Configuration Manager でのアプリケーション管理のセキュリティとプライバシーSecurity and privacy for application management in Configuration Manager

適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

アプリケーション管理に関するセキュリティのガイダンスSecurity guidance for application management

アプリケーション カタログなしでソフトウェア センターを使用するUse the Software Center without the application catalog

アプリケーション カタログの Silverlight ユーザー エクスペリエンスは、Current Branch バージョン 1806 以降では、サポートされません。The application catalog's Silverlight user experience isn't supported as of current branch version 1806. この構成は、ユーザーにアプリケーションを配布するために必要なサーバー インフラストラクチャを減らすのに役立ちます。This configuration helps you reduce the server infrastructure required to deliver applications to users.

バージョン 1906 以降では、更新されたクライアントで、ユーザーが利用できるアプリケーション展開の管理ポイントが自動的に使用されます。Starting in version 1906, updated clients automatically use the management point for user-available application deployments. また、新しいアプリケーション カタログの役割はインストールできません。You also can't install new application catalog roles. バージョン1910のアプリケーションカタログロールのサポートが終了します。Support ends for the application catalog roles with version 1910. サーバー インフラストラクチャを減らすと、攻撃対象も減ります。Reducing the server infrastructure also reduces the attack surface.

インターネット ベースのクライアントに対して一貫性のあるセキュリティ保護されたアプリケーション エクスペリエンスを提供するには、Azure Active Directory とクラウド管理ゲートウェイを使用します。To deliver a consistent and secure application experience for internet-based clients, use Azure Active Directory and the cloud management gateway.

詳しくは、「ソフトウェア センターの構成」をご覧ください。For more information, see Configure Software Center.

アプリケーション カタログで HTTPS を使用するUse HTTPS with the application catalog

重要

バージョン1910のアプリケーションカタログロールのサポートが終了します。Support ends for the application catalog roles with version 1910. 詳細については、「アプリケーション カタログの削除」を参照してください。For more information, see Remove the application catalog.

HTTPS 接続を受け入れるようにアプリケーション カタログ Web サイト ポイントとアプリケーション カタログ Web サービス ポイントを構成します。Configure the application catalog website point and the application catalog web service point to accept HTTPS connections. この構成では、サーバーはユーザーに対して認証されます。With this configuration, the server is authenticated to users. 送信されるデータは改ざんや閲覧から保護されます。The transmitted data is protected from tampering and viewing.

信頼されている Web サイトにのみ接続するようにユーザーを教育し、ソーシャル エンジニアリング攻撃を防ぎます。Help prevent social engineering attacks by educating users to only connect to trusted websites. 悪意のある Web サイトの危険性について、ユーザーを教育してください。Educate users about the dangers of malicious websites.

HTTPS を使用しない場合は、ブランド構成オプションを使用しないでください。When you don't use HTTPS, don't use the branding configuration options. これらの設定では、ID の証拠としてアプリケーション カタログで組織の名前が示されます。These settings show the name of your organization in the application catalog as proof of identity.

役割の分離を使用するUse role separation

重要

バージョン1910のアプリケーションカタログロールのサポートが終了します。Support ends for the application catalog roles with version 1910. 詳細については、「アプリケーション カタログの削除」を参照してください。For more information, see Remove the application catalog.

アプリケーション カタログ Web サイト ポイントとアプリケーション カタログ Web サービス ポイントを、別のサーバーにインストールします。Install the application catalog website point and the application catalog web service point on separate servers. Web サイトポイントが侵害された場合は、web サービスポイントとは別のものになります。If the website point is compromised, it's separate from the web service point. この設定は、Configuration Manager のクライアントとインフラストラクチャを保護するために役立ちます。This design helps to protect the Configuration Manager clients and infrastructure. この構成は、Web サイト ポイントがインターネットからのクライアント接続を受け入れる場合に特に重要です。This configuration is especially important if the website point accepts client connections from the internet. この場合、サーバーは攻撃に対してより脆弱になります。It makes the server more vulnerable to attack.

