Configuration Manager クライアントのセキュリティとプライバシー

適用対象: Configuration Manager (Current Branch)

この記事では、Configuration Manager クライアントのセキュリティとプライバシーに関する情報について説明します。 また、コネクタによって管理されるモバイル デバイスの情報もExchange Serverします

クライアントのセキュリティ ガイダンス

Configuration Manager サイトは、Configuration Manager クライアントを実行するデバイスからのデータを受け入れる。 この動作では、クライアントがサイトを攻撃するリスクが発生します。 たとえば、不正な形式のインベントリを送信したり、サイト システムの過負荷を試みる可能性があります。 Configuration Manager クライアントは、信頼できるデバイスにのみ展開します。

不正なデバイスや侵害されたデバイスからサイトを保護するには、次のセキュリティ ガイダンスを使用します。

IIS を実行するサイト システムとのクライアント通信に公開キー基盤 (PKI) 証明書を使用する

  • サイト プロパティとして、HTTPS 専用 のサイト システム設定****を構成します。 詳細については、「Configure security 」を参照してください

  • UsePKICert CCMSetup プロパティを使用してクライアントをインストールします。

  • 証明書失効 リスト (CRL) を 使用します。 クライアントと通信サーバーが常にアクセスできます。

モバイル デバイス クライアントと一部のインターネット ベースのクライアントでは、これらの証明書が必要です。 イントラネット上のすべてのクライアント接続に対して、これらの証明書を推奨します。

Configuration Manager での証明書の使用の詳細については、「証明書の計画 」を参照してください

重要

Configuration Manager バージョン 2103 から、HTTP クライアント通信を許可するサイトは廃止されました。 HTTPS または拡張 HTTP のサイトを構成します。 詳細については 、「HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください

信頼できるドメインからクライアント コンピューターを自動的に承認し、他のコンピューターを手動で確認および承認する

PKI 認証を使用できない場合、承認は、Configuration Manager によって管理される信頼できるコンピューターを識別します。 階層には、クライアント承認を構成するための次のオプションがあります。

  • Manual
  • 信頼できるドメイン内のコンピューターの自動
  • すべてのコンピューターの自動

最も安全な承認方法は、信頼できるドメインのメンバーであるクライアントを自動的に承認する方法です。 このオプションには、接続されたテナント (Azure Active Directory) テナントAzure AD含まれます。 その後、他のすべてのコンピューターを手動で確認して承認します。 信頼できないコンピューターがネットワークにアクセスできない他のアクセス制御がない限り、すべてのクライアントを自動的に承認する方法は推奨されません。

コンピューターを手動で承認する方法の詳細については、「デバイス ノードからクライアントを管理 する」を参照してください

クライアントが Configuration Manager 階層にアクセスできないブロックに依存しない

ブロックされたクライアントは、Configuration Manager インフラストラクチャによって拒否されます。 クライアントがブロックされている場合は、サイト システムと通信してポリシーをダウンロードしたり、インベントリ データをアップロードしたり、状態メッセージや状態メッセージを送信したりできない。

ブロックは、次のシナリオ用に設計されています。

  • OS をクライアントに展開するときに、失われたブート メディアまたは侵害されたブート メディアをブロックするには
  • すべてのサイト システムが HTTPS クライアント接続を受け入れる場合

サイト システムが HTTP クライアント接続を受け入れる場合は、信頼されていないコンピューターから Configuration Manager 階層を保護するためにブロックに依存しません。 このシナリオでは、ブロックされたクライアントが新しい自己署名証明書とハードウェア ID を使用してサイトに再び追加される可能性があります。

証明書の失効は、侵害される可能性のある証明書に対する主要な防御行です。 証明書失効リスト (CRL) は、サポートされている公開キー基盤 (PKI) からのみ使用できます。 Configuration Manager でクライアントをブロックすると、階層を保護するための 2 行目の防御が提供されます。

詳細については、「クライアントをブロック するかどうかを決定する」を参照してください

環境で実用的な最も安全なクライアント インストール方法を使用する

  • ドメイン コンピューターの場合、 グループ ポリシー クライアント インストールと ソフトウェア更新ベース のクライアント インストール方法は、クライアント プッシュ インストールよりも 安全 です。

