Configuration Manager でセキュリティを構成する

適用対象: Configuration Manager (Current Branch)

この記事の情報を使用して、Configuration Manager のセキュリティ関連のオプションをセットアップする場合に役立ちます。 開始する前に、セキュリティの計画 を持っている必要があります

重要

Configuration Manager バージョン 2103 から、HTTP クライアント通信を許可するサイトは廃止されました。 HTTPS または拡張 HTTP のサイトを構成します。 詳細については 、「HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください

クライアント PKI 証明書

インターネット インフォメーション サービス (IIS) を使用するサイト システムへのクライアント接続に公開キー基盤 (PKI) 証明書を使用する場合は、次の手順を使用して、これらの証明書の設定を構成します。

  1. Configuration Manager コンソールで、[管理]ワークスペースに移動し、[サイト構成] を 展開 し、[サイト] ノード を選択 します。 構成するプライマリ サイトを選択します。

  2. リボンで、[プロパティ] を 選択します。 次に、[通信セキュリティ] タブに切り替 えます。

  3. IIS を使用するサイト システムの設定を選択します。

    • HTTPS のみ: サイトに割り当てられているクライアントは、IIS を使用するサイト システムに接続するときに常にクライアント PKI 証明書を使用します。 たとえば、管理ポイントと配布ポイントです。

    • HTTPS または HTTP: クライアントが PKI 証明書を使用する必要がありません。

    • HTTP サイト システムで Configuration Manager によって生成 された証明書を使用する : この設定の詳細については、「Enhanced HTTP」を参照してください

  4. クライアント コンピューターの設定を選択します。

    • クライアント PKI 証明書 ( クライアント認証機能) を使用可能な場合に使用する : HTTPS または HTTP サイト サーバーの設定を選択した場合は、HTTP 接続にクライアント PKI 証明書を使用するには、このオプションを選択します。 クライアントは、自己署名証明書の代わりにこの証明書を使用して、サイト システムに対して自身を認証します。 [HTTPS のみ] を選択した場合、このオプションは自動的に選択されます。

      クライアントで複数の有効な PKI クライアント証明書を使用できる場合は、[変更] を選択して、クライアント証明書の選択方法を構成します。 クライアント証明書の選択方法の詳細については、「PKI クライアント証明書の選択の計画 」を参照してください

    • クライアントは、サイト システムの証明書失効リスト (CRL) を確認します。クライアントが組織の CRL で失効した証明書を確認するには、この設定を有効にします。 クライアントの CRL チェックの詳細については、「PKI 証明書失効の計画 」を参照してください

  5. 信頼できるルート証明機関の証明書をインポート、表示、および削除するには、[設定] を 選択します。 詳細については、「PKI 信頼されたルート証明書と証明書発行者リストの計画」 を参照してください

階層内のすべてのプライマリ サイトに対して、この手順を繰り返します。

信頼されたルート キーを管理する

Configuration Manager クライアントの信頼されたルート キーを事前に準備して確認するには、次の手順を使用します。

注意

クライアントが Active Directory ドメイン サービスまたはクライアント プッシュから信頼されたルート キーを取得できる場合は、事前プロビジョニングする必要があります。

クライアントが管理ポイントへの HTTPS 通信を使用する場合は、信頼できるルート キーを事前に準備する必要が生じしません。 PKI 証明書による信頼を確立します。

信頼されたルート キーの詳細については、「セキュリティを計画 する」を参照してください

ファイルを使用して信頼されたルート キーを使用してクライアントを事前準備する

  1. サイト サーバーで、Configuration Manager インストール ディレクトリを参照します。 サブフォルダー \bin\<platform> で、テキスト エディターで次のファイルを開きます。 mobileclient.tcf

  2. エントリを探します SMSPublicRootKey 。 その行から値をコピーし、変更を保存せずにファイルを閉じます。

  3. 新しいテキスト ファイルを作成し、mobileclient.tcf ファイルからコピーしたキー値を貼り付けます。

  4. ファイルは、すべてのコンピューターがアクセスできる場所に保存しますが、ファイルが改ざんから安全である場所に保存します。

  5. クライアントのプロパティを受け入れる任意のインストール方法を使用client.msiインストールします。 次のプロパティを指定します。 SMSROOTKEYPATH=<full path and file name>

    重要

    クライアントのインストール時に信頼できるルート キーを指定する場合は、サイト コードも指定します。 次のプロパティをclient.msiします。 SMSSITECODE=<site code>

ファイルを使用せずに信頼されたルート キーを使用してクライアントを事前準備する

  1. サイト サーバーで、Configuration Manager インストール ディレクトリを参照します。 サブフォルダー \bin\<platform> で、テキスト エディターで次のファイルを開きます。 mobileclient.tcf

  2. エントリを探します SMSPublicRootKey 。 その行から値をコピーし、変更を保存せずにファイルを閉じます。

  3. クライアントのプロパティを受け入れる任意のインストール方法を使用client.msiインストールします。 mobileclient.tcf client.msiコピーした文字列は、次のプロパティを SMSPublicRootKey=<key> <key> 指定します。

    重要

    クライアントのインストール時に信頼できるルート キーを指定する場合は、サイト コードも指定します。 次のプロパティをclient.msiします。 SMSSITECODE=<site code>

クライアントの信頼されたルート キーを確認する

  1. 管理者としてWindows PowerShellコンソールを開きます。

  2. 次のコマンドを実行します。

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
    

返される文字列は、信頼できるルート キーです。 サイト サーバー上の mobileclient.tcf ファイル内の SMSPublicRootKey 値と一致する値を確認します。

