Configurare la sicurezza in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Usare le informazioni contenute in questo articolo per configurare le opzioni correlate alla sicurezza per Configuration Manager. Prima di iniziare, assicurarsi di avere un piano per la sicurezza.

Importante

A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.

Certificati PKI client

Se si desidera usare i certificati dell'infrastruttura a chiave pubblica (PKI) per le connessioni client ai sistemi del sito che usano Internet Information Services (IIS), usare la procedura seguente per configurare le impostazioni per questi certificati.

1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Siti. Selezionare il sito primario da configurare.

2. Nella barra multifunzione scegliere Proprietà. Passare quindi alla scheda Sicurezza delle comunicazioni .

3. Selezionare le impostazioni per i sistemi del sito che usano IIS.

   • Solo HTTPS: i client assegnati al sito usano sempre un certificato PKI client quando si connettono ai sistemi del sito che usano IIS. Ad esempio, un punto di gestione e un punto di distribuzione.

   • HTTPS o HTTP: non è necessario che i client usno i certificati PKI.

   • Usare i certificati generati da Configuration Manager per i sistemi del sito HTTP: per altre informazioni su questa impostazione, vedere HTTP avanzato.

4. Selezionare le impostazioni per i computer client.

   • Usare il certificato PKI client (funzionalità di autenticazione client) quando disponibile: se si sceglie l'impostazione del server del sito HTTPS o HTTP , scegliere questa opzione per usare un certificato PKI client per le connessioni HTTP. Il client usa questo certificato anziché un certificato autofirmato per autenticarsi nei sistemi del sito. Se si sceglie solo HTTPS, questa opzione viene scelta automaticamente.

     Quando in un client sono disponibili più certificati client PKI validi, selezionare Modifica per configurare i metodi di selezione del certificato client. Per altre informazioni sul metodo di selezione del certificato client, vedere Pianificazione della selezione del certificato client PKI.

   • I client controllano l'elenco di revoche di certificati (CRL) per i sistemi del sito: abilitare questa impostazione per consentire ai client di controllare l'elenco CRL dell'organizzazione per i certificati revocati. Per altre informazioni sul controllo CRL per i client, vedere Pianificazione della revoca del certificato PKI.

5. Per importare, visualizzare ed eliminare i certificati per le autorità di certificazione radice attendibili, selezionare Imposta. Per altre informazioni, vedere Planning for the PKI trusted root certificates and the certificate issuers List .SEE Planning for the PKI trusted root certificates and the certificate issuers List.For more information, see Planning for the PKI trusted root certificates and the certificate issuers List.

Ripetere questa procedura per tutti i siti primari nella gerarchia.

Gestire la chiave radice attendibile

Usare queste procedure per effettuare il pre-provisioning e verificare la chiave radice attendibile per un client Configuration Manager.

Nota

Se i client possono ottenere la chiave radice attendibile da Active Directory Domain Services o push client, non è necessario eseguirne il pre-provisioning.

Quando i client usano la comunicazione HTTPS ai punti di gestione, non è necessario effettuare il pre-provisioning della chiave radice attendibile. Stabiliscono l'attendibilità tramite i certificati PKI.

Per altre informazioni sulla chiave radice attendibile, vedere Pianificare la sicurezza.

Effettuare il pre-provisioning di un client con la chiave radice attendibile usando un file

1. Nel server del sito passare alla directory di installazione Configuration Manager. \bin\<platform> Nella sottocartella aprire il file seguente in un editor di testo:mobileclient.tcf

2. Individuare la voce , SMSPublicRootKey. Copiare il valore da tale riga e chiudere il file senza salvare alcuna modifica.

3. Creare un nuovo file di testo e incollare il valore della chiave copiato dal file mobileclient.tcf.

4. Salvare il file in un percorso in cui tutti i computer possono accederle, ma in cui il file è al sicuro da manomissioni.

5. Installare il client usando qualsiasi metodo di installazione che accetti client.msi proprietà. Specificare la proprietà seguente: SMSROOTKEYPATH=<full path and file name>

   Importante

   Quando si specifica la chiave radice attendibile durante l'installazione client, specificare anche il codice del sito. Utilizzare la proprietà client.msi seguente: SMSSITECODE=<site code>

Effettuare il pre-provisioning di un client con la chiave radice attendibile senza usare un file

1. Nel server del sito passare alla directory di installazione Configuration Manager. \bin\<platform> Nella sottocartella aprire il file seguente in un editor di testo:mobileclient.tcf

2. Individuare la voce , SMSPublicRootKey. Copiare il valore da tale riga e chiudere il file senza salvare alcuna modifica.

3. Installare il client usando qualsiasi metodo di installazione che accetti client.msi proprietà. Specificare la proprietà client.msi seguente: SMSPublicRootKey=<key> dove <key> è la stringa copiata da mobileclient.tcf.

   Importante

   Quando si specifica la chiave radice attendibile durante l'installazione client, specificare anche il codice del sito. Utilizzare la proprietà client.msi seguente: SMSSITECODE=<site code>

Verificare la chiave radice attendibile in un client

1. Aprire una console di Windows PowerShell come amministratore.

2. Eseguire il comando riportato di seguito:

   (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
   

La stringa restituita è la chiave radice attendibile. Verificare che corrisponda al valore SMSPublicRootKey nel file mobileclient.tcf nel server del sito.

Rimuovere o sostituire la chiave radice attendibile

Rimuovere la chiave radice attendibile da un client usando la proprietà client.msi , RESETKEYINFORMATION = TRUE.

Per sostituire la chiave radice attendibile, reinstallare il client insieme alla nuova chiave radice attendibile. Ad esempio, usare il push client o specificare la proprietà client.msi SMSPublicRootKey.