  • アクセス制御と変更コントロールを適用する場合は、イメージングと手動インストール方法を使用します。

  • クライアント プッシュ インストールで Kerberos 相互認証を使用します。

すべてのクライアント インストール方法のうち、クライアント プッシュ インストールは、依存関係が多いので、最も安全ではありません。 これらの依存関係には、ローカルの管理アクセス許可、 Admin$ 共有、およびファイアウォールの例外が含まれます。 これらの依存関係の数と種類によって、攻撃の表面が増加します。

クライアント プッシュを使用する場合、サイトは接続を確立する前に NTLM へのフォールバックを許可しない Kerberos 相互認証を必要とする場合があります。 この機能強化は、サーバーとクライアント間の通信をセキュリティで保護するのに役立ちます。 詳細については、「クライアント プッシュを 使用してクライアントをインストールする方法」を参照してください

さまざまなクライアント インストール方法の詳細については、「クライアント インストール 方法」を参照してください

可能な限り、Configuration Manager で最小のセキュリティアクセス許可を必要とするクライアント インストール方法を選択します。 クライアントの展開以外の目的で使用できるアクセス許可を持つセキュリティ ロールが割り当てられている管理ユーザーを制限します。 たとえば、クライアントの自動アップグレードを構成するには、管理者の完全なセキュリティ ロールが必要です。管理者ユーザーに対してすべてのセキュリティアクセス許可が付与されます。

各クライアント インストール方法に必要な依存関係とセキュリティアクセス許可の詳細については、「コンピューター クライアントの前提条件 」を参照してください

クライアント プッシュ インストールを使用する必要があります。クライアント プッシュ インストール アカウントをセキュリティで保護する

クライアント プッシュ インストール アカウントは 、Configuration Manager クライアントをインストールする各コンピューターのローカル Administrators グループのメンバーである必要があります。 クライアント プッシュ インストール アカウントを Domain Admins グループに追加 しない。 代わりに、グローバル グループを作成し、そのグローバル グループをクライアントのローカル Administrators グループに追加します。 グループ ポリシー オブジェクトを作成して、制限付きグループ 設定 を追加して、クライアント プッシュ インストール アカウントをローカル の Administrators グループに追加 します。

セキュリティを強化するには、複数のクライアント プッシュ インストール アカウントを作成し、それぞれに制限された数のコンピューターに対する管理アクセス権を持つアカウントを作成します。 1 つのアカウントが侵害された場合、そのアカウントにアクセスできるクライアント コンピューターだけが侵害されます。

クライアントをイメージングする前に証明書を削除する

OS イメージを使用してクライアントを展開する場合は、イメージをキャプチャする前に必ず証明書を削除してください。 これらの証明書には、クライアント認証用の PKI 証明書と自己署名証明書が含まれます。 これらの証明書を削除しない場合、クライアントは互いに偽装する可能性があります。 クライアントごとにデータを確認できない。

詳細については、「タスク シーケンスを 作成して OS をキャプチャする」を参照してください

Configuration Manager クライアントが証明書の承認されたコピーを取得する

Configuration Manager の信頼されたルート キー証明書

次の両方のステートメントが true の場合、クライアントは有効な管理ポイントを認証するために Configuration Manager の信頼されたルート キーに依存します。

  • Configuration Manager の Active Directory スキーマを拡張していない
  • クライアントが管理ポイントと通信するときに PKI 証明書を使用しない

このシナリオでは、クライアントは、信頼されたルート キーを使用しない限り、管理ポイントが階層に対して信頼済みであるのを確認する方法はありません。 信頼されたルート キーがない場合、熟練した攻撃者がクライアントを不正な管理ポイントに指示する可能性があります。

クライアントが PKI 証明書を使用しない場合、Active Directory グローバル カタログから信頼されたルート キーをダウンロードできない場合は、信頼されたルート キーを使用してクライアントを事前に準備します。 このアクションを実行すると、不正な管理ポイントにアクセスできない可能性があります。 詳細については、「信頼できるルート キーの計画」を参照してください

サイト サーバー署名証明書

クライアントは、サイト サーバー署名証明書を使用して、サイト サーバーが管理ポイントからダウンロードしたポリシーに署名したと確認します。 この証明書は、サイト サーバーによって自己署名され、Active Directory ドメイン サービスに発行されます。

