暗号化コントロールのテクニカル リファレンス

適用対象: Configuration Manager (Current Branch)

Configuration Manager は、署名と暗号化を使用して、Configuration Manager 階層内のデバイスの管理を保護します。 署名を使用すると、転送中にデータが変更された場合、データは破棄されます。 暗号化は、攻撃者がネットワーク プロトコル アナライザーを使用してデータを読み取るのを防ぐのに役立ちます。

Configuration Manager が署名に使用する主なハッシュ アルゴリズムは SHA-256 です。 2 つの Configuration Manager サイトが相互に通信すると、SHA-256 との通信に署名します。

バージョン 2107 より、Configuration Manager で使用されるプライマリ暗号化アルゴリズムは AES-256 です。 暗号化は主に次の 2 つの領域で行います。

  • サイトで [暗号化を使用 する] を 有効にした場合、クライアントは管理ポイントに送信するインベントリ データと状態メッセージを暗号化します。

  • クライアントがシークレット ポリシーをダウンロードすると、管理ポイントは常にこれらのポリシーを暗号化します。 たとえば、パスワードを含む OS 展開タスク シーケンスです。

バージョン 2103 以前のクライアントの場合、プライマリ暗号化アルゴリズムは 3DES です

注意

HTTPS 通信を構成する場合、これらのメッセージは 2 回暗号化されます。 メッセージは AES で暗号化され、HTTPS トランスポートは AES で暗号化されます。

HTTPS 経由でクライアント通信を使用する場合は、最大ハッシュ アルゴリズムとキーの長さを持つ証明書を使用するように公開キー 基盤 (PKI) を構成します。 CNG v3 証明書を使用する場合、Configuration Manager クライアントは RSA 暗号化アルゴリズムを使用する証明書のみをサポートします。 詳細については、「PKI 証明書の要件」および「CNG v3 証明書の概要」を参照してください

トランスポート セキュリティの場合、TLS を使用する何でも AES がサポートされます。 このサポートには、拡張 HTTP または HTTPS 用にサイト を構成する場合が 含まれます。 オンプレミスのサイト システムでは、TLS 暗号スイートを制御できます。 クラウド管理ゲートウェイ (CMG) などのクラウドベースの役割の場合、TLS 1.2 を有効にした場合、Configuration Manager は暗号スイートを構成します。

Configuration Manager は、Windowsベースのオペレーティング システムを使用するほとんどの暗号化操作で、これらのアルゴリズムを使用Windows CryptoAPI ライブラリrsaenh.dll。

特定の機能の詳細については、「サイト操作」 を参照してください

サイト操作

Configuration Manager の情報は、署名と暗号化が可能です。 これらの操作は、PKI 証明書の使用または使用なしでサポートされます。

ポリシーの署名と暗号化

サイトは、自己署名証明書を使用してクライアント ポリシー割り当てに署名します。 この動作は、侵害された管理ポイントのセキュリティ リスクが改ざんされたポリシーを送信するのを防ぐのに役立ちます。 インターネット ベースの クライアント管理を使用する場合、インターネットに接続する管理ポイントが必要なので、この動作は重要です。

ポリシーにバージョン 2107 から機密データが含まれている場合、管理ポイントは AES-256 で暗号化します。 バージョン 2103 以前では、3DES を使用します。 機密データを含むポリシーは、承認されたクライアントにのみ送信されます。 サイトは、機密データを持つポリシーを暗号化しません。

クライアントがポリシーを保存すると、データ保護アプリケーション プログラミング インターフェイス (DPAPI) Windowsを使用してポリシーが暗号化されます。

ポリシー ハッシュ

クライアントがポリシーを要求すると、最初にポリシー割り当てを取得します。 次に、どのポリシーが適用されるかを確認し、それらのポリシー機関のみを要求できます。 各ポリシー割り当てには、対応するポリシー本文の計算されたハッシュが含まれる。 クライアントは、該当するポリシー本文をダウンロードし、各ポリシー本文のハッシュを計算します。 ポリシー本文のハッシュがポリシー割り当てのハッシュと一致しない場合、クライアントはポリシー本文を破棄します。

