Biztonság és adatvédelem az alkalmazás kezelése a Configuration ManagerbenSecurity and privacy for application management in Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Az Alkalmazáskezelés biztonsági útmutatóSecurity guidance for application management

Az Alkalmazáskatalógus nélkül az új Szoftverközpont használataUse the new Software Center without the Application Catalog

A verzió 1806-től kezdődően alkalmazás katalógus szerepkörök már nincs szükség a Szoftverközpontban a felhasználók számára elérhető alkalmazások megjelenítése. Starting in version 1806, application catalog roles are no longer required to display user-available applications in Software Center. Ez a konfiguráció segít csökkenteni a felhasználók számára alkalmazások létrehozásához szükség kiszolgálói infrastruktúrára.This configuration helps you reduce the server infrastructure required to deliver applications to users. A támadási felületét is csökkenti a kiszolgálói infrastruktúra csökkenti.Reducing the server infrastructure also reduces the attack surface.

Egységes és biztonságos alkalmazást felhasználói élményt nyújthat az internetes ügyfelek, használja az Azure Active Directory és a felhőfelügyeleti átjárót.To deliver a consistent and secure application experience for internet-based clients, use Azure Active Directory and the cloud management gateway.

További információkért lásd: konfigurálása a Szoftverközpont.For more information, see Configure Software Center.

Az Alkalmazáskatalógus a HTTPS használatáraUse HTTPS with the Application Catalog

Konfigurálja az Alkalmazáskatalógus weboldal-elérési pontja és az Alkalmazáskatalógus webszolgáltatási pontja HTTPS-kapcsolatok fogadására.Configure the Application Catalog website point and the Application Catalog web service point to accept HTTPS connections. Ezzel a konfigurációval a kiszolgáló hitelesítése a felhasználók számára.With this configuration, the server is authenticated to users. A továbbított adatok illetéktelen módosításának és megtekintésével védve van.The transmitted data is protected from tampering and viewing.

Pszichológiai felhasználóinak, hogy csak megbízható webhelyekhez pszichológiai manipuláció támadások megelőzése érdekében.Help prevent social engineering attacks by educating users to only connect to trusted websites. Tájékoztassa a felhasználókat a veszélyeket, a rosszindulatú webhelyekkel kapcsolatos.Educate users about the dangers of malicious websites.

Ha nem a HTTPS PROTOKOLLT használja, ne használja a márkajelzési beállításokat.When you don't use HTTPS, don't use the branding configuration options. Ezeket a beállításokat a szervezet nevének megjelenítése az alkalmazáskatalógusban identitása bizonyítékaként.These settings show the name of your organization in the Application Catalog as proof of identity.

Különítse elUse role separation

Telepítse az Alkalmazáskatalógus weboldal-elérési pontja és az Alkalmazáskatalógus webszolgáltatási pontja önálló kiszolgálókon.Install the Application Catalog website point and the Application Catalog web service point on separate servers. Ha az Alkalmazáskatalógus weboldal-elérési pontja integritása sérül, nem az Alkalmazáskatalógus webszolgáltatási pontja azonos.If the Application Catalog website point is compromised, it's separate from the Application Catalog web service point. Ez a kialakítás segít megvédeni a Configuration Manager-ügyfelek és az infrastruktúra.This design helps to protect the Configuration Manager clients and infrastructure. Ez a konfiguráció akkor különösen fontos, ha az Alkalmazáskatalógus weboldal-elérési pontja az internetről érkező ügyfélkapcsolatokat fogad el.This configuration is especially important if the Application Catalog website point accepts client connections from the internet. A kiszolgálót sebezhetőbbé teszi.It makes the server more vulnerable to attack.

Zárja be a böngészőablakotClose browser windows

Tájékoztassa a felhasználókat arról, hogy az alkalmazáskatalógus használatának befejezése után be kell zárniuk a böngészőablakot.Educate users to close the browser window when they finish using the Application Catalog. Ha a felhasználók az alkalmazáskatalógushoz használt böngészőablakban keresnek fel külső webhelyeket, a böngésző továbbra is az intraneten lévő megbízható helyekhez megfelelő biztonsági beállításokat fogja használni.If users browse to an external website in the same browser window that they used for the Application Catalog, the browser continues to use the security settings that are suitable for trusted sites in the intranet.

Központilag adja meg a felhasználó-eszköz kapcsolatCentrally specify user device affinity

Manuálisan adja meg a felhasználó-eszköz kapcsolat ahelyett, hogy a felhasználók elsődleges eszközük azonosítását.Manually specify the user device affinity instead of letting users identify their primary device. Nem engedélyezi a használat alapú konfigurálást.Don't enable usage-based configuration.

Nem érdemes a felhasználóktól vagy az eszköz mérvadónak az összegyűjtött adatokat.Don't consider information that's collected from users or from the device to be authoritative. Ha a felhasználó-eszköz kapcsolat, amely egy megbízható rendszergazda nem adja meg a központilag telepít szoftvert, a, a telepített számítógépek és felhasználók számára nem engedélyezett az adott szoftver.If you deploy software by using user device affinity that a trusted administrator doesn't specify, the software might be installed on computers and to users who aren't authorized to receive that software.

Üzemelő példányok nem futtatható a terjesztési pontokrólDon't run deployments from distribution points

A központi telepítéseket mindig úgy állítsa be, hogy letöltsék a tartalmat a terjesztési pontokról, és ne futtassák azt a terjesztési pontokról.Always configure deployments to download content from distribution points rather than run from distribution points. Amikor letölteni a tartalmat egy terjesztési pontról történő központi telepítések konfigurálása és futtatása helyileg, a Configuration Manager ügyfél ellenőrzi a csomagkivonatot után a tartalmat tölt le.When you configure deployments to download content from a distribution point and run locally, the Configuration Manager client verifies the package hash after it downloads the content. Az ügyfél elveti a csomagot, ha a kivonat nem egyezik az irányelvben szereplő kivonattal.The client discards the package if the hash doesn't match the hash in the policy.

Ha az üzembe helyezés közvetlenül a terjesztési pontról való futtatásához konfigurálja, a Configuration Manager-ügyfél nem ellenőrzi a csomagkivonatot.If you configure the deployment to run directly from a distribution point, the Configuration Manager client doesn't verify the package hash. Ez a viselkedés azt jelenti, hogy a Configuration Manager ügyfél telepíthető szoftver, amely illetéktelenül módosították van.This behavior means that the Configuration Manager client can install software that's been tampered with.

NTFS Formázást használnia kell futtatásakor központi telepítések közvetlenül a terjesztési pontokról, a terjesztési pontokon lévő csomagokhoz legkevesebb engedélyt.If you must run deployments directly from distribution points, use NTFS least permissions on the packages on the distribution points. Is használhatja az internet protocol biztonság (IPsec) az ügyfél és a terjesztési pontok között, és a terjesztési pontok és a helykiszolgáló közötti csatorna biztonságossá tételéhez.Also use internet protocol security (IPsec) to secure the channel between the client and the distribution points, and between the distribution points and the site server.

Ne hagyja, hogy a felhasználók emelt szintű folyamatok kezeléseDon't let users interact with elevated processes

Ha engedélyezi a beállítás Futtatás rendszergazdai jogosultságokkal vagy telepítés rendszer számára, ne hagyja, hogy a felhasználók ezeket az alkalmazásokat dolgozhat.If you enable the options to Run with administrative rights or Install for system, don't let users interact with those applications. Amikor konfigurál egy alkalmazást, a beállításhoz megadhatja az felhasználók megtekintése és a program telepítésébe.When you configure an application, you can set the option to Allow users to view and interact with the program installation. Ez a beállítás lehetővé teszi, hogy a felhasználók válaszoljanak a szükséges utasításokat a felhasználói felületen.This setting allows users to respond to any required prompts in the user interface. Ha az alkalmazás is konfigurálása Futtatás rendszergazdai jogosultságokkal, vagy az 1802-es verzió telepítés rendszer számára, a számítógépen, amelyen a program, a támadó a felhasználói felületet használhatja eszkalálni a jogosultságokat az ügyfélszámítógépen.If you also configure the application to Run with administrative rights, or starting in version 1802 Install for system, an attacker at the computer that runs the program could use the user interface to escalate privileges on the client computer.

A telepítő és a felhasználónkénti emelt szintű rendszergazdai hitelesítő adatokat igénylő szoftvertelepítést jogosultsággal a Windows Installer használó használata program.Use programs that use Windows Installer for setup and per-user elevated privileges for software deployments that require administrative credentials. A telepítő egy rendszergazdai hitelesítő adatokkal nem rendelkező felhasználót kontextusában kell futnia.Setup must be run in the context of a user who doesn't have administrative credentials. Windows Installer felhasználónkénti emelt szintű jogosultságokat adja meg a legbiztonságosabb ezzel a követelménnyel rendelkező alkalmazások központi telepítéséhez.Windows Installer per-user elevated privileges provide the most secure way to deploy applications that have this requirement.