クライアントが Active Directory グローバル カタログからこの証明書をダウンロードできない場合は、既定で管理ポイントからダウンロードします。 管理ポイントがインターネットのような信頼されていないネットワークに公開されている場合は、サイト サーバー署名証明書をクライアントに手動でインストールします。 このアクションにより、改ざんされたクライアント ポリシーを侵害された管理ポイントからダウンロードできない。

サイト サーバー署名証明書を手動でインストールするには、CCMSetup client.msi SMSSIGNCERT を使用します

クライアントが連絡先の最初の管理ポイントから信頼できるルート キーをダウンロードする場合は、サイトの自動割り当てを使用しない

新しいクライアントが不正な管理ポイントから信頼されたルート キーをダウンロードするリスクを回避するには、次のシナリオでのみ自動サイト割り当てを使用します。

  • クライアントは、Active Directory ドメイン サービスに発行された Configuration Manager サイト情報にアクセスできます。

  • 信頼されたルート キーを使用してクライアントを事前準備します。

  • エンタープライズ証明機関の PKI 証明書を使用して、クライアントと管理ポイントの間で信頼を確立します。

信頼されたルート キーの詳細については、「信頼されたルート キーの計画 」を参照してください

重要なソフトウェア更新プログラムを展開するのに十分な大きいメンテナンス ウィンドウを確認する

デバイス コレクションのメンテナンス ウィンドウでは、Configuration Manager がこれらのデバイスにソフトウェアをインストールできる時間が制限されます。 メンテナンス ウィンドウが小さすぎる構成の場合、クライアントは重要なソフトウェア更新プログラムをインストールできない可能性があります。 この動作により、ソフトウェア更新プログラムが軽減する攻撃に対してクライアントが脆弱になります。

書き込みフィルターを使用して埋め込みWindows攻撃の表面を減らすセキュリティ対策を講じる

埋め込みデバイスで書きWindowsを有効にした場合、ソフトウェアのインストールや変更はオーバーレイにのみ適用されます。 これらの変更は、デバイスの再起動後も保持されません。 Configuration Manager を使用して書き込みフィルターを無効にした場合、この期間中、埋め込みデバイスは、すべてのボリュームに対する変更に対して脆弱になります。 これらのボリュームには、共有フォルダーが含まれます。

Configuration Manager は、この期間中にコンピューターをロックし、ローカル管理者だけがサインインできます。 可能な限り、その他のセキュリティ対策を講じ、コンピューターを保護します。 たとえば、ファイアウォールの制限を有効にします。

メンテナンス ウィンドウを使用して変更を保持する場合は、これらのウィンドウを慎重に計画します。 書き込みフィルターが無効になっている時間を最小限に抑えますが、ソフトウェアのインストールと再起動が完了するのに十分な長い時間を設定します。

ソフトウェアの更新ベースのクライアント インストールで最新のクライアント バージョンを使用する

ソフトウェアの更新ベースのクライアント インストールを使用し、サイトに新しいバージョンのクライアントをインストールする場合は、公開されたソフトウェア更新プログラムを更新します。 次に、クライアントはソフトウェアの更新ポイントから最新バージョンを受け取る。

サイトを更新すると、ソフトウェア更新ポイントに発行されたクライアント展開のソフトウェア更新プログラムは自動的には更新されません。 Configuration Manager クライアントをソフトウェアの更新ポイントに再発行し、バージョン番号を更新します。

詳細については、「ソフトウェアの更新ベースのインストールを使用して Configuration Manager クライアントをインストールする方法 」を参照してください

信頼済みおよび制限付きアクセス デバイスの BitLocker PIN エントリのみを中断する

クライアント設定を [再起動時に BitLocker PIN エントリを中断する] を [信頼するコンピューターと物理アクセスが制限されているコンピューターの場合は常に] に構成する必要があります。

このクライアント設定を Always に設定 すると、Configuration Manager はソフトウェアのインストールを完了できます。 この動作は、重要なソフトウェア更新プログラムのインストールとサービスの再開に役立ちます。 攻撃者が再起動プロセスを傍受した場合、コンピューターを制御する可能性があります。 この設定は、コンピューターを信頼する場合と、コンピューターへの物理的なアクセスが制限されている場合にのみ使用します。 たとえば、この設定はデータ センター内のサーバーに適している場合があります。