ブラウザー ウィンドウを閉じるClose browser windows

重要

バージョン1910のアプリケーションカタログロールのサポートが終了します。Support ends for the application catalog roles with version 1910. 詳細については、「アプリケーション カタログの削除」を参照してください。For more information, see Remove the application catalog.

アプリケーション カタログの使用が終了したら、ブラウザー ウィンドウを閉じるようにユーザーを教育します。Educate users to close the browser window when they finish using the application catalog. ユーザーがアプリケーション カタログに使用したのと同じブラウザー ウィンドウで外部 Web サイトを参照する場合、ブラウザーでは、イントラネット内の信頼されているサイト用のセキュリティ設定が引き続き使用されます。If users browse to an external website in the same browser window that they used for the application catalog, the browser continues to use the security settings that are suitable for trusted sites in the intranet.

ユーザーとデバイスのアフィニティを一元的に指定するCentrally specify user device affinity

プライマリ デバイスの指定をユーザーに許可せずに、手動でユーザーとデバイスのアフィニティを指定します。Manually specify the user device affinity instead of letting users identify their primary device. 使用状況に基づいた構成を有効にしないでください。Don't enable usage-based configuration.

ユーザーまたはデバイスから収集された情報を信頼できるとは見なさないでください。Don't consider information that's collected from users or from the device to be authoritative. 信頼されている管理者が指定していないユーザー デバイスのアフィニティを使用してソフトウェアを展開する場合、そのソフトウェアの受け取りを許可されていないコンピューター上とユーザーに対してソフトウェアがインストールされる可能性があります。If you deploy software by using user device affinity that a trusted administrator doesn't specify, the software might be installed on computers and to users who aren't authorized to receive that software.

配布ポイントから展開を実行しないDon't run deployments from distribution points

配布ポイントから実行するのではなく、常に、配布ポイントからコンテンツをダウンロードするように展開を構成するAlways configure deployments to download content from distribution points rather than run from distribution points. 配布ポイントからコンテンツをダウンロードしてローカルで実行するように展開を構成すると、Configuration Manager クライアントは、コンテンツをダウンロードした後でパッケージ ハッシュを検証します。When you configure deployments to download content from a distribution point and run locally, the Configuration Manager client verifies the package hash after it downloads the content. ハッシュがポリシーのハッシュと一致しない場合、クライアントはパッケージを破棄します。The client discards the package if the hash doesn't match the hash in the policy.

配布ポイントから直接実行するように展開を構成すると、Configuration Manager クライアントはパッケージ ハッシュを検証しません。If you configure the deployment to run directly from a distribution point, the Configuration Manager client doesn't verify the package hash. つまり、Configuration Manager クライアントが改ざんされたソフトウェアをインストールする可能性があります。This behavior means that the Configuration Manager client can install software that's been tampered with.

配布ポイントから直接展開を実行する必要がある場合は、配布ポイントのパッケージに対して NTFS の最低限のアクセス許可を使用します。If you must run deployments directly from distribution points, use NTFS least permissions on the packages on the distribution points. また、インターネット プロトコル セキュリティ (IPsec) を使用して、クライアントと配布ポイント間、および配布ポイントとサイト サーバー間のチャネルをセキュリティで保護します。Also use internet protocol security (IPsec) to secure the channel between the client and the distribution points, and between the distribution points and the site server.

ユーザーに管理者特権でのプロセスと対話させないDon't let users interact with elevated processes

[管理者権限で実行する] オプションまたは [システム用にインストールする] オプションを有効にする場合、ユーザーがアプリケーションと対話できないようにします。If you enable the options to Run with administrative rights or Install for system, don't let users interact with those applications. アプリケーションを構成するときは、オプションを [プログラムのインストールの表示および対話をユーザーに許可する] に設定することができます。When you configure an application, you can set the option to Allow users to view and interact with the program installation. この設定を選択すると、ユーザーはユーザー インターフェイスで必要なプロンプトに応答できるようになります。This setting allows users to respond to any required prompts in the user interface. また、 [管理者権限で実行する] (バージョン 1802 以降では [システム用にインストールする] ) ようにアプリケーションを構成する場合、プログラムを実行するコンピューターを操作する攻撃者は、ユーザー インターフェイスを使用してクライアント コンピューターに対する特権を昇格する可能性があります。If you also configure the application to Run with administrative rights, or starting in version 1802 Install for system, an attacker at the computer that runs the program could use the user interface to escalate privileges on the client computer.