ポリシーのハッシュ アルゴリズムは SHA-256 です

コンテンツ ハッシュ

サイト サーバー上の配布マネージャー サービスは、すべてのパッケージのコンテンツ ファイルをハッシュします。 ポリシー プロバイダーには、ソフトウェア配布ポリシーにハッシュが含まれています。 Configuration Manager クライアントがコンテンツをダウンロードすると、クライアントはハッシュをローカルで再生成し、ポリシーで指定されたハッシュと比較します。 ハッシュが一致する場合、コンテンツは変更されません。クライアントがインストールします。 コンテンツの 1 バイトが変更された場合、ハッシュは一致し、クライアントはソフトウェアをインストールしません。 このチェックは、実際のコンテンツがポリシーと比較されたため、正しいソフトウェアがインストールされていることを確認するのに役立ちます。

コンテンツの既定のハッシュ アルゴリズムは SHA-256 です

すべてのデバイスがコンテンツ ハッシュをサポートできる場合ではありません。 例外は次のとおりです。

  • Windows App-V コンテンツをストリーミングするときにクライアントを管理します。

  • Windowsモバイル クライアントを使用しますが、これらのクライアントは、信頼できるソースによって署名されたアプリケーションの署名を確認します。

インベントリの署名と暗号化

クライアントがハードウェアインベントリまたはソフトウェア インベントリを管理ポイントに送信すると、常にインベントリに署名します。 クライアントが HTTP または HTTPS を介して管理ポイントと通信する場合は関係ありません。 HTTP を使用する場合は、このデータを暗号化する方法も選択できます。これはお勧めします。

状態移行の暗号化

タスク シーケンスが OS 展開用のクライアントからデータをキャプチャすると、常にデータが暗号化されます。 バージョン 2103 以降では、タスク シーケンスは AES-256 暗号化アルゴリズムを使用してユーザー状態移行ツール (USMT) を実行します。 バージョン 2010 以前では 、3DES を使用します

マルチキャスト パッケージの暗号化

すべての OS 展開パッケージで、マルチキャストを使用するときに暗号化を有効にできます。 この暗号化では 、AES アルゴリズムを使用 します。 暗号化を有効にした場合、他の証明書構成は必要ありません。 マルチキャストが有効な配布ポイントは、パッケージを暗号化する対称キーを自動的に生成します。 各パッケージには、異なる暗号化キーがあります。 キーは、標準の API を使用してマルチキャスト対応配布ポイントWindowsされます。

クライアントがマルチキャスト セッションに接続すると、暗号化されたチャネルを使用してキー交換が行われます。 クライアントが HTTPS を使用する場合は、PKI 発行のクライアント認証証明書を使用します。 クライアントが HTTP を使用する場合は、自己署名証明書を使用します。 クライアントは、マルチキャスト セッション中に暗号化キーのみをメモリに格納します。

OS 展開メディアの暗号化

メディアを使用してオペレーティング システムを展開する場合は、常にメディアを保護するためのパスワードを指定する必要があります。 パスワードを使用すると、タスク シーケンス環境変数は AES-128 で暗号化されます。 アプリケーションのパッケージやコンテンツなど、メディア上の他のデータは暗号化されません。

クラウドベースのコンテンツの暗号化

クラウド管理ゲートウェイ (CMG) でコンテンツを格納できる場合、コンテンツは AES-256 で暗号化されます。 コンテンツは更新するたびに暗号化されます。 クライアントがコンテンツをダウンロードすると、HTTPS 接続によって暗号化および保護されます。

