Configuration Manager でのアプリケーション管理のセキュリティとプライバシー

  • [アーティクル]

適用対象: Configuration Manager (現在のブランチ)

セキュリティ ガイダンス

ユーザー デバイスのアフィニティを一中心に指定する

ユーザーがプライマリ デバイスを識別する代わりに、ユーザー デバイスアフィニティを手動で指定します。 使用状況ベースの構成を有効にしない。

ユーザーまたはデバイスから収集された情報を、権限を持つ情報と見なす必要があります。 信頼できる管理者が指定しないユーザー デバイス アフィニティを使用してソフトウェアを展開する場合、そのソフトウェアはコンピューターにインストールされ、そのソフトウェアの受け取りを承認されていないユーザーにインストールされる可能性があります。

配布ポイントから展開を実行しない

配布ポイントから実行するのではなく、配布ポイントからコンテンツをダウンロードする展開を常に構成します。 配布ポイントからコンテンツをダウンロードしてローカルで実行する展開を構成すると、Configuration Manager クライアントはコンテンツをダウンロードした後にパッケージ ハッシュを確認します。 ハッシュがポリシーのハッシュと一致しない場合、クライアントはパッケージを破棄します。

配布ポイントから直接実行する展開を構成した場合、Configuration Manager クライアントはパッケージ ハッシュを確認できません。 この動作は、Configuration Manager クライアントが改ざんされたソフトウェアをインストールできるという意味です。

配布ポイントから直接展開を実行する必要がある場合は、配布ポイントのパッケージに対して NTFS 最小アクセス許可を使用します。 また、インターネット プロトコル セキュリティ (IPsec) を使用して、クライアントと配布ポイント間、および配布ポイントとサイト サーバー間のチャネルをセキュリティで保護します。

ユーザーに昇格されたプロセスを操作させない

[管理者権限で実行する] または [システム 用に インストール する] オプションを有効にする場合は、ユーザーがそれらのアプリケーションを操作しなけれ。 アプリケーションを構成する場合は、オプションを [ユーザーがプログラムのインストールを表示および操作できる] に設定できます。 この設定により、ユーザーはユーザー インターフェイスで必要なプロンプトに応答できます。 アプリケーションを [管理者権限で実行する] または[システム用にインストールする] に構成した場合、プログラムを実行するコンピューターの攻撃者がユーザー インターフェイスを使用して、クライアント コンピューターの特権をエスカレートする可能性があります。

管理資格情報を必要とするWindows展開に対して、セットアップおよびユーザーごとの管理者特権に対して、Windows インストーラーを使用するプログラムを使用します。 セットアップは、管理資格情報を持つユーザーのコンテキストで実行する必要があります。 Windowsユーザーごとのインストーラー管理者特権は、この要件を持つアプリケーションを展開する最も安全な方法を提供します。

注意

ユーザーがソフトウェア センターからアプリケーション インストール プロセスを開始すると、[ユーザーにプログラム インストールの表示と操作を許可する] オプションでは、アプリケーション インストーラーによって作成された他のプロセスとのユーザー操作を制御できません。 この動作のため、このオプションを選択しない場合でも、ユーザーは昇格されたプロセスを操作できる場合があります。 この問題を回避するには、ユーザー操作を使用して他のプロセスを作成するアプリケーションを展開しないようにします。 この種類のアプリケーションをインストールする必要がある場合は、[必須] として展開し、ユーザー通知エクスペリエンスを [ソフトウェア センターで非表示] および [すべての通知]に構成します

ユーザーが対話的にソフトウェアをインストールできるかどうかを制限する

[コンピューター エージェント ] グループで [アクセス許可 のインストール] クライアント設定を構成 します。 この設定では、ソフトウェア センターにソフトウェアをインストールできるユーザーの種類が制限されます。

たとえば、Install permissions を [管理者のみ] に設定したカスタム クライアント 設定を作成します。 このクライアント設定をサーバーのコレクションに適用します。 この構成により、管理アクセス許可のないユーザーがそれらのサーバーにソフトウェアをインストールできません。

詳細については、「クライアント設定 について」を参照してください

モバイル デバイスの場合、署名済みアプリケーションのみを展開する

モバイル デバイス アプリケーションは、モバイル デバイスが信頼する証明機関 (CA) によってコード署名されている場合にのみ展開します。

例:

