Alkalmazáskezeléssel kapcsolatos biztonság és adatvédelem a System Center Configuration ManagerbenSecurity and privacy for application management in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Az Alkalmazáskezelés biztonsági útmutatóiSecurity guidance for application management

Biztonsági útmutatástSecurity guidance További információMore information
Az alkalmazáskatalógus pontjait állítsa be HTTPS-kapcsolatok használatára, és tájékoztassa a felhasználókat a rosszindulatú webhelyekkel kapcsolatos veszélyekről.Configure the Application Catalog points to use HTTPS connections and educate users about the dangers of malicious websites. Konfigurálja az Alkalmazáskatalógus weboldal-elérési pontja és az Alkalmazáskatalógus webszolgáltatási pontját HTTPS-kapcsolatok fogadására.Configure the Application Catalog website point and the Application Catalog web service point to accept HTTPS connections. Ezzel a konfigurációval a kiszolgáló hitelesítése a felhasználók számára, és az átvitt adatok védett az illetéktelen módosítás és megtekintése.With this configuration, the server is authenticated to users, and the transmitted data is protected from tampering and viewing. Tájékoztassa a felhasználókat arról, hogy csak megbízható webhelyekhez csatlakozzanak pszichológiai manipuláció módszerével végrehajtott támadások megelőzése érdekében.Help prevent social engineering attacks by educating users to only connect to trusted websites.

Ha nem a HTTPS PROTOKOLLT használja, ne használja a márkajelzési konfigurációs beállításokat, amelyek nevének megjelenítése a szervezete az alkalmazáskatalógusban azonosítóként, identitás.When you do not use HTTPS, do not use the branding configuration options, which show the name of your organization in the Application Catalog, as proof of identity.
Különítse el a szerepköröket, és külön kiszolgálókra telepítse az alkalmazáskatalógus weboldal-elérési pontját és az alkalmazáskatalógus webszolgáltatási pontját.Use role separation, and install the Application Catalog website point and the Application Catalog service point on separate servers. Ha az Alkalmazáskatalógus weboldal-elérési pontjának biztonsága sérül, telepítse az Alkalmazáskatalógus webszolgáltatási pontja az külön kiszolgálón.If the Application Catalog website point is compromised, install it on a separate server from the Application Catalog web service point. Ez a kialakítás segít megvédeni a Configuration Manager-ügyfelek és a Configuration Manager-infrastruktúrát.This design helps to protect the Configuration Manager clients and the Configuration Manager infrastructure. Ez a konfiguráció esetén különösen fontos az Alkalmazáskatalógus weboldal-elérési pontja az internetről érkező ügyfélkapcsolatokat fogad el.This configuration is especially important if the Application Catalog website point accepts client connections from the Internet. Így a kiszolgáló támadásokkal szemben.It makes the server vulnerable to attack.
Tájékoztassa a felhasználókat arról, hogy az alkalmazáskatalógus használatának befejezése után be kell zárniuk a böngészőablakot.Educate users to close the browser window when they finish using the Application Catalog. Ha a felhasználók az alkalmazáskatalógushoz használt böngészőablakban keresnek fel külső webhelyeket, a böngésző továbbra is az intraneten lévő megbízható helyekhez megfelelő biztonsági beállításokat fogja használni.If users browse to an external website in the same browser window that they used for the Application Catalog, the browser continues to use the security settings that are suitable for trusted sites in the intranet.
Manuálisan adja meg a felhasználó-eszköz kapcsolat ahelyett, hogy a felhasználók azonosíthatják azokat az elsődleges eszközüket.Manually specify the user device affinity instead of letting users identify their primary device. Ne engedélyezze a használat alapú konfigurálást.Do not enable usage-based configuration. Ne vegye figyelembe a felhasználóktól vagy az eszköz mérvadónak az összegyűjtött adatokat.Do not consider information that is collected from users or from the device to be authoritative. Ha nem adja meg a megbízható rendszergazda felhasználó-eszköz kapcsolat használatával telepít szoftvert, a szoftver előfordulhat, hogy telepítve a számítógépeken, és a felhasználók számára, akik nem jogosultak az adott szoftver.If you deploy software by using user device affinity that a trusted administrator does not specify, the software might be installed on computers and to users who are not authorized to receive that software.
A központi telepítéseket mindig úgy állítsa be, hogy letöltsék a tartalmat a terjesztési pontokról, és ne futtassák azt a terjesztési pontokról.Always configure deployments to download content from distribution points rather than run from distribution points. Ha a tartalom letöltését a terjesztési pont központi telepítéseket úgy állítja, és futtassa helyileg, a Configuration Manager ügyfél a után ellenőrzi a tartalmat tölt le.When you configure deployments to download content from a distribution point and run locally, the Configuration Manager client verifies the package hash after it downloads the content. Az ügyfél elveti a csomagot, ha a kivonat nem egyezik meg a kivonat, a házirendben.The client discards the package if the hash does not match the hash in the policy. Ezzel szemben ha adja meg a telepítést közvetlenül a terjesztési pontról, futtassa a Configuration Manager-ügyfél nem ellenőrzi a csomagkivonatot.In comparison, if you configure the deployment to run directly from a distribution point, the Configuration Manager client does not verify the package hash. Ez azt jelenti, hogy a Configuration Manager ügyfél illetéktelenül szoftvert is telepíthet.This behavior means that the Configuration Manager client can install software that has been tampered with.