Korlátozhatja, hogy a felhasználók telepíthetik szoftvert interaktív módonRestrict whether users can install software interactively

Konfigurálja a telepítési engedélyek beállítást a Számítógépügynök csoport.Configure the Install permissions client setting in the Computer Agent group. Ez a beállítás korlátozza a felhasználók számára, amelyekkel szoftver telepíthető az Alkalmazáskatalógus vagy a Szoftverközpont használatával a típusú.This setting restricts the types of users who can install software by using the Application Catalog or Software Center.

Például hozzon létre egy egyéni ügyfélbeállítást, amelynek Telepítési engedélyek lehetőségénél a Csak rendszergazdákértéket adja meg.For example, create a custom client setting with Install permissions set to Only administrators. Ezt az ügyfélbeállítást kiszolgálók gyűjteményére vonatkoznak.Apply this client setting to a collection of servers. Ez a konfiguráció megakadályozza, hogy a felhasználók szoftvert telepítsenek az ezeken a kiszolgálókon rendszergazdai engedélyek nélkül.This configuration prevents users without administrative permissions from installing software on those servers.

Mobileszközökre csak aláírt alkalmazásokat telepítsen.For mobile devices, deploy only applications that are signed

Mobileszköz-alkalmazások központi telepítése, ha aláírt kódú, amely megbízik a mobil eszköz hitelesítésszolgáltató (CA).Deploy mobile device applications only if they're code-signed by a certification authority (CA) that the mobile device trusts.

Példa:For example:

  • A szállítótól, például a VeriSign közismert hitelesítésszolgáltató által aláírt alkalmazás.An application from a vendor, which is signed by a well-known CA like VeriSign.

  • Belső alkalmazás, hogy be független a Configuration Manager a belső hitelesítésszolgáltató használatával.An internal application that you sign independent from Configuration Manager by using your internal CA.

  • Belső alkalmazás, amely az alkalmazástípus és a egy aláíró tanúsítványt használja a Configuration Manager használatával írja alá.An internal application that you sign by using Configuration Manager when you create the application type and use a signing certificate.

Tegye biztonságossá a helyet, a mobileszköz-alkalmazást aláíró tanúsítványSecure the location of the mobile device application signing certificate

Ha a mobileszköz-alkalmazások használatával írja alá a alkalmazás létrehozása varázsló a Configuration Managerben, gondoskodjon az aláírásitanúsítvány-fájlt tároló hely és a kommunikációs csatorna biztonságáról.If you sign mobile device applications by using the Create Application Wizard in Configuration Manager, secure the location of the signing certificate file, and secure the communication channel. Man-in-the-middle támadások ellen, és a jogok kiterjesztése elleni védelme érdekében az aláírásitanúsítvány-fájlt tárolja védett mappában.To help protect against elevation of privileges and against man-in-the-middle attacks, store the signing certificate file in a secured folder.

Használja az IPSec protokollt a következő számítógépek között:Use IPsec between the following computers:

  • A Configuration Manager konzolt futtató számítógépThe computer that runs the Configuration Manager console
  • Az aláírási tanúsítvány fájlját tároló számítógépThe computer that stores the certificate signing file
  • Az alkalmazás forrásfájljait tároló számítógépThe computer that stores the application source files

Másik lehetőségként írja alá az alkalmazást független a Configuration Manager és a futtatása előtt a alkalmazás létrehozása varázsló.Alternatively, sign the application independent of Configuration Manager and before you run the Create Application Wizard.

Alkalmazzon hozzáférés-vezérléstImplement access controls

A referencia-számítógépek védelméhez, alkalmazzon hozzáférés-vezérlést.To protect reference computers, implement access controls. Ha a referencia-számítógépet tallózással megkeresve konfigurál központi telepítési típus észlelési módszer, győződjön meg arról, hogy a számítógép nem sérül.When you configure the detection method in a deployment type by browsing to a reference computer, make sure that the computer isn't compromised.

