Tanúsítványsablon-engedélyek tervezése a Configuration Manager tanúsítványprofiljaihoz
A következőre vonatkozik: Configuration Manager (aktuális ág)
Fontos
A 2203-es verziótól kezdődően ez a vállalati erőforrás-hozzáférési funkció már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.
Az alábbi információk segítségével megtervezheti, hogyan konfigurálhatja a tanúsítványprofilok telepítésekor Configuration Manager által használt tanúsítványsablonok engedélyeit.
Alapértelmezett biztonsági engedélyek és szempontok
Az Configuration Manager által a felhasználók és eszközök tanúsítványigényléséhez használt tanúsítványsablonokhoz szükséges alapértelmezett biztonsági engedélyek a következők:
A Hálózati eszközök tanúsítványigénylési szolgáltatásának alkalmazáskészlete által használt fiók olvasása és regisztrálása
Olvassa el a Configuration Manager-konzolt futtató fiókhoz
További információ ezekről a biztonsági engedélyekről: Tanúsítványinfrastruktúra konfigurálása.
Ha ezt az alapértelmezett konfigurációt használja, a felhasználók és eszközök nem kérhetnek közvetlenül tanúsítványokat a tanúsítványsablonokból, és minden kérést a hálózati eszközök tanúsítványigénylési szolgáltatásának kell kezdeményeznie. Ez egy fontos korlátozás, mivel ezeket a tanúsítványsablonokat a tanúsítvány tulajdonosának kérésében a Supply beállítással kell konfigurálni, ami azt jelenti, hogy fennáll a megszemélyesítés kockázata, ha egy rosszindulatú felhasználó vagy egy feltört eszköz tanúsítványt kér. Az alapértelmezett konfigurációban a hálózati eszközök tanúsítványigénylési szolgáltatásának kezdeményeznie kell egy ilyen kérést. Ez a megszemélyesítési kockázat azonban akkor is fennáll, ha a hálózati eszközök tanúsítványigénylési szolgáltatását futtató szolgáltatás biztonsága sérül. A kockázat elkerülése érdekében kövesse a Hálózati eszközök tanúsítványigénylési szolgáltatása és a szerepkör-szolgáltatást futtató számítógép biztonsági ajánlott eljárásait.
Ha az alapértelmezett biztonsági engedélyek nem teljesítették az üzleti követelményeket, a tanúsítványsablonok biztonsági engedélyeinek konfigurálására is lehetősége van: Olvasási és regisztrálási engedélyeket adhat hozzá a felhasználókhoz és számítógépekhez.
Olvasási és regisztrálási engedélyek hozzáadása felhasználókhoz és számítógépekhez
Olvasási és regisztrálási engedélyek hozzáadása felhasználókhoz és számítógépekhez akkor lehet megfelelő, ha egy külön csapat kezeli a hitelesítésszolgáltató infrastruktúra-csapatát, és a külön csapat azt szeretné, hogy Configuration Manager ellenőrizze, hogy a felhasználók rendelkeznek-e érvényes Active Directory tartományi szolgáltatások fiókot, mielőtt tanúsítványprofilt küldene nekik a felhasználói tanúsítvány igényléséhez. Ehhez a konfigurációhoz meg kell adnia egy vagy több olyan biztonsági csoportot, amely tartalmazza a felhasználókat, majd olvasási és regisztrálási engedélyeket kell adnia ezeknek a csoportoknak a tanúsítványsablonokon. Ebben a forgatókönyvben a hitelesítésszolgáltató rendszergazdája kezeli a biztonsági vezérlőt.
Hasonlóképpen megadhat egy vagy több olyan biztonsági csoportot, amely számítógépfiókokat tartalmaz, és olvasási és regisztrálási engedélyeket adhat ezeknek a csoportoknak a tanúsítványsablonokon. Ha olyan számítógépre telepít számítógéptanúsítvány-profilt, amely tartományi tag, akkor a számítógép számítógépfiókjának Olvasási és Regisztrálási engedélyekkel kell rendelkeznie. Ezek az engedélyek nem szükségesek, ha a számítógép nem tartományi tag. Ha például munkacsoport számítógépről vagy személyes mobileszközről van szó.
Bár ez a konfiguráció más biztonsági vezérlőt használ, ajánlott eljárásként nem javasoljuk. Ennek az az oka, hogy a megadott felhasználók vagy az eszközök tulajdonosai a tanúsítványokat a Configuration Manager függetlenül kérhetik, és megadhatja a tanúsítvány tulajdonosának olyan értékeit, amelyek felhasználhatók egy másik felhasználó vagy eszköz megszemélyesítésére.
Emellett ha olyan fiókokat ad meg, amelyek nem hitelesíthetők a tanúsítványkérelem időpontjában, a tanúsítványkérelem alapértelmezés szerint sikertelen lesz. A tanúsítványkérés például sikertelen lesz, ha a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló olyan Active Directory-erdőben található, amely nem megbízható a tanúsítványregisztrációs pont helyrendszer-kiszolgálót tartalmazó erdő által. Konfigurálhatja a tanúsítványregisztrációs pontot a folytatáshoz, ha egy fiók nem hitelesíthető, mert nincs válasz egy tartományvezérlőtől. Ez azonban nem ajánlott biztonsági eljárás.
Ha a tanúsítványregisztrációs pont úgy van konfigurálva, hogy ellenőrizze a fiókengedélyeket, és elérhető egy tartományvezérlő, és elutasítja a hitelesítési kérést (például a fiókot zárolták vagy törölték), a tanúsítványigénylési kérelem sikertelen lesz.
Olvasási és regisztrálási engedélyek keresése felhasználók és tartománytag számítógépek esetén
A tanúsítványregisztrációs pontot tároló helyrendszer-kiszolgálón hozza létre a következő DWORD beállításkulcsot, hogy a értéke 0 legyen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
Ha egy fiók nem hitelesíthető, mert nincs válasz egy tartományvezérlőtől, és meg szeretné kerülni az engedélyek ellenőrzését:
- A tanúsítványregisztrációs pontot üzemeltető helyrendszer-kiszolgálón hozza létre a következő DWORD beállításkulcsot, hogy az értéke 1 legyen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
A kiállító hitelesítésszolgáltató biztonság lapján, a tanúsítványsablon tulajdonságai között adjon hozzá egy vagy több biztonsági csoportot, hogy olvasási és regisztrálási engedélyeket adjon a felhasználói vagy eszközfiókoknak.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: