Biztonság konfigurálása a Configuration ManagerbenConfigure security in Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Ebben a cikkben az információk segítségével biztonsági beállítások a Configuration Manager beállításához.Use the information in this article to help you set up security-related options for Configuration Manager. Azt mutatja be a következő biztonsági beállítások:It covers the following security options:

Beállítások konfigurálása PKI-ügyféltanúsítványokhozConfigure settings for client PKI certificates

Ha nyilvános kulcsokra épülő infrastruktúrájú (PKI) tanúsítványokat kíván használni az Internet Information Services (IIS) rendszert használó helyrendszerek ügyfélkapcsolatainál, a következő eljárás segítségével konfigurálhat beállításokat ezekhez a tanúsítványokhoz.If you want to use public key infrastructure (PKI) certificates for client connections to site systems that use Internet Information Services (IIS), use the following procedure to configure settings for these certificates.

PKI-ügyféltanúsítvány beállításainak konfigurálásaTo configure client PKI certificate settings

  1. A Configuration Manager-konzolon nyissa meg a felügyeleti munkaterületen bontsa ki a Helykonfiguráció, és válassza ki a helyek csomópont.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Válassza ki a konfigurálni kívánt elsődleges helyre.Select the primary site to configure.

  2. Válassza a menüszalag tulajdonságok.In the ribbon, choose Properties. Ezután váltson a ügyfélszámítógép-kommunikáció fülre.Then switch to the Client Computer Communication tab.

    Ez a lap csak elsődleges helyeknél érhető el.This tab is available on a primary site only. Ha nem látja a ügyfélszámítógép-kommunikáció lapra, győződjön meg arról, hogy nem csatlakozik egy központi adminisztrációs hely vagy másodlagos helyhez.If you don't see the Client Computer Communication tab, make sure that you're not connected to a central administration site or a secondary site.

  3. Válassza ki az IIS-t használó helyrendszerekkel beállításait.Select the settings for site systems that use IIS.

    • Csak HTTPS: Mindig a helyhez rendelt ügyfelek PKI-ügyféltanúsítványt használni, amikor az IIS rendszert használó helyrendszerekhez csatlakoznak.HTTPS only: Clients that are assigned to the site always use a client PKI certificate when they connect to site systems that use IIS.

    • HTTPS vagy HTTP: Ügyfelek PKI-tanúsítványok használata nem feltétlenül szükséges.HTTPS or HTTP: You don't require clients to use PKI certificates.

    • A HTTP használata a Configuration Manager által generált tanúsítványok beléptetésihely-rendszerek: Ezzel a beállítással kapcsolatban további információkért lásd: fokozott HTTP.Use Configuration Manager-generated certificates for HTTP site systems: For more information on this setting, see Enhanced HTTP.

  4. Válassza ki az ügyfélszámítógépek beállításait.Select the settings for client computers.

    • Nyilvános kulcsokra épülő infrastruktúra ügyféltanúsítvány használata (ügyfél-hitelesítési képesség) Ha elérhető: Ha úgy döntött a HTTPS vagy HTTP hely beállítást, válassza ezt a beállítást, használja az ügyfél PKI-tanúsítványt a HTTP-kapcsolatoknál.Use client PKI certificate (client authentication capability) when available: If you chose the HTTPS or HTTP site server setting, choose this option to use a client PKI certificate for HTTP connections. Az ügyfélszámítógép ezt a tanúsítványt fogja használni önaláírt tanúsítvány helyett önmaga hitelesítéséhez a helyrendszereknél.The client uses this certificate instead of a self-signed certificate to authenticate itself to site systems. Ha úgy döntött csak HTTPS, ez a beállítás automatikusan ki van.If you chose HTTPS only, this option is automatically chosen.

    Ha egynél több érvényes PKI-ügyféltanúsítvány érhető el egy ügyfélnél, módosítás ügyfél-tanúsítvány kiválasztási módszer konfigurálása.When more than one valid PKI client certificate is available on a client, choose Modify to configure the client certificate selection methods.

    Az ügyféltanúsítvány kijelöléséről a további tudnivalókat lásd: Planning for PKI client certificate selection.For more information about the client certificate selection method, see Planning for PKI client certificate selection.

    • Az ügyfelek ellenőrizze a visszavont tanúsítványok listáját (CRL) a helyrendszerekhez: Engedélyezi ezt a beállítást, az ügyfelek számára, hogy ellenőrizze a visszavont tanúsítványok a szervezet CRL-t.Clients check the certificate revocation list (CRL) for site systems: Enable this setting for clients to check your organization's CRL for revoked certificates.