ソフトウェア更新プログラムへのサインイン

すべてのソフトウェア更新プログラムは、改ざんから保護するために、信頼できる発行元によって署名されている必要があります。 クライアント コンピューターでは、Windowsエージェント (WUA) がカタログからの更新プログラムをスキャンします。 ローカル コンピューターの信頼できる発行元ストアにデジタル証明書が見つからなかった場合、更新プログラムはインストールできません。

[更新プログラム] を使用してSystem Center発行Publisher、デジタル証明書がソフトウェア更新プログラムに署名します。 PKI 証明書を指定するか、更新プログラムを構成Publisher、自己署名証明書を生成してソフトウェア更新プログラムに署名できます。 自己署名証明書を使用して更新プログラム カタログ (WSUS Publishers Self-signed など) を発行する場合は、証明書がローカル コンピューターの信頼されたルート証明機関証明書ストアに含めされている必要があります。 また、WUA は、ローカル コンピューターで [ イントラネット Microsoft Update Service の場所グループ ポリシー設定から署名されたコンテンツを許可する] が有効になっているかどうかを確認します。 このポリシー設定は、WUA が更新プログラムを使用して作成および公開された更新プログラムをスキャンSystem Center必要Publisher。

コンプライアンス設定の署名済み構成データ

構成データをインポートすると、Configuration Manager はファイルのデジタル署名を確認します。 ファイルに署名されていない場合、または署名チェックが失敗した場合は、インポートを続行する警告がコンソールに表示されます。 発行元とファイルの整合性を明示的に信頼する場合にのみ、構成データをインポートします。

クライアント通知の暗号化とハッシュ

クライアント通知を使用する場合、すべての通信は TLS と、サーバーとクライアントがネゴシエートできる最高のアルゴリズムを使用します。 たとえば、サポートされている OS バージョンWindows、少なくとも AES-128 暗号化を使用 できます。 同じネゴシエーションは 、SHA-2 を使用するクライアント通知中に転送されるパケットのハッシュで発生します。

証明書

Configuration Manager で使用できる公開キー基盤 (PKI)証明書の一覧、特別な要件または制限、および証明書の使用方法については、「PKI 証明書の要件」を参照してください。 この一覧には、サポートされているハッシュ アルゴリズムとキーの長さが含まれています。 ほとんどの証明書では 、SHA-256 および 2048 ビットキーの長さがサポートされています。

証明書を使用するほとんどの Configuration Manager 操作では、v3 証明書もサポートされます。 詳細については 、「CNG v3 証明書の概要」を参照してください

注意

Configuration Manager で使用する証明書はすべて、サブジェクト名またはサブジェクトの代替名に 1 バイト文字のみを含む必要があります。

Configuration Manager では、次のシナリオで PKI 証明書が必要です。

  • インターネット上で Configuration Manager クライアントを管理する場合

  • モバイル デバイスで Configuration Manager クライアントを管理する場合

  • macOS コンピューターを管理する場合

  • クラウド管理ゲートウェイ (CMG) を使用する場合

認証、署名、または暗号化に証明書が必要な他のほとんどの通信では、Configuration Manager は利用可能な場合に PKI 証明書を自動的に使用します。 使用できない場合、Configuration Manager は自己署名証明書を生成します。

Configuration Manager は、デバイス コネクタを使用してモバイル デバイスを管理するときに PKI 証明書Exchange Serverされません。

モバイル デバイス管理と PKI 証明書

モバイル デバイスが携帯電話会社によってロックされていない場合は、Configuration Manager を使用してクライアント証明書を要求およびインストールできます。 この証明書は、モバイル デバイス上のクライアントと Configuration Manager サイト システム間の相互認証を提供します。 モバイル デバイスがロックされている場合は、Configuration Manager を使用して証明書を展開することはできません。

モバイル デバイスのハードウェア インベントリを有効にした場合、Configuration Manager はモバイル デバイスにインストールされている証明書もインベントリします。