このクライアント設定の詳細については、「クライアント設定について 」を参照してください

PowerShell 実行ポリシーをバイパスしない

PowerShell 実行ポリシーの Configuration Manager クライアント設定を[バイパス] に構成すると、署名Windows PowerShell スクリプトの実行が許可されます。 この動作により、クライアント コンピューターでマルウェアが実行される可能性があります。 組織でこのオプションが必要な場合は、カスタム クライアント設定を使用します。 署名されていない PowerShell スクリプトを実行する必要があるクライアント コンピューターにのみ割り当てる。

このクライアント設定の詳細については、「クライアント設定について 」を参照してください

モバイル デバイスのセキュリティ ガイダンス

境界ネットワークに登録プロキシ ポイントをインストールし、イントラネットに登録ポイントをインストールする

Configuration Manager に登録するインターネット ベースのモバイル デバイスの場合は、登録プロキシ ポイントを境界ネットワークにインストールし、イントラネットの登録ポイントをインストールします。 この役割の分離は、登録ポイントを攻撃から保護するのに役立ちます。 攻撃者が登録ポイントを侵害した場合、認証用の証明書を取得する可能性があります。 また、モバイル デバイスを登録するユーザーの資格情報を盗む可能性があります。

承認されていないアクセスからモバイル デバイスを保護するためにパスワード設定を構成する

Configuration Manager によって登録されている モバイル デバイスの場合: モバイル デバイス構成アイテムを使用して、パスワードの複雑さを PIN として構成します。 少なくとも既定の最小パスワード長を指定します。

Configuration Manager クライアントがインストールされていないが 、Exchange Server コネクタによって管理されているモバイル デバイスの場合: パスワードの複雑さを PIN に設定する Exchange Server コネクタのパスワード 設定 を構成します。 少なくとも既定の最小パスワード長を指定します。

信頼できる企業によって署名されているアプリケーションの実行のみを許可する

信頼できる企業によって署名されている場合にのみアプリケーションを実行できるようにすることで、インベントリ情報と状態情報の改ざんを防ぐのに役立ちます。 デバイスで署名されていないファイルをインストールできません。

Configuration Manager によって登録 されているモバイル デバイスの場合: モバイル デバイス構成アイテムを使用して、セキュリティ設定の 署名 されていないアプリケーションを禁止として 構成します。 信頼 できるソースとして署名されていないファイル インストールを構成します。

Configuration Manager クライアントがインストールされていないが、Exchange Server コネクタによって管理されているモバイル デバイスの場合: 署名されていないファイルのインストールと署名されていないアプリケーションが禁止されているなど 、Exchange Server コネクタ用のアプリケーション 設定構成 します。

使用しない場合にモバイル デバイスをロックする

モバイル デバイスが使用されていないときにロックすることで、特権攻撃の昇格を防ぐのに役立ちます。

Configuration Manager によって 登録されているモバイル デバイスの場合: モバイル デバイス構成項目を使用して、モバイル デバイスがロックされる前にパスワード設定アイドル時間 (分) を 構成します

Configuration Manager クライアントがインストールされていないが 、Exchange Server コネクタによって管理されているモバイル デバイスの場合: Exchange Server コネクタのパスワード 設定 を構成して、モバイル デバイスがロックされる前のアイドル時間を数分で設定します。

モバイル デバイスを登録できるユーザーを制限する

モバイル デバイスを登録できるユーザーを制限することで、特権の昇格を防ぐのに役立ちます。 承認されたユーザーのみがモバイル デバイスを登録するには、既定のクライアント設定ではなくカスタム クライアント設定を使用します。

モバイル デバイスのユーザー デバイス アフィニティ ガイダンス

次のシナリオでは、Configuration Manager によって登録されたモバイル デバイスを持つユーザーにアプリケーションを展開しません。

  • モバイル デバイスは、複数のユーザーが使用します。

  • デバイスは、ユーザーに代わって管理者によって登録されます。

  • デバイスは、デバイスを引退してから再登録することなく、別のユーザーに転送されます。

デバイスの登録によって、ユーザー デバイスアフィニティの関係が作成されます。 このリレーションシップは、登録を行うユーザーをモバイル デバイスにマップします。 別のユーザーがモバイル デバイスを使用している場合は、元のユーザーに展開されたアプリケーションを実行できます。その結果、特権が昇格される可能性があります。 同様に、管理者がユーザーのモバイル デバイスを登録した場合、ユーザーに展開されたアプリケーションはモバイル デバイスにインストールされません。 代わりに、管理者に展開されたアプリケーションがインストールされている可能性があります。