Korlátozza és figyelje a rendszergazda felhasználókRestrict and monitor administrative users

Korlátozza, és kövesse nyomon a rendszergazda felhasználók számára biztosítson a következő felügyeleti szerepkör alapú biztonsági szerepkörökhöz:Restrict and monitor the administrative users who you grant the following application management role-based security roles:

  • Alkalmazás-rendszergazdaApplication Administrator
  • Alkalmazás szerzőjeApplication Author
  • Alkalmazás-KözpontiTelepítés kezelőApplication Deployment Manager

Amikor szerepköralapú felügyeletet konfigurál, előfordulhat, hogy az alkalmazásokat létrehozó és telepítő rendszergazdák több engedéllyel rendelkeznek, mint azt feltételezné.Even when you configure role-based administration, administrative users who create and deploy applications might have more permissions than you realize. Válassza például az a rendszergazda felhasználók akikhez létrehozása vagy módosítása egy alkalmazás függő alkalmazások, amelyek nem a saját biztonsági hatókörükbe tartoznak.For example, administrative users who create or change an application can select dependent applications that aren't in their security scope.

Az App-V alkalmazások azonos megbízhatósági szintű virtuális környezetekben konfigurálásaConfigure App-V apps in virtual environments with the same trust level

Amikor Microsoft Application Virtualization (App-V) virtuális környezeteket konfigurál, válassza ki az alkalmazásokat, a virtuális környezetben azonos megbízhatósági szintűek.When you configure Microsoft Application Virtualization (App-V) virtual environments, select applications that have the same trust level in the virtual environment. Alkalmazások App-V virtuális környezetben is megoszthatnak erőforrásokat, mert például a vágólapot, konfigurálja a virtuális környezetet, hogy a választott alkalmazások azonos megbízhatósági szintűek.Because applications in an App-V virtual environment can share resources, like the clipboard, configure the virtual environment so that the selected applications have the same trust level.

További információkért lásd: létrehozása az App-V virtuális környezetek.For more information, see Create App-V virtual environments.

Ellenőrizze, hogy a macOS-alkalmazások megbízható forrásból származnak.Make sure macOS apps are from a trustworthy source

Ha macOS-eszközökhöz készült alkalmazások telepít, győződjön meg arról, hogy a forrásfájlok megbízható forrásból származik.If you deploy applications for macOS devices, make sure that the source files are from a trustworthy source. A CMAppUtil eszköz nem ellenőrzi a forráscsomagok aláírását.The CMAppUtil tool doesn't validate the signature of the source package. Győződjön meg arról, hogy a csomag megbízható forrásból származik.Make sure the package comes from a source that you trust. A CMAppUtil eszközzel nem tudja észlelni, hogy a fájlok módosították.The CMAppUtil tool can't detect whether the files have been tampered with.

A macOS-alkalmazások cmmac fájl védelmeSecure the cmmac file for macOS apps

Ha MacOS rendszerű számítógépekhez készült alkalmazások telepít, tegye biztonságossá a helyet, az a .cmmac fájlt.If you deploy applications for macOS computers, secure the location of the .cmmac file. A CMAppUtil eszközzel előállított ezt a fájlt, és ezután importálja a Configuration Manager.The CMAppUtil tool generates this file, and then you import it to Configuration Manager. Ez a fájl nincs aláírva vagy érvényesítve.This file isn't signed or validated.

Amikor importálja ezt a fájlt a Configuration Manager a kommunikációs csatorna biztonságáról.Secure the communication channel when you import this file to Configuration Manager. A fájl illetéktelen módosításának megelőzése érdekében tárolja védett mappában.To help prevent tampering with this file, store it in a secured folder. Használja az IPSec protokollt a következő számítógépek között:Use IPsec between the following computers:

  • A Configuration Manager konzolt futtató számítógépThe computer that runs the Configuration Manager console
  • A számítógép, amely tárolja a .cmmac fájlThe computer that stores the .cmmac file

Webes alkalmazások a HTTPS PROTOKOLLT használjaUse HTTPS for web applications

Ha konfigurálja a webes alkalmazás központi telepítési típus, a HTTPS használatával biztonságossá tenni a kapcsolatot.If you configure a web application deployment type, use HTTPS to secure the connection. Ha a webes alkalmazást telepít központilag egy HTTP-kapcsolat helyett HTTPS-kapcsolat használatával, az eszköz egy engedélyezetlen kiszolgálóhoz sikerült irányítható.If you deploy a web application by using an HTTP link rather than an HTTPS link, the device could be redirected to a rogue server. Az eszköz és a kiszolgáló között átvitt adatok illetéktelenül sikerült.Data that's transferred between the device and server could be tampered with.