OS の展開と PKI 証明書

Configuration Manager を使用してオペレーティング システムを展開し、管理ポイントに HTTPS クライアント接続が必要な場合、クライアントは管理ポイントと通信するために証明書を必要とします。 この要件は、クライアントがタスク シーケンス メディアからの起動や PXE が有効な配布ポイントなどの移行段階にある場合でもです。 このシナリオをサポートするには、PKI クライアント認証証明書を作成し、それをプライベート キーでエクスポートします。 次に、サイト サーバーのプロパティにインポートし、管理ポイントの信頼できるルート CA 証明書も追加します。

起動可能なメディアを作成する場合は、起動可能なメディアを作成するときにクライアント認証証明書をインポートします。 タスク シーケンスで構成されたプライベート キーと他の機密データを保護するには、起動可能なメディアでパスワードを構成します。 起動可能なメディアから起動するコンピューターは、クライアント ポリシーの要求などのクライアント機能に必要に応じて、管理ポイントと同じ証明書を使用します。

PXE を使用する場合は、クライアント認証証明書を PXE 対応配布ポイントにインポートします。 PXE が有効な配布ポイントから起動するクライアントごとに同じ証明書を使用します。 タスク シーケンス内のプライベート キーや他の機密データを保護するには、PXE 用のパスワードが必要です。

これらのクライアント認証証明書のどちらかが侵害された場合は、[管理] ワークスペースの [セキュリティ] ノードの [証明書] ノードで証明書を ブロック します。 これらの証明書を管理するには、オペレーティング システム展開証明書を管理 するアクセス許可が必要です

Configuration Manager が OS を展開すると、クライアントは HTTPS クライアント通信用に独自の PKI クライアント認証証明書を必要とします。

ISV プロキシ ソリューションと PKI 証明書

独立したソフトウェア ベンダー (ISV) は、Configuration Manager を拡張するアプリケーションを作成できます。 たとえば、ISV は、macOS などの非クライアント Windowsをサポートする拡張機能を作成できます。 ただし、サイト システムで HTTPS クライアント接続が必要な場合、これらのクライアントはサイトとの通信に PKI 証明書も使用する必要があります。 Configuration Manager には、ISV プロキシ クライアントと管理ポイント間の通信を可能にする証明書を ISV プロキシに割り当てる機能が含まれています。 ISV プロキシ証明書を必要とする拡張機能を使用する場合は、その製品のドキュメントを参照してください。

ISV 証明書が侵害された場合は、[管理] ワークスペースの [セキュリティ] ノードの [証明書] ノード で証明書を****ブロック します。

ISV プロキシ証明書の GUID のコピー

バージョン 2111 から、これらの ISV プロキシ証明書の管理を簡略化するために、Configuration Manager コンソールで GUID をコピーできます。

  1. Configuration Manager コンソールで、[管理] ワークスペースに 移動 します。

  2. [セキュリティ ] を 展開し、[ 証明書] ノードを選択 します。

  3. [種類] 列で証明書の一覧を 並べ替 える。

  4. ISV プロキシの種類 の証明書を選択します

  5. リボンで、[証明書 GUID の コピー] を選択します

このアクションは、次に示す場合に、この証明書の GUID をコピーします。 aa05bf38-5cd6-43ea-ac61-ab101f943987

資産インテリジェンスと証明書

Configuration Manager は、資産インテリジェンス同期ポイントが Microsoft への接続に使用する X.509 証明書をインストールします。 Configuration Manager は、この証明書を使用して、Microsoft 証明書サービスからクライアント認証証明書を要求します。 クライアント認証証明書は、資産インテリジェンス同期ポイントにインストールされ、サーバーを Microsoft に対して認証するために使用されます。 Configuration Manager は、クライアント認証証明書を使用してアセット インテリジェンス カタログをダウンロードし、ソフトウェア タイトルをアップロードします。

この証明書のキーの長さは 1024 ビットです。

Azure のサービスと証明書

クラウド管理ゲートウェイ (CMG) には、サーバー認証証明書が必要です。 これらの証明書を使用すると、サービスはインターネット経由でクライアントに HTTPS 通信を提供できます。 詳細については 、「CMG サーバー認証証明書」を参照してください