Per altre informazioni su queste proprietà di installazione, vedere Informazioni sui parametri e sulle proprietà di installazione client.

Firma e crittografia

Configurare le impostazioni di firma e crittografia più sicure per i sistemi del sito supportate da tutti i client del sito. Queste impostazioni sono particolarmente importanti quando si consente ai client di comunicare con i sistemi del sito usando certificati autofirmati tramite HTTP.

1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Siti. Selezionare il sito primario da configurare.

2. Nella barra multifunzione selezionare Proprietà e quindi passare alla scheda Firma e crittografia .

   Questa scheda è disponibile solo in un sito primario. Se la scheda Firma e crittografia non è visualizzata , assicurarsi di non essere connessi a un sito di amministrazione centrale o a un sito secondario.

3. Configurare le opzioni di firma e crittografia per consentire ai client di comunicare con il sito.

   • Richiedi firma: i client firmano i dati prima dell'invio al punto di gestione.

   • Richiedi SHA-256: i client usano l'algoritmo SHA-256 durante la firma dei dati.

     Avviso

     Non richiedere SHA-256 senza prima confermare che tutti i client supportano questo algoritmo hash. Questi client includono quelli che potrebbero essere assegnati al sito in futuro.

     Se si sceglie questa opzione e i client con certificati autofirmati non possono supportare SHA-256, Configuration Manager li rifiuta. Il componente SMS_MP_CONTROL_MANAGER registra l'ID messaggio 5443.

   • Usa crittografia: i client crittografano i dati di inventario client e i messaggi di stato prima dell'invio al punto di gestione.

Ripetere questa procedura per tutti i siti primari nella gerarchia.

Amministrazione basata su ruoli

L'amministrazione basata sui ruoli combina ruoli di sicurezza, ambiti di sicurezza e raccolte assegnate per definire l'ambito amministrativo per ogni utente amministratore. Un ambito include gli oggetti che un utente può visualizzare nella console e le attività correlate agli oggetti a cui ha l'autorizzazione. Le configurazioni di amministrazione basate sui ruoli vengono applicate in ogni sito di una gerarchia.

Per altre informazioni, vedere Configurare l'amministrazione basata su ruoli. Questo articolo illustra in dettaglio le azioni seguenti:

• Creare ruoli di sicurezza personalizzati

• Configurare i ruoli di sicurezza

• Configurare gli ambiti di sicurezza per un oggetto

• Configurare le raccolte per gestire la sicurezza

• Creare un nuovo utente amministratore

• Modificare l'ambito amministrativo di un utente amministratore

Importante

Il proprio ambito amministrativo definisce gli oggetti e le impostazioni che è possibile assegnare quando si configura l'amministrazione basata sui ruoli per un altro utente amministratore. Per informazioni sulla pianificazione per l'amministrazione basata su ruoli, vedere Nozioni fondamentali sull'amministrazione basata su ruoli.

Gestire gli account

Configuration Manager supporta gli account di Windows per molte attività e usi diversi. Per visualizzare gli account configurati per attività diverse e per gestire la password usata Configuration Manager per ogni account, seguire questa procedura:

1. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Sicurezza e quindi scegliere il nodo Account.

2. Per modificare la password per un account, selezionare l'account nell'elenco. Scegliere quindi Proprietà nella barra multifunzione.

3. Scegliere Imposta per aprire la finestra di dialogo Account utente di Windows . Specificare la nuova password per Configuration Manager da usare per questo account.

   Nota

   La password specificata deve corrispondere alla password dell'account in Active Directory.

Per altre informazioni, vedere Account usati in Configuration Manager.

Microsoft Entra ID

Integrare Configuration Manager con Microsoft Entra ID per semplificare e abilitare nel cloud l'ambiente. Abilitare il sito e i client per l'autenticazione usando Microsoft Entra ID.

Per altre informazioni, vedere il servizio Gestione cloud in Configurare i servizi di Azure.

Autenticazione del provider SMS

È possibile specificare il livello di autenticazione minimo per consentire agli amministratori di accedere ai siti Configuration Manager. Questa funzionalità impone agli amministratori di accedere a Windows con il livello richiesto prima di poter accedere a Configuration Manager. Per altre informazioni, vedere Pianificare l'autenticazione del provider SMS.

Importante

Questa configurazione è un'impostazione a livello di gerarchia. Prima di modificare questa impostazione, assicurarsi che tutti gli amministratori Configuration Manager possano accedere a Windows con il livello di autenticazione necessario.

Per configurare questa impostazione, seguire questa procedura:

1. Accedere prima a Windows con il livello di autenticazione previsto.

2. Nella console Configuration Manager passare all'area di lavoro Amministrazione, espandere Configurazione sito e selezionare il nodo Siti.

3. Selezionare Impostazioni gerarchia nella barra multifunzione.

4. Passare alla scheda Autenticazione . Selezionare il livello di autenticazione desiderato e quindi selezionare OK.

   • Solo se necessario, selezionare Aggiungi per escludere utenti o gruppi specifici. Per altre informazioni, vedere Esclusioni.

Esclusioni

Dalla scheda Autenticazione di Impostazioni gerarchia è anche possibile escludere determinati utenti o gruppi. Usare questa opzione con parsimonia. Ad esempio, quando utenti specifici richiedono l'accesso alla console di Configuration Manager, ma non possono eseguire l'autenticazione a Windows al livello richiesto. Può anche essere necessario per l'automazione o i servizi eseguiti nel contesto di un account di sistema.

Passaggi successivi

• Come abilitare TLS 1.2

• Informazioni di riferimento tecniche sui controlli crittografici

• Comunicazione tra endpoint