信頼されたルート キーを削除または置き換える

信頼できるルート キーをクライアントから削除するには、client.msi プロパティを使用します RESETKEYINFORMATION = TRUE

信頼されたルート キーを置き換える場合は、新しい信頼されたルート キーと共にクライアントを再インストールします。 たとえば、クライアント プッシュを使用するか 、SMSPublicRootKey client.msiを指定します。

これらのインストール プロパティの詳細については、「クライアント インストール パラメーターとプロパティについて 」を参照してください

署名と暗号化

サイト内のすべてのクライアントがサポートできるサイト システムの最も安全な署名と暗号化の設定を構成します。 これらの設定は、クライアントが HTTP を介して自己署名証明書を使用してサイト システムと通信できる場合に特に重要です。

  1. Configuration Manager コンソールで、[管理]ワークスペースに移動し、[サイト構成] を 展開 し、[サイト] ノード を選択 します。 構成するプライマリ サイトを選択します。

  2. リボンで、[プロパティ] を選択 し、[署名と暗号化 ] タブに切り替 えます。

    このタブはプライマリ サイトでのみ使用できます。 [署名と暗号化] タブが 表示されない場合は、サーバーの全体管理サイトまたはセカンダリ サイトに接続していない必要があります。

  3. クライアントがサイトと通信するための署名と暗号化のオプションを構成します。

    • 署名が必要: クライアントは、管理ポイントに送信する前にデータに署名します。

    • SHA-256 を要求 する: クライアントは、データに署名するときに SHA-256 アルゴリズムを使用します。

      警告

      すべてのクライアントでこのハッシュ アルゴリズムがサポートされているのを最初に確認せずに 、SHA-256 を必要としません。 これらのクライアントには、将来サイトに割り当てられる可能性があるクライアントが含まれます。

      このオプションを選択し、自己署名証明書を持つクライアントが SHA-256 をサポートできない場合、Configuration Manager はそれらを拒否します。 このSMS_MP_CONTROL_MANAGERは、メッセージ ID 5443 をログに記録します。

    • 暗号化を使用 する: クライアントは、管理ポイントに送信する前に、クライアント インベントリ データと状態メッセージを暗号化します。

階層内のすべてのプライマリ サイトに対して、この手順を繰り返します。

ロールベース管理

役割ベースの管理では、セキュリティ ロール、セキュリティ スコープ、および割り当てられたコレクションを組み合わせ、各管理ユーザーの管理スコープを定義します。 スコープには、ユーザーがコンソールで表示できるオブジェクトと、ユーザーが実行する権限を持つオブジェクトに関連するタスクが含まれます。 役割ベースの管理構成は、階層内の各サイトに適用されます。

詳細については、「役割ベースの 管理を構成する」を参照してください。 この記事では、次のアクションの詳細を説明します。

  • カスタム セキュリティ ロールの作成

  • セキュリティ ロールの構成

  • オブジェクトのセキュリティ スコープを構成する

  • セキュリティを管理するためのコレクションの構成

  • 新しい管理ユーザーを作成する

  • 管理ユーザーの管理スコープを変更する

重要

独自の管理スコープは、別の管理ユーザーに対して役割ベースの管理を構成するときに割り当て可能なオブジェクトと設定を定義します。 役割ベースの管理の計画の詳細については、「役割ベースの管理の基本 」を参照してください

アカウントの管理

Configuration Manager は、さまざまなWindows使用するアカウントをサポートしています。 異なるタスク用に構成されたアカウントを表示し、Configuration Manager がアカウントごとに使用するパスワードを管理するには、次の手順を実行します。

  1. Configuration Manager コンソールで、[管理]ワークスペースに移動し、[セキュリティ] を展開し、[アカウント] ノード を選択 します。

  2. アカウントのパスワードを変更するには、一覧でアカウントを選択します。 次に、リボン の [ プロパティ] を選択します。

  3. [設定] を 選択して、[ユーザー アカウント Windowsを開 きます。 このアカウントに使用する Configuration Manager の新しいパスワードを指定します。

    注意

    指定するパスワードは、Active Directory のこのアカウントのパスワードと一致している必要があります。

詳細については 、「Configuration Manager で使用されるアカウント」を参照してください

Azure Active Directory

Configuration Manager を Azure Active Directory (Azure AD) に統合して、環境を簡素化してクラウドを有効にできます。 サイトとクライアントがユーザー認証を使用して認証Azure AD。

詳細については、「Azure サービスの構成 」の「クラウド管理サービス」を参照してください

SMS プロバイダー認証

管理者が Configuration Manager サイトにアクセスする最小認証レベルを指定できます。 この機能により、管理者は Configuration Manager にアクセスする前Windowsレベルで管理者にサインインします。 詳細については 、「Plan for SMS Provider authentication」を参照してください

重要

この構成は階層全体の設定です。 この設定を変更する前に、すべての Configuration Manager 管理者が必要な認証レベルでWindowsサインインできます。

この設定を構成するには、次の手順を使用します。

  1. 最初に、目的の認証Windowsにサインインします。

  2. Configuration Manager コンソールで、[管理]ワークスペースに移動し、[サイト構成] を 展開 し、[サイト] ノード を選択 します。

  3. リボン で [階層設定] を選択します。

  4. [認証]タブに切り替 えます。目的の認証レベルを 選択し、[OK] を選択します

    • 必要な場合にのみ、[追加] を選択 して特定のユーザーまたはグループを除外します。 詳細については、「除外」 を参照してください

除外

[階層]ウィンドウの[認証] 設定、特定のユーザーまたはグループを除外することもできます。 このオプションを使用する場合は、このオプションを使用します。 たとえば、特定のユーザーが Configuration Manager コンソールにアクセスする必要があるが、必要なレベルでユーザーを認証Windowsできない場合などです。 また、システム アカウントのコンテキストで実行されるオートメーションまたはサービスにも必要な場合があります。

次の手順