    Az ügyfelek CRL-ellenőrzéséről a további tudnivalókat lásd: Planning for PKI certificate revocation.For more information about CRL checking for clients, see Planning for PKI certificate revocation.

  5. Importálja, megtekintheti, és törölje a megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványainak, válassza a beállítása.To import, view, and delete the certificates for trusted root certification authorities, choose Set.

    További információkért lásd: tervezése a PKI-főtanúsítványok és a tanúsítvány tanúsítványkibocsátói lista megbízható.For more information, see Planning for the PKI trusted root certificates and the certificate issuers List.

Ismételje meg ezt az eljárást a hierarchiában található összes elsődleges helyre vonatkozóan.Repeat this procedure for all primary sites in the hierarchy.

Aláírás és titkosítás konfigurálásaConfigure signing and encryption

Adja meg a legbiztonságosabb aláírási és titkosítási beállításokat a helyrendszerekhez, amelyeket a hely összes ügyfélszámítógépe támogat.Configure the most secure signing and encryption settings for site systems that all clients in the site can support. Ezek a beállítások különösen akkor fontosak, ha lehetővé teszi az ügyfelek számára önaláírt tanúsítványok használatát a helyrendszerekkel való HTTP alapú kommunikációnál.These settings are especially important when you let clients communicate with site systems by using self-signed certificates over HTTP.

Aláírás és titkosítás konfigurálása adott helyhezTo configure signing and encryption for a site

  1. A Configuration Manager-konzolon nyissa meg a felügyeleti munkaterületen bontsa ki a Helykonfiguráció, és válassza ki a helyek csomópont.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Válassza ki a konfigurálni kívánt elsődleges helyre.Select the primary site to configure.

  2. Válassza a menüszalagon tulajdonságok, és váltson a aláírás és titkosítás fülre.In the ribbon, select Properties, and then switch to the Signing and Encryption tab.

    Ez a lap csak elsődleges helyeknél érhető el.This tab is available on a primary site only. Ha nem látja a aláírás és titkosítás lapra, győződjön meg arról, hogy nem csatlakozik egy központi adminisztrációs hely vagy másodlagos helyhez.If you don't see the Signing and Encryption tab, make sure that you're not connected to a central administration site or a secondary site.

  3. Az ügyfelek kommunikálnak a hellyel az aláírási és titkosítási beállításainak megadásaConfigure the signing and encryption options for clients to communicate with the site.

    • Aláírásának igénylése: Mielőtt elküldi a felügyeleti pont az ügyfelek aláírják az adatokat.Require signing: Clients sign data before sending to the management point.

    • SHA-256 megkövetelése: Az ügyfelek az SHA-256 algoritmust használják az adatok bejelentkezéskor.Require SHA-256: Clients use the SHA-256 algorithm when signing data.

    Figyelmeztetés

    Nem SHA-256 megkövetelése nélkül megerősíti, hogy az összes ügyfélszámítógép támogatja ezt a kivonatoló algoritmust.Don't Require SHA-256 without first confirming that all clients support this hash algorithm. Ezek az ügyfelek közé tartozik, amelyet a hely lesz hozzárendelve a jövőben.These clients include ones that might be assigned to the site in the future.

    Ha ezt a lehetőséget, és az ügyfelek számára önaláírt tanúsítványok nem támogatja az SHA-256, a Configuration Manager elutasítja ezeket.If you choose this option, and clients with self-signed certificates can't support SHA-256, Configuration Manager rejects them. Az SMS_MP_CONTROL_MANAGER összetevő az 5443 Azonosítójú üzenetet naplózza.The SMS_MP_CONTROL_MANAGER component logs the message ID 5443.

    • Használjon titkosítást: Ügyfelek ügyfél készlet és az állapotüzeneteket a felügyeleti pontnak elküldése előtt titkosítja.Use encryption: Clients encrypt client inventory data and status messages before sending to the management point. A 3DES algoritmust használnak.They use the 3DES algorithm.

Ismételje meg ezt az eljárást a hierarchiában található összes elsődleges helyre vonatkozóan.Repeat this procedure for all primary sites in the hierarchy.