クライアントは、CMG およびオンプレミス管理ポイントと通信するために別の種類の認証を必要とします。 ユーザーは、Azure Active Directory PKI 証明書、またはサイト トークンを使用できます。 詳細については、「クラウド管理ゲートウェイ のクライアント認証を構成する」を参照してください

クライアントは、クラウドベースのストレージを使用するためにクライアント PKI 証明書を必要としません。 管理ポイントに対して認証を行った後、管理ポイントはクライアントに Configuration Manager アクセス トークンを発行します。 クライアントは、このトークンを CMG に提示してコンテンツにアクセスします。 トークンは 8 時間有効です。

PKI 証明書の CRL チェック

PKI 証明書失効リスト (CRL) を使用すると、全体的なセキュリティが向上しますが、一部の管理オーバーヘッドと処理オーバーヘッドが必要になります。 CRL チェックを有効にしても、クライアントが CRL にアクセスできない場合、PKI 接続は失敗します。

IIS では、既定で CRL チェックが有効になります。 PKI 展開で CRL を使用する場合は、IIS を実行するほとんどのサイト システムを構成する必要がありません。 ただし、ソフトウェア更新プログラムの場合は例外ですが、CRL チェックを有効にしてソフトウェア更新プログラム ファイルの署名を確認するには、手動で手順を実行する必要があります。

クライアントが HTTPS を使用すると、既定で CRL チェックが有効になります。 macOS クライアントの場合、CRL チェックを無効にできない。

次の接続は、Configuration Manager での CRL チェックをサポートしません。

  • サーバー間接続

  • Configuration Manager によって登録されているモバイル デバイス。

サーバー通信

Configuration Manager は、サーバー通信に次の暗号化コントロールを使用します。

サイト内のサーバー通信

各サイト システム サーバーは証明書を使用して、同じ Configuration Manager サイト内の他のサイト システムにデータを転送します。 一部のサイト システムの役割では、認証に証明書も使用します。 たとえば、あるサーバーに登録プロキシ ポイントをインストールし、別のサーバーに登録ポイントをインストールすると、この ID 証明書を使用して、お客様が認証を行います。

Configuration Manager でこの通信に証明書を使用する場合、サーバー認証機能で利用可能な PKI 証明書がある場合、Configuration Manager は自動的に証明書を使用します。 設定されていない場合、Configuration Manager は自己署名証明書を生成します。 この自己署名証明書は、サーバー認証機能を備え、SHA-256 を使用し、キーの長さは 2048 ビットです。 Configuration Manager は、サイト システムを信頼する必要がある可能性がある他のサイト システム サーバー上の信頼済みユーザー ストアに証明書をコピーします。 サイト システムは、これらの証明書と PeerTrust を使用して、お客様を信頼できます。

Configuration Manager は、サイト システム サーバーごとにこの証明書に加えて、ほとんどのサイト システムの役割に対して自己署名証明書を生成します。 同じサイトにサイト システムの役割のインスタンスが複数ある場合、同じ証明書を共有します。 たとえば、同じサイトに複数の管理ポイントがある場合があります。 この自己署名証明書は SHA-256 を使用し、キーの長さは 2048 ビットです。 信頼する必要があるサイト システム サーバー上の信頼済みユーザー ストアにコピーされます。 次のサイト システムの役割は、この証明書を生成します。

