Configuration Manager のセキュリティの基礎
適用対象: Configuration Manager (現在のブランチ)
この記事では、Configuration Manager 環境の次の基本的なセキュリティ コンポーネントについて要約します。
セキュリティ層
Configuration Manager のセキュリティは、次のレイヤーで構成されます。
- WindowsOS とネットワーク のセキュリティ
- ネットワーク インフラストラクチャ: ファイアウォール、侵入検知、公開キー インフラストラクチャ (PKI)
- Configuration Manager のセキュリティ制御
- SMS プロバイダー
- サイト データベースのアクセス許可
WindowsOS とネットワーク のセキュリティ
最初のレイヤーは、OS Windowsネットワークの両方のセキュリティ機能によって提供されます。 このレイヤーには、次のコンポーネントが含まれます。
Configuration Manager コンポーネント間でファイルを転送するファイル共有。
ファイルとレジストリ キーのセキュリティ保護に役立つアクセス制御リスト (ACL)。
通信のセキュリティ保護に役立つインターネット プロトコル セキュリティ (IPsec)。
セキュリティ ポリシーを設定するグループ ポリシー。
Configuration Manager コンソールなど、分散アプリケーションの分散コンポーネント オブジェクト モデル (DCOM) アクセス許可。
セキュリティ プリンシパルを格納する Active Directory ドメイン サービス。
Windows構成マネージャーがセットアップ中に作成する一部のグループを含む、アカウント のセキュリティを強化します。
ネットワーク インフラストラクチャ
ファイアウォールや侵入検知など、ネットワーク セキュリティ コンポーネントは、環境全体の防御に役立ちます。 業界標準の公開キー基盤 (PKI) 実装によって発行された証明書は、認証、署名、および暗号化を提供するのに役立ちます。
Configuration Manager のセキュリティ制御
既定では、Configuration Manager コンソールがインストールするコンピューターで必要なファイルとレジストリ キーに対する権限を持つのは、ローカル管理者のみです。
SMS プロバイダー
セキュリティの次の層は、SMS プロバイダーへのアクセスに基づいて行います。 SMS プロバイダーは Configuration Manager コンポーネントで、ユーザーがサイト データベースに情報を照会するアクセス権を付与します。 SMS プロバイダーは、主に管理インストルメンテーション (WMI) Windows管理サービスと呼ばれる REST API を通じてアクセスを公開します。
既定では、プロバイダーへのアクセスはローカル SMS Admins グループの メンバーに制限 されています。 このグループには、最初に Configuration Manager をインストールしたユーザーだけが含まれる。 共通情報モデル (CIM) リポジトリと SMS プロバイダーに他のアカウントのアクセス許可を付与するには、他のアカウントを SMS Admins グループに追加します。
管理者が Configuration Manager サイトにアクセスする最小認証レベルを指定できます。 この機能を使用すると、管理者は必要なレベルWindowsにサインインできます。 詳細については 、「SMS プロバイダーの計画」を参照してください。
サイト データベースのアクセス許可
セキュリティの最終層は、サイト データベース内のオブジェクトに対するアクセス許可に基づいて行います。 既定では、Configuration Manager のインストールに使用したローカル システム アカウントとユーザー アカウントは、サイト データベース内のすべてのオブジェクトを管理できます。 役割ベースの管理を使用して、Configuration Manager コンソール内の他の管理ユーザーにアクセス許可を付与 および制限します。
ロールベース管理
Configuration Manager は、役割ベースの管理を使用して、コレクション、展開、サイトなどのオブジェクトをセキュリティで保護します。 この管理モデルは、すべてのサイトとサイト設定の階層全体のセキュリティ アクセス設定を一中心に定義および管理します。
管理者は、管理ユーザー とグループの アクセス許可にセキュリティ ロールを割り当てます。 アクセス許可は、クライアント設定の作成や変更など、さまざまな Configuration Manager オブジェクトの種類に接続されます。
セキュリティ スコープには、 管理ユーザーが管理するオブジェクトの特定のインスタンスが含まれます。 たとえば、Configuration Manager コンソールをインストールするアプリケーションなどです。
セキュリティ ロール、セキュリティ スコープ、およびコレクションの組み合わせは、管理ユーザーが表示および管理できるオブジェクトを定義します。 Configuration Manager は、一般的な管理タスクの既定のセキュリティ ロールをインストールします。 特定のビジネス要件をサポートするために、独自のセキュリティ ロールを作成します。
詳細については、「役割ベース の管理の基本」を参照してください。
クライアント エンドポイントのセキュリティ保護
Configuration Manager は、自己署名証明書または Azure Active Directory PKI 証明書、または認証済み (Azure AD) トークンを使用して、サイト システムの役割へのクライアント通信をセキュリティで保護します。 一部のシナリオでは、PKI 証明書の使用が必要です。 たとえば、インターネット ベースのクライアント管理、およびモバイル デバイス クライアントの場合です。
クライアントが HTTPS または HTTP クライアント通信に接続するサイト システムの役割を構成できます。 クライアント コンピューターは、常に使用可能な最も安全な方法を使用して通信します。 クライアント コンピューターは、HTTP 通信を許可するサイト システムの役割がある場合にのみ、安全性の低い通信方法を使用します。
重要
Configuration Manager バージョン 2103 から、HTTP クライアント通信を許可するサイトは廃止されました。 HTTPS または拡張 HTTP のサイトを構成します。 詳細については 、「HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。
詳細については、「Plan for security」を参照してください。
Configuration Manager のアカウントとグループ
Configuration Manager は、ほとんどのサイト操作にローカル システム アカウントを使用します。 一部のサイト操作では、サイト サーバーのドメイン コンピューター アカウントを使用する代わりに、サービス アカウントを使用できます。 一部の管理タスクでは、他のアカウントの作成と管理が必要になる場合があります。 たとえば、OS 展開タスク シーケンス中にドメインに参加します。
Configuration Manager は、セットアップ中に複数の既定のグループSQL Serverロールを作成します。 既定のグループにコンピューターまたはユーザー アカウントを手動で追加し、その役割SQL Serverがあります。
詳細については 、「Configuration Manager で使用されるアカウント」を参照してください。
プライバシー
Configuration Manager を実装する前に、プライバシー要件を検討してください。 エンタープライズ管理製品は、多くのクライアントを効果的に管理できるので、多くの利点を提供しますが、このソフトウェアは組織内のユーザーのプライバシーに影響を与える可能性があります。 Configuration Manager には、データを収集し、デバイスを監視するための多くのツールが含まれています。 一部のツールは、組織内のプライバシーの問題を引き起こす可能性があります。
たとえば、Configuration Manager クライアントをインストールすると、既定で多くの管理設定が有効になります。 この構成により、クライアント ソフトウェアは Configuration Manager サイトに情報を送信します。 サイトは、サイト データベースにクライアント情報を格納します。 クライアント情報は Microsoft に直接送信されません。 詳細については、「診断と 使用状況データ」を参照してください。