管理者権限を必要とするソフトウェアを展開する場合、セットアップおよびユーザーごとの権限の昇格に Windows インストーラーを使用するプログラムを使用します。Use programs that use Windows Installer for setup and per-user elevated privileges for software deployments that require administrative credentials. セットアップは、管理者権限を持たないユーザーのコンテキストで実行される必要があります。Setup must be run in the context of a user who doesn't have administrative credentials. Windows インストーラーのユーザーごとに昇格した権限を使用すると、この要件を持つアプリケーションを最も安全に展開できます。Windows Installer per-user elevated privileges provide the most secure way to deploy applications that have this requirement.

ユーザーが対話形式でソフトウェアをインストールできるかどうかを制限するRestrict whether users can install software interactively

[コンピューター エージェント] グループで [インストール権限] クライアント設定を構成します。Configure the Install permissions client setting in the Computer Agent group. この設定は、ソフトウェアセンターにソフトウェアをインストールできるユーザーの種類を制限します。This setting restricts the types of users who can install software in Software Center.

たとえば、 [インストール権限][管理者のみ] に設定されたカスタムのクライアント設定を作成します。For example, create a custom client setting with Install permissions set to Only administrators. このクライアント設定をサーバーのコレクションに適用します。Apply this client setting to a collection of servers. この構成により、管理者権限を持たないユーザーはこれらのサーバーでソフトウェアをインストールできません。This configuration prevents users without administrative permissions from installing software on those servers.

モバイル デバイスの場合、署名されたアプリケーションのみを展開するFor mobile devices, deploy only applications that are signed

モバイル デバイスで信頼された証明機関 (CA) がコード署名している場合にのみ、モバイル デバイス アプリケーションのみを展開します。Deploy mobile device applications only if they're code-signed by a certification authority (CA) that the mobile device trusts.

次に例を示します。For example:

  • VeriSign などのよく知られた証明機関が署名しているベンダーのアプリケーション。An application from a vendor, which is signed by a well-known CA like VeriSign.

  • 社内の CA を使用して Configuration Manager とは独立して署名した社内アプリケーション。An internal application that you sign independent from Configuration Manager by using your internal CA.

  • アプリケーションの種類を作成し、署名証明書を使用するときに、Configuration Manager を使用して署名した社内アプリケーション。An internal application that you sign by using Configuration Manager when you create the application type and use a signing certificate.

モバイル デバイスのアプリケーション署名証明書の場所をセキュリティ保護するSecure the location of the mobile device application signing certificate

Configuration Manager の [アプリケーションの作成ウィザード] を使用してモバイル デバイス アプリケーションに署名する場合、署名証明書ファイルの場所と通信チャネルをセキュリティで保護します。If you sign mobile device applications by using the Create Application Wizard in Configuration Manager, secure the location of the signing certificate file, and secure the communication channel. 特権の昇格と中間者攻撃から保護するため、署名証明書ファイルをセキュリティで保護されたフォルダーに保存します。To help protect against elevation of privileges and against man-in-the-middle attacks, store the signing certificate file in a secured folder.

次のコンピューター間で IPsec を使用します。Use IPsec between the following computers:

  • Configuration Manager コンソールを実行しているコンピューターThe computer that runs the Configuration Manager console
  • 署名証明書ファイルを保存するコンピューターThe computer that stores the certificate signing file
  • アプリケーション ソース ファイルを保存するコンピューターThe computer that stores the application source files

または、Configuration Manager とは別に、 [アプリケーションの作成ウィザード] を実行する前に、アプリケーションに署名します。Alternatively, sign the application independent of Configuration Manager and before you run the Create Application Wizard.

アクセス制御を実装するImplement access controls

参照コンピューターを保護するには、アクセス制御を実装します。To protect reference computers, implement access controls. 参照コンピューターを参照して展開の種類で検出方法を構成するときは、コンピューターが侵害されていないことを確認します。When you configure the detection method in a deployment type by browsing to a reference computer, make sure that the computer isn't compromised.