Ha a központi telepítéseket közvetlenül a terjesztési pontokról kell futtatnia, használjon NTFS legalább engedélyeit a csomagokat a terjesztési pontokon.If you must run deployments directly from distribution points, use NTFS least permissions on the packages on the distribution points. Is használhatja az Internet protocol biztonság (IPsec) az ügyfél és a terjesztési pont között, és a terjesztési pontok és a helykiszolgáló közötti csatorna biztonságossá tételéhez.Also use Internet protocol security (IPsec) to secure the channel between the client and the distribution points, and between the distribution points and the site server.
Interaktív alkalmazások használata, ha engedélyezi a nem teszik lehetővé a Futtatás rendszergazdai jogosultságokkal vagy a telepítést egy rendszer beállítások.Do not let users interact with applications if you enable the Run with administrative rights or Install for system options. Alkalmazások konfigurálása, beállíthatja a beállítás felhasználók megtekintése és a program telepítésébe való beavatkozást.When you configure an application, you can set the option to Allow users to view and interact with the program installation. Ez a beállítás lehetővé teszi, hogy a felhasználók megválaszolására bármely szükséges a felhasználói felületen.This setting allows users to respond to any required prompts in the user interface. Ha az alkalmazás is konfigurál Futtatás rendszergazdai jogosultságokkal, vagy a verziójával 1802 kezdve a telepítést egy rendszer, a programot futtató számítógépre bejutó támadó használhatja a felhasználói felület eszkalációjára, az ügyfélszámítógépen.If you also configure the application to Run with administrative rights, or starting in version 1802 Install for system, an attacker at the computer that runs the program could use the user interface to escalate privileges on the client computer.