Configuration Manager サイト サーバーとサーバー間の接続を保護Exchange Server

サーバーがExchange Server場合は、IPsec を使用します。 ホストExchange HTTPS との接続を自動的にセキュリティで保護します。

コネクタの最小特権の原則をExchangeする

コネクタに必要な最小コマンドレットのExchange Serverについては、「Configuration Managerとモバイル デバイスを管理する」を参照Exchange。

macOS デバイスのセキュリティ ガイダンス

セキュリティで保護された場所からクライアント ソース ファイルを保存してアクセスする

MacOS コンピューターにクライアントをインストールまたは登録する前に、Configuration Manager は、これらのクライアント ソース ファイルが改ざんされたかどうかを確認できません。 信頼できるソースからこれらのファイルをダウンロードします。 安全に保存し、アクセスします。

証明書の有効期間を監視および追跡する

macOS コンピューターで使用する証明書の有効期間を監視および追跡します。 Configuration Manager は、この証明書の自動更新をサポートしないか、証明書の有効期限が近付くという警告を表示します。 一般的な有効期間は 1 年です。

証明書を更新する方法の詳細については、「macOS クライアント証明書を手動で更新する 」を参照してください

SSL 専用の信頼されたルート証明書を構成する

特権の昇格から保護するために、信頼できるルート証明機関の証明書を構成して、SSL プロトコルでのみ信頼できます。

Mac コンピューターを登録すると、Configuration Manager クライアントを管理するためのユーザー証明書が自動的にインストールされます。 このユーザー証明書には、信頼チェーンに信頼されたルート証明書が含まれます。 このルート証明書の信頼を SSL プロトコルにのみ制限するには、次の手順を使用します。

  1. Mac コンピューターで、ターミナル ウィンドウを開きます。

  2. 次のコマンドを入力します。 sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. [キー チェーン アクセス] ダイアログ ボックスの [キーチェーン] セクション 、[システム] を 選択します。 [カテゴリ] セクションで 、[証明書] を選択します

  4. Mac クライアント証明書のルート CA 証明書を見つけて開きます。

  5. ルート CA 証明書のダイアログ ボックスで、[信頼] セクションを 展開 し、次の変更を行います。

    1. この証明書を使用する場合: [常に信頼する] 設定を [システムの 既定値を使用する] に変更します

    2. Secure Sockets Layer (SSL): Always Trust に指定された値を****変更しない

  6. ダイアログ ボックスを閉じます。 プロンプトが表示されたら、管理者のパスワードを入力し、[パスワードの更新] 設定。

この手順を完了すると、ルート証明書は SSL プロトコルの検証にのみ信頼されます。 このルート証明書で信頼されていない他のプロトコルには、Secure Mail (S/MIME)、拡張認証 (EAP)、コード署名があります。

注意

Configuration Manager から独立してクライアント証明書をインストールした場合も、この手順を使用します。

クライアントのセキュリティの問題

次のセキュリティの問題には軽減策はありません。

状態メッセージが認証されない

管理ポイントは、状態メッセージを認証しません。 管理ポイントが HTTP クライアント接続を受け入れる場合、どのデバイスでも管理ポイントに状態メッセージを送信できます。 管理ポイントが HTTPS クライアント接続のみを受け入れる場合、デバイスは有効なクライアント認証証明書を持っている必要がありますが、ステータス メッセージを送信することもできます。 管理ポイントは、クライアントから受信した無効な状態メッセージを破棄します。

この脆弱性に対していくつかの潜在的な攻撃があります。

  • 攻撃者は、ステータス メッセージクエリに基づくコレクションのメンバーシップを取得するために、偽の状態メッセージを送信する可能性があります。
  • どのクライアントも、ステータス メッセージをフラッディングすることで、管理ポイントに対してサービス拒否を起動できます。
  • 状態メッセージ フィルター ルールで状態メッセージがアクションをトリガーしている場合、攻撃者は状態メッセージ フィルター ルールをトリガーする可能性があります。
  • 攻撃者は、レポート情報が不正確になる状態メッセージを送信する可能性があります。

