Configuration Managerでの証明書プロファイルの証明書テンプレートのアクセス許可の計画

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

重要

バージョン 2203 以降、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。

次の情報は、証明書プロファイルを展開するときに使用Configuration Manager証明書テンプレートのアクセス許可を構成する方法を計画するのに役立ちます。

既定のセキュリティアクセス許可と考慮事項

ユーザーとデバイスの証明書を要求するために使用Configuration Manager証明書テンプレートに必要な既定のセキュリティアクセス許可は次のとおりです。

  • ネットワーク デバイス登録サービス アプリケーション プールが使用するアカウントの読み取りと登録

  • Configuration Manager コンソールを実行するアカウントの読み取り

    これらのセキュリティアクセス許可の詳細については、「 証明書インフラストラクチャの構成」を参照してください。

    この既定の構成を使用する場合、ユーザーとデバイスは証明書テンプレートから証明書を直接要求することはできません。また、すべての要求はネットワーク デバイス登録サービスによって開始される必要があります。 これは重要な制限です。これらの証明書テンプレートは、証明書サブジェクトの 要求で Supply を 使用して構成する必要があるため、不正なユーザーまたは侵害されたデバイスが証明書を要求した場合に偽装のリスクがあることを意味します。 既定の構成では、ネットワーク デバイス登録サービスがこのような要求を開始する必要があります。 ただし、ネットワーク デバイス登録サービスを実行するサービスが侵害された場合、偽装のこのリスクは残ります。 このリスクを回避するには、ネットワーク デバイス登録サービスと、この役割サービスを実行するコンピューターのすべてのセキュリティベスト プラクティスに従ってください。

    既定のセキュリティアクセス許可がビジネス要件を満たしていない場合は、証明書テンプレートのセキュリティアクセス許可を構成するための別のオプションがあります。ユーザーとコンピューターの読み取りおよび登録のアクセス許可を追加できます。

ユーザーとコンピューターの読み取りアクセス許可と登録アクセス許可の追加

別のチームが証明機関 (CA) インフラストラクチャ チームを管理し、別のチームがユーザーに証明書プロファイルを送信する前に有効なActive Directory Domain Services アカウントを持っていることを確認するConfiguration Managerする場合は、ユーザーとコンピューターの読み取りと登録のアクセス許可を追加することが適切な場合があります。証明 書。 この構成では、ユーザーを含む 1 つ以上のセキュリティ グループを指定し、それらのグループに証明書テンプレートに対する読み取りアクセス許可と登録アクセス許可を付与する必要があります。 このシナリオでは、CA 管理者がセキュリティ制御を管理します。

同様に、コンピューター アカウントを含む 1 つ以上のセキュリティ グループを指定し、これらのグループに証明書テンプレートに対する読み取りと登録のアクセス許可を付与できます。 ドメイン メンバーであるコンピューターにコンピューター証明書プロファイルを展開する場合、そのコンピューターのコンピューター アカウントに読み取りアクセス許可と登録アクセス許可が付与されている必要があります。 コンピューターがドメイン メンバーでない場合、これらのアクセス許可は必要ありません。 たとえば、ワークグループ コンピューターや個人用モバイル デバイスの場合などです。

この構成では別のセキュリティ制御が使用されますが、ベスト プラクティスとしてはお勧めしません。 その理由は、指定されたユーザーまたはデバイスの所有者が、Configuration Managerとは別に証明書を要求し、別のユーザーまたはデバイスの偽装に使用される可能性がある証明書サブジェクトの値を指定する可能性があるためです。

さらに、証明書要求が発生した時点で認証できないアカウントを指定した場合、証明書要求は既定で失敗します。 たとえば、ネットワーク デバイス登録サービスを実行しているサーバーが、証明書登録ポイント サイト システム サーバーを含むフォレストによって信頼されていない Active Directory フォレスト内にある場合、証明書要求は失敗します。 ドメイン コントローラーからの応答がないため、アカウントを認証できない場合は、証明書登録ポイントを続行するように構成できます。 ただし、これはセキュリティのベスト プラクティスではありません。

アカウントのアクセス許可をチェックするように証明書登録ポイントが構成されていて、ドメイン コントローラーが使用可能であり、認証要求を拒否した場合 (たとえば、アカウントがロックアウトされているか削除されている場合)、証明書登録要求は失敗します。

ユーザーとドメイン メンバー コンピューターの読み取りアクセス許可と登録アクセス許可をチェックするには

  1. 証明書登録ポイントをホストするサイト システム サーバーで、次の DWORD レジストリ キーを作成して値を 0 にします: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. ドメイン コントローラーからの応答がないためにアカウントを認証できない場合は、次のチェックアクセス許可をバイパスする必要があります。

    • 証明書登録ポイントをホストするサイト システム サーバーで、次の DWORD レジストリ キーを作成して、値が 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied

  3. 発行元 CA の証明書テンプレートのプロパティの [ セキュリティ ] タブで、1 つ以上のセキュリティ グループを追加して、ユーザーまたはデバイス アカウントに読み取りアクセス許可と登録アクセス許可を付与します。