A telepítő és a felhasználónkénti emelt szintű jogosultságokkal a felügyeleti hitelesítő adatokat igénylő szoftverek központi telepítése a Windows Installer használó programok használja.Use programs that use Windows Installer for setup and per-user elevated privileges for software deployments that require administrative credentials. A telepítő egy rendszergazdai hitelesítő adatokkal nem rendelkező felhasználó környezetében kell futtatni.Setup must be run in the context of a user who does not have administrative credentials. A Windows Installer felhasználónkénti emelt szintű jogosultságokkal lehetőséget nyújtanak a legbiztonságosabb telepíteni az alkalmazásokat, amelyek ennek a követelménynek.Windows Installer per-user elevated privileges provide the most secure way to deploy applications that have this requirement.
Határozza meg, hogy a felhasználók telepíthetnek-e szoftvert interaktív módon a Telepítési engedélyek ügyfélbeállítás használatával.Restrict whether users can install software interactively by using the Installation permissions client setting. Konfigurálja a Számítógépügynök ügyféleszköz telepítési engedélyek beállítást, ha a felhasználók, akik telepíthetik a szoftvert az Alkalmazáskatalógus vagy a Szoftverközpont használatával korlátozásához.Configure the Computer Agent client device Install permissions setting to restrict the types of users who can install software by using the Application Catalog or Software Center. Például hozzon létre egy egyéni ügyfélbeállítást, amelynek Telepítési engedélyek lehetőségénél a Csak rendszergazdákértéket adja meg.For example, create a custom client setting with Install permissions set to Only administrators. Ezután alkalmazza ezt az ügyfélbeállítást a kiszolgálók gyűjteményére, hogy a felhasználók szoftvert telepítsenek az adott számítógépen rendszergazdai jogosultságok nélkül.Then, apply this client setting to a collection of servers to prevent users without administrative permissions from installing software on those computers.
Mobileszközök esetén csak aláírt alkalmazásokat telepíteni.For mobile devices, deploy only applications that are signed. Mobileszköz-alkalmazások központi telepítése, csak akkor, ha a mobil eszközök által megbízhatónak minősített hitelesítésszolgáltató (CA) által kódaláíró tanúsítványával aláírt.Deploy mobile device applications only if they are code-signed by a certification authority (CA) that is trusted by the mobile device. Példa:For example:
  • Olyan szállítótól, amely egy ismert hitelesítésszolgáltató, például a VeriSign által aláírt alkalmazás.An application from a vendor, which is signed by a well-known CA, like VeriSign.
  • Belső alkalmazás aláírása független a Configuration Manager a belső hitelesítésszolgáltató használatával.An internal application that you sign independent from Configuration Manager by using your internal CA.
  • Az alkalmazástípus létrehozásakor, és amely aláírási tanúsítványt használ a Configuration Manager használatával írja alá belső alkalmazás.An internal application that you sign by using Configuration Manager when you create the application type and use a signing certificate.
Ha a mobileszköz-alkalmazások használatával írja alá a alkalmazás létrehozása varázsló a Configuration Managerben, tegye biztonságossá a helyet a fájlt, és a kommunikációs csatorna biztonságáról.If you sign mobile device applications by using the Create Application Wizard in Configuration Manager, secure the location of the signing certificate file, and secure the communication channel. Jogok kiterjesztése és -átjárójának elleni védelme érdekében tárolja a fájlt védett mappában.To help protect against elevation of privileges and against man-in-the-middle attacks, store the signing certificate file in a secured folder. Használja az IPSec protokollt a következő számítógépek között:Use IPsec between the following computers:
  • A Configuration Manager konzolt futtató számítógépThe computer that runs the Configuration Manager console
  • Az aláírási tanúsítvány fájlját tároló számítógépThe computer that stores the certificate signing file
  • Az alkalmazás forrásfájljait tároló számítógépThe computer that stores the application source files
Alternatív megoldásként írja alá az alkalmazást független a Configuration Manager és a futtatása előtt a alkalmazás létrehozása varázsló.Alternatively, sign the application independent of Configuration Manager and before you run the Create Application Wizard.
A referencia-számítógépek védelméhez, alkalmazzon hozzáférés-vezérlést.To protect reference computers, implement access controls. Amikor egy rendszergazda felhasználó a referencia-számítógépet tallózással megkeresve konfigurálja a felderítési módszert egy központi telepítési típusban, győződjön meg arról, hogy nem sérült a számítógép biztonsága.When an administrative user configures the detection method in a deployment type by browsing to a reference computer, make sure that the computer has not been compromised.
Korlátozza és figyelje a rendszergazda felhasználókat, akik engedélyezheti, hogy a következő felügyeleti szerepköralapú biztonsági szerepkörökhöz:Restrict and monitor the administrative users who you grant the following application management role-based security roles:
  • Alkalmazás-rendszergazdaApplication Administrator
  • Alkalmazás szerzőjeApplication Author
  • Alkalmazás-KözpontiTelepítés kezelőApplication Deployment Manager
Amikor szerepköralapú felügyeletet konfigurál, előfordulhat, hogy az alkalmazásokat létrehozó és telepítő rendszergazdák több engedéllyel rendelkeznek, mint azt feltételezné.Even when you configure role-based administration, administrative users who create and deploy applications might have more permissions than you realize. Válassza például az rendszergazdákat, akik létrehozása vagy módosítása egy alkalmazás függő alkalmazások, amelyek nem szerepelnek a saját biztonsági hatókörükbe tartoznak.For example, administrative users who create or change an application can select dependent applications that are not in their security scope.
Microsoft Application Virtualization (App-V) virtuális környezetei konfigurálásakor válassza ki a virtuális környezetben azonos megbízhatósági szintű alkalmazásokat.When you configure Microsoft Application Virtualization (App-V) virtual environments, select applications that have the same trust level in the virtual environment. Az App-V virtuális környezetben futó alkalmazások megoszthatók az erőforrások, mert például a vágólapot, konfigurálja a virtuális környezet, hogy a választott alkalmazások azonos megbízhatósági szintűek.Because applications in an App-V virtual environment can share resources, like the clipboard, configure the virtual environment so that the selected applications have the same trust level.