管理ユーザーを制限して監視するRestrict and monitor administrative users

次のアプリケーション管理のロールベースのセキュリティ ロールを付与する管理ユーザーを制限および監視します。Restrict and monitor the administrative users who you grant the following application management role-based security roles:

  • アプリケーション管理者Application Administrator
  • アプリケーション作成者Application Author
  • アプリケーション展開マネージャーApplication Deployment Manager

役割に基づいた管理を構成している場合でも、アプリケーションを作成および展開する管理ユーザーに期待されるアクセス許可以上の権限がある可能性があります。Even when you configure role-based administration, administrative users who create and deploy applications might have more permissions than you realize. たとえば、管理ユーザーは、アプリケーションを作成または変更するときに、自身のセキュリティ スコープに含まれていない依存アプリケーションを選択できます。For example, administrative users who create or change an application can select dependent applications that aren't in their security scope.

同じ信頼レベルで仮想環境に App-V アプリを構成するConfigure App-V apps in virtual environments with the same trust level

Microsoft Application Virtualization (App-V) 仮想環境を構成する場合、同じ信頼レベルの仮想環境にあるアプリケーションを選択します。When you configure Microsoft Application Virtualization (App-V) virtual environments, select applications that have the same trust level in the virtual environment. App-V 仮想環境内のアプリケーションは、クリップボードなどのリソースを共有できるため、選択したアプリケーションが同じ信頼レベルになるように仮想環境を構成します。Because applications in an App-V virtual environment can share resources, like the clipboard, configure the virtual environment so that the selected applications have the same trust level.

詳細については、「Create App-V virtual environments」 (App-V 仮想環境の作成) をご覧ください。For more information, see Create App-V virtual environments.

MacOS アプリが信頼できる発行元からのものであることを確認するMake sure macOS apps are from a trustworthy source

macOS デバイス用アプリケーションを展開する場合、信頼できる発行元のソース ファイルであることを確認します。If you deploy applications for macOS devices, make sure that the source files are from a trustworthy source. CMAppUtil ツールでは、ソース パッケージの署名は検証されません。The CMAppUtil tool doesn't validate the signature of the source package. パッケージの発行元が信頼できることを確認します。Make sure the package comes from a source that you trust. CMAppUtil ツールは、ファイルが改ざんされたかどうかを検出できません。The CMAppUtil tool can't detect whether the files have been tampered with.

macOS アプリの cmmac ファイルをセキュリティ保護するSecure the cmmac file for macOS apps

macOS コンピューター用のアプリケーションを展開する場合は、 .cmmac ファイルの場所をセキュリティ保護します。If you deploy applications for macOS computers, secure the location of the .cmmac file. CMAppUtil ツールでこのファイルを生成し、Configuration Manager にインポートします。The CMAppUtil tool generates this file, and then you import it to Configuration Manager. このファイルは、署名または検証されません。This file isn't signed or validated.

このファイルを Configuration Manager にインポートするときに、通信チャネルをセキュリティ保護します。Secure the communication channel when you import this file to Configuration Manager. このファイルの改ざんを防ぐため、セキュリティ保護されたフォルダーに格納します。To help prevent tampering with this file, store it in a secured folder. 次のコンピューター間で IPsec を使用します。Use IPsec between the following computers:

  • Configuration Manager コンソールを実行しているコンピューターThe computer that runs the Configuration Manager console
  • .cmmac ファイルを保存するコンピューターThe computer that stores the .cmmac file

Web アプリケーションに HTTPS を使用するUse HTTPS for web applications

Web アプリケーションの展開の種類を構成する場合、HTTPS を使用して接続をセキュリティ保護します。If you configure a web application deployment type, use HTTPS to secure the connection. HTTPS リンクではなく、HTTP リンクを使用して Web アプリケーションを展開すると、デバイスが偽のサーバーにリダイレクトされる可能性があります。If you deploy a web application by using an HTTP link rather than an HTTPS link, the device could be redirected to a rogue server. デバイスとサーバー間で転送されるデータは改ざんされる可能性があります。Data that's transferred between the device and server could be tampered with.