Az Alkalmazáskezelés biztonsági problémáiSecurity issues for application management

  • Az alacsony szintű jogosultsággal rendelkező felhasználók fájlokat másolhatnak az ügyfélszámítógépen lévő gyorsítótárból.Low-rights users can copy files from the client cache on the client computer.

    A felhasználók olvashatják az ügyfél gyorsítótárában, de nem írhatnak abba.Users can read the client cache but can't write to it. Olvasási engedély birtokában a felhasználók átmásolhatják egyik számítógépről a másikra az alkalmazások telepítőfájljait.With read permissions, a user can copy application installation files from one computer to another.

  • Alacsony szintű jogosultsággal rendelkező felhasználók módosíthatja a fájlokat, a központi Szoftvertelepítés előzményadatait az ügyfélszámítógépen.Low-rights users can change files that record software deployment history on the client computer.

    Mivel az alkalmazások előzményadatai nem védett, a felhasználók módosíthatják telepítve van-e egy alkalmazás rögzítő fájlokat.Because the application history information isn't protected, a user can change files that report whether an application is installed.

  • App-V-csomagok jelenleg nincs bejelentkezve.App-V packages aren't signed.

    A Configuration Manager App-V csomagok nem támogatják az aláírást.App-V packages in Configuration Manager don't support signing. Digitális aláírások ellenőrzése a tartalom megbízható forrásból származik-e, és nem lett módosítva az átvitel során.Digital signatures verify the content is from a trusted source and wasn't altered in transit. Nincs erre a problémára nincs megoldás.There's no mitigation for this security issue. Hajtsa végre a biztonsági szempontból ajánlott letölteni a tartalmat megbízható forrásból és biztonságos helyről.Follow the security best practice to download the content from a trusted source and from a secure location.

  • A közzétett App-V alkalmazásokat az összes felhasználó telepítheti a számítógépre.Published App-V applications can be installed by all users on the computer.

    Ha egy App-V alkalmazás közzé van téve egy számítógépen, az adott számítógépre bejelentkező összes felhasználó telepítheti az alkalmazást.When an App-V application is published on a computer, all users who sign in to that computer can install the application. Nem lehet korlátozni a felhasználókat, akik telepíthetik az alkalmazást, hogy közzététele után.You can't restrict the users who can install the application after it's published.

  • A mobileszközök a vállalati portál telepítési engedélyei nem korlátozhatók.You can't restrict install permissions for the company portal on mobile devices.

    Egy ügyfél-telepítési engedélyek korlátozására is konfigurálhat, de ez a beállítás a vállalati portál nem működik.Although you can configure a client setting to restrict installation permissions, this setting doesn't work for the company portal. A probléma a jogok kiterjesztésével eredményezhet.This issue could result in an elevation of privileges. Felhasználók, hogy azok nem engedélyezett a telepítés sikerült telepíteni.Users could install an app that they shouldn't be allowed to install.

Tanúsítványok Microsoft Silverlight 5 és az alkalmazáskatalógushoz szükséges emelt szintű megbízhatósági módCertificates for Microsoft Silverlight 5 and elevated trust mode required for the application catalog

Fontos

A Configuration Manager verziója az 1802-től kezdődően az ügyfél nem automatikusan telepíti a Silverlight.Starting in Configuration Manager version 1802, the client doesn't automatically install Silverlight.

Verzió 1806, kezdve a Silverlight felhasználói élmény számára az alkalmazáskatalógus weboldal-elérési pont már nem támogatott.Starting in version 1806, the Silverlight user experience for the application catalog website point is no longer supported. Felhasználói a új Szoftverközpontot használják.Users should use the new Software Center. További információkért lásd: konfigurálása a Szoftverközpont.For more information, see Configure Software Center.