További információkért lásd: létrehozása az App-V virtuális környezetek.For more information, see Create App-V virtual environments.
Ha Mac számítógépekhez telepít központilag alkalmazásokat, ellenőrizze, hogy a forrásfájlok megbízható forrásból származnak-e.If you deploy applications for Mac computers, make sure that the source files are from a trustworthy source. A CMAppUtil eszköz nem érvényesíti a forráscsomagok aláírását, ezért bizonyosodjon meg arról, hogy a fájlok megbízható forrásból származnak.The CMAppUtil tool does not validate the signature of the source package, so make sure that it comes from a source that you trust. A CMAppUtil eszköz nem észleli, hogy a fájlok módosították.The CMAppUtil tool cannot detect whether the files have been tampered with.
Ha alkalmazások Mac számítógépeken, tegye biztonságossá a helyet, a .cmmac fájlt, és a kommunikációs csatorna biztonságáról, amikor importálja ezt a fájlt a Configuration Manager.If you deploy applications for Mac computers, secure the location of the .cmmac file and secure the communication channel when you import this file to Configuration Manager. A .cmmac a CMAppUtil eszközzel előállított és a Configuration Manager importált fájl nincs aláírva vagy érvényesítve.The .cmmac file that the CMAppUtil tool generates and that you import to Configuration Manager is not signed or validated. Ez a fájl illetéktelen módosításának megelőzése érdekében tárolja védett mappában, és IPsec vagy az SMB Protokollt használja a következő számítógépek között:To help prevent tampering with this file, store it in a secured folder, and use IPsec or SMB between the following computers:

  • A Configuration Manager konzolt futtató számítógépThe computer that runs the Configuration Manager console
  • A számítógép, amely tárolja a .cmmac fájlThe computer that stores the .cmmac file
Ha a webes alkalmazás központi telepítési típus konfigurál, használja HTTP helyett HTTPS a kapcsolat biztonságossá tétele érdekében.If you configure a web application deployment type, use HTTPS rather than HTTP to secure the connection. Ha webes alkalmazást telepít központilag az HTTP-kapcsolat helyett HTTPS-kapcsolat használatával, az eszköz lesz átirányítva, és egy engedélyezetlen kiszolgálóhoz.If you deploy a web application by using an HTTP link rather than an HTTPS link, the device could be redirected to a rogue server. Az eszköz és a kiszolgáló között továbbított adatokat illetéktelenül sikerült.Data that's transferred between the device and server could be tampered with.

Az Alkalmazáskezelés biztonsági problémáiSecurity issues for application management

  • Az alacsony szintű jogosultsággal rendelkező felhasználók fájlokat másolhatnak az ügyfélszámítógépen lévő gyorsítótárból.Low-rights users can copy files from the client cache on the client computer.

    A felhasználók olvashatják az ügyfél gyorsítótárába, de nem lehet írni.Users can read the client cache but can't write to it. Olvasási engedély birtokában a felhasználók átmásolhatják egyik számítógépről a másikra az alkalmazások telepítőfájljait.With read permissions, a user can copy application installation files from one computer to another.