アプリケーション管理に関するセキュリティの問題Security issues for application management

  • 権限の低いユーザーが、クライアント コンピューター上のクライアント キャッシュからファイルをコピーすることができる。Low-rights users can copy files from the client cache on the client computer.

    ユーザーは、クライアント キャッシュを読み取ることができますが、書き込むことはできません。Users can read the client cache but can't write to it. 読み取りアクセス許可により、ユーザーは、別のコンピューターにアプリケーション インストール ファイルをコピーすることができます。With read permissions, a user can copy application installation files from one computer to another.

  • 権限の低いユーザーが、クライアント コンピューターのソフトウェア展開履歴が記録されているファイルを変更することができる。Low-rights users can change files that record software deployment history on the client computer.

    アプリケーション履歴情報は保護されないため、ユーザーは、アプリケーションがインストールされているかどうかをレポートするファイルを変更することができます。Because the application history information isn't protected, a user can change files that report whether an application is installed.

  • App-V パッケージは署名されません。App-V packages aren't signed.

    Configuration Manager の App-V パッケージは署名をサポートしていません。App-V packages in Configuration Manager don't support signing. デジタル署名は、信頼できる送信元のコンテンツである、送信中に改ざんされていないことを確認します。Digital signatures verify the content is from a trusted source and wasn't altered in transit. このセキュリティの問題を軽減する方法はありません。There's no mitigation for this security issue. セキュリティのベスト プラクティスに従い、信頼できる発行元および保護された場所のコンテンツをダウンロードしてください。Follow the security best practice to download the content from a trusted source and from a secure location.

  • コンピューターのすべてのユーザーが公開済みの App-V アプリケーションをインストールできるPublished App-V applications can be installed by all users on the computer.

    App-V アプリケーションがコンピューターに公開されると、そのコンピューターにサインインしているすべてのユーザーがそのアプリケーションをインストールできます。When an App-V application is published on a computer, all users who sign in to that computer can install the application. アプリケーションの公開後にアプリケーションをインストールできるユーザーを制限することはできません。You can't restrict the users who can install the application after it's published.

  • モバイル デバイスでは会社のポータルに対するインストール アクセス許可を制限できません。You can't restrict install permissions for the company portal on mobile devices.

    クライアント設定を構成してインストール アクセス許可を制限することはできますが、この設定は会社のポータルでは機能しません。Although you can configure a client setting to restrict installation permissions, this setting doesn't work for the company portal. この問題で特権の昇格が発生する可能性があります。This issue could result in an elevation of privileges. ユーザーは、インストールを許可するべきではないアプリをインストールする可能性があります。Users could install an app that they shouldn't be allowed to install.

Microsoft Silverlight 5 用の 証明書、およびアプリケーション カタログに必要な管理者特権での信頼モード Certificates for Microsoft Silverlight 5 and elevated trust mode required for the application catalog

重要

バージョン1910のアプリケーションカタログロールのサポートが終了します。Support ends for the application catalog roles with version 1910. 詳細については、「アプリケーション カタログの削除」を参照してください。For more information, see Remove the application catalog.

Configuration Manager クライアント バージョン 1710 以降には、Microsoft Silverlight 5 が必要です。また、ユーザーがアプリケーション カタログからソフトウェアをインストールするには、管理者特権での信頼モードで Silverlight 5 を実行する必要があります。Configuration Manager clients version 1710 and earlier require Microsoft Silverlight 5, which must run in elevated trust mode for users to install software from the application catalog. Silverlight アプリケーションの既定では、アプリケーションからユーザー データにアクセスできないように部分的な信頼モードで実行されます。By default, Silverlight applications run in partial trust mode to prevent applications from accessing user data. Configuration Manager は、インストールされていない場合、Microsoft Silverlight 5 をクライアントに自動的にインストールします。If it isn't already installed, Configuration Manager automatically installs Microsoft Silverlight 5 on clients. 既定で、Configuration Manager は、コンピューター エージェントの [Silverlight アプリケーションが管理者特権での信頼モードで実行されることを許可する] クライアント設定を [はい] に設定します。By default, Configuration Manager sets the Computer Agent Allow Silverlight applications to run in elevated trust mode client setting to Yes. この設定によって、署名され、信頼されている Silverlight アプリケーションは管理者特権での信頼モードを要求できます。This setting lets signed and trusted Silverlight applications request elevated trust mode.