ポリシーをターゲット以外のクライアントに再ターゲットできます

攻撃者が 1 つのクライアントを対象とするポリシーを完全に異なるクライアントに適用するために使用できる方法は複数あります。 たとえば、信頼できるクライアントの攻撃者が偽のインベントリまたは検出情報を送信して、コンピューターが属すべきではないコレクションに追加される可能性があります。 そのクライアントは、そのコレクションへのすべての展開を受け取ります。

攻撃者がポリシーを直接変更するのを防ぐためのコントロールが存在します。 ただし、攻撃者は OS を再フォーマットして再展開する既存のポリシーを使用し、それを別のコンピューターに送信する可能性があります。 このリダイレクトされたポリシーは、サービス拒否を作成する可能性があります。 このような種類の攻撃では、Configuration Manager インフラストラクチャの正確なタイミングと広範な知識が必要になります。

クライアント ログでユーザー アクセスを許可する

すべてのクライアント ログ ファイルは、読み取りアクセス権を持つ Users グループと、データの書き込みアクセス権を持つ特別な 対話型 ユーザーを許可します。 詳細ログを有効にした場合、攻撃者はログ ファイルを読み取って、コンプライアンスやシステムの脆弱性に関する情報を探す可能性があります。 クライアントがユーザーのコンテキストにインストールするソフトウェアなどのプロセスは、権限の低いユーザー アカウントでログに書き込む必要があります。 この動作は、攻撃者が権限の低いアカウントでログに書き込む可能性も意味します。

最も深刻なリスクは、攻撃者がログ ファイル内の情報を削除する可能性がある場合です。 管理者は、監査および侵入検出のためにこの情報を必要とする場合があります。

コンピューターを使用して、モバイル デバイスの登録用に設計された証明書を取得できます。

Configuration Manager が登録要求を処理する場合、コンピューターではなくモバイル デバイスから送信された要求を確認できません。 要求がコンピューターからの場合は、PKI 証明書をインストールして、Configuration Manager に登録できます。

このシナリオで特権攻撃が昇格されるのを防ぐには、信頼できるユーザーだけがモバイル デバイスを登録できます。 サイト内のデバイス登録アクティビティを注意深く監視します。

ブロックされたクライアントは、管理ポイントにメッセージを送信できます

信頼しなくなったクライアントをブロックしても、クライアント通知のネットワーク接続が確立されると、Configuration Manager はセッションを切断されません。 ブロックされたクライアントは、クライアントがネットワークから切断されるまで、引き続き管理ポイントにパケットを送信できます。 これらのパケットは、小さいキープアライブ パケットのみです。 このクライアントは、ブロック解除されるまで Configuration Manager で管理できない。

クライアントの自動アップグレードで管理ポイントが確認できない

クライアントの自動アップグレードを使用すると、クライアントを管理ポイントに向け、クライアント ソース ファイルをダウンロードできます。 このシナリオでは、クライアントは管理ポイントを信頼できるソースとして確認しません。

ユーザーが最初に macOS コンピューターを登録すると、DNS スプーフィングのリスクが高い

登録中に macOS コンピューターが登録プロキシ ポイントに接続すると、macOS コンピューターに信頼されたルート CA 証明書が既に存在する可能性は低い。 この時点で、macOS コンピューターはサーバーを信頼し、ユーザーに続行を求めるメッセージを表示します。 不正な DNS サーバーが登録プロキシ ポイントの完全修飾ドメイン名 (FQDN) を解決した場合、macOS コンピューターを不正な登録プロキシ ポイントに送信して、信頼されていないソースから証明書をインストールする可能性があります。 このリスクを軽減するには、DNS ガイダンスに従って、環境でのスプーフィングを回避してください。

macOS 登録で証明書要求が制限される

ユーザーは、新しいクライアント証明書を要求する度に、macOS コンピューターを再登録できます。 Configuration Manager では、複数の要求をチェックしたり、1 台のコンピューターから要求された証明書の数を制限したりは行わない。 不正なユーザーは、コマンド ライン登録要求を繰り返すスクリプトを実行できます。 この攻撃により、ネットワークまたは発行元証明機関 (CA) でサービス拒否が発生する可能性があります。 このリスクを軽減するために、この種の疑わしい動作について発行元 CA を注意深く監視します。 この動作パターンを示すコンピューターは、Configuration Manager 階層から直ちにブロックします。