  • Alacsony szintű jogosultsággal rendelkező felhasználók módosíthatja a fájlokat, amelyek a központi Szoftvertelepítés előzményadatait az ügyfélszámítógépen.Low-rights users can change files that record software deployment history on the client computer.

    Az alkalmazások előzményadatai nem védett, mert a felhasználó megváltoztathatja fájlokat, hogy az alkalmazás telepítve van.Because the application history information isn't protected, a user can change files that report whether an application is installed.

  • Az App-V csomagok nincsenek aláírva.App-V packages are not signed.

    App-V csomagok a Configuration Manager alkalmazásban nem támogatják az aláírást.App-V packages in Configuration Manager don't support signing. Digitális aláírások ellenőrzése a tartalom megbízható forrásból származik, és nem lett módosítva az átvitel során.Digital signatures verify the content is from a trusted source and wasn't altered in transit. Nincs a biztonsági problémára nincs megoldás.There's no mitigation for this security issue. Hajtsa végre a biztonsági szempontból ajánlott letölteni a tartalmat megbízható forrásból és biztonságos helyről.Follow the security best practice to download the content from a trusted source and from a secure location.

  • A közzétett App-V alkalmazásokat az összes felhasználó telepítheti a számítógépre.Published App-V applications can be installed by all users on the computer.

    Az App-V alkalmazás közzé van téve egy számítógépen, ha minden felhasználó, aki jelentkezzen be arra a számítógépre telepítheti az alkalmazást.When an App-V application is published on a computer, all users who sign in to that computer can install the application. Nem lehet korlátozni a felhasználókat, akik telepíthetik az alkalmazást, hogy közzététele után.You can't restrict the users who can install the application after it's published.

  • A vállalati portál telepítési engedélyei nem korlátozhatók.You cannot restrict install permissions for the company portal.

    Jóllehet konfigurálhat korlátozására ügyfél telepítési engedélyek, például egy eszköz felhasználója vagy csak a helyi rendszergazdák, ez a beállítás nem működik a vállalati portál.Although you can configure a client setting to restrict install permissions, for example, to primary users of a device or to local administrators only, this setting doesn't work for the company portal. A probléma a jogok kiterjesztésével járhat eredményezheti.This issue could result in an elevation of privileges. Felhasználók olyan alkalmazásokat, azok nem szabad engedélyezni szeretné a telepítése is telepíthetnek.Users could install an app that they shouldn't be allowed to install.

A Microsoft Silverlight 5 és az alkalmazáskatalógushoz szükséges emelt szintű megbízhatósági módban tanúsítványokCertificates for Microsoft Silverlight 5 and elevated trust mode required for the application catalog

Configuration Manager-ügyfelek a felhasználók szoftvert tudjanak telepíteni az alkalmazáskatalógusból emelt szintű megbízhatósági módban kell futtatni a Microsoft Silverlight 5 szükséges.Configuration Manager clients require Microsoft Silverlight 5, which must run in elevated trust mode for users to install software from the Application Catalog. Alapértelmezés szerint a Silverlight alkalmazások részleges megbízhatósági módban futnak, hogy az alkalmazások ne férhessenek hozzá a felhasználói adatokhoz.By default, Silverlight applications run in partial trust mode to prevent applications from accessing user data. Ha még nincs telepítve, a Configuration Manager automatikusan telepíti a Microsoft Silverlight 5 az ügyfeleken.If it isn't already installed, Configuration Manager automatically installs Microsoft Silverlight 5 on clients. Alapértelmezés szerint a Configuration Manager állítja a Számítógépügynök engedélyezése a Silverlight alkalmazások emelt szintű megbízhatóság módban való futásra ügyfélbeállítást Igen.By default, Configuration Manager sets the Computer Agent Allow Silverlight applications to run in elevated trust mode client setting to Yes. Ez a beállítás lehetővé teszi, hogy az aláírt és megbízható Silverlight alkalmazások kérelem emelt szintű megbízhatósági módban.This setting lets signed and trusted Silverlight applications request elevated trust mode.

