changes.

  3. Vytvořte nový textový soubor a vložte informace o klíči, které jste zkopírovali ze souboru mobileclient. tcf.Create a new text file, and paste the key information that you copied from the mobileclient.tcf file.

  4. Uložte soubor do umístění, kam k němu mají přístup všechny počítače, ale v případě, že je soubor bezpečný proti falšování.Save the file in a location where all computers can access it, but where the file is safe from tampering.

  5. Nainstalujte klienta pomocí libovolné metody instalace, která podporuje vlastnosti Client. msi.Install the client by using any installation method that accepts client.msi properties. Zadejte následující vlastnost: SMSROOTKEYPATH=<full path and file name>Specify the following property: SMSROOTKEYPATH=<full path and file name>

    Důležité

    Pokud během instalace klienta určíte důvěryhodný kořenový klíč, zadejte také kód lokality.When you specify the trusted root key during client installation, also specify the site code. Použijte následující vlastnost Client. msi: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Předem zřídit klienta s důvěryhodným kořenovým klíčem bez použití souboruPre-provision a client with the trusted root key without using a file

  1. Na serveru lokality otevřete v textovém editoru následující soubor: <Configuration Manager install directory>\bin\mobileclient.tcfOn the site server, open the following file in a text editor: <Configuration Manager install directory>\bin\mobileclient.tcf

  2. Vyhledejte položku SMSPublicRootKey = .Locate the entry, SMSPublicRootKey=. Zkopírujte klíč z daného řádku a zavřete soubor bez jakýchkoli změn.Copy the key from that line, and close the file without any changes.

  3. Nainstalujte klienta pomocí libovolné metody instalace, která podporuje vlastnosti Client. msi.Install the client by using any installation method that accepts client.msi properties. Zadejte následující vlastnost Client. msi: SMSPublicRootKey=<key>, kde <key> je řetězec, který jste zkopírovali z MobileClient. tcf.Specify the following client.msi property: SMSPublicRootKey=<key> where <key> is the string that you copied from mobileclient.tcf.

    Důležité

    Pokud během instalace klienta určíte důvěryhodný kořenový klíč, zadejte také kód lokality.When you specify the trusted root key during client installation, also specify the site code. Použijte následující vlastnost Client. msi: SMSSITECODE=<site code>Use the following client.msi property: SMSSITECODE=<site code>

Ověření důvěryhodného kořenového klíče na klientoviVerify the trusted root key on a client

  1. Otevřete konzolu Windows PowerShellu jako správce.Open a Windows PowerShell console as an administrator.

  2. Spusťte následující příkaz:Run the following command:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

Vrácený řetězec je důvěryhodný kořenový klíč.The returned string is the trusted root key. Ověřte, že se shoduje s hodnotou SMSPublicRootKey v souboru mobileclient. TCF na serveru lokality.Verify that it matches the SMSPublicRootKey value in the mobileclient.tcf file on the site server.

Odeberte nebo nahraďte důvěryhodný kořenový klíč.Remove or replace the trusted root key

Odeberte důvěryhodný kořenový klíč z klienta pomocí vlastnosti Client. msi, RESETKEYINFORMATION = true.Remove the trusted root key from a client by using the client.msi property, RESETKEYINFORMATION = TRUE.

Pokud chcete důvěryhodný kořenový klíč nahradit, přeinstalujte klienta společně s novým důvěryhodným kořenovým klíčem.To replace the trusted root key, reinstall the client together with the new trusted root key. Použijte například nabízenou klientské nabízení nebo určete vlastnost Client. msi SMSPublicRootKey.For example, use client push, or specify the client.msi property SMSPublicRootKey.

Další informace o těchto vlastnostech instalace najdete v tématu informace o parametrech instalace a vlastnostech klienta.For more information on these installation properties, see About client installation parameters and properties.

Plánování podepisování a šifrováníPlan for signing and encryption

Při použití certifikátů PKI pro veškerou komunikaci s klienty není nutné plánovat podepisování a šifrování, aby bylo možné zabezpečit komunikaci s daty klienta.When you use PKI certificates for all client communications, you don't have to plan for signing and encryption to help secure client data communication. Pokud nastavíte systémy lokality, které spouštějí službu IIS, aby umožňovaly připojení klienta prostřednictvím protokolu HTTP, rozhodněte se, jak zajistit zabezpečení komunikace klienta pro danou lokalitu.If you set up any site systems that run IIS to allow HTTP client connections, decide how to help secure the client communication for the site.

