Configuration Manager の証明書

Configuration Manager (現在のブランチ) に適用

Configuration Manager では、自己署名証明書と公開キー基盤 (PKI) デジタル証明書の組み合わせを使用します。

可能な限り PKI 証明書を使用します。 詳細については、「PKI 証明書の 要件」を参照してください。 Configuration Manager がモバイル デバイスの登録中に PKI 証明書を要求する場合は、Active Directory ドメイン サービスとエンタープライズ証明機関を使用します。 他のすべての PKI 証明書については、Configuration Manager から個別に展開および管理します。

クライアント コンピューターがインターネット ベースのサイト システムに接続する場合は、PKI 証明書が必要です。 クラウド管理ゲートウェイにも証明書が必要です。 詳細については、「インターネット上の クライアントの管理」を参照してください

PKI を使用する場合は、IPsec を使用して、サイト内のサイト システム間、サイト間、およびコンピューター間の他のデータ転送のサーバー間通信をセキュリティで保護することもできます。 IPsec の実装は、Configuration Manager から独立しています。

PKI 証明書を使用できない場合、Configuration Manager は自己署名証明書を自動的に生成します。 Configuration Manager の一部の証明書は、常に自己署名証明書です。 ほとんどの場合、Configuration Manager は自己署名証明書を自動的に管理し、別のアクションを実行する必要はありません。 1 つの例は、サイト サーバー署名証明書です。 この証明書は常に自己署名証明書です。 クライアントが管理ポイントからダウンロードするポリシーがサイト サーバーから送信され、改ざんされなかったか確認します。 別の例として、拡張 HTTP でサイトを有効にした場合、サイトは自己署名入り証明書をサイト サーバーの役割に発行します。

重要

Configuration Manager バージョン 2103 から、HTTP クライアント通信を許可するサイトは廃止されました。 HTTPS または拡張 HTTP のサイトを構成します。 詳細については、「サイトを HTTPS 専用または拡張 HTTP 用に有効にする」を参照してください

CNG v3 証明書

Configuration Manager では 、暗号化: 次世代 (CNG) v3 証明書がサポートされています。 Configuration Manager クライアントは、CNG キー プロバイダー (KSP) 内のプライベート キーを持つ PKI Storage認証証明書を使用できます。 KSP のサポートにより、Configuration Manager クライアントは、PKI クライアント認証証明書用の TPM KSP などのハードウェア ベースのプライベート キーをサポートします。

詳細については、「 CNG v3 証明書の概要」を参照してください

拡張 HTTP

すべての Configuration Manager 通信パスには HTTPS 通信の使用をお勧めしますが、PKI 証明書を管理するオーバーヘッドのため、一部のお客様では困難です。 (Azure Active Directory) 統合Azure AD、証明書の要件の一部が減少しますが、すべてではありません。 代わりに、サイトで拡張 HTTP を使用できます。 この構成では、一部のシナリオで自己署名証明書と共に、サイト システムAzure AD HTTPS をサポートします。 PKI は不要です。

詳細については、「Enhanced HTTP」を参照してください

CMG の証明書

クラウド管理ゲートウェイ (CMG) を介してインターネット上のクライアントを管理するには、証明書を使用する必要があります。 証明書の数と種類は、特定のシナリオによって異なります。

詳細については、「 CMG セットアップ チェックリスト」を参照してください

注意

クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 から、新しい CDP インスタンスを作成できない。 インターネット ベースのデバイスにコンテンツを提供するには、CMG でコンテンツを配布できます。 詳細については、「非推奨 の機能」を参照してください

CDP の証明書の詳細については、「クラウド配布ポイントの 証明書」を参照してください

サイト サーバー署名証明書

サイト サーバーは常に自己署名証明書を作成します。 この証明書は、いくつかの目的で使用されます。

クライアントは、Active Directory ドメイン サービスおよびクライアント プッシュ インストールからサイト サーバー署名証明書のコピーを安全に取得できます。 クライアントがこれらのメカニズムの 1 つによってこの証明書のコピーを取得できない場合は、クライアントをインストールするときにインストールします。 このプロセスは、クライアントのサイトとの最初の通信がインターネット ベースの管理ポイントを使用している場合に特に重要です。 このサーバーは信頼されていないネットワークに接続されているから、攻撃に対してより脆弱です。 この他の手順を実行しない場合、クライアントは管理ポイントからサイト サーバー署名証明書のコピーを自動的にダウンロードします。

クライアントは、次のシナリオでサイト サーバー証明書のコピーを安全に取得できません。

  • クライアント プッシュを使用してクライアントをインストールしない場合は、次の手順を実行します。

    • Configuration Manager の Active Directory スキーマを拡張していない。

    • クライアントのサイトを Active Directory ドメイン サービスに公開していない。

    • クライアントは、信頼されていないフォレストまたはワークグループからのクライアントです。

  • インターネット ベースのクライアント管理を使用し、クライアントがインターネット上にあるときにインストールします。

サイト サーバー署名証明書のコピーを使用してクライアントをインストールする方法の詳細については、 SMSSIGNCERT コマンド ライン プロパティを使用します。 詳細については、「クライアント インストール パラメーターと プロパティについて」を参照してください

ハードウェアにバインドされたキー ストレージ プロバイダー

Configuration Manager は、クライアント ID に自己署名証明書を使用し、クライアント システムとサイト システム間の通信を保護します。 サイトとクライアントをバージョン 2107 以降に更新すると、クライアントはサイトの証明書をハードウェア バインドキー ストレージ プロバイダー (KSP) に保存します。 この KSP は、通常、少なくともバージョン 2.0 の信頼できるプラットフォーム モジュール (TPM) です。 証明書もエクスポート不可とマークされます。

クライアントにも PKI ベースの証明書がある場合は、その証明書を TLS HTTPS 通信に引き続き使用します。 この証明書は、サイトとのメッセージの署名に自己署名証明書を使用します。 詳細については、「PKI 証明書の 要件」を参照してください

注意

PKI 証明書を持つクライアントの場合、Configuration Manager コンソールはクライアント証明書プロパティを自己署名証明書 として表示します。 クライアント コントロール パネルの [ クライアント証明書] プロパティPKI が表示されます

バージョン 2107 以降に更新すると、PKI 証明書を持つクライアントは自己署名証明書を再作成しますが、サイトを再登録しません。 PKI 証明書を持つクライアントはサイトに再登録され、サイトで余分な処理が発生する可能性があります。 クライアントを更新するプロセスでランダム化が許可されている必要があります。 多数のクライアントを同時に更新すると、サイト サーバーでバックログが発生する可能性があります。

Configuration Manager では、脆弱と呼ばれる TPM は使用しない。 たとえば、TPM のバージョンは 2.0 より前です。 デバイスに脆弱な TPM がある場合、クライアントはソフトウェア ベースの KSP の使用に戻されます。 証明書は引き続きエクスポートできません。

OS 展開メディアは、ハードウェアにバインドされた証明書を使用しない、サイトからの自己署名証明書を引き続き使用します。 コンソールを持つデバイス上にメディアを作成しますが、そのメディアは任意のクライアントで実行できます。

証明書の動作をトラブルシューティングするには、クライアントで CertificateMaintenance.log を使用します。

次の手順