Az Alkalmazáskatalógus weboldal-elérési pont helyrendszerszerepkör telepítése, az ügyfél is telepíti a Microsoft aláírási tanúsítványt a megbízható közzétevők tanúsítványtárolóba minden egyes Configuration Manager ügyfélszámítógépeken.When you install the Application Catalog website point site system role, the client also installs a Microsoft signing certificate in the Trusted Publishers computer certificate store on each Configuration Manager client computer. Használatával aláírt Silverlight alkalmazások futtatása az emelt szintű megbízhatósági módban, amely számítógépek számára szükséges szoftverek telepítése az alkalmazáskatalógusból.Silverlight applications signed by this certificate run in the elevated trust mode, which computers require to install software from the Application Catalog. A Configuration Manager automatikusan kezeli ezt az aláírási tanúsítványt.Configuration Manager automatically manages this signing certificate. A szolgáltatás folytonosságának biztosításához ne manuálisan törölje vagy helyezze át a Microsoft aláírási tanúsítványt.To ensure service continuity, don't manually delete or move this Microsoft signing certificate.

Figyelmeztetés

Ha engedélyezve van, a engedélyezése a Silverlight alkalmazások emelt szintű megbízhatóság módban való futásra ügyfélbeállítás lehetővé teszi, hogy minden olyan Silverlight alkalmazás, amely alá van írva a megbízható közzétevők tanúsítványtárolóban, vagy a számítógép tanúsítványokkal vagy a felhasználó tárolóba, emelt szintű megbízhatósági módban fusson.When enabled, the Allow Silverlight applications to run in elevated trust mode client setting lets all Silverlight applications, which are signed by certificates in the Trusted Publishers certificate store in either the computer store or the user store, run in elevated trust mode. Az ügyfélbeállítás nem tudja engedélyezni az emelt szintű megbízhatósági módban, kifejezetten a Configuration Manager Alkalmazáskatalógus vagy a megbízható közzétevők tanúsítványtároló, a számítógép tárolja.The client setting can't enable elevated trust mode specifically for the Configuration Manager Application Catalog or for the Trusted Publishers certificate store in the computer store. Ha egy engedélyezetlen tanúsítványt helyez a megbízható közzétevők tanúsítványtárolóban található, a saját Silverlight alkalmazását használó rosszindulatú most is futtathatja emelt szintű megbízhatósági módban.If malware adds a rogue certificate in the Trusted Publishers store, malware that uses its own Silverlight application can now also run in elevated trust mode.

Ha a engedélyezése a Silverlight alkalmazások emelt szintű megbízhatóság módban való futásra beállítást nem, az ügyfelek ne távolítsa el a Microsoft aláírási tanúsítványt.If you set the Allow Silverlight applications to run in elevated trust mode setting to No, clients don't remove the Microsoft signing certificate.

További információ a Silverlight megbízható alkalmazásairól megbízható alkalmazások.For more about trusted applications in Silverlight, see Trusted Applications.

Megjegyzés

A Configuration Manager 1802 kezdődően Silverlight már nem automatikusan települ.Starting in Configuration Manager 1802, Silverlight is no longer installed automatically. Az alkalmazáskatalógus elsődleges funkcióit mostantól tartalmazza a Szoftverközpontban.The primary functionality of the Application Catalog is now included in Software Center. Az Alkalmazáskatalógus webhely végpontok 2018. június 1. után kiadott első frissítés megjelenésével támogatása.Support for the Application Catalog web site ends with the first update released after June 1, 2018.

Adatvédelmi információ az alkalmazáskezeléshezPrivacy information for application management

Alkalmazáskezelés lehetővé teszi bármilyen alkalmazás, program vagy parancsfájl futtatását a hierarchiában található összes ügyfélen.Application management lets you run any application, program, or script on any client in the hierarchy. A Configuration Manager nem szabályozza, milyen típusú alkalmazásokat, programok vagy parancsfájlok futtatott vagy általuk közvetített információk típusa van.Configuration Manager has no control over the types of applications, programs, or scripts that you run or the type of information that they transmit. Az alkalmazások központi telepítése során a Configuration Manager továbbíthat az eszköz és az ügyfelek és kiszolgálók közötti bejelentkezési fiókok azonosító információkat.During the application deployment process, Configuration Manager might transmit information that identifies the device and sign-in accounts between clients and servers.