アプリケーション カタログ Web サイト ポイントをインストールすると、クライアントは、各 Configuration Manager クライアント コンピューターの信頼される発行元の証明書ストアに Microsoft 署名証明書もインストールします。When you install the application catalog website point site system role, the client also installs a Microsoft signing certificate in the Trusted Publishers computer certificate store on each Configuration Manager client computer. この証明書によって署名されている Silverlight アプリケーションは、コンピューターがアプリケーション カタログからソフトウェアをインストールする必要がある、管理者特権での信頼モードで実行できるようになります。Silverlight applications signed by this certificate run in the elevated trust mode, which computers require to install software from the application catalog. Configuration Manager はこの署名証明書を自動的に管理します。Configuration Manager automatically manages this signing certificate. サービスの継続性を高めるため、この Microsoft 署名証明書を手動で削除または移動しないでください。To increase service continuity, don't manually delete or move this Microsoft signing certificate.

警告

クライアント設定 [Silverlight アプリケーションが管理者特権での信頼モードで実行されることを許可する] が有効な場合、コンピューター ストアまたはユーザー ストアの信頼される発行元の証明書ストアの証明書で Silverlight アプリケーションが署名されていれば、管理者特権での信頼モードで実行できます。When enabled, the Allow Silverlight applications to run in elevated trust mode client setting lets all Silverlight applications, which are signed by certificates in the Trusted Publishers certificate store in either the computer store or the user store, run in elevated trust mode. このクライアント設定は、Configuration Manager アプリケーション カタログのため、またはコンピューター ストアの信頼される発行元の証明書ストアのためにのみ、管理者特権での信頼モードを有効にすることができません。The client setting can't enable elevated trust mode specifically for the Configuration Manager application catalog or for the Trusted Publishers certificate store in the computer store. マルウェアによって、信頼される発行元のストアに不正な証明書が追加されると、Silverlight アプリケーションを所有し、使用するマルウェアが、管理者特権での信頼モードで実行される可能性があります。If malware adds a rogue certificate in the Trusted Publishers store, malware that uses its own Silverlight application can now also run in elevated trust mode.

[Silverlight アプリケーションが管理者特権での信頼モードで実行されることを許可する] 設定を [いいえ] に設定しても、クライアントは Microsoft 署名証明書を削除しません。If you set the Allow Silverlight applications to run in elevated trust mode setting to No, clients don't remove the Microsoft signing certificate.

Silverlight の信頼されるアプリケーションの詳細については、「Trusted Applications」 (信頼されるアプリケーション) を参照してください。For more about trusted applications in Silverlight, see Trusted Applications.

アプリケーション管理に関するプライバシー情報Privacy information for application management

アプリケーション管理を使用して、階層内の任意のクライアントで、任意のアプリケーション、プログラム、またはスクリプトを実行することができます。Application management lets you run any application, program, or script on any client in the hierarchy. Configuration Manager は、ユーザーが実行するアプリケーション、プログラム、またはスクリプトについても、送信する情報の種類についても制御しません。Configuration Manager has no control over the types of applications, programs, or scripts that you run or the type of information that they transmit. アプリケーションの展開プロセス中、Configuration Manager は、デバイスとサインイン アカウントを識別する情報をクライアントとサーバーの間で送信することがあります。During the application deployment process, Configuration Manager might transmit information that identifies the device and sign-in accounts between clients and servers.

Configuration Manager は、ソフトウェアの展開プロセスに関するステータス情報を維持します。Configuration Manager maintains status information about the software deployment process. クライアントが HTTPS を使用して通信する場合を除き、ソフトウェア展開のステータス情報は送信時に暗号化されません。Software deployment status information isn't encrypted during transmission unless the client communicates by using HTTPS. ステータス情報は、暗号化された形式でデータベースに格納されるわけではありません。The status information isn't stored in encrypted form in the database.