ワイプ確認では、デバイスが正常にワイプされたことを確認できない

モバイル デバイスのワイプ アクションを開始し、Configuration Manager がワイプを確認すると、Configuration Manager がメッセージを正常に送信 したという確認 が行ないます。 デバイスが要求に対して機能 したという検証 は行わない。

Exchange Server コネクタによって管理されるモバイル デバイスの場合、ワイプ確認は、デバイスではなく、Exchange によってコマンドが受信されたと確認します。

このオプションを使用して、埋め込Windowsデバイスで変更をコミットすると、アカウントが予想よりも早くロックアウトされる可能性があります。

Windows Embedded デバイスが Windows 7 より前の OS バージョンを実行し、Configuration Manager によって書き込みフィルターが無効になっている間にユーザーがサインインを試みる場合、Windows では、アカウントがロックアウトされる前に、構成済みの誤った試行回数の半分しか許可されません。

たとえば、アカウントロックアウトしきい値のドメイン ポリシーを 6 回の試行 に構成します。 ユーザーがパスワードを 3 回誤って入力すると、アカウントはロックアウトされます。この動作により、サービス拒否が効果的に作成されます。 このシナリオでユーザーが埋め込みデバイスにサインインする必要がある場合は、ロックアウトのしきい値が低下する可能性について注意してください。

クライアントのプライバシー情報

Configuration Manager クライアントを展開する場合は、Configuration Manager 機能のクライアント設定 を有効にします。 機能の構成に使用する設定は、Configuration Manager 階層内のすべてのクライアントに適用できます。 この動作は、内部ネットワークに直接接続するか、リモート セッションを介して接続するか、インターネットに接続するかは同じです。

クライアント情報は、サーバー上の Configuration Manager サイト SQL Serverに格納され、Microsoft には送信されません。 情報は、サイトメンテナンス タスクによって削除されるまでデータベースに保持され、90日ごとに古い探索データを削除します。 削除間隔を構成できます。

一部の概要または集計された診断データと使用状況データが Microsoft に送信されます。 詳細については、「診断と 使用状況データ」を参照してください

Microsoft のデータ収集と使用の詳細については、「Microsoft プライバシーに関する声明 」を参照してください

クライアントの状態

Configuration Manager は、クライアントのアクティビティを監視します。 Configuration Manager クライアントを定期的に評価し、クライアントとその依存関係に関する問題を修復できます。 クライアントの状態は既定で有効になっています。 クライアント アクティビティ チェックにサーバー側のメトリックを使用します。 クライアントの状態は、自己チェック、修復、およびサイトへのクライアントの状態情報の送信にクライアント側のアクションを使用します。 クライアントは、構成したスケジュールに従って自己チェックを実行します。 クライアントは、チェックの結果を Configuration Manager サイトに送信します。 この情報は転送中に暗号化されます。

クライアントの状態情報は、クライアント サーバーの Configuration Manager データベースSQL Server格納され、Microsoft には送信されません。 この情報は、サイト データベースに暗号化された形式で格納されません。 この情報は、クライアントの状態を保持するために構成された値に従って削除されるまで、データベースに保持されます。クライアントの状態を保持するには、次の日数のクライアント状態設定を使用します。 この設定の既定値は 31 日ごとに設定されます。

Exchange Server コネクタのプライバシー情報

このExchange Serverコネクタは、ActiveSync プロトコルを使用して、オンプレミスまたはホスト型ネットワークに接続するExchange Serverを検索および管理します。 コネクタによって検出されたExchange Serverは、サーバー内の Configuration Manager データベースにSQL Server。 情報は、サイトから収集Exchange Server。 モバイル デバイスからモバイル デバイスに送信される情報は含Exchange Server。

モバイル デバイス情報は Microsoft に送信されません。 モバイル デバイス情報は、構成マネージャー データベースのサーバーにSQL Server。 情報は、サイトメンテナンス タスクによって削除されるまでデータベースに保持され、90日ごとに古い探索データを削除します。 削除間隔を構成します。

Microsoft のデータ収集と使用の詳細については、「Microsoft プライバシーに関する声明 」を参照してください