  • 資産インテリジェンス同期ポイント

  • 証明書登録ポイント

  • Endpoint Protectionポイント

  • 登録ポイント

  • フォールバック 状態ポイント

  • 管理ポイント

  • マルチキャストが有効な配布ポイント

  • レポート サービス ポイント

  • ソフトウェアの更新ポイント

  • 状態移行ポイント

Configuration Manager は、これらの証明書を自動的に生成および管理します。

配布ポイントから管理ポイントに状態メッセージを送信するために、Configuration Manager はクライアント認証証明書を使用します。 HTTPS の管理ポイントを構成する場合は、PKI 証明書が必要です。 管理ポイントが HTTP 接続を受け入れる場合は、PKI 証明書を使用できます。 また、クライアント認証機能を備える自己署名証明書を使用し、SHA-256 を使用し、キーの長さは 2048 ビットです。

サイト間のサーバー通信

Configuration Manager は、データベース レプリケーションとファイル ベースのレプリケーションを使用してサイト間でデータを転送します。 詳細については、「サイト間の データ転送」および「 エンドポイント間 の通信」を参照してください

Configuration Manager は、サイト間のデータベース レプリケーションを自動的に構成します。 使用可能な場合は、サーバー認証機能を持つ PKI 証明書を使用します。 使用できない場合、Configuration Manager はサーバー認証用の自己署名証明書を作成します。 どちらの場合も、ピアトラストを使用する信頼できるユーザー ストアの証明書を使用してサイト間で認証します。 この証明書ストアを使用して、サーバーの Configuration Manager 階層SQLサイト間レプリケーションに参加します。

サイト サーバーは、自動的に行うセキュリティで保護されたキー交換を使用して、サイト間通信を確立します。 送信側サイト サーバーはハッシュを生成し、そのプライベート キーで署名します。 受信サイト サーバーは、公開キーを使用して署名をチェックし、ハッシュをローカルで生成された値と比較します。 一致する場合、受信側サイトはレプリケートされたデータを受け入れる。 値が一致しない場合、Configuration Manager はレプリケーション データを拒否します。

Configuration Manager のデータベース レプリケーションでは、SQL Serverサービス ブローカーを使用してサイト間でデータを転送します。 次のメカニズムを使用します。

  • SQL Server SQL Server: この接続では、サーバー認証に Windows 資格情報と 1024 ビットの自己署名証明書を使用して、AES アルゴリズムを使用してデータに署名および暗号化します。 使用可能な場合は、サーバー認証機能を持つ PKI 証明書を使用します。 コンピューターの個人用証明書ストア内の証明書のみを使用します。

  • SQL サービス ブローカー: このサービスは、認証に 2048 ビットの自己署名証明書を使用し、AES アルゴリズムを使用してデータに署名および暗号化します。 マスター データベース内の証明書SQL Server使用します。

ファイル ベースのレプリケーションでは、サーバー メッセージ ブロック (SMB) プロトコルを使用します。 SHA-256 を使用 して、暗号化されていない、機密データを含むデータに署名します。 このデータを暗号化するには、構成マネージャーから独立して実装する IPsec を使用します。

HTTPS を使用するクライアント

サイト システムの役割がクライアント接続を受け入れる場合は、HTTPS 接続と HTTP 接続を受け入れるか、HTTPS 接続のみを受け入れるか構成できます。 インターネットからの接続を受け入れるサイト システムの役割は、HTTPS 経由のクライアント接続のみを受け入れる。

HTTPS 経由のクライアント接続は、クライアント間通信の保護に役立つ公開キー基盤 (PKI) と統合することで、より高いレベルのセキュリティを提供します。 ただし、PKI の計画、展開、および操作を十分に理解せずに HTTPS クライアント接続を構成すると、脆弱になる可能性があります。 たとえば、ルート証明機関 (CA) をセキュリティで保護しない場合、攻撃者は PKI インフラストラクチャ全体の信頼を損なう可能性があります。 制御されたセキュリティで保護されたプロセスを使用して PKI 証明書を展開および管理できない場合、重要なソフトウェア更新プログラムやパッケージを受信できない管理されていないクライアントが発生する可能性があります。

重要

Configuration Manager がクライアント通信に使用する PKI 証明書は、クライアントと一部のサイト システム間の通信のみを保護します。 サイト サーバーとサイト システム間、またはサイト サーバー間の通信チャネルを保護しません。