A Configuration Manager a szoftver központi telepítésére vonatkozó állapotadatokat megőrzi.Configuration Manager maintains status information about the software deployment process. Szoftvertelepítési állapotadatokat nem átvitel közben titkosítva, kivéve, ha az ügyfél HTTPS protokoll használatával kommunikál.Software deployment status information isn't encrypted during transmission unless the client communicates by using HTTPS. A állapotadatai nincs az adatbázisban titkosított formában tárolja.The status information isn't stored in encrypted form in the database.

A Configuration Manager alkalmazás telepítéséhez a távoli, interaktív vagy csendes szoftvertelepítéshez az ügyfeleken használatát, a szoftver szoftverlicenc-szerződés célpontjává válhat.The use of Configuration Manager application installation to remotely, interactively, or silently install software on clients might be subject to software license terms for that software. Ehhez a szoftverlicenc-feltételek a System Center Configuration Manager elkülönül.This use is separate from the Software License Terms for System Center Configuration Manager. Mindig tekintse át és fogadja el a szoftverlicenc-szerződést, mielőtt a Configuration Manager használatával központilag telepít szoftvert.Always review and agree to the Software Licensing Terms before you deploy software by using Configuration Manager.

Alkalmazás központi telepítése alapértelmezés szerint nem kerül sor, és több konfigurációs lépésre van szükség.Application deployment doesn't happen by default and requires several configuration steps.

A felhasználó-eszköz kapcsolat és az alkalmazáskatalógus a szoftvertelepítést elősegítő opcionális szolgáltatások.Two optional features that help efficient software deployment are user device affinity and the Application Catalog:

  • Felhasználó-eszköz kapcsolat hozzárendeli a felhasználót az eszközökre.User device affinity maps a user to devices. A Configuration Manager rendszergazdája telepítse a szoftvereket egy felhasználó számára.A Configuration Manager administrator deploys software to a user. Az ügyfél automatikusan telepíti a szoftver által leggyakrabban használt a felhasználó egy vagy több számítógépet.The client automatically installs the software on one or more computers that the user uses most often.

  • Az Alkalmazáskatalógus egy olyan webhely, lehetővé teszi, hogy a felhasználók kérelem szoftvert kell telepíteni.The Application Catalog is a website that lets users request software to install.

    Az alábbi szakaszok a felhasználó-eszköz kapcsolat és az alkalmazáskatalógus használatához tartozó adatvédelmi információkat tartalmazzák.View the following sections for privacy information about user device affinity and the Application Catalog.

    Az alkalmazáskezelés konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you configure application management, consider your privacy requirements.