A Configuration Manager ügyfelek verzió 1710 és korábbi verziók a felhasználók szoftvert tudjanak telepíteni az alkalmazáskatalógusból emelt szintű megbízhatósági módban futtatott Microsoft Silverlight 5 szükséges.Configuration Manager clients version 1710 and earlier require Microsoft Silverlight 5, which must run in elevated trust mode for users to install software from the Application Catalog. Alapértelmezés szerint a Silverlight alkalmazások részleges megbízhatósági módban futnak, hogy az alkalmazások ne férhessenek hozzá a felhasználói adatokhoz.By default, Silverlight applications run in partial trust mode to prevent applications from accessing user data. Ha még nincs telepítve, a Configuration Manager automatikusan telepíti a Microsoft Silverlight 5 használatát az ügyfeleken.If it isn't already installed, Configuration Manager automatically installs Microsoft Silverlight 5 on clients. Alapértelmezés szerint a Configuration Manager állítja a Számítógépügynök engedélyezése a Silverlight alkalmazások emelt szintű megbízhatóság módban való futásra ügyfél-eszközbeállítást Igen.By default, Configuration Manager sets the Computer Agent Allow Silverlight applications to run in elevated trust mode client setting to Yes. Ez a beállítás lehetővé teszi, hogy az aláírt és megbízható Silverlight alkalmazások kérelem emelt szintű megbízhatóság módban.This setting lets signed and trusted Silverlight applications request elevated trust mode.

Az Alkalmazáskatalógus webhely pont helyrendszerszerepkör telepítésekor az ügyfél is telepíti a Microsoft aláírási tanúsítványt a megbízható közzétevők tanúsítványtárolóba minden egyes Configuration Manager-ügyfélszámítógépeken.When you install the Application Catalog website point site system role, the client also installs a Microsoft signing certificate in the Trusted Publishers computer certificate store on each Configuration Manager client computer. A használatával aláírt Silverlight alkalmazások futtatása az emelt szintű megbízhatósági módban, amely számítógépeknek a szükséges szoftver telepítése az alkalmazáskatalógusból.Silverlight applications signed by this certificate run in the elevated trust mode, which computers require to install software from the Application Catalog. A Configuration Manager automatikusan kezeli ezt az aláírási tanúsítványt.Configuration Manager automatically manages this signing certificate. A szolgáltatás folytonosságának növelése érdekében ne manuálisan törlésére vagy áthelyezésére a Microsoft aláírási tanúsítványt.To increase service continuity, don't manually delete or move this Microsoft signing certificate.

Figyelmeztetés

Ha engedélyezve van, a engedélyezése a Silverlight alkalmazások emelt szintű megbízhatóság módban való futásra ügyfélbeállítás lehetővé teszi, hogy minden olyan Silverlight alkalmazás, amely alá van írva a megbízható közzétevők tanúsítványtárolóban, vagy a számítógép tanúsítványokkal vagy a felhasználói tárolóba, emelt szintű megbízhatósági módban fusson.When enabled, the Allow Silverlight applications to run in elevated trust mode client setting lets all Silverlight applications, which are signed by certificates in the Trusted Publishers certificate store in either the computer store or the user store, run in elevated trust mode. Az ügyfél-eszközbeállítást emelt szintű megbízhatóság módban nem lehet engedélyezni, kifejezetten a Configuration Manager Alkalmazáskatalógus vagy a megbízható közzétevők tanúsítványtárolóban, a számítógép tárolja.The client setting can't enable elevated trust mode specifically for the Configuration Manager Application Catalog or for the Trusted Publishers certificate store in the computer store. Ha egy engedélyezetlen tanúsítványt a megbízható közzétevők tárolójában, a saját Silverlight alkalmazását használó rosszindulatú most már futtathatja is emelt szintű megbízhatóság módban.If malware adds a rogue certificate in the Trusted Publishers store, malware that uses its own Silverlight application can now also run in elevated trust mode.

Ha a engedélyezése a Silverlight alkalmazások emelt szintű megbízhatóság módban való futásra beállítást nem, az ügyfelek ne távolítsa el a Microsoft aláírási tanúsítványt.If you set the Allow Silverlight applications to run in elevated trust mode setting to No, clients don't remove the Microsoft signing certificate.

További információ a Silverlight megbízható alkalmazásairól: megbízható alkalmazások.For more about trusted applications in Silverlight, see Trusted Applications.

Adatvédelmi információ az alkalmazáskezeléshezPrivacy information for application management

Az Alkalmazáskezelés lehetővé teszi bármilyen alkalmazás, program vagy parancsfájl futtatását a hierarchiában lévő bármelyik ügyfélre.Application management lets you run any application, program, or script on any client in the hierarchy. A Configuration Manager nem szabályozza, milyen típusú alkalmazásokat, programok vagy parancsprogramok futtatása vagy az általuk közvetített információk típusa rendelkezik.Configuration Manager has no control over the types of applications, programs, or scripts that you run or the type of information that they transmit. Az alkalmazás központi telepítési folyamat során a Configuration Manager, amely azonosítja az eszköz és az ügyfelek és kiszolgálók közötti bejelentkezési fiókok információt továbbíthat az.During the application deployment process, Configuration Manager might transmit information that identifies the device and sign-in accounts between clients and servers.