クライアントが HTTPS を使用する場合の暗号化されていない通信

クライアントが HTTPS 経由でサイト システムと通信する場合、ほとんどのトラフィックは暗号化されます。 次の状況では、クライアントは暗号化を使用せずにサイト システムと通信します。

  • サイト システムでこの構成が許可されている場合、クライアントはイントラネットで HTTPS 接続を行うのに失敗し、HTTP の使用に戻されます。

  • 次のサイト システムの役割への通信:

    • クライアントは状態メッセージをフォールバック 状態ポイントに送信します。

    • クライアントは PXE が有効な配布ポイントに PXE 要求を送信します。

    • クライアントは、通知データを管理ポイントに送信します。

クライアント通信モードとは独立して HTTP または HTTPS を使用するようにレポート サービス ポイントを構成します。

HTTP を使用するクライアント

クライアントがサイト システムの役割への HTTP 通信を使用する場合、クライアント認証に PKI 証明書を使用するか、Configuration Manager が生成する自己署名証明書を使用できます。 Configuration Manager が自己署名証明書を生成すると、署名と暗号化用のカスタム オブジェクト識別子が設定されます。 これらの証明書は、クライアントを一意に識別するために使用されます。 これらの自己署名証明書は SHA-256 を使用し、キーの長さは 2048 ビットです。

OS の展開と自己署名証明書

Configuration Manager を使用して自己署名証明書を使用してオペレーティング システムを展開する場合、クライアントは管理ポイントと通信するための証明書も必要です。 この要件は、タスク シーケンス メディアからの起動や PXE が有効な配布ポイントなど、コンピューターが移行フェーズにある場合でもです。 HTTP クライアント接続のこのシナリオをサポートするために、Configuration Manager は署名と暗号化用のカスタム オブジェクト識別子を持つ自己署名証明書を生成します。 これらの証明書は、クライアントを一意に識別するために使用されます。 これらの自己署名証明書は SHA-256 を使用し、キーの長さは 2048 ビットです。 これらの自己署名証明書が侵害された場合は、攻撃者がそれらを使用して信頼できるクライアントになりすますのを防ぐ必要があります。 [管理] ワークスペースの [証明書] ノードの[セキュリティ]ノードで証明書****をブロック します。

クライアントとサーバーの認証

クライアントが HTTP を使用して接続すると、Active Directory ドメイン サービスを使用するか、Configuration Manager の信頼されたルート キーを使用して管理ポイントを認証します。 クライアントは、状態移行ポイントやソフトウェア更新ポイントなど、他のサイト システムの役割を認証しません。

管理ポイントが最初に自己署名証明書を使用してクライアントを認証する場合、このメカニズムは、任意のコンピューターが自己署名証明書を生成できるので、最小限のセキュリティを提供します。 クライアントの承認を使用して、このプロセスを強化します。 信頼できるコンピューターのみを承認します 。Configuration Manager によって自動的に承認するか、管理者ユーザーが手動で承認します。 詳細については、「クライアントの管理 」を参照してください

SSL の脆弱性について

Configuration Manager クライアントとサーバーのセキュリティを向上するには、次の操作を実行します。

  • すべてのデバイスとサービスで TLS 1.2 を有効にします。 構成マネージャーで TLS 1.2 を有効にするには、「構成マネージャーで TLS 1.2を有効にする方法」を参照してください。

  • SSL 3.0、TLS 1.0、および TLS 1.1 を無効にします。

  • TLS 関連の暗号スイートの順序を変更します。

詳細については、次の資料を参照してください。

これらの手順は、Configuration Manager の機能には影響を与えかねない。

注意

暗号スイートの要件を持つ Azure コンテンツ配信ネットワーク (CDN) から Configuration Manager のダウンロードを更新します。 詳細については 、「Azure Front Door: TLS 構成に関する FAQ」を参照してください。