ソフトウェアのソフトウェア ライセンス条項によっては、Configuration Manager アプリケーション インストールを使用して、クライアントにソフトウェアをリモート インストール、対話型インストール、およびサイレント インストールできない場合があります。The use of Configuration Manager application installation to remotely, interactively, or silently install software on clients might be subject to software license terms for that software. これは、System Center Configuration Manager のソフトウェア ライセンス条項とは別です。This use is separate from the Software License Terms for System Center Configuration Manager. Configuration Manager を使用してソフトウェアを展開する前に、常にソフトウェア ライセンス条項を確認して同意してください。Always review and agree to the Software Licensing Terms before you deploy software by using Configuration Manager.

Configuration Manager では、アプリケーションについての診断および使用状況データが収集されます。このデータは、今後のリリースで機能を向上させるために Microsoft によって使用されます。Configuration Manager collects diagnostics and usage data about applications, which is used by Microsoft to improve future releases. 詳細については、「診断結果と使用状況データ」を参照してください。For more information, see Diagnostics and usage data.

アプリケーションの展開は、既定で行われることはなく、いくつかの構成手順を実行する必要があります。Application deployment doesn't happen by default and requires several configuration steps.

以下の機能は、効率的なソフトウェア展開に役立ちます。The following features help efficient software deployment:

  • ユーザーとデバイスのアフィニティは、ユーザーをデバイスにマップします。User device affinity maps a user to devices. Configuration Manager 管理者は、ソフトウェアをユーザーに展開します。A Configuration Manager administrator deploys software to a user. クライアントは、ユーザーが最もよく使用する 1 つ以上のコンピューターにソフトウェアを自動的にインストールします。The client automatically installs the software on one or more computers that the user uses most often.

  • Configuration Manager クライアントをインストールすると、ソフトウェア センターがデバイスに自動的にインストールされます。Software Center is installed automatically on a device when you install the Configuration Manager client. ユーザーは、ソフトウェアセンターから設定を変更し、ソフトウェアを参照してインストールします。Users change settings, browse for and install software from Software Center.

  • アプリケーション カタログは、インストールするソフトウェアをユーザーが要求できる Web サイトです。The application catalog is a website that lets users request software to install.

    重要

    バージョン1910のアプリケーションカタログロールのサポートが終了します。Support ends for the application catalog roles with version 1910. 詳細については、「アプリケーション カタログの削除」を参照してください。For more information, see Remove the application catalog.

ユーザーとデバイスのアフィニティのプライバシー情報User device affinity privacy information

  • Configuration Manager は、クライアントと管理ポイント サイト システム間で情報を送信します。Configuration Manager might transmit information between clients and management point site systems. この情報によりコンピューター、サインイン アカウント、サインイン アカウントの使用状況の概要がわかる場合があります。The information might identify the computer and sign-in account and the summarized usage for sign-in accounts.

  • HTTPS を使用してクライアントが通信するように管理ポイントが構成されている場合を除き、クライアントとサーバーの間で送信される情報は暗号化されません。The information that's transmitted between the client and server isn't encrypted, unless the management point is configured to require clients to communicate by using HTTPS.

  • ユーザーをデバイスにマップするために使用されるコンピューター アカウントとサインイン アカウントの使用状況情報は、クライアント コンピューターに保存され、管理ポイントに送信されてから Configuration Manager データベースに保存されます。The computer and sign-in account usage information, which is used to map a user to a device, is stored on client computers, sent to management points, and then stored in the Configuration Manager database. 古い情報は、既定では 90 日後にデータベースから削除されます。The old information is deleted from the database by default after 90 days. 削除動作を構成するには、 [期限切れのユーザーとデバイスのアフィニティ データを削除] サイトのメンテナンス タスクを設定します。The deletion behavior is configurable by setting the Delete Aged User Device Affinity Data site maintenance task.