A Configuration Manager a szoftvertelepítési folyamat állapotadatokat őriz.Configuration Manager maintains status information about the software deployment process. Szoftvertelepítési állapotadatokat átvitel közben nem titkosítja, kivéve, ha az ügyfél HTTPS protokoll használatával kommunikál.Software deployment status information isn't encrypted during transmission unless the client communicates by using HTTPS. Az adatbázis titkosítás nélkül nem tárolja az állapotadatokat.The status information isn't stored in encrypted form in the database.

A Configuration Manager alkalmazás telepítése a távoli, interaktív vagy csendes szoftvertelepítéshez ügyfeleken használatát, a szoftver szoftverlicenc-szerződés vonatkozhatnak.The use of Configuration Manager application installation to remotely, interactively, or silently install software on clients might be subject to software license terms for that software. Ez a használati elkülönül a szoftverlicenc-feltételeket a System Center Configuration Managerhez.This use is separate from the Software License Terms for System Center Configuration Manager. Mindig tekintse át és fogadja el a szoftverfrissítések licencelési feltételeit szoftverek telepítéséhez a Configuration Manager használatával.Always review and agree to the Software Licensing Terms before you deploy software by using Configuration Manager.

A Configuration Manager diagnosztikai és használati adatokat gyűjt, alkalmazásokkal kapcsolatos jövőbeli kiadások javítása érdekében a Microsoft által használt.Configuration Manager collects diagnostics and usage data about applications, which is used by Microsoft to improve future releases. További információkért lásd: diagnosztikai és használati adatok.For more information, see Diagnostics and usage data.

Alkalmazás központi telepítése alapértelmezés szerint nem történik, és több konfigurációs lépésre van szükség.Application deployment doesn't happen by default and requires several configuration steps.

A következő funkciók segítségével hatékony szoftver központi telepítése:The following features help efficient software deployment:

  • Felhasználó-eszköz kapcsolat hozzárendeli a felhasználót adott eszközökhöz.User device affinity maps a user to devices. A Configuration Manager-rendszergazda felhasználó szoftver telepíti.A Configuration Manager administrator deploys software to a user. Az ügyfél automatikusan telepíti a szoftvert egy vagy több olyan számítógép, amely a felhasználó által leggyakrabban használt.The client automatically installs the software on one or more computers that the user uses most often.

  • A Alkalmazáskatalógus egy olyan webhely, amely lehetővé teszi a felhasználók kérést kell szoftvert telepíteni.The Application Catalog is a website that lets users request software to install.

    Megjegyzés

    A Configuration Manager az 1802-től kezdődően az Alkalmazáskatalógus elsődleges funkciója már elérhető a Szoftverközpontban.Starting in Configuration Manager 1802, the primary functionality of the Application Catalog is now included in Software Center. További információkért lásd: konfigurálása a Szoftverközpont.For more information, see Configure Software Center.

  • A Szoftverközpont automatikusan települ az eszközön a Configuration Manager-ügyfél telepítésekor.Software Center is installed automatically on a device when you install the Configuration Manager client. Felhasználói beállítások módosítása, alkalmazások között és telepíthet alkalmazásokat a Szoftverközpontban.Users change settings, browse for applications, and install applications from Software Center.

    Az alábbi szakaszok a adatvédelmi vonatkozásaival kapcsolatos információk felhasználó-eszköz kapcsolat és a Szoftverközpont és az Alkalmazáskatalógus.View the following sections for privacy information about user device affinity and Software Center and Application Catalog.

    Az alkalmazáskezelés konfigurálása előtt gondolja át az adatvédelmi követelményeit.Before you configure application management, consider your privacy requirements.

Felhasználó-eszköz kapcsolatUser device affinity

  • A Configuration Manager-ügyfelek és a felügyeleti pont helyrendszerei közötti információt továbbíthat.Configuration Manager might transmit information between clients and management point site systems. Az információk előfordulhat, hogy azonosítsa a számítógép és a bejelentkezési fiók és a bejelentkezési fiókok röviden bemutatják azok használatát.The information might identify the computer and sign-in account and the summarized usage for sign-in accounts.

  • Az ügyfél és kiszolgáló között továbbított nincs titkosítva, kivéve, ha a felügyeleti pont úgy van beállítva, az ügyfelek a HTTPS használatával kommunikálnak.The information that's transmitted between the client and server isn't encrypted, unless the management point is configured to require clients to communicate by using HTTPS.