Felhasználó-eszköz kapcsolatUser device affinity

  • A Configuration Manager továbbíthat az ügyfelek és a felügyeletipont-rendszerek között.Configuration Manager might transmit information between clients and management point site systems. Az információk előfordulhat, hogy azonosítsa a számítógép és a bejelentkezési fiók és bejelentkezési fiókok röviden bemutatják azok használatát.The information might identify the computer and sign-in account and the summarized usage for sign-in accounts.
  • Az ügyfél és kiszolgáló között továbbított adatok nincs titkosítva, kivéve, ha a felügyeleti pont HTTPS segítségével kommunikáló ügyfelek úgy van beállítva.The information that is transmitted between the client and server isn't encrypted, unless the management point is configured to require clients to communicate by using HTTPS.
  • A számítógép és bejelentkezési fiókok használati adatait, eszközökhöz való hozzárendelésére egy felhasználó egy használt, az ügyfélszámítógépeken tárolt, a felügyeleti pontokra küldött, és majd tárolja a Configuration Manager adatbázisában.The computer and sign-in account usage information, which is used to map a user to a device, is stored on client computers, sent to management points, and then stored in the Configuration Manager database. A régi információk alapértelmezés szerint 90 nap után törlődnek az adatbázisból.The old information is deleted from the database by default after 90 days. A törlési beállítás testre szabható a Felhasználó-eszköz kapcsolatra vonatkozó régi adatok törlése helykarbantartási feladat beállításával.The deletion behavior is configurable by setting the Delete Aged User Device Affinity Data site maintenance task.
  • A Configuration Manager felhasználó-eszköz kapcsolatra vonatkozó állapotadatokat megőrzi.Configuration Manager maintains status information about user device affinity. Az állapotadatok nincsenek titkosítva az átvitel során, kivéve, ha a kliensgépek úgy vannak beállítva, hogy HTTPS használatával kommunikáljanak a felügyeleti pontokkal.Status information is not encrypted during transmission unless clients are configured to communicate with management points by using HTTPS. Az adatbázis titkosítás nélkül tárolja az állapotadatokat.Status information is not stored in encrypted form in the database.
  • Számítógép, a bejelentkezési fiókok használati adatait és a állapotára vonatkozó információkat nem küldése a Microsoftnak.Computer, sign-in account usage information, and status information are not sent to Microsoft.
  • Számítógép, és jelentkezzen be, hogy a felhasználó-eszköz kapcsolat létrehozására szolgál használati adatai mindig engedélyezve van.Computer and sign-in usage information that is used to establish user and device affinity is always enabled. Ezenkívül a felhasználók és rendszergazda felhasználók is megadhatnak a felhasználó-eszköz kapcsolatra vonatkozó információkat.In addition, users and administrative users can supply user device affinity information.

AlkalmazáskatalógusApplication Catalog

  • Az Alkalmazáskatalógus lehetővé teszi, hogy a Configuration Manager felügyeleti bármilyen alkalmazás vagy a program vagy parancsfájl futtatását a közzététele.The Application Catalog lets the Configuration Manager admin publish any application or program or script for users to run. A Configuration Manager nem szabályozza, programokat vagy parancsfájlokat a katalógusban közzétett típusú vagy az általuk közvetített információk típusa van.Configuration Manager has no control over the types of programs or scripts that are published in the catalog or the type of information that they transmit.
  • A Configuration Manager ügyfelek és az Alkalmazáskatalógus helyrendszerszerepkörök között információt továbbíthat az.Configuration Manager might transmit information between clients and the Application Catalog site system roles. Az információk előfordulhat, hogy azonosítsa a számítógépet és annak bejelentkezési fiókjait.The information might identify the computer and sign-in accounts. Az ügyfél és a kiszolgálók között továbbított adatok nincs titkosítva, kivéve ha ezen helyrendszerszerepkörök szükséges az ügyfelek HTTPS használatával csatlakoznak.The information that is transmitted between the client and servers isn't encrypted, unless these site system roles are configured to require clients connect by using HTTPS.
  • A az alkalmazás-jóváhagyási kérelmekre vonatkozó adatok tárolása a Configuration Manager adatbázisába.The information about the application approval request is stored in the Configuration Manager database. A törölt vagy visszautasított kérelmek és a megfelelő kérelemelőzmény-bejegyzésekkel törlődik alapértelmezés szerint 30 nap múlva.Requests that are canceled or denied and the corresponding request history entries are deleted by default after 30 days. A törlési beállítás testre szabható az Alkalmazásigénylésekre vonatkozó régi adatok törlése helykarbantartási feladat beállításával.The deletion behavior is configurable by setting the Delete Aged Application Request Data site maintenance task. Alkalmazás-jóváhagyási kérelmek a jóváhagyott és függőben lévő állapotok soha nem kerülnek törlésre.Application approval requests that are in approved and pending states are never deleted.
  • Az alkalmazáskatalógusba érkező és onnan küldött adatokat a rendszer nem küldi el a Microsoftnak.Information that is sent to and from the Application Catalog is not sent to Microsoft.
  • A rendszer alapértelmezés szerint nem telepíti az alkalmazáskatalógust.The Application Catalog is not installed by default. Ez a telepítés több konfigurációs lépést igényel.This installation requires several configuration steps.