  • Configuration Manager は、ユーザーとデバイスのアフィニティに関するステータス情報を維持します。Configuration Manager maintains status information about user device affinity. HTTPS を使用して管理ポイントと通信するようにクライアントが構成されている場合を除き、ステータス情報は送信時に暗号化されません。Status information isn't encrypted during transmission, unless clients are configured to communicate with management points by using HTTPS. ステータス情報は、暗号化された形式でデータベースに格納されるわけではありません。Status information isn't stored in encrypted form in the database.

  • コンピューターとサインインの使用状況情報は、ユーザーとデバイスのアフィニティを確立するために使用されるため、常に有効になっています。Computer and sign-in usage information that's used to establish user and device affinity is always enabled. ユーザーと管理ユーザーは、ユーザーとデバイスのアフィニティ情報を提供できます。Users and administrative users can supply user device affinity information.

ソフトウェアセンターのプライバシー情報Software Center privacy information

  • ソフトウェア センターを使用すると、Configuration Manager 管理者はユーザーが実行する任意のアプリケーションやプログラム、またはスクリプトを公開できます。Software Center lets the Configuration Manager admin publish any application or program or script for users to run. Configuration Manager は、カタログで公開されるプログラムやスクリプトの種類についても、送信する情報の種類についても制御しません。Configuration Manager has no control over the types of programs or scripts that are published in the catalog or the type of information that they transmit.

  • Configuration Manager は、クライアントと管理ポイント間で情報を送信します。Configuration Manager might transmit information between clients and the management point. この情報は、コンピューターとサインイン アカウントを識別する場合があります。The information might identify the computer and sign-in accounts. HTTPS を使用したクライアント接続を要求するように管理ポイントを構成していない限り、クライアントとサーバーの間で送信される情報は暗号化されません。The information that's transmitted between the client and servers isn't encrypted, unless you configure the management point to require clients connect by using HTTPS.

  • アプリケーション承認要求に関する情報は、Configuration Manager データベースに保存されます。The information about the application approval request is stored in the Configuration Manager database. 取り消されたか拒否された要求や、それに対応する要求の履歴エントリは、既定で 30 日後に削除されます。Requests that are canceled or denied and the corresponding request history entries are deleted by default after 30 days. 削除動作を構成するには、 [期限切れのアプリケーション要求データの削除] サイトのメンテナンス タスクを設定します。The deletion behavior is configurable by setting the Delete Aged Application Request Data site maintenance task. 承認済み状態または保留状態のアプリケーション承認要求は削除されません。Application approval requests that are in approved and pending states are never deleted.

  • Configuration Manager クライアントをデバイスにインストールすると、ソフトウェア センターが自動的にインストールされます。Software Center is installed automatically when you install the Configuration Manager client on a device.

アプリケーションカタログのプライバシー情報Application catalog privacy information

重要

バージョン1910のアプリケーションカタログロールのサポートが終了します。Support ends for the application catalog roles with version 1910. 詳細については、「アプリケーション カタログの削除」を参照してください。For more information, see Remove the application catalog.

  • 既定では、アプリケーション カタログはインストールされません。The application catalog isn't installed by default. インストールにはいくつかの構成手順が必要です。This installation requires several configuration steps.

  • アプリケーション カタログを使用して、Configuration Manager 管理者はユーザーが実行する任意のアプリケーションやプログラム、またはスクリプトを公開できます。The application catalog lets the Configuration Manager admin publish any application or program or script for users to run. Configuration Manager は、カタログで公開されるプログラムやスクリプトの種類についても、送信する情報の種類についても制御しません。Configuration Manager has no control over the types of programs or scripts that are published in the catalog or the type of information that they transmit.

  • Configuration Manager は、クライアントとアプリケーション カタログ サイト システムの役割の間で情報を送信することがあります。Configuration Manager might transmit information between clients and the application catalog site system roles. この情報は、コンピューターとサインイン アカウントを識別する場合があります。The information might identify the computer and sign-in accounts. HTTPS を使用してクライアントが接続するようにサイト システムの役割が構成されている場合を除き、クライアントとサーバーの間で送信される情報は暗号化されません。The information that's transmitted between the client and servers isn't encrypted, unless these site system roles are configured to require clients connect by using HTTPS.