Szerepköralapú felügyelet konfigurálásaConfigure role-based administration

A szerepkör alapú felügyelet biztonsági szerepköröket, biztonsági hatóköröket és hozzárendelt gyűjteményeket használ vegyesen felügyeleti hatókör definiálásához az egyes rendszergazda felhasználók számára.Role-based administration combines security roles, security scopes, and assigned collections to define the administrative scope for each administrative user. A hatókör az objektumokat tartalmazza, amelyek a felhasználó megtekintheti a konzolon, és azokat az objektumokat, amelyek rendelkeznek ehhez engedéllyel kapcsolatos feladatokat.A scope includes the objects that a user can view in the console, and the tasks related to those objects that they have permission to do. A szerepkör alapú felügyeleti beállítások az adott hierarchia minden helyére érvényesek.Role-based administration configurations are applied at each site in a hierarchy.

További információkért lásd: szerepköralapú Adminisztráció konfigurálása.For more information, see Configure role-based administration. Ez a cikk részletesen, a következő műveleteket:This article details the following actions:

  • Egyéni biztonsági szerepkörök létrehozásaCreate custom security roles

  • Biztonsági szerepkörök konfigurálásaConfigure security roles

  • Az objektum biztonsági hatókörök konfigurálásaConfigure security scopes for an object

  • Gyűjtemények konfigurálása biztonság kezeléséhezConfigure collections to manage security

  • Új rendszergazda felhasználó létrehozásaCreate a new administrative user

  • Egy rendszergazda felhasználó felügyeleti hatókörének módosításaModify the administrative scope of an administrative user

Fontos

Saját felügyeleti hatóköre határozza meg azokat az objektumokat és beállításokat, amelyeket hozzárendelhet, amikor szerepkör alapú felügyeletet konfigurál másik rendszergazda felhasználó számára.Your own administrative scope defines the objects and settings that you can assign when you configure role-based administration for another administrative user. További információ a szerepköralapú felügyelet tervezéséről: szerepköralapú Adminisztráció alapjai.For information about planning for role-based administration, see Fundamentals of role-based administration.

Configuration Manager által használt fiókok kezeléseManage accounts that Configuration Manager uses

A Configuration Manager számos különböző feladat támogatja a Windows-fiókokat, és használja.Configuration Manager supports Windows accounts for many different tasks and uses. A különböző feladatokhoz konfigurált fiókok megtekintése és kezelése a Configuration Manager által használt minden egyes fiókhoz jelszót használja az alábbi eljárást:To view accounts that are configured for different tasks, and to manage the password that Configuration Manager uses for each account, use the following procedure:

Configuration Manager által használt fiókok kezeléseTo manage accounts that Configuration Manager uses

  1. A Configuration Manager-konzolon nyissa meg a felügyeleti munkaterületet, bontsa ki a biztonsági, majd válassza a fiókok csomópont.In the Configuration Manager console, go to the Administration workspace, expand Security, and then choose the Accounts node.

  2. Egy fiók jelszavának módosításához válassza ki a fiókot a listában.To change the password for an account, select the account in the list. Válassza a tulajdonságok a menüszalagon.Then choose Properties in the ribbon.

  3. Válasszon beállítása megnyitásához a Windows felhasználói fiók párbeszédpanel bezárásához.Choose Set to open the Windows User Account dialog box. Adja meg a Configuration Manager ehhez a fiókhoz használandó új jelszót.Specify the new password for Configuration Manager to use for this account.

    Megjegyzés

    Az Ön által megadott jelszót meg kell egyeznie az Active Directoryban ez a fiók jelszavát.The password that you specify must match this account's password in Active Directory.

További információkért lásd: a Configuration Managerben használt fiókok.For more information, see Accounts used in Configuration Manager.

Az Azure Active Directory konfigurálásaConfigure Azure Active Directory

Configuration Manager integrálása az Azure Active Directory (Azure AD) egyszerűbbé tétele és a felhőben a környezetben.Integrate Configuration Manager with Azure Active Directory (Azure AD) to simplify and cloud-enable your environment. Engedélyezze a hely és az ügyfelek az Azure AD használatával történő hitelesítéshez.Enable the site and clients to authenticate by using Azure AD. További információkért lásd: a Felhőfelügyelet szolgáltatásának konfigurálása Azure-szolgáltatások.For more information, see the Cloud Management service in Configure Azure services.

SMS-szolgáltató-hitelesítés konfigurálásaConfigure SMS Provider authentication

A verzió 1810-től kezdődően megadhat a minimális hitelesítési szintet a rendszergazdák a Configuration Manager-helyek eléréséhez.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Ez a szolgáltatás megköveteli a rendszergazdák számára, hogy jelentkezzen be Windows-a szükséges szintet.This feature enforces administrators to sign in to Windows with the required level. További információkért lásd: az SMS-szolgáltató tervezése.For more information, see Plan for the SMS Provider.

További információSee also