  • A számítógép és a bejelentkezési fiókok használati adatait, amellyel a felhasználó leképezése egy eszközt, az ügyfélszámítógépeken tárolt, a felügyeleti pontokra küldött és a Configuration Manager-adatbázisban tárolja.The computer and sign-in account usage information, which is used to map a user to a device, is stored on client computers, sent to management points, and then stored in the Configuration Manager database. A régi információk alapértelmezés szerint 90 nap után törlődnek az adatbázisból.The old information is deleted from the database by default after 90 days. A törlési beállítás testre szabható a Felhasználó-eszköz kapcsolatra vonatkozó régi adatok törlése helykarbantartási feladat beállításával.The deletion behavior is configurable by setting the Delete Aged User Device Affinity Data site maintenance task.

  • A Configuration Manager a felhasználó-eszköz kapcsolatra vonatkozó állapotadatokat őriz meg.Configuration Manager maintains status information about user device affinity. Állapot nincs titkosítva továbbítás során, kivéve ha az ügyfelek felügyeleti pontokkal való kommunikáció HTTPS használatával.Status information isn't encrypted during transmission, unless clients are configured to communicate with management points by using HTTPS. Állapotinformáció nem az adatbázis titkosítás nélkül tárolja.Status information isn't stored in encrypted form in the database.

  • Számítógép, és jelentkezzen be, hogy a felhasználó-eszköz kapcsolat létesítésére szolgál használati adatok mindig engedélyezve van.Computer and sign-in usage information that's used to establish user and device affinity is always enabled. Felhasználók és rendszergazda felhasználók is adja meg a felhasználó-eszköz kapcsolatra vonatkozó információkat.Users and administrative users can supply user device affinity information.

A Szoftverközpont és az AlkalmazáskatalógusSoftware Center and Application Catalog

  • A Szoftverközpont és az Alkalmazáskatalógus lehetővé teszik a Configuration Manager felügyeleti bármilyen alkalmazás vagy a program vagy parancsfájl futtatását a közzététele.Software Center and the Application Catalog let the Configuration Manager admin publish any application or program or script for users to run. A Configuration Manager nem szabályozza, milyen típusú programokat vagy parancsfájlokat, a katalógusban közzétett vagy az általuk közvetített információk típusa rendelkezik.Configuration Manager has no control over the types of programs or scripts that are published in the catalog or the type of information that they transmit.

  • A Configuration Manager ügyfelek és az Alkalmazáskatalógus helyrendszerszerepkörök között információt továbbíthat.Configuration Manager might transmit information between clients and the Application Catalog site system roles. Az adatokat előfordulhat, hogy a számítógép és a bejelentkezési fiókjait azonosítják.The information might identify the computer and sign-in accounts. Az ügyfél és a kiszolgálók között továbbított nincs titkosítva, kivéve, ha ezen helyrendszerszerepkörök úgy vannak konfigurálva, hogy ügyfelek HTTPS használatával csatlakoznak.The information that's transmitted between the client and servers isn't encrypted, unless these site system roles are configured to require clients connect by using HTTPS.

  • Az alkalmazás-jóváhagyási kérelmekre vonatkozó információk a Configuration Manager adatbázisban tárolódik.The information about the application approval request is stored in the Configuration Manager database. A törölt vagy visszautasított kérelmek és a megfelelő kérelemelőzmény-bejegyzésekkel törlődnek alapértelmezés szerint 30 nap letelte után.Requests that are canceled or denied and the corresponding request history entries are deleted by default after 30 days. A törlési beállítás testre szabható az Alkalmazásigénylésekre vonatkozó régi adatok törlése helykarbantartási feladat beállításával.The deletion behavior is configurable by setting the Delete Aged Application Request Data site maintenance task. Alkalmazás-jóváhagyási kérelmek a jóváhagyott és függőben lévő állapotok soha nem törlődnek.Application approval requests that are in approved and pending states are never deleted.

  • A Szoftverközpont automatikusan települ az eszközön a Configuration Manager-ügyfél telepítésekor.Software Center is installed automatically when you install the Configuration Manager client on a device.

  • Az Alkalmazáskatalógus alapértelmezés szerint nincs telepítve.The Application Catalog isn't installed by default. Ez a telepítés több konfigurációs lépést igényel.This installation requires several configuration steps.