  • パブリックおよびグローバルに信頼された証明書プロバイダーによって署名されたベンダーからのアプリケーション。

  • 内部 CA を使用して Configuration Manager から独立して署名する内部アプリケーション。

  • アプリケーションの種類を作成し、署名証明書を使用するときに Configuration Manager を使用して署名する内部アプリケーション。

モバイル デバイス アプリケーション署名証明書の場所をセキュリティで保護する

Configuration Manager でアプリケーションの作成ウィザードを使用してモバイル デバイス アプリケーションに署名する場合は、署名証明書ファイルの場所をセキュリティで保護し、通信チャネルをセキュリティで保護します。 特権の昇格や中間者攻撃から保護するために、署名証明書ファイルをセキュリティで保護されたフォルダーに保存します。

次のコンピューター間で IPsec を使用します。

  • Configuration Manager コンソールを実行するコンピューター
  • 証明書署名ファイルを格納するコンピューター
  • アプリケーション ソース ファイルを格納するコンピューター

代わりに、Configuration Manager から独立して、アプリケーションの作成ウィザードを実行する前に 、アプリケーションに署名します

アクセス制御の実装

参照コンピューターを保護するには、アクセス制御を実装します。 参照コンピューターを参照して展開の種類で検出方法を構成する場合は、コンピューターが侵害されていないか確認してください。

管理ユーザーの制限と監視

次のアプリケーション管理役割ベースのセキュリティ ロールを付与する管理ユーザーを制限および監視します。

  • アプリケーション管理者
  • アプリケーション作成者
  • アプリケーション展開マネージャー

役割ベース の管理を構成する場合でも、アプリケーションを作成および展開する管理ユーザーは、実現するよりも多くのアクセス許可を持つ可能性があります。 たとえば、アプリケーションを作成または変更する管理ユーザーは、セキュリティ スコープに含されていない依存アプリケーションを選択できます。

同じ信頼レベルの仮想環境で App-V アプリを構成する

Microsoft Application Virtualization (App-V) 仮想環境を構成する場合は、仮想環境で同じ信頼レベルを持つアプリケーションを選択します。 App-V 仮想環境のアプリケーションは、クリップボードのようなリソースを共有できるので、選択したアプリケーションが同じ信頼レベルを持つような仮想環境を構成します。

詳細については 、「Create App-V 仮想環境」を参照してください

macOS アプリが信頼できるソースから提供されている必要があります

macOS デバイス用のアプリケーションを展開する場合は、ソース ファイルが信頼できるソースから提供されている必要があります。 CMAppUtil ツールは、ソース パッケージの署名を検証します。 パッケージが信頼できるソースから提供されている必要があります。 CMAppUtil ツールは、ファイルが改ざんされたかどうかを検出できない。

macOS アプリの cmmac ファイルをセキュリティで保護する

macOS コンピューター用のアプリケーションを展開する場合は、ファイルの場所をセキュリティで保護 .cmmac します。 CMAppUtil ツールは、このファイルを生成し、それを Configuration Manager にインポートします。 このファイルは署名も検証もされません。

このファイルを Configuration Manager にインポートする場合は、通信チャネルをセキュリティで保護します。 このファイルの改ざんを防ぐには、セキュリティで保護されたフォルダーに保存します。 次のコンピューター間で IPsec を使用します。

  • Configuration Manager コンソールを実行するコンピューター
  • ファイルを格納する .cmmac コンピューター

Web アプリケーションに HTTPS を使用する

Web アプリケーションの展開の種類を構成する場合は、HTTPS を使用して接続をセキュリティで保護します。 HTTPS リンクではなく HTTP リンクを使用して Web アプリケーションを展開すると、デバイスが不正なサーバーにリダイレクトされる可能性があります。 デバイスとサーバーの間で転送されるデータが改ざんされる可能性があります。

セキュリティの問題

  • 権限の低いユーザーは、クライアント コンピューター上のソフトウェア展開履歴を記録するファイルを変更できます。

    アプリケーション履歴情報は保護されていないので、ユーザーはアプリケーションがインストールされているかどうかを報告するファイルを変更できます。

  • App-V パッケージは署名されていない。

    Configuration Manager の App-V パッケージでは、署名はサポートされていません。 デジタル署名は、コンテンツが信頼できるソースからの内容であり、転送中に変更されたのではないことを確認します。 このセキュリティの問題に対する軽減策はありません。 セキュリティのベスト プラクティスに従って、信頼できるソースと安全な場所からコンテンツをダウンロードします。

  • 発行された App-V アプリケーションは、コンピューター上のすべてのユーザーがインストールできます。

    App-V アプリケーションがコンピューター上で公開されている場合、そのコンピューターにサインインしているすべてのユーザーがアプリケーションをインストールできます。 公開後にアプリケーションをインストールできるユーザーを制限できない。

