Configuration Manager クライアントのブロックが必要かどうかを判断する
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
クライアント コンピュータまたはクライアント モバイル デバイスが信頼されなくなった場合、Configuration Manager 管理者は、Configuration Manager 2007 コンソールでクライアントをブロックできます。ブロックされたクライアントは、Configuration Manager 2007 インフラストラクチャによって拒否されるため、サイト システムと通信してポリシーをダウンロードしたり、インベントリ データをアップロードしたり、状態またはステータス メッセージを送信したりすることはできなくなります。
クライアントのブロックおよびブロック解除は、そのクライアントが割り当てられているサイトから行う必要があります。これらの操作は、階層内で上位にあるサイトからは実行できません。
重要
Configuration Manager 2007 でブロックすることにより Configuration Manager 2007 サイトをセキュリティで保護することができますが、自己署名入り証明書およびハードウェア ID を使用するとブロックされたクライアントがサイトに再参加できてしまうため、サイトが混在モードである場合に信頼されていないコンピュータまたはモバイル デバイスからサイトを保護するときは、この機能に依存しないでください。
この機能は、オペレーティング システムの展開機能とネイティブ モード クライアントを使用してクライアントを展開する場合に、紛失したまたは危険のあるブート メディアをブロックするのに使用されるように設計されています。 ISV プロキシ証明書を使用してサイトにアクセスしているクライアントをブロックすることはできません。ISV プロキシ証明書の詳細については、System Center Configuration Manager 2007 Software Development Kit (SDK) を参照してください。 サイトがネイティブ モードであり、公開キー インフラストラクチャで証明書失効リスト (CRL) がサポートされている場合、危険の可能性のある証明書に対しては、証明書失効が第 1 の防御ラインとなることを常に考慮してください。Configuration Manager 2007 でクライアントをブロックすることは、階層を保護するための第 2 の防御ラインとなります。PKI に対応する環境で証明書を失効することと、Configuration Manager 2007 のクライアントをブロックすることの違いを理解するために、次の表を参照してください。
| クライアントのブロック | 証明書の失効 |
|---|---|
オプションは、混在モードとネイティブ モードの両方のサイトで利用できますが、サイトが混在モードの場合は、セキュリティが制限されます。 |
公開キー インフラストラクチャが証明書失効リスト (CRL) をサポートする場合は、オプションは、ネイティブ モードのサイトのみで利用できます。 モバイル デバイス クライアントでは、その証明書を Configuration Manager 2007 で失効したり、チェックしたりできますが、証明書失効リストは使用されません。 |
Configuration Manager 2007 管理者には、クライアントをブロックする権限があり、この操作は Configuration Manager コンソールで実行されます。 |
公開キー インフラストラクチャ管理者には、証明書を失効させる権限があり、この操作は Configuration Manager コンソール以外で実行されます。 |
クライアントの通信は、Configuration Manager 2007 階層のみから拒否されます。 注意 同じクライアントが別の Configuration Manager 2007 階層に登録できます。 |
クライアントの通信は、このクライアント証明書が必要な任意のコンピュータまたはモバイル デバイスから拒否できます。 |
クライアントはすぐに Configuration Manager 2007 サイトからブロックされます。 |
証明書が失効してから、サイト システムが更新後の証明書失効リスト (CRL) をダウンロードするまでの間に遅延が発生しやすくなります。 多くの PKI 展開を行う場合、この遅延は 1 日またはそれ以上になる可能性があります。たとえば、Microsoft Windows 2003 証明書サービスでは、既定の有効期間は完全な CRL で 1 週間、差分の CRL で 1 日です。 |
危険性のあるコンピュータおよびモバイル デバイスからサイト システムを保護できます。 |
危険性のあるコンピュータおよびモバイル デバイスからサイト システムとクライアントの両方を保護できます。 クライアント コンピュータで証明書失効のチェックを有効にすることの詳細については、「クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブ モード)」を参照してください。 注意 証明書信頼リスト (CTL) を使用すると、未知のクライアントからネイティブ モード サイトをさらに保護できます。詳細については、「IIS で 証明書信頼リスト (CTL) を構成する必要があるかどうかを判断する (ネイティブ モード)」を参照してください。 |
参照:
タスク
Configuration Manager クライアントをブロックする方法
概念
管理者チェックリスト :ネイティブ モードの PKI 要件の展開
Configuration Manager クライアント展開の概要
クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブ モード)
その他のリソース
Configuration Manager 2007 のクライアントの計画および展開
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.