Aby bylo možné chránit data, která klienti odesílají do bodů správy, můžete požadovat, aby klienti podepsali data.To help protect the data that clients send to management points, you can require clients to sign the data. Pro podepisování můžete také vyžadovat algoritmus SHA-256.You can also require the SHA-256 algorithm for signing. Tato konfigurace je bezpečnější, ale nevyžaduje SHA-256, pokud ji všichni klienti nepodporují.This configuration is more secure, but don't require SHA-256 unless all clients support it. Mnohé operační systémy tento algoritmus nativně podporují, ale starší operační systémy můžou vyžadovat aktualizaci nebo opravu hotfix.Many operating systems natively support this algorithm, but older operating systems might require an update or hotfix.

I když podepisování pomáhá chránit data před manipulací, šifrování pomáhá chránit data před odhalením informací.While signing helps protect the data from tampering, encryption helps protect the data from information disclosure. Lze povolit šifrování 3DES pro data inventáře a stavové zprávy, které klienti odesílají do bodů správy.You can enable 3DES encryption for the inventory data and state messages that clients send to management points in the site. Pro podporu této možnosti není nutné instalovat žádné aktualizace do klientů.You don't have to install any updates on clients to support this option. Klienti a body správy vyžadují pro šifrování a dešifrování dodatečné využití procesoru.Clients and management points require additional CPU usage for encryption and decryption.

Další informace o tom, jak nakonfigurovat nastavení pro podepisování a šifrování, najdete v tématu Konfigurace podepisování a šifrování.For more information about how to configure the settings for signing and encryption, see Configure signing and encryption.

Plánování správy na základě rolíPlan for role-based administration

Další informace najdete v tématu základy správy na základě rolí.For more information, see Fundamentals of role-based administration.

Plánování Azure Active DirectoryPlan for Azure Active Directory

Configuration Manager se integruje s Azure Active Directory (Azure AD), aby mohl web a klienti používat moderní ověřování.Configuration Manager integrates with Azure Active Directory (Azure AD) to enable the site and clients to use modern authentication. Připojování webu pomocí Azure AD podporuje následující scénáře Configuration Manager:Onboarding your site with Azure AD supports the following Configuration Manager scenarios:

KlientClient

ServerServer

Další informace o připojení lokality ke službě Azure AD najdete v tématu Konfigurace služeb Azure.For more information on connecting your site to Azure AD, see Configure Azure services.

Další informace o Azure AD najdete v dokumentaci Azure Active Directory.For more information about Azure AD, see Azure Active Directory documentation.

Plánování ověřování poskytovatele služby SMSPlan for SMS Provider authentication

Počínaje verzí 1810 můžete určit minimální úroveň ověřování pro správce pro přístup k Configuration Manager lokalit.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Tato funkce vynutila správcům přihlášení k systému Windows s požadovanou úrovní.This feature enforces administrators to sign in to Windows with the required level. Platí pro všechny komponenty, které přistupují k poskytovateli serveru SMS.It applies to all components that access the SMS Provider. Například konzola Configuration Manager, metody sady SDK a rutiny prostředí Windows PowerShell.For example, the Configuration Manager console, SDK methods, and Windows PowerShell cmdlets.

Tato konfigurace je nastavení v rámci hierarchie.This configuration is a hierarchy-wide setting. Než toto nastavení změníte, ujistěte se, že se všichni správci Configuration Manager můžou přihlásit k Windows s požadovanou úrovní ověřování.Before you change this setting, make sure that all Configuration Manager administrators can sign in to Windows with the required authentication level.

K dispozici jsou následující úrovně:The following levels are available:

  • Ověřování systému Windows: vyžadovat ověřování pomocí přihlašovacích údajů domény služby Active Directory.Windows authentication: Require authentication with Active Directory domain credentials.

  • Ověřování certifikátu: vyžaduje ověření pomocí platného certifikátu, který vystavila důvěryhodná certifikační autorita PKI.Certificate authentication: Require authentication with a valid certificate that's issued by a trusted PKI certificate authority.

  • Ověřování ve Windows Hello pro firmy: vyžaduje ověřování pomocí silného dvojúrovňového ověřování, které je vázané na zařízení a používá BIOMETRIKA nebo PIN.Windows Hello for Business authentication: Require authentication with strong two-factor authentication that's tied to a device and uses biometrics or a PIN.

Další informace najdete v tématu plánování poskytovatele serveru SMS.For more information, see Plan for the SMS Provider.

Související témataSee also