プライバシー情報

アプリケーション管理を使用すると、階層内の任意のクライアントでアプリケーション、プログラム、またはスクリプトを実行できます。 Configuration Manager は、実行するアプリケーション、プログラム、またはスクリプトの種類、または送信する情報の種類を制御できません。 アプリケーションの展開プロセス中に、Configuration Manager はデバイスとサインイン アカウントを識別する情報をクライアントとサーバー間で送信する場合があります。

Configuration Manager は、ソフトウェアの展開プロセスに関する状態情報を保持します。 クライアントが HTTPS を使用して通信しない限り、ソフトウェアの展開状態情報は送信中に暗号化されません。 状態情報は、暗号化された形式でデータベースに格納されません。

Configuration Manager アプリケーションのインストールをクライアントにリモート、対話型、またはサイレント インストールする場合は、そのソフトウェアのソフトウェア ライセンス条項が適用される場合があります。 この使用は、Configuration Manager のソフトウェア ライセンス条項とは別です。 Configuration Manager を使用してソフトウェアを展開する前に、必ずソフトウェア ライセンス条項を確認して同意してください。

Configuration Manager は、将来のリリースを改善するために Microsoft が使用するアプリケーションに関する診断データと使用状況データを収集します。 詳細については、「診断と 使用状況データ」を参照してください

アプリケーションの展開は既定では行わないので、いくつかの構成手順が必要です。

次の機能は、ソフトウェアの効率的な展開に役立ちます。

  • ユーザー デバイスアフィニティは、ユーザー をデバイスにマップします。 Configuration Manager 管理者がソフトウェアをユーザーに展開します。 クライアントは、ユーザーが最も頻繁に使用する 1 つ以上のコンピューターにソフトウェアを自動的にインストールします。

  • Configuration Manager クライアントをインストールすると、ソフトウェア センターがデバイスに自動的にインストールされます。 ユーザーは設定を変更し、ソフトウェアを参照し、ソフトウェア センターからソフトウェアをインストールします。

ユーザー デバイスアフィニティのプライバシー情報

  • Configuration Manager は、クライアントと管理ポイント サイト システム間で情報を送信する場合があります。 この情報は、コンピューター、サインイン アカウント、およびサインイン アカウントの要約された使用状況を識別する場合があります。

  • HTTPS 通信が必要な管理ポイントを構成しない限り、クライアントとサーバー間で送信される情報は暗号化されません。

  • コンピューターとサインイン アカウントの使用状況情報は、ユーザーをデバイスにマップするために使用されます。 Configuration Manager は、この情報をクライアント コンピューターに格納し、管理ポイントに送信し、サイト データベースに格納します。 既定では、サイトは 90 日後にデータベースから古い情報を削除します。 削除動作は、[削除] [ユーザー デバイス アフィニティ データ] サイトのメンテナンス タスクを 設定することで構成 できます。

  • Configuration Manager は、ユーザー デバイスアフィニティに関する状態情報を保持します。 HTTPS を使用 して管理 ポイントと通信するようにクライアントを構成しない限り、クライアントは送信中に状態情報を暗号化しません。 サイトでは、データベースに状態情報が暗号化された形式で格納されません。

  • ユーザーとデバイスのアフィニティを確立するために使用されるコンピューターとサインインの使用状況情報は、常に有効です。 ユーザーと管理ユーザーは、ユーザー デバイスアフィニティ情報を提供できます。

ソフトウェア センターのプライバシー情報

  • ソフトウェア センターを使用すると、Configuration Manager 管理者は、ユーザーが実行できるアプリケーション、プログラム、またはスクリプトを発行できます。 Configuration Manager は、ソフトウェア センターで公開されるプログラムやスクリプトの種類、または送信する情報の種類を制御できません。

  • Configuration Manager は、クライアントと管理ポイントの間で情報を送信する場合があります。 この情報は、コンピューターとサインイン アカウントを識別する場合があります。 HTTPS を使用してクライアントの接続を要求するように管理ポイントを構成しない限り、クライアントとサーバー間で送信される情報は暗号化されません。

  • アプリケーション承認要求に関する情報は、Configuration Manager データベースに格納されます。 キャンセルまたは拒否された要求の場合、対応する要求履歴エントリは既定で 30 日後に削除されます。 この削除動作は、[古いアプリケーション要求データの削除] サイト のメンテナンス タスクを使用して構成できます。 サイトは、承認済みおよび保留中の状態にあるアプリケーション承認要求を削除しない。

  • Configuration Manager クライアントをデバイスにインストールすると、ソフトウェア